Microsoft Fabric のセキュリティの基礎
この記事では、システム内の メイン セキュリティ フローのしくみを説明することで、Microsoft Fabric のセキュリティ アーキテクチャの全体像を示します。 また、ユーザーが Fabric で認証する方法、データ接続を確立する方法、および Fabric がサービスを介してデータを保存および移動する方法についても説明します。
この記事は主に、組織内の Fabric の監督を担当する Fabric 管理者を対象としています。 これには、セキュリティ管理者、ネットワーク管理者、Azure 管理者、ワークスペース管理者、データベース管理者などの企業のセキュリティ関係者が含まれます。
Fabric プラットフォーム
Microsoft Fabric は、データ移動からデータ サイエンス、リアルタイム分析、ビジネス インテリジェンス(BI)までのすべてをカバーする企業向けのオールインワン分析ソリューションです。 Fabric プラットフォームは、すべての Fabric エクスペリエンスの共通機能をサポートする一連のサービスとインフラストラクチャ コンポーネントで構成されます。 これらは集合的に、シームレスに連携するように設計された包括的な分析エクスペリエンスを提供します。 エクスペリエンスには、レイクハウス、Data Factory、Synapse Data Engineering、Synapse Data Warehouse、Power BI などがあります。
Fabric を使用すると、複数のベンダーの異なるサービスをまとめる必要はありません。 代わりに、分析のニーズを簡素化するように設計された、高度に統合された、エンドツーエンドで使いやすい製品をお楽しみいただけます。 ファブリックは、機密性の高い資産を保護するために最初から設計されました。
Fabric プラットフォームは、信頼性、シンプルさ、スケーラビリティを提供するサービスとしてのソフトウェア (SaaS) の基盤上に構築されています。 これは、Microsoft のパブリック クラウド コンピューティング プラットフォームである Azure 上に構築されています。 従来、多くのデータ製品はサービスとしてのプラットフォーム (PaaS) であり、サービスの管理者は各サービスのセキュリティ、コンプライアンス、ガバナンスを設定する必要があります。 Fabric は SaaS サービスであるため、これらの機能の多くは SaaS プラットフォームに組み込まれており、セットアップや最小限のセットアップは必要ありません。
アーキテクチャ図
次のアーキテクチャ図は、Fabric セキュリティ アーキテクチャの概要を示しています。
アーキテクチャ図は、次の概念を示しています。
ユーザーは、ブラウザーまたは Power BI Desktop などのクライアント アプリケーションを使用して、Fabric サービスに接続します。
認証は、ユーザーまたはサービス プリンシパルを認証し、Fabric へのアクセスを管理するクラウドベースの ID およびアクセス管理サービスである Microsoft Entra ID (旧称 Azure Active Directory) によって処理されます。
Web フロントエンドはユーザー要求を受け取り、ログインを容易にします。 また、要求をルーティングし、フロントエンド コンテンツをユーザーに提供します。
メタデータ プラットフォームには、顧客データを含めることができるテナント メタデータが保存されます。 Fabric サービスは、承認情報を取得し、ユーザー要求を承認および検証するために、このプラットフォームをオンデマンドで照会します。 テナント のホーム リージョンにあります。
バックエンド容量プラットフォームは、コンピューティング操作と顧客データの保存を担当し、容量リージョンに配置されます。 特定の Fabric エクスペリエンスに必要に応じて、そのリージョンの Azure コア サービスを活用します。
ファブリック プラットフォーム インフラストラクチャ サービスはマルチテナントです。 テナント間には論理的な分離があります。 これらのサービスは複雑なユーザー入力を処理せず、すべてマネージド コードで記述されます。 プラットフォーム サービスでは、ユーザーが記述したコードは実行されません。
メタデータ プラットフォームとバックエンド容量プラットフォームはそれぞれ、セキュリティで保護された仮想ネットワークで実行されます。 これらのネットワークは、顧客やその他のサービスからの要求を受信できるように、一連のセキュリティで保護されたエンドポイントをインターネットに公開します。 これらのエンドポイントとは別に、サービスは、パブリック インターネットからのアクセスをブロックするネットワーク セキュリティ規則によって保護されます。 仮想ネットワーク内の通信も、各内部サービスの特権に基づいて制限されます。
アプリケーションレイヤーにより、テナントは自分のテナント内からのみデータにアクセスできるようになります。
認証
Fabric は、Microsoft Entra ID を使用してユーザー (またはサービス プリンシパル) を認証します。 認証されると、ユーザーは Microsoft Entra ID からアクセス トークンを受け取ります。 Fabric はこれらのトークンを使用して、ユーザーのコンテキストで操作を実行します。
条件付きアクセスは、Microsoft Entra ID の主要な機能です。 条件付きアクセスを使用すると、多要素認証を適用してテナントがセキュリティで保護され、Microsoft Intune に登録されているデバイスのみが特定のサービスにアクセスできるようになります。 条件付きアクセスでは、ユーザーの場所と IP 範囲も制限されます。
承認
すべての Fabric のアクセス許可は、メタデータ プラットフォームによって一元的に保存されます。 Fabric サービスは、承認情報を取得し、ユーザー要求を承認および検証するために、必要に応じてメタデータ プラットフォームにクエリを実行します。
パフォーマンス上の理由から、Fabric は承認情報を署名済みトークンにカプセル化することがあります。 署名されたトークンはバックエンド容量プラットフォームによってのみ発行され、アクセス トークン、承認情報、およびその他のメタデータが含まれます。
データの保存場所
Fabric では、テナントはホーム メタデータ プラットフォーム クラスターに割り当てられます。これは、そのリージョンの地域のデータ所在地要件を満たす単一のリージョンに配置されます。 顧客データを含めることができるテナント メタデータは、このクラスターに保存されます。
お客様は、ワークスペースの場所を制御できます。 メタデータ プラットフォーム クラスターと同じ地域でワークスペースを見つけることを選択できます。ワークスペースをそのリージョンの容量に明示的に割り当てるか、Fabric Trial、Power BI Pro、または Power BI プレミアム Per User ライセンス モードを使用して暗黙的に割り当てることができます。 後者の場合、すべての顧客データは、この単一の地域に保存され、処理されます。 詳細については、「Microsoft Fabric の概念とライセンス」を参照してください。
また、お客様は、自宅の地域以外の地域 (geo) に配置された複数地域の容量を作成することもできます。 この場合、コンピューティングとストレージ (OneLake とエクスペリエンス固有のストレージを含む) は複数地域リージョンに配置されますが、テナント メタデータはホーム リージョンに再メインされます。 顧客データは、これら 2 つの地域にのみ保存および処理されます。 詳細については、「Fabric の Multi-Geo サポートを構成する」を参照してください。
データの処理
このセクションでは、Fabric でのデータ処理のしくみの概要について説明します。 ストレージ、処理、顧客データの移動について説明します。
保存データ
すべてのファブリック データ ストアは、Microsoft が管理するキーを使用して保存時に暗号化されます。 ファブリック データには、顧客データだけでなく、システム データとメタデータも含まれます。
データは暗号化されていない状態でメモリ内で処理できますが、暗号化されていない状態の間は永続的なストレージに保持されることはありません。
転送中のデータ
Microsoft サービス間で転送中のデータは、常に TLS 1.2 以上で暗号化されます。 ファブリックは可能な限り TLS 1.3 にネゴシエートします。 Microsoft サービス間のトラフィックは、常に Microsoft グローバル ネットワーク経由でルーティングされます。
受信ファブリック通信では、TLS 1.2 も適用され、可能な限り TLS 1.3 にネゴシエートされます。 お客様が所有するインフラストラクチャへの送信Fabric通信では、セキュリティで保護されたプロトコルが優先されますが、新しいプロトコルがサポートされていない場合は、古い安全でないプロトコル (TLS 1.0 を含む) にフォールバックする可能性があります。
テレメトリ
テレメトリは、Fabric プラットフォームのパフォーマンスと信頼性をメインするために使用されます。 Fabric プラットフォーム テレメトリ ストアは、欧州連合 (EU) を含め、Fabric が利用可能なすべてのリージョンのお客様のデータとプライバシーに関する規制に準拠するように設計されています。 詳細については、「EU Data Boundary Services」を参照してください。
OneLake
OneLake は、組織全体の単一の統合された論理データ レイクであり、すべての Fabric テナントに対して自動的にプロビジョニングされます。 これは Azure 上に構築されており、構造化または非構造化の任意の種類のファイルを保存できます。 また、データ ウェアハウスやレイクハウスなどのすべての Fabric アイテムは、データを OneLake に自動的に保存します。
OneLake は、同じ Azure Data Lake Storage Gen2 (ADLS Gen2) APIsと SDK をサポートしているため、Azure Databricks を含む既存の ADLS Gen2 アプリケーションと互換性があります。
詳細については、「Fabric と OneLake のセキュリティ」をご覧ください。
ワークスペースのセキュリティ
ワークスペースは、 OneLake に保存されているデータのプライマリ セキュリティ境界を表します。 各ワークスペースは、チームがデータの共同作業を行うことができる単一のドメインまたはプロジェクト領域を表します。 ユーザーをワークスペース ロールに割り当てることで、ワークスペースのセキュリティを管理します。
詳細については、「Fabric と OneLake のセキュリティ (ワークスペース のセキュリティ)」を参照してください。
アイテムのセキュリティ
ワークスペース内では、倉庫やレイクハウスなどの Fabric アイテムにアクセス許可を直接割り当てることができます。 アイテム セキュリティを使用すると、ワークスペース全体へのアクセスを許可することなく、個々の Fabric アイテムへのアクセス権を柔軟に付与できます。 ユーザーは、アイテムを共有するか 、アイテムのアクセス許可を管理することによって、アイテムごとのアクセス許可を設定できます。
コンプライアンス リソース
Fabric サービスは、Microsoft Online Services の規約および Microsoft Enterprise のプライバシーに関する声明によって管理されます。
データ処理の場所については、Microsoft オンライン サービス規約のデータ処理の場所に関する条項およびデータ保護補遺を参照してください。
コンプライアンスについては、Microsoft トラスト センターが Fabric に関する主要なリソースです。 コンプライアンスの詳細については、Microsoft コンプライアンス オファリングを参照してください。
Fabric サービスは、セキュリティ開発ライフサイクル (SDL) に従います。SDL は、セキュリティ保証とコンプライアンス要件をサポートする一連の厳格なセキュリティ プラクティスで構成されます。 SDL は、開発者がソフトウェアの脆弱性の数と重大度を低減しながら、開発コストを削減することで、より安全なソフトウェアを構築するために役立ちます。 詳細については、「 Microsoft セキュリティ開発ライフサイクル プラクティス」を参照してください。
関連するコンテンツ
Fabric セキュリティの詳細については、次のリソースを参照してください。
- Microsoft Fabric のセキュリティ
- Microsoft Fabric のエンド ツー エンドのセキュリティ シナリオ
- OneLake のセキュリティの概要
- Microsoft Fabric の概念とライセンス
- 疑問がある場合 Microsoft Fabric コミュニティで質問してみてください。
- Power BI チームへのご提案は、 Microsoft Fabric を改善するためのアイデアをお寄せください。