ガバナンスの概要とガイダンス
Microsoft Fabric のガバナンスとコンプライアンスには、顧客の信頼を得て維持し、データ ガバナンスとコンプライアンスの要件と規制を満たすために、組織の機密情報の検出可能性の管理、保護、監視、および改善に役立つ一連の機能が用意されています。 これらの機能の多くは Microsoft Fabric ライセンスにビルドインで付属しており、その他の機能には Microsoft Purview からの追加ライセンスが必要なものもあります。
この記事では、組織のデータ資産を管理するのに役立つメインの機能とコンポーネントについて高レベルで説明し、これらの機能とコンポーネントが提供する機能の利用に関するいくつかのガイダンスが含まれます。 また、各機能とコンポーネントに関するより詳細な情報へのリンクも記載しています。
*追加のライセンスが必要です
データ資産を管理する
このセクションでは、データ資産の管理に使用できるメイン機能の一部について説明します。
管理ポータル
Microsoft Fabric 管理ポータルは、組織の管理者が Fabric 資産全体を制御できるようにする一元化された場所です。 これには、Microsoft Fabric を管理する設定が含まれます。 たとえば、テナント設定を変更したり、容量、ドメインおよびワークスペースを管理したり、ユーザーが Microsoft Fabric とやり取りする方法を制御したりできます。 柔軟性を提供するには、管理とガバナンスの一部の側面を容量、ドメイン、ワークスペースに委任して、それぞれの管理者がスコープ内で管理できるようにします。
管理者ポータルの詳細については、「管理者ポータルとは?」を参照してください。
ガイダンス: プラットフォーム/IT オーナーは、管理者ポータルにアクセスできる必要があります。 組織のニーズに最も適した形でドメインを定義し、ドメインと容量の管理をそのオーナーに委任できます。
テナント、ドメイン、ワークスペースの設定
テナント、ドメイン、ワークスペースの各管理者は、その範囲で、特定の機能にアクセスできるユーザーを様々なレベルで制御できるように構成できる設定を持っています。 一部のテナント レベルの設定は、ドメインと容量の管理者に委任できます。
詳細については、「テナント設定について」、「ドメイン設定の構成」、および「ワークスペース設定」を参照してください。
ガイダンス: Fabric 管理者はテナント全体の設定を定義する必要があり、必要に応じてドメイン管理者に委任された設定のオーバーライドを委ねます。 個々のチーム (ワークスペースのオーナーら) は、より細分化したワークスペース レベルの管理策と設定を独自に定義することが期待されます。
ドメイン
ドメインとは、事業単位などの特定の領域や分野に関連する組織内のすべてのデータを論理的にグループ化する方法です。 ドメインの最も一般的な用途の 1 つは、部門別にデータをグループ化することです。これにより、部門がそこに固有の規制、制限、およびニーズに従ってデータを管理できるようになります。
データをドメインおよびサブドメインにグループ化することで、検出可能性とガバナンスが向上します。 たとえば、OneLake データ ハブでは、ユーザーはドメイン別にコンテンツをフィルター処理して、関連するコンテンツを見つけることができます。 ガバナンスに関しては、データの管理およびガバナンスのための一部のテナント レベルの設定をドメイン レベルに委任できるため、それらの設定のドメイン固有の構成が可能になります。
詳細については、「ドメイン」を参照してください。
ガイダンス: 事業計画立案者は組織のドメインのセットアップを設計する必要があります。一方、Fabric 管理者はドメインとサブドメインを作成し、ドメイン所有者を割り当てることで、この設計を実現する必要があります。 可能ならば、センター オブ エクセレンス (COE) チームがこのディスカッションの一環として、ドメインを組織の全体的な戦略に合わせる必要があります。
ワークスペース
組織のチームは、ワークスペースを使用して Fabric アイテムを作成し、互いに共同作業します。 ガバナンス要件とデータ境界に基づいて、チームまたは部門にこれらのワークスペースを割り当てることができます。 ワークスペースの割り当てを正確に行う方法は、内部チームの構造と、チームが Fabric アイテムをどのように処理するかによって異なります (たとえば、1 個または複数のワークスペースが必要かどうかなど)。
ガイダンス: 開発目的では、開発者ごとに隔離されたワークスペースを用意し、共有ワークスペースに干渉することなく独りで作業できるようにすることがベスト プラクティスです。 Fabric 管理者は、ワークスペースを作成するアクセス許可を持つユーザーを定義する必要があります。 ワークスペース管理者は、ユーザーが再利用できる Spark 環境を定義する必要があります。 ベスト プラクティスの詳細については、「Fabric のライフサイクル管理のベスト プラクティス」を参照してください。
Capacities
容量は、すべての Fabric ワークロードで使用されるコンピューティング リソースです。 組織の要件に基づいて、容量をコンピューティング、チャージバックなどの分離境界として使用できます。
ガイダンス: 環境の要件 (開発、テスト、承諾、運用 (DTAP) など) に基づいて容量を分割します。 これにより、ワークロードの分離とチャージバックの向上に役立ちます。
メタデータのスキャン
メタデータ スキャンは、カタログ化ツールが組織のすべての Fabric アイテムのメタデータをカタログ化してレポートできるようにすることで、組織の Microsoft Fabric データのガバナンスを促進します。 これを実現するには、"スキャナー API" と総称される一連の管理 REST API を使用します。 スキャナー API は、アイテム名、ID、機密度、保証状態などのメタデータを抽出します。
詳細については、「メタデータ スキャン」を参照してください。
安全、保護、コンプライアンス
データのセキュリティと準拠しているデータ プラットフォームがあることは、データが安全であり、侵害されないことを確実にするのに重要です。 ネットワーク セキュリティ、アクセス制御、暗号化の詳細については、「セキュリティの概要」を参照してください。
Fabric では、Microsoft Purview を活用して機密データを保護し、データのプライバシーに関する規制と要件に確実に準拠できるようにします。
プライバシー
あらゆるデータ保護戦略の最初のフェーズは、プライベート データが存在する場所を特定することです。 これは、ソースでデータを確実に保護するための最も困難だが重要な手順の 1 つと見なされています。 次のセクションでは、組織がこの課題に対応できるように Fabric が提供する機能について説明します。
データのセキュリティ
Fabric のデータが不正アクセスから保護され、データのプライバシー要件に準拠していることを確認するには、ビルトインの Fabric 機能と組み合わせてMicrosoft Purview 情報保護の秘密度ラベルを使用して、組織のデータに手動または自動でタグを付けることができます。 Purview 監査では、Fabric で実行されたアクティビティの監査証跡がキャプチャされます。 これには、Lakehouse アクセス、Power BI アクセス、Spark アクティビティ、データ ファクトリ アクティビティ、ログインなど、Fabric テナント内のユーザー アクティビティのキャプチャが含まれます。
Purview 情報保護
Fabric における情報保護は、Microsoft Purview 情報保護 の秘密度ラベルを使用して Fabric データを検出、分類、保護できるようにします。 Fabric には、デフォルトのラベル付け、ラベルの継承、プログラムによるラベル付けなど、複数の機能が提供されており、Fabric データ資産全体を最大限に秘密度ラベルでカバーできます。 ラベル付けされると、サポートされているエクスポート パスを介して Fabric からエクスポートされた場合でも、データは保護されたままになります。 コンプライアンス管理者は、Microsoft Purview 監査の秘密度ラベルでアクティビティを監視できます。
詳細については、「Microsoft Fabric の 情報保護」を参照してください。
ガイダンス: Microsoft Purview 情報保護の秘密度ラベルとそれに関連付けられているラベル ポリシーを、組織レベルで指定し、組織全体で有効にする必要があります。
Purview データ損失防止
Fabric の Purview DLP ポリシーは、機密情報が Fabric テナントの DLP でサポートされている項目の種類にアップロードされるときに自動的に検出され、組織が政府や業界の規制に準拠し続けるためにリスク修復アクションを実行するのに役立ちます。
コンプライアンス管理者とセキュリティ管理者は、DLP 検出ごとに監査ログを受け取ります。 監査ログを使用すると、ビジネスクリティカルなデータとそのテナント内の場所をさらに可視化できます。 DLP でサポートされているアイテムで機密情報が検出されるたびに自動的に生成されるアラートを設定できます。 また、ユーザーに対してカスタマイズされたメッセージを作成して、機密データの処理方法をユーザーに案内することもできます。 たとえば、管理者は、データ内で独自の情報が検出されるたびに Fabric データ所有者に送信されるメッセージを構成できます。この情報は内部であり、外部で共有してはならないことを説明します。
詳細については、「Microsoft Fabric のデータ損失防止ポリシー」を参照してください。
ワークスペース内の安全なアイテム
組織チームは、さまざまなペルソナが共同作業を行い、コンテンツの生成に取り組む個別のワークスペースを持つことができます。 ワークスペース内のアイテムへのアクセスは、ワークスペース管理者によってユーザーに割り当てられたワークスペース ロールによって規制されます。
ガイダンス: データ所有者は、ワークスペース管理者になる可能性のあるユーザーを推奨する必要があります。 たとえば、これらは組織内のチームのリードである場合があります。 これらのワークスペース管理者は、ユーザーとアイテムのコンシューマーに適切なワークスペース ロールを割り当てることで、ワークスペース内のアイテムへのアクセスを管理する必要があります。
Fabric アイテム内の安全なデータ
テナントレベルまたはワークスペース レベルで適用される広範なセキュリティに加えて、個々のチームが個々のテーブル、行、列へのアクセスを管理するためにデプロイできるその他のデータ レベルの制御もあります。 現在、Fabric では、SQL 分析エンドポイント、Fabric の Synapse Data Warehouse、Direct Lake、および KQL データベースに対して、このようなデータ レベルの制御が提供されています。
ガイダンス: 個々のチームは、アイテムとデータ レベルでこれらの追加のコントロールを適用する必要があります。
監査
Fabric データへの不正アクセスと使用のリスクを軽減するために、組織の Fabric 管理者とコンプライアンス チームは、Purview コンプライアンス ポータルで利用できる Purview 監査を使用して、Fabric アイテムのユーザー アクティビティを追跡および調査できます。 多くの会社では、規制要件に対してこれらの監査ログも必要です。多くの場合、フォレンジック調査や潜在的なデータ規制違反の監査ログの保存が義務付けられています。
ガイダンス: Fabric 管理者とコンプライアンス チームは、Fabric のアイテム レベルの監査が Purview 監査に記録され、分析に使用できることを認識する必要があります。
認定資格
Microsoft Fabric には、HIPPA BAA、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001、ISO/IEC 27701 のコンプライアンス認定があります。 詳細については、Fabric コンプライアンス認証に関するページを参照してください。
データ検出を促進し、信頼し、使用する
Fabric は、ユーザーが信頼性の高い高品質のデータを検索して使用するのに役立つビルトイン機能を備えています。
OneLake データ ハブ
OneLake データ ハブを使用すると、アクセス権のある組織内の Fabric データ項目を簡単にみつけて探索し、使用できます。 項目とそれらを操作するためのエントリ ポイントに関する情報が提供されます。 フィルター処理と検索オプションを使用すると、関連データを簡単に取得できます。
詳細については、「OneLake データ ハブのデータ項目の検出」を参照してください。
ガイダンス: ドメインを慎重に定義して設定することは、データ ハブで効率的な環境を作成するために不可欠です。 慎重に定義されたドメインは、チームのコンテキストを設定し、境界と所有権をより適切に定義するのに役立ちます。 ドメインへのワークスペースのマッピングは、Fabric でこれを実装する上で重要です。
推奨
保証により、信頼できる高品質のデータが見つけやすくなります。 組織は多くの場合、データ、プロセス、コンテンツなど、Fabric ユーザーが共有および再利用できる多数の Microsoft Fabric アイテムを所有しています。 保証は、ユーザーが必要な信頼できる高品質のアイテムを特定して見つけるのに役立ちます。 保証により、アイテム所有者は自分の高品質なアイテムを宣伝でき、組織は自社の品質基準を満たすアイテムを認定できます。 保証されたアイテムにはその後、Fabric と、ユーザーが Fabric アイテムを探す他の場所の両方において、明確にラベルが付けられます。 また、保証されたアイテムは一部の検索では優先され、一部のリストでは保証されたアイテムを探して並べ替えを行うことができます。 Microsoft Purview ハブでは、管理者は、ユーザーを高品質のコンテンツに導くために、組織の保証されたアイテムに関する分析情報を得ることができます。
詳細については、「保証」を参照してください。
ガイダンス: 認定の有効化は、ドメイン管理者に委任する必要があり、ドメイン管理者は、データ所有者とプロデューサーに作成したアイテムを認定できる権限を与える必要があります。 データ所有者とプロデューサーは、テスト済みで、他のチームが使用できる状態にあるアイテムを常に認定する必要があります。 これにより、低品質の非信頼アイテムを、信頼できるすぐに使用可能な資産から分離できます。 また、これらの信頼できる資産を検索しやすくなります。 さらに、データ コンシューマーは、信頼できる資産を見つける方法について教育を受け、レポートやその他のダウンストリーム処理で認定されたアイテムのみを使用するよう勧める必要があります。
タグ
タグは構成可能なテキスト ラベルであり、Fabric アイテムに適用して、アイテムの検出可能性と使用を強化できます。 ファブリック管理者は、データ所有者がアイテムの分類に使用できるタグのセットを定義できます。 タグが項目に適用されると、データ コンシューマーは、さまざまな Fabric エクスペリエンスにわたって適用されたタグを表示、検索、フィルター処理できます。
詳細については、「Microsoft Fabric のタグ」を参照してください。
データ系列と影響分析
現代のビジネス インテリジェンス プロジェクトでは、データ ソースから宛先へのデータのフローを理解することは複雑なタスクです。 "このデータを変更するとどうなりますか" または "このレポートが最新の状態ではないのはなぜですか" などの質問に答えるのは難しい場合があります。 そのような質問を理解するには、専門家のチームまたは詳細な調査が必要な場合があります。 系列は、ワークスペース内のすべてのアイテム間の関係を表示する視覚化を提供することで、ユーザーがデータのフローを理解するのに役立ちます。 系列ビューの各アイテムについて、そのアイテムに変更を加えた場合にどのダウンストリーム アイテムが影響を受けるかを示す影響分析を表示できます。
ガイダンス: アイテムには、適切で一貫性のある名前付け規則を使用することをお勧めします。 これは系列情報を調べている時に役立ちます。
組織全体のガバナンスのための Purview
Microsoft Purview には、組織のデータ資産全体でデータを保護および管理するためのソリューションが用意されています。 Purview と Fabric の統合により、Purview の機能の一部を使用して、組織のデータ資産全体において Fabric データを管理および監視できます。
Purview の ライブ ビュー (プレビュー) を介して Fabric で提供されるデータ ガバナンス機能については、次のセクションで説明します。 「Microsoft Purview を使用して Microsoft Fabric を管理する」もご覧ください。
データ キュレーション
組織のデータ キュレーションには、組織が使用するすべてのソースからメタデータ情報、系列情報、およびその他の情報を収集する必要があります。 これらは、いくつか挙げるとすれば、オンプレミス、サードパーティのクラウド、サードパーティの製品とサービス、または CRM システムなどです。 この抽出プロセスは、Purview でのスキャンともいわれています。 すべての情報は、組織のデータ資産をスキャンしてこの情報を収集する Purview のビルトイン スキャナーを使用して取得されます。 Purview では、これは Data Map によって実行されます。
Data Map
Purview には、種々の異なるソースからメタデータをスキャンしてフェッチし、Purview の Data Map を設定できるスキャン エンジンがあります。 Purview は、外部サービスまたは ISV で使用できるように、Atlas API を介してこのメタデータを公開します。 また、Data Map は Fabric と協力して、そのメタデータを内部的に設定することで、ビジネス ユーザーがこれらのデータ製品を検索、発見、使用して分析情報を構築できるようにします。 現在、データ コンシューマーは、視聴者のアクセス権を持つすべての Fabric ワークスペースを確認できます。 これは ライブ ビュー として知られています。 これに加え、手動スキャンは Purview からのすべての Fabric アイテムに対して実行できます。この場合、アイテムレベルのメタデータが選択され、Purview で使用できるようになります。 これは、企業レベルでのみ使用できます。 現在、アイテム レベルで系列を作成できます。
Purview のデータ検出
データを操作するデータ コンシューマーは、関連データを検索して見つけることができる必要があります。 Purview は、ドメインの概念を提供することで、ここで役立ちます。 ビジネスに適した用語とグループ化により、チームが使い慣れている用語に基づいて、チームが関心を持っているデータをより関連性が高く、簡単に検索できます。 これは、データ メッシュアーキテクチャのパターンともうまく組み合わさります。 データ カタログは、チームがデータを検索するのに役立つ Purview のアプリケーション レイヤーです。
ガイダンス: エンタープライズ およびビジネス アーキテクチャ チームは、役割と責任を明確にするために、ドメインを定義し、ビジネス プレーヤーと技術プレーヤーの間のペルソナ マッピングも定義する必要があります。 これらの定義は、Fabric の ドメイン定義と一致している必要があります。
Purview のデータ カタログ
Purview のデータ カタログは、データ プラットフォームにフィードされるすべてのソースからキャプチャされたメタデータを公開します。 データ カタログを使用すると、お客様は、データを保持しているシステムを分かっていなくても、作業に関わっているデータとアイテムを検索できます。 すべての Fabric アイテムのメタデータは Purview 内で使用できます。
監視して、明らかにし、分析情報を取得し、行動する
監視ハブ
Microsoft Fabric 監視ハブ を使用すると、中心地から Microsoft Fabric アクティビティを監視できます。 どの Fabric ユーザーでも監視ハブを使用できますが、監視ハブには、ユーザーが表示する権限を持つ Fabric アイテムについてのみアクティビティが表示されます。
詳しくは、「監視ハブの使用」をご覧ください。
ガイダンス: この機能は、スケジュールされたワークロード (データ フローやパイプラインの更新など)、Spark の実行、Data Warehouse クエリなどを監視するために、開発者やチーム メンバーに公開する必要があります。
容量メトリック
ガイダンス: プラットフォーム管理者ロールを持つプラットフォーム オーナーとユーザーは、この機能を認識し、それを使用して使用状況と消費量を監視する必要があります。 詳細については、「Microsoft Fabric Capacity Metrics アプリとは?」を参照してください。
Purview ハブ
Microsoft Purview ハブは、Fabric 管理者とデータ所有者が Fabric データ資産を管理するのに役立つ Fabric の一元的なページです。 管理者とデータ所有者に対して、ハブは特に秘密度のラベル付けと保証に関して、Fabric アイテムに関する分析情報を提供するレポートを提供します。 ハブは、情報保護、データ損失防止、監査など、より高度な Purview 機能へのゲートウェイとしても機能します。 詳細については、「Microsoft Purview ハブ」を参照してください。
ガイダンス: データ スチュワードと所有者は、Fabric の Purview ハブと、組織の機密および承認されたデータに関する分析情報を取得する観点で提供される内容を認識する必要があります。
管理者の監視
管理者の監視ワークスペースは、管理者に自分の組織向けの監視機能を備えています。 管理者は、管理者監視ワークスペースのリソースを使用して、監査や使用状況確認など、セキュリティとガバナンスのタスクを実行できます。 詳細については、「管理者の監視ワークスペースとは?」を参照してください。
ガイダンス: プラットフォーム オーナー/Fabric 管理者は、この機能を使用して Fabric プラットフォームの全体像を把握することをお勧めします。