Fabric と Power BI のデータ損失防止ポリシーの概要
この記事では、Fabric のMicrosoft Purview データ損失防止 (DLP) ポリシーについて説明します。 対象ユーザーは、Fabric 管理者、セキュリティおよびコンプライアンス チーム、および Fabric データ所有者です。
概要
組織が機密データを検出して保護できるように、Fabric はMicrosoft Purview データ損失防止 (DLP) ポリシーをサポートしています。 Fabric の DLP ポリシーが機密情報を含む サポートされているアイテムの種類 を検出すると、機密性の高いコンテンツの性質を説明するアイテムにポリシー ヒントを添付し、管理者による監視と管理のために Microsoft Purview ポータルのデータ損失防止 アラート ページにアラートを登録できます。 さらに、管理者と指定したユーザーに電子メール アラートを送信できます。
この記事では、ファブリックの DLP のしくみ、考慮事項と制限事項、ライセンスとアクセス許可の要件の一覧、DLP CPU 使用率の測定方法について説明します。 詳細については、以下を参照してください:
- Fabric の DLP ポリシー違反に応答 して、ポリシー ヒントから Lakehouse またはセマンティック モデルに DLP ポリシー違反があると通知されたときに応答する方法を確認します。
- Fabric の DLP ポリシー違反を監視 して、Microsoft Purview ポータルにサインインして DLP 違反アラートの詳細を確認する方法を確認します。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
考慮事項と制限事項
- Fabric の DLP ポリシーは、 Microsoft Purview ポータルで定義されます。
- DLP ポリシーはワークスペースに適用されます。 サポートされるのは、Fabric または Premium 容量でホストされているワークスペースのみです。 詳細については、「 Microsoft Fabric の概念とライセンス」を参照してください。
- DLP 評価ワークロードは容量に影響します。 現時点では、DLP for Fabric は追加料金なしで利用できますが、これは変更される可能性があります。 このドキュメントと Fabric ブログで更新プログラムを確認してください。
- DLP ポリシー テンプレートは、Fabric DLP ポリシーではまだサポートされていません。 Fabric の DLP ポリシーを作成する場合は、[カスタム ポリシー] オプションを選択します。
- 現在、ファブリック DLP ポリシー ルールでは、条件として秘密度ラベルと機密情報の種類がサポートされています。
- Fabric の DLP ポリシーは、DirectQuery またはライブ接続を介してデータ ソースに接続するサンプル セマンティック モデル、ストリーミング データセット、セマンティック モデルではサポートされていません。 これには、一部のデータがインポート モードで取得され、一部が DirectQuery 経由で提供される、混在ストレージを持つセマンティック モデルが含まれます。
- Fabric の DLP ポリシーは、Delta 形式で格納されている Lakehouse Tables/ フォルダー内のデータにのみ適用されます。
- Fabric の DLP ポリシーでは、timestamp_ntzを除くすべてのプリミティブ Delta 型 がサポートされます。
- Fabric の DLP ポリシーは、次の Delta Parquet データ型ではサポートされていません。
- Binary、timestamp_ntz、Struct、Array、List、Map、Json、Enum、Interval、Void。
- LZ4、Zstd、Gzip 圧縮コーデックを使用したデータ。
- 正確なデータ一致 (EDM) 分類子 と トレーニング可能な分類子 は、DLP for Fabric ではサポートされていません。 ポリシーの条件で EDM またはトレーニング可能な分類子を選択した場合、セマンティック モデルまたは lakehouse に実際に EDM またはトレーニング可能な分類子を満たすデータが含まれている場合でも、ポリシーは結果を生成しません。 ポリシーで指定された他の分類子は、結果 (存在する場合) を返します。
- Fabric の DLP ポリシーは、中国北部リージョンではサポートされていません。 organizationの既定のデータ領域を見つける方法については、「organizationの既定のリージョンを見つける方法」を参照してください。
- Azure 容量は、次のクラスターの Fabric の DLP ではサポートされていません。
- WUS3
- WUS2
- SCUS
- DLP への新しいテナントのオンボードには、オンボードされているサポートされているワークスペースの数に応じて数時間かかることがあります。
ライセンスとアクセス許可
SKU /サブスクリプションライセンス
Power BI の DLP の使用を開始する前に、Microsoft 365 サブスクリプションを確認する必要があります。 完全なライセンシングのガイダンスについては、セキュリティとコンプライアンスに関する Microsoft 365 ガイダンスを参照してください。
アクセス許可
DLP for Fabric からのデータは、 アクティビティ エクスプローラーで表示できます。 アクティビティ エクスプローラーにアクセス許可を付与するロールは 4 つあります。データへのアクセスに使用するアカウントは、いずれかのメンバーである必要があります。
アクティビティ エクスプローラーを表示するには、データへのアクセスに使用するアカウントが、次のいずれかのロール以上のメンバーである必要があります。
- コンプライアンス管理者
- セキュリティ管理者
- コンプライアンス データ管理者
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。
サポートされている項目の種類
Fabric の DLP ポリシーでは、現在、次の項目の種類がサポート (プレビュー) されています。
- セマンティック モデル
- レイクハウーズ
例外に 関する考慮事項と制限事項に関するページを 参照してください。
Fabric の DLP ポリシーのしくみ
DLP ポリシーは、Microsoft Purview ポータルのデータ損失防止セクションで定義します。 ポリシーでは、検出する秘密度ラベルや機密情報の種類を指定します。 また、指定した種類の機密データを含むセマンティック モデルまたは lakehouse がポリシーによって検出されたときに発生するアクションも指定します。 Fabric の DLP ポリシーでは、次の 3 つのアクションがサポートされています。
ポリシー ヒントによるユーザー向けの通知。
通知。 アラートは、管理者とユーザーに電子メールで送信できます。 さらに、管理者は Purview ポータルの [アラート] タブで アラート を監視および管理できます。
アクセスを制限します。 サポートされている項目の種類が、アクセス制限アクションで構成されたポリシーに違反すると、ポリシーの構成方法に応じて、データ所有者またはorganizationのメンバーへのアイテムへのアクセスが制限されます。 他のすべてのユーザーは、アイテムへのアクセスを失います。
注:
アクセスの制限アクションは、セマンティック モデルにのみ適用されます。
セマンティック モデルまたは lakehouse が DLP ポリシーによって評価されると、DLP ポリシーで指定された条件と一致すると、ポリシーで指定されたアクションが実行されます。 DLP ポリシーは、次のアクションによって開始されます。
セマンティック モデル:
セマンティック モデルは、次のいずれかのイベントが発生するたびに DLP ポリシーに対して評価されます。
- 公開
- Republish
- オンデマンド更新
- 計画更新
注:
次のいずれかが当てはまる場合、セマンティック モデルの DLP 評価は行われません。
- イベントのイニシエーター (発行、再発行、オンデマンド更新、スケジュールされた更新) は、サービス プリンシパル認証を使用したアカウントです。
- セマンティック モデルの所有者はサービス プリンシパルです。
レイクハウス:
レイクハウスは DLP ポリシーに対して評価されます。レイクハウス内のデータが、新しいデータの取得、新しいソースの接続、既存のテーブルの追加または更新など、変更を受けた場合。
ファブリック DLP ポリシーによって項目にフラグが設定された場合の動作
DLP ポリシーで項目に関する問題が検出された場合:
ポリシーで "ユーザー通知" が有効になっている場合、アイテムは Fabric でマークされ、DLP ポリシーによってアイテムに関する問題が検出されたことを示すアイコンが表示されます。 アイコンの上にマウス ポインターを合わせると、サイド パネルに完全な詳細を表示するオプションを提供するホバー カードが表示されます。 サイド パネルに表示される内容の詳細については、「 Fabric での DLP 違反への対応」を参照してください。
セマンティック モデルの場合、詳細ページを開くと、ポリシー違反と検出された機密情報の種類を処理する方法について説明するポリシー ヒントが表示されます。 [ すべて表示 ] を選択すると、すべてのポリシーの詳細が表示されたサイド パネルが開きます。
注:
ポリシー ヒントを非表示にすると、削除されません。 次回、ページにアクセスすると表示されます。
レイクハウスの場合、表示は編集モードでヘッダーに表示され、フライアウトを開くと、レイクハウスに影響を与えるポリシーヒントの詳細を確認できます。 [ すべて表示 ] を選択すると、すべてのポリシーの詳細が表示されたサイド パネルが開きます。
ポリシーでアラートが有効になっている場合は、Microsoft Purview ポータルの [データ損失防止 アラート] ページにアラートが記録され、(構成されている場合)、管理者や指定されたユーザーに電子メールが送信されます。 詳細については、「 DLP ポリシー違反の監視と管理」を参照してください。
Power BI/Fabric の DLP ポリシーを構成する
「データ損失防止ポリシーの作成と展開」の手順に従い、カスタム テンプレートを使用します。
重要
Power BI/Fabric の DLP ポリシーの場所を選択する場合は、Power BI/Fabric の場所のみを選択します。 他の場所は選択しないでください。この構成はサポートされていません。