Microsoft Fabric führt Delegated OneLake Shortcuts ein (Preview)
trending_up Trend: microsoft-fabric

Microsoft Fabric führt Delegated OneLake Shortcuts ein (Preview)

calendar_month 4. Juli 2026

Zusammenfassung

Microsoft hat die Vorschauversion (Preview) von Delegated OneLake Shortcuts für Microsoft Fabric angekündigt. Diese Funktion führt eine verbindungsorientierte Authentifizierung (unter Verwendung von Organisationskonten, Dienstprinzipalen oder Arbeitsbereichsidentitäten) als Alternative zum standardmäßigen Benutzeridentitäts-Pass-Through-Modell ein. Dadurch können Unternehmen Daten nahtlos und sicher innerhalb und über Mandantengrenzen (Tenant Boundaries) hinweg gemeinsam nutzen, ohne dass jeder Endbenutzer direkt an der Datenquelle berechtigt werden muss. Dies vereinfacht die Governance und ermöglicht eine skalierbare, kopierfreie (Zero-Copy) Datenverteilung.

Was ist passiert?

Bisher basierten OneLake Shortcuts in Microsoft Fabric ausschließlich auf dem Pass-Through-Modell. Wenn ein Benutzer auf eine Verknüpfung zugriff, wurden seine persönlichen Zugriffsrechte direkt an die zugrunde liegende Datenquelle weitergereicht. Mit dem neuen Update können Ersteller von Shortcuts nun eine feste Verbindungsidentität konfigurieren. Zu den wählbaren Identitäten gehören:

  • Organisationskonten (Organizational Accounts)
  • Dienstprinzipale (Service Principals / SPN)
  • Arbeitsbereichsidentitäten (Workspace Identities)

Diese Verbindungsidentität wird fest mit der Verknüpfung verknüpft, sodass alle nachgelagerten Abfragen mit den Rechten dieser Identität ausgeführt werden. Zudem wird die gemeinsame Nutzung über Mandanten hinweg (Cross-Tenant) unterstützt, sofern der Konsument über ein entsprechendes Konto im Quell-Mandanten verfügt.

Warum es wichtig ist

Das bisherige Pass-Through-Modell führte bei großen Datenprodukten zu erheblichen administrativen Hürden:

  1. Skalierungsprobleme: Wenn Tausende Mitarbeiter auf ein zentrales Dataset zugreifen sollten, mussten Datenbesitzer jeden einzelnen Benutzer an der Quelle autorisieren.
  2. Mandantenübergreifende Zusammenarbeit: In Konzernen mit mehreren Tenants (z. B. Entwicklungs-, Test- und Produktiv-Tenants oder Tochtergesellschaften) war der Datenzugriff hochgradig komplex.

Delegated Shortcuts lösen diese Probleme, indem sie die Berechtigungsverwaltung entkoppeln. Der Datenproduzent erteilt lediglich der delegated Identität Zugriff. Die konsumierende Abteilung kann dann intern steuern, wer die Verknüpfung nutzen darf, ohne dass die zentrale IT-Abteilung eingreifen muss.

Beweise

Die offizielle Ankündigung erfolgte im Microsoft Fabric Updates Blog unter dem Titel „Simplifying secure data access with Delegated OneLake Shortcuts (Preview)“. Das Feature ist ab sofort in Fabric-Arbeitsbereichen als Preview verfügbar und unterstützt OneLake-Sicherheitsrollen wie Table-Level Security (TLS) und Column-Level Security (CLS).

Analyse

Die Einführung von Delegated Shortcuts schließt eine kritische Lücke im Fabric-Sicherheitskonzept und markiert einen wichtigen Schritt hin zu echten Data-Mesh-Architekturen. Während das Pass-Through-Modell ideal für die Ad-hoc-Zusammenarbeit in kleineren Teams ist, eignet sich das Delegationsmodell für professionell verwaltete Datenprodukten (Data Products). Im Vergleich zum bestehenden External Data Sharing-Feature von Fabric, welches für externe Partner ohne Identität im eigenen Tenant gedacht ist, richten sich die Cross-Tenant Delegated Shortcuts an verbundene Organisationen und interne Multi-Tenant-Strukturen, bei denen der Konsument bereits eine Identität im Quell-Mandanten besitzt.

Praktische Erkenntnisse

Für Datenarchitekten und Administratoren ergeben sich folgende Handlungsempfehlungen:

  1. Entkopplung nutzen: Nutzen Sie Delegated Shortcuts für abteilungsübergreifende Datenprodukte, um die Berechtigungsverwaltung an die Konsumenten-Teams zu delegieren.
  2. Granulare Sicherheit pflegen: OneLake-Sicherheitsrollen (z. B. Spalten- und Zeilenebene) bleiben auch bei Delegated Shortcuts voll wirksam und sollten auf Quell- und Ziel-Ebene konfiguriert werden.
  3. Einrichtung: Beim Erstellen eines neuen Shortcuts in z. B. einem Lakehouse wählen Sie unter „Connection method“ die Option Delegated identity aus und hinterlegen Sie den entsprechenden Service Principal oder das Organisationskonto.

Offene Fragen

  • Wie verhält sich die Performance bei hochfrequentierten Abfragen über Dienstprinzipale im Vergleich zu direktem Pass-Through?
  • Welche zusätzlichen Lizenz- oder API-Kosten entstehen bei intensiver mandantenübergreifender Nutzung von Delegated Shortcuts?

Quellen

  1. Microsoft Fabric Updates Blog: Simplifying secure data access with Delegated OneLake Shortcuts