Microsoft Fabric のセキュリティ
Microsoft Fabric は、ユーザーがデータを取得、作成、共有、視覚化できるサービスとしてのソフトウェア (SaaS) プラットフォームです。
SaaS サービスとして、Fabric はプラットフォーム全体に完全なセキュリティ パッケージを提供します。 Fabric により、セキュリティ ソリューションを管理するコストと責任がなくなります。セキュリティ ソリューションはクラウドに転送されます。 Fabric を使用すると、マイクロソフトの専門知識とリソースを使用して、データのセキュリティ保護、脆弱性の修正プログラムの適用、脅威の監視、規制への準拠を行うことができます。 Fabric では、ニーズや需要の変化に合わせて、セキュリティの設定の管理、制御、監査もできます。
データをクラウドに取り込み、Power BI、Data Factory、次世代 Synapse などのさまざまな分析環境で使用するときに、Microsoft は、組み込みのセキュリティと信頼性の機能によって、保存時および転送時のデータをセキュリティで保護します。 また、Microsoft は、インフラストラクチャの障害や災害が発生した場合でも、データを確実に復旧できるようにします。
Fabric のセキュリティの特徴は以下のとおりです。
常時接続 - Fabric との対話はすべて既定で暗号化され、Microsoft Entra ID を使用して認証されます。 Fabric エクスペリエンス間のすべてのコミュニケーションは、Microsoft バックボーン インターネット経由で行われます。 保存データは暗号化されて自動的に格納されます。 Fabric へのアクセスを規制するには、プライベート リンクや Entra 条件付きアクセスなどの追加のセキュリティ機能を追加します。 Fabric は、信頼されたアクセスを使用して、ファイアウォールまたはプライベート ネットワークによって保護されたデータに接続することもできます。
準拠 – Fabric には、複数地域に容量を備えたすぐに使用するデータ主権があります。 Fabric では、さまざまなコンプライアンス標準もサポートされています。
ガバナンス可能 - Fabric には、データ系列、情報保護ラベル、データ損失防止、purview 統合などの一連のガバナンス ツールが付属しています。
構成可能 - 組織方針に従って Fabric のセキュリティを構成できます。
進化し続ける - マイクロソフトは、新機能とコントロールを追加することで、Fabric のセキュリティを絶えず改善しています。
認証
Microsoft Fabric は、Azure、Microsoft Office、OneDrive、Dynamics などの他の多くの Microsoft サービスと同様に、SaaS プラットフォームです。 Fabric を含むこれらすべての Microsoft SaaS サービスでは、クラウドベースの ID プロバイダーとして Microsoft Entra ID を使用します。 Microsoft Entra ID は、ユーザーが任意のデバイスや任意のネットワークからすばやく簡単にこれらのサービスに接続するのに役立ちます。 Fabric への接続要求はすべて Microsoft Entra ID で認証されるため、ユーザーは会社のオフィス、自宅、またはリモートの場所から Fabric に安全に接続できます。
ネットワーク セキュリティについて理解する
Fabric は、Microsoft Cloud で実行される SaaS サービスです。 一部のシナリオでは、Fabric プラットフォームの外部にあるデータに接続する必要があります。 たとえば、独自のネットワークからのレポートを表示したり、別のサービスにあるデータに接続したりします。 Fabric 内のやりとりでは内部の Microsoft ネットワークが使用され、サービス外のトラフィックは既定で保護されます。 詳細な情報と説明については、「転送中のデータ」を参照してください。
受信ネットワーク セキュリティ
組織では、会社の要件に基づいて Fabric に入ってくるネットワーク トラフィックを制限し、セキュリティで保護したい場合があります。 Microsoft Entra ID の条件付きアクセスとプライベート リンクを使用すると、組織に適した受信ソリューションを選択できます。
Microsoft Entra ID の条件付きアクセス
Microsoft Entra ID は、Fabric に条件付きアクセスを提供し、Fabric に接続するたびにアクセスを保護することができます。 条件付きアクセスを使用して適用できるアクセス制限の例をいくつか次に示します。
Fabric への受信接続用の IP のリストを定義する。
多要素認証 (MFA) を使用する。
送信元の国やデバイスの種類などのパラメーターに基づいてトラフィックを制限する。
条件付きアクセスを構成するには、「Fabric での条件付きアクセス」を参照してください。
Fabric での認証の詳細については、「Microsoft Fabric セキュリティの基礎」を参照してください。
プライベート リンク
プライベート リンクを使用すると、Azure Virtual Network (VNet) から Fabric テナントへのアクセスを制限し、すべてのパブリック アクセスをブロックすることで、Fabric へのセキュリティ保護接続が可能になります。 これにより、その VNet からのネットワーク トラフィックのみが、テナント内の Notebooks、Lakehouses、Data Warehouse などの Fabric 機能にアクセスできるようになります。
Fabric でプライベート リンクを構成するには、「プライベート リンクを設定して使用する」を参照してください。
アウトバウンド ネットワークのセキュリティ
Fabric には、外部データ ソースに接続し、そのデータを安全な方法で Fabric に取り込むための一連のツールがあります。 このセクションでは、セキュリティで保護されたネットワークから Fabric にデータをインポートして接続するさまざまな方法を示します。
信頼されたワークスペース アクセス
Fabric では、ファイアウォールが有効な Azure Data Lake Gen 2 アカウントに安全にアクセスできます。 ワークスペース ID を持つ Fabric ワークスペースは、選択した Virtual Network と IP アドレスから、公衆ネットワーク アクセスが有効になっている Azure Data Lake Gen 2 アカウントに安全にアクセスできます。 ADLS Gen 2 のアクセスを特定の Fabric ワークスペースに制限できます。 詳細については、「信頼されたワークスペース アクセス」を参照してください。
Note
Fabric ワークスペース ID は、Fabric F SKU 容量に関連付けられたワークスペースでのみ作成できます。 Fabric サブスクリプションの購入の詳細については、「Microsoft Fabric サブスクリプションの購入」を参照してください。
マネージド プライベート エンドポイント
マネージド プライベート エンドポイントを使用すると、Azure SQLデータベースなどのデータソースを公衆ネットワークに公開したり、複雑なネットワーク設定を必要とすることなく、安全に接続することができます。
マネージド Virtual Network
マネージド Virtual Networkは、Microsoft Fabric によって Fabric ワークスペースごとに作成および管理される仮想ネットワークです。 マネージド Virtual Network は、Fabric Spark ワークロードのネットワークの分離を提供します。つまり、コンピューティング クラスターは専用ネットワークに配置され、共有仮想ネットワークの一部ではなくなります。
また、マネージド Virtual Networkでは、マネージド プライベート エンドポイントなどのネットワーク セキュリティ機能や、Apache Spark を使用する Microsoft Fabric の Data Engineering や Data Science のアイテムに対するプライベート リンクのサポートも有効になります。
データ ゲートウェイ
オンプレミスのデータソースまたは、ファイアウォールまたは Virtual Network によって保護されている可能性があるデータ ソースに接続するには、次のいずれかのオプションを使用できます。
オンプレミス データ ゲートウェイ - ゲートウェイは、オンプレミスのデータ ソースと Fabric の間のブリッジとして機能します。 ゲートウェイはネットワーク内のサーバーにインストールされ、Fabric はポートを開いたり、ネットワークに変更を加えたりすることなく、安全なチャネルを通してデータ ソースに接続できます。
Virtual Network (VNet) データ ゲートウェイ - VNet Gateway を使用すると、オンプレミス データ ゲートウェイを必要とせずに、Microsoft クラウド サービスから VNet 内の Azure データ サービスに接続できます。
既存のサービスから OneLake に接続する
既存の Azure PaaS (サービスとしてのプラットフォーム) サービスを使用して Fabric に接続できます。 Synapse と Azure Data Factory (ADF) の場合は、Azure Integration Runtime (IR) または Azure Data Factory マネージド仮想ネットワークを使用できます。 OneLake API を使用して、これらのサービスやその他のサービス (マッピング データ フロー、Synapse Spark クラスター、Databricks Spark クラスター、Azure HDInsight など) に接続することもできます。
Azure サービス タグ
Azure 仮想ネットワークに配置されたデータ ソース (Azure SQL Virtual Machines (VM)、Azure SQL Managed Instance (MI)、REST API など) からデータ ゲートウェイを使用せずにデータを取り込むには、サービス タグを使用します。 サービス タグを使用して、仮想ネットワークまたは Azure ファイアウォールからトラフィックを取得することもできます。 たとえば、サービス タグでは Fabric への送信トラフィックを許可できるため、VM 上のユーザーは SSMS から Fabric SQL 接続文字列に接続できますが、他のパブリック インターネット リソースへのアクセスはブロックされます。
IP 許可リスト
Azure に存在しないデータがある場合は、組織のネットワークで IP 許可リストを有効にして、Fabric との間のトラフィックを許可できます。 IP 許可リストは、オンプレミスのデータ ソースなど、サービス タグをサポートしていないデータ ソースからデータを取得する必要がある場合に便利です。 これらのショートカットを使用すると、Lakehouse SQL 分析エンドポイントまたは Direct Lake を使用して OneLake にデータをコピーせずにデータを取得できます。
「オンプレミスのサービス タグ」から Fabric IP のリストを取得できます。 このリストは JSON ファイルとして、または REST API、PowerShell、Azure コマンド ライン インターフェイス (CLI) を使用してプログラムで使用できます。
データをセキュリティで保護する
Fabric では、OneLake に保存されているすべてのデータが保存時に暗号化されます。 すべての保存データは、ホーム リージョン、または選択したリモート リージョンのいずれかの容量に保存されるため、保存データの主権規制を遵守できます。 詳細については、「Microsoft Fabric セキュリティの基礎」を参照してください。
複数の地域のテナントを理解する
多くの組織はグローバル プレゼンスを持ち、複数の Azure 地域でサービスを必要とします。 たとえば、企業は米国に本社を置きながら、オーストラリアなどの他の地理的な地域でビジネスを行うことができます。 現地の規制に準拠するには、グローバルプレゼンスを持つ企業は、データが複数のリージョンに保存されていることを確認する必要があります。 Fabric では、これは複数地域と呼ばれます。
複数地域ワークスペースに割り当てられたクエリ実行レイヤー、クエリ キャッシュ、アイテム データは、それらが作成された Azure 地域に残ります。 ただし、メタデータの一部と処理は、テナントのホームの地域に保存されます。
Fabric は、より大規模な Microsoft エコシステムの一部です。 組織で Azure、Microsoft 365、Dynamics 365 などの他のクラウド サブスクリプション サービスを既に使用している場合、Fabric は同じ Microsoft Entra テナント内で動作します。 組織のドメイン (contoso.com など) が Microsoft Entra ID に関連付けられています。 すべての Microsoft クラウド サービスと同様です。
Fabric を使用すると、複数の地域で複数の容量を持つ複数のテナントを使用する場合に、リージョン間でデータがセキュリティ保護されます。
データの論理的な分離 - Fabric プラットフォームは、データを保護するためにテナント間で論理的な分離を提供します。
データ主権 - 複数地域の使用を開始するには、「Fabric の Multi-Geo サポートを構成する」を参照してください。
データにアクセスする
Fabric では、ワークスペースを使用してデータ アクセスを制御します。 ワークスペースでは、データは Fabric アイテムの形式で表示され、ワークスペースへのアクセス権を付与しない限り、ユーザーはアイテム (データ) を表示または使用できません。 ワークスペースとアイテムの権限の詳細については、 権限モデルを参照してください。
ワークスペースのロール
ワークスペース アクセスは、次の表に一覧表示されます。 これには、ワークスペース ロールと Fabric と OneLake のセキュリティが含まれます。 ビューアー ロールを持つユーザーは、SQL、Data Analysis Expressions (DAX) または多次元式 (MDX) クエリを実行できますが、Fabric アイテムにアクセスしたり、ノートブックを実行したりすることはできません
ロール | ワークスペース アクセス | OneLake アクセス |
---|---|---|
管理者、メンバー、共同作成者 | ワークスペース内のすべての項目を使用できます | ✅ |
[ビューアー] | ワークスペース内のすべての項目を表示できます | ❌ |
品目を共有する
ワークスペース ロールを持たない組織内のユーザーと Fabric アイテムを共有できます。 アイテムを共有すると、アクセスが制限され、ユーザーはワークスペース内の共有アイテムにのみアクセスできます。
アクセスを制限する
行レベルのセキュリティ (RLS)、列レベルのセキュリティ (CLS)、オブジェクト レベル セキュリティ (OLS) を使用して、データへのビューアーのアクセス権を制限できます。 RLS、CLS、OLS を使用すると、データの特定の部分にアクセスできるユーザー ID を作成し、ユーザーの ID がアクセスできる内容のみを返す SQL 結果を制限できます。
DirectLake データセットに RLS を追加することもできます。 SQL と DAX の両方のセキュリティを定義した場合、DirectLake は SQL で RLS を持つテーブルの DirectQuery にフォールバックします。 このような場合、DAX または MDX の結果はユーザーの ID に制限されます。
DirectQuery へのフォールバックなしで RLS で DirectLake データセットを使用してレポートを公開するには、直接データセット共有または Power BI のアプリを使用します。 Power BI のアプリを使用すると、ビューアー アクセス許可なしでレポートにアクセスできます。 この種類のアクセス許可では、ユーザーは SQL を使用できません。 DirectLake がデータを読み取れるようにするには、シングル サインオン (SSO) からレイク内のファイルにアクセスできる固定 ID にデータ ソースの資格情報を切り替える必要があります。
データの保護
Fabric では Microsoft Purview 情報保護の秘密度ラベルがサポートしています。 これらは、Word、PowerPoint、Excel などの Microsoft Office アプリ で機密情報を保護するために広く使用されている、一般、社外秘、極秘 などのラベルです。 Fabric では、これらの同じ秘密度ラベルを使用して、機密データを含むアイテムを分類できます。 その後、秘密度ラベルはデータ ソースからビジネス ユーザーまで、Fabric を通過するデータをアイテム毎に自動的に追跡します。 秘密度ラベルは、PBIX、Excel、PowerPoint、PDF などのサポートされている形式にデータがエクスポートされる場合でも追跡するため、データの保護が維持されます。 許可されているユーザーのみがファイルを開くことができます。 詳細については、「Microsoft Fabric でのガバナンスとコンプライアンス」を参照してください。
データのガバナンス、保護、管理には、Microsoft Purview を使用できます。 Microsoft Purview と Fabric は連携して、単一の場所である Microsoft Purview ハブからのデータの保存、分析、ガバナンスを可能にします。
データの回復
Fabric データの回復性により、障害が発生した場合にもデータを使用できます。 Fabric を使用すると、ディザスター リカバリー時にデータを復旧することもできます。 詳細については「Microsoft Fabric の信頼性」を参照してください。
Fabric を管理する
Fabric の管理者は、組織全体の機能を制御できます。 Fabric を使用すると、容量、ワークスペース、ドメインに対する管理者の役割の委任が可能になります。 管理者の責任を適切な対象者に委任することで、数人の主要な管理者が組織全体の全般的な Fabric 設定を制御し、他の管理者が特定の領域に関連する設定を担当するモデルを実装できます。
管理者は、さまざまなツールを使用して、容量消費などの主要な Fabric の側面を監視することもできます。
監査ログ
監査ログを表示するには、「Microsoft Fabric でユーザー アクティビティを追跡する」の手順に従います。 また、「操作の一覧」を参照して、監査ログで検索できるアクティビティを確認することもできます。
機能
Microsoft Fabric で使用できるセキュリティ機能の一部のリストについては、このセクションを参照してください。
機能 | 説明 |
---|---|
条件付きアクセス | Microsoft Entra ID を使用し、アプリをセキュリティで保護する |
ロックボックス | マイクロソフト エンジニアによるデータ アクセスを制御する |
Fabric と OneLake のセキュリティ | Fabric および OneLake でデータを保護する方法について説明します。 |
回復性 | Azure Availability Zones による信頼性とリージョンの回復性 |
サービス タグ | Azure SQL Managed Instance (MI) を有効にして、Microsoft Fabric からの着信接続を許可する |