Fabric のデータ損失防止ポリシー

この記事では、Fabric の Microsoft Purview データ損失防止 (DLP) ポリシーについて説明します。 対象ユーザーは、Fabric 管理者、セキュリティ チームとコンプライアンス チーム、および Fabric データ所有者です。

概要

組織が機密データを検出して保護できるように、Fabric では Microsoft Purview データ損失防止 (DLP) ポリシーがサポートされています。 機密情報を含むサポート対象項目の種類が Fabric の DLP ポリシーによって検出されると、機密コンテンツの性質について説明するポリシー ヒントを項目に添付することができます。また、管理者が監視および管理できるように、Microsoft Purview コンプライアンス ポータルのデータ損失防止の [アラート] ページにアラートを登録できます。 さらに、電子メール アラートを管理者および指定されたユーザーに送信することもできます。

この記事では、Fabric の DLP のしくみを説明し、考慮事項と制限事項、ライセンスとアクセス許可の要件をリストします。また、DLP CPU 使用率の測定方法についても説明します。 詳細については、以下を参照してください:

• Fabric の DLP ポリシーを構成する。Fabric の DLP ポリシーを構成する方法を確認できます。
• Fabric の DLP ポリシー違反に対応する。レイクハウスまたはセマンティック モデルの DLP ポリシー違反がポリシー ヒントによって通知されたときの対応方法を確認できます。
• Fabric で DLP ポリシー違反を監視する。Microsoft Purview ポータルにサインインして DLP 違反アラートの詳細を表示する方法を確認できます。

考慮事項と制限事項

• Fabric の DLP ポリシーは、Microsoft Purview コンプライアンス ポータルで定義されます。

• DLP ポリシーはワークスペースに適用されます。 Fabric または Premium の容量でホストされているワークスペースのみがサポートされます。 詳細については、「Microsoft Fabric の概念とライセンス」を参照してください。

• DLP 評価のワークロードは容量に影響します。 現在、Fabric の DLP は追加コストなしで利用できますが、これは変更される可能性があります。 このドキュメントと Fabric のブログで更新プログラムを確認してください。

• Fabric DLP ポリシーでは DLP ポリシー テンプレートはまだサポートされていません。 Fabric の DLP ポリシーを作成する場合は、[カスタム ポリシー] オプションを選択します。

• Fabric DLP ポリシー ルールは現在、条件として秘密度ラベルと機密情報の種類をサポートしています。

• Fabric の DLP ポリシーは、サンプル セマンティック モデル、ストリーミング データセット、または DirectQuery あるいはライブ接続経由でデータ ソースに接続するセマンティック モデルではサポートされていません。 これには、データの一部をインポート モードで取得し、一部を DirectQuery で取得する、混合ストレージを用いるセマンティック モデルが含まれます。

• Fabric の DLP ポリシーは、デルタ形式で格納されている Lakehouse Tables/ フォルダー内のデータにのみ適用されます。

• Fabric の DLP ポリシーは、timestamp_ntz を除くすべてのプリミティブ デルタ型をサポートしています。

• Fabric の DLP ポリシーは、次の Delta Parquet データ型ではサポートされていません。

  • バイナリ、timestamp_ntz、構造体、配列、リスト、マップ、Json、列挙型、サイクル間隔、無効。
  • LZ4、Zstd、Gzip 圧縮コーデックを使用したデータ。

• 完全データ一致 (EDM) 分類子とトレーニング可能な分類子は、Fabric の DLP ではサポートされていません。 ポリシーの条件で EDM またはトレーニング可能な分類子を選択した場合、EDM またはトレーニング可能な分類子を満たすデータがセマンティック モデルまたはレイクハウスに実際に含まれている場合でも、ポリシーによって結果が生成されることはありません。 ポリシーで指定された他の分類器がある場合、結果があればそれが返されます。

• Fabric の DLP ポリシーは、中国北部リージョンではサポートされていません。 組織の既定のリージョンを探す方法については、「組織の既定のリージョンを確認する方法」を参照してください。

• Azure 容量は、次のクラスターの Fabric の DLP ではサポートされていません。

  • WUS3
  • WUS2
  • SCUS

• DLP への新しいテナントのオンボードには、サポートされているオンボード対象のワークスペースの数にもよりますが、数時間かかることがあります。

ライセンスとアクセス許可

SKU およびサブスクリプションのライセンス

Fabric の DLP を使い始める前に、Microsoft 365 サブスクリプションを確認する必要があります。 DLP ルールを設定する管理者アカウントには、次のいずれかのライセンスが割り当てられている必要があります。

• Microsoft 365 E5
• Microsoft 365 E5 Compliance
• Microsoft 365 E5 Information Protection & Governance
• Purview の容量

アクセス許可

Fabric の DLP のデータは、アクティビティ エクスプローラーで表示できます。 アクティビティ エクスプローラーへのアクセス許可を付与するロールは 4 つあります。データ アクセスに使用するアカウントは、そのいずれかのメンバーである必要があります。

アクティビティ エクスプローラーを表示するには、データ アクセスに使用するアカウントが、次のいずれかのロール以上のメンバーである必要があります。

• コンプライアンス管理者
• セキュリティ管理者
• コンプライアンス データ管理者

サポートされていない項目の種類

Fabric の DLP ポリシーでは現在、次の項目の種類がサポートされています。

• セマンティック モデル
• Lakehouse

例外については、「考慮事項と制限事項」を参照してください。

Fabric の DLP ポリシーのしくみ

DLP ポリシーは、Microsoft Purview ポータルのデータ損失防止セクションで定義します。 ポリシーでは、検出する秘密度ラベルや機密情報の種類を指定します。 また、指定した種類の機密データを含むセマンティック モデルまたはレイクハウスが、ポリシーによって検出されたときに発生するアクションも指定します。 Fabric の DLP ポリシーでは、次の 2 つのアクションがサポートされます。

• ポリシー ヒントを使用したユーザー通知。

• アラート。 アラートは、管理者およびユーザーに電子メールで送信できます。 また、管理者は、コンプライアンス ポータルの [アラート] タブでアラートを監視および管理できます。

• アクセスを制限します。 アクセス制限アクションで構成されたポリシーにセマンティック モデルが違反した場合、セマンティック モデルへのアクセスは、そのポリシーがどのように構成されているかに応じて、データ所有者または組織のメンバーのいずれかに制限されます。 それ以外のユーザーは、セマンティック モデルにアクセスできなくなります。

  Note

  現在、アクセスの制限はセマンティック モデルにのみ適用されます。 アクセス制限アクションを含むポリシーの違反がレイクハウスで検出された場合、そのポリシーはトリガーされますが、レイクハウスへのアクセスはブロックされません。 正確には、その違反は、ポリシー ヒントとアラートを使用して、通常の違反と同様に扱われます。

DLP ポリシーで評価されたセマンティック モデルまたはレイクハウスが、DLP ポリシーで指定された条件と一致すると、そのポリシーで指定されたアクションが発生します。 DLP ポリシーは、次のアクションによって開始されます。

セマンティック モデル:

セマンティック モデルは、次のいずれかのイベントが発生するたびに DLP ポリシーに照らして評価されます。

• 公開
• 再発行
• オンデマンドの更新
• スケジュールされている更新

Note

次のいずれかに該当する場合、セマンティック モデルの DLP 評価は行われません。

• イベント (公開、再公開、オンデマンド更新、スケジュールされた更新) のイニシエーターは、サービス プリンシパル認証を使うアカウントです。
• セマンティック モデルの所有者がサービス プリンシパルの場合。

レイクハウス:

レイクハウスが DLP ポリシーに対して評価されるのは、新しいデータの取得、新しいソースの接続、既存のテーブルの追加や更新など、レイクハウス内のデータが変更されたときです。

Fabric DLP ポリシーによって項目にフラグが設定された場合の処理内容

DLP ポリシーで項目の問題が検出された場合:

• ポリシーで "ユーザー通知" が有効になっている場合、項目は Fabric でマークされ、DLP ポリシーによって項目の問題が検出されたことを示すアイコンが付きます。 アイコンにマウス ポインターを置くと、オプションを示すホバー カードが表示され、サイド パネルで詳細を確認できます。 サイド パネルに表示される内容の詳細については、Fabric の DLP 違反への対応に関する記事を参照してください。

  

  セマンティック モデルの場合、詳細ページを開くと、ポリシー ヒントが表示され、ここでポリシー違反と、検出された機密情報の種類の処理方法を確認できます。 [すべて表示] を選択すると、サイド パネルが開き、ポリシーの詳細をすべて確認できます。

  

  Note

  ポリシー ヒントを非表示にしても、削除されることはありません。 次にページにアクセスしたときに表示されます。

  レイクハウスの場合、これは編集モードのヘッダーに表示され、ポップアップを開くと、レイクハウスに影響するポリシー ヒントの詳細を確認できます。 [すべて表示] を選択すると、サイド パネルが開き、ポリシーの詳細をすべて確認できます。

  

• ポリシーでアラートが有効になっている場合、Microsoft Purview ポータルのデータ損失防止の [アラート] ページにアラートが記録され、(構成されている場合) 管理者や指定されたユーザーにメールが送信されます。 詳細については、DLP ポリシー違反の監視と管理に関するページを参照してください。

関連するコンテンツ

• Fabric の DLP ポリシーを構成する。
• Fabric で DLP ポリシー違反に対応する。
• DLP ポリシー違反を監視および管理する
• データ損失防止に関する詳細情報