次の方法で共有


Fabric のデータ損失防止ポリシー

この記事では、Fabric のMicrosoft Purview データ損失防止 (DLP) ポリシーについて説明します。 対象ユーザーは、Fabric 管理者、セキュリティおよびコンプライアンス チーム、および Fabric データ所有者です。

概要

組織が機密データを検出して保護できるように、Fabric ではMicrosoft Purview データ損失防止 (DLP) ポリシーがサポートされています。 機密情報を含むサポートされているアイテムの種類が Fabric の DLP ポリシーによって検出されると、機密コンテンツの性質を説明するアイテムにポリシー ヒントを添付できます。また、管理者による監視と管理のために、Microsoft Purview コンプライアンス ポータルのデータ損失防止アラート ページにアラートを登録できます。 さらに、電子メール アラートを管理者および指定されたユーザーに送信することもできます。

この記事では、ファブリックでの DLP のしくみ、考慮事項と制限事項、ライセンスとアクセス許可の要件を示し、DLP CPU 使用率の測定方法について説明します。 詳細については、以下を参照してください:

  • Fabric の DLP ポリシーを構成して、Fabric の DLP ポリシーを構成する方法を確認します。
  • Fabric の DLP ポリシー違反に対応して、Lakehouse またはセマンティック モデルに DLP ポリシー違反があるとポリシー ヒントから通知されたときに応答する方法を確認します。
  • Fabric で DLP ポリシー違反を監視し、Microsoft Purview ポータルにサインインして DLP 違反アラートの詳細を表示する方法を確認します。

考慮事項と制限事項

  • Fabric の DLP ポリシーは、Microsoft Purview コンプライアンス ポータル定義されます。

  • DLP ポリシーはワークスペースに適用されます。 Fabric または Premium 容量でホストされているワークスペースのみがサポートされます。 詳細については、「Microsoft Fabric の概念とライセンス」を参照してください。

  • DLP 評価ワークロードは容量に影響します。 現時点では、DLP for Fabric は追加コストなしで利用できますが、これは変更される可能性があります。 このドキュメントと Fabric のブログで更新プログラムを確認してください。

  • DLP ポリシー テンプレートは、Fabric DLP ポリシーではまだサポートされていません。 Fabric の DLP ポリシーを作成する場合は、[カスタム ポリシー] オプションを選択します。

  • 現在、ファブリック DLP ポリシー ルールでは、条件として秘密度ラベルと機密情報の種類がサポートされています。

  • Fabric の DLP ポリシーは、DirectQuery またはライブ接続を介してデータ ソースに接続するサンプル セマンティック モデル、ストリーミング データセット、またはセマンティック モデルではサポートされていません。 これには、データの一部をインポート モードで取得し、一部を DirectQuery で取得する、混合ストレージを用いるセマンティック モデルが含まれます。

  • Fabric の DLP ポリシーは、Delta 形式で格納されている Lakehouse Tables/ フォルダー内のデータにのみ適用されます。

  • Fabric の DLP ポリシーでは、timestamp_ntzを除く すべてのプリミティブ Delta 型がサポートされます。

  • Fabric の DLP ポリシーは、次の Delta Parquet データ型ではサポートされていません。

    • Binary、timestamp_ntz、Struct、Array、List、Map、Json、Enum、Interval、Void。
    • LZ4、Zstd、Gzip 圧縮コーデックを使用したデータ。
  • 完全なデータ一致 (EDM) 分類子トレーニング可能な分類子 は、DLP for Fabric ではサポートされていません。 ポリシーの条件で EDM またはトレーニング可能な分類子を選択した場合、セマンティック モデルまたは lakehouse に EDM またはトレーニング可能な分類子を満たすデータが実際に含まれている場合でも、ポリシーは結果を生成しません。 ポリシーで指定された他の分類器がある場合、結果があればそれが返されます。

  • Fabric の DLP ポリシーは、中国北部リージョンではサポートされていません。 組織の既定のリージョンを探す方法については、「組織の既定のリージョンを確認する方法」を参照してください。

  • Azure 容量は、次のクラスターの Fabric の DLP ではサポートされていません。

    • WUS3
    • WUS2
    • SCUS
  • 新しいテナントを DLP にオンボードするには、オンボードされているサポートされているワークスペースの数に応じて、数時間かかることがあります。

ライセンスとアクセス許可

SKU およびサブスクリプションのライセンス

DLP for Fabric の使用を開始する前に、Microsoft 365 サブスクリプションを確認する必要があります。 DLP ルールを設定する管理者アカウントには、次のいずれかのライセンスが割り当てられている必要があります。

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection & Governance
  • Purview の容量

アクセス許可

DLP for Fabric のデータは、アクティビティ エクスプローラー表示できます。 アクティビティ エクスプローラーにアクセス許可を付与するロールは 4 つあります。データへのアクセスに使用するアカウントは、いずれかのメンバーである必要があります。

アクティビティ エクスプローラーを表示するには、データへのアクセスに使用するアカウントが、次のいずれかのロール以上のメンバーである必要があります。

  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンス データ管理者

サポートされていない項目の種類

現在、Fabric の DLP ポリシーでは、次の項目の種類がサポートされています。

  • セマンティック モデル
  • Lakehouse

例外に関する考慮事項と制限事項を参照してください

Fabric の DLP ポリシーのしくみ

DLP ポリシーは、Microsoft Purview ポータルのデータ損失防止セクションで定義します。 ポリシーでは、検出する秘密度ラベルや機密情報の種類を指定します。 また、指定した種類の機密データを含むセマンティック モデルまたは lakehouse がポリシーによって検出されたときに発生するアクションも指定します。 Fabric の DLP ポリシーでは、次の 2 つのアクションがサポートされます。

  • ポリシー ヒントを使用したユーザー通知。
  • アラート。 アラートは、管理者およびユーザーに電子メールで送信できます。 また、管理者は、コンプライアンス ポータルの [アラート] タブでアラートを監視および管理できます。

セマンティック モデルまたは lakehouse が DLP ポリシーによって評価されると、DLP ポリシーで指定された条件と一致する場合、ポリシーで指定されたアクションが発生します。 DLP ポリシーは、次のアクションによって開始されます。

セマンティック モデル:

セマンティック モデルは、次のいずれかのイベントが発生するたびに DLP ポリシーに照らして評価されます。

  • 公開
  • 再発行
  • オンデマンドの更新
  • スケジュールされている更新

Note

次のいずれかに該当する場合、セマンティック モデルの DLP 評価は行われません。

  • イベント (公開、再公開、オンデマンド更新、スケジュールされた更新) のイニシエーターは、サービス プリンシパル認証を使うアカウントです。
  • セマンティック モデルの所有者がサービス プリンシパルの場合。

レイクハウス:

Lakehouse は DLP ポリシーに対して評価されます。新しいデータの取得、新しいソースの接続、既存のテーブルの追加や更新など、Lakehouse 内のデータが変更された場合。

Fabric DLP ポリシーによって項目にフラグが設定されるとどうなりますか

DLP ポリシーで項目に関する問題が検出された場合:

  • ポリシーで "ユーザー通知" が有効になっている場合、そのアイテムは Fabric でマークされ、DLP ポリシーによってアイテムの問題が検出されたことを示すアイコンが付けられます。 アイコンの上にマウス ポインターを置くと、サイド パネルに完全な詳細を表示するオプションを提供するホバー カードが表示されます。 サイド パネルに表示される内容の詳細については、「Fabric での DLP 違反への対応」を参照してください

    OneLake データ ハブのポリシー ヒント アイコンのスクリーンショット。

    セマンティック モデルの場合、詳細ページを開くと、ポリシー違反と検出された機密情報の種類の処理方法を説明するポリシー ヒントが表示されます。 [すべて表示] を選択すると、すべてのポリシーの詳細が表示されたサイド パネルが開きます。

    セマンティック モデルの詳細ページのポリシー ヒントのスクリーンショット。

    Note

    ポリシー ヒントを非表示にしても、削除されることはありません。 次にページにアクセスしたときに表示されます。

    レイクハウスの場合は、編集モードでヘッダーに表示され、ポップアップを開くと、レイクハウスに影響を与えるポリシーヒントの詳細を確認できます。 [すべて表示] を選択すると、すべてのポリシーの詳細が表示されたサイド パネルが開きます。

    lakehouse ヘッダー ポップアップのポリシー ヒントのスクリーンショット。

  • ポリシーでアラートが有効になっている場合、Microsoft Purview ポータルのデータ損失防止 アラート ページにアラート が記録され、(構成されている場合は) 管理者または指定されたユーザーに電子メールが送信されます。 詳細については、「DLP ポリシー違反の監視と管理」を参照してください