次の方法で共有

Fabric と Power BI のデータ損失防止ポリシーの概要

  • [アーティクル]

この記事では、Microsoft Purview データ損失防止 (DLP) ポリシー Fabric と Power BI の一般的な概要について説明します。 対象ユーザーは、Fabric 管理者、セキュリティおよびコンプライアンス チーム、および Fabric データ所有者です。 データ所有者で、ポリシー ヒントでアイテムに DLP ポリシーの一致が示されたときに応答する方法を知りたい場合は、「 Fabric で DLP ポリシーの一致に応答する」を参照してください。 Fabric 管理者またはセキュリティおよびコンプライアンス管理者で、DLP ポリシーの一致に関するアラートを監査する必要がある場合は、「 Fabric での DLP ポリシーの一致の監視」を参照してください。

概要

組織が機密データを検出して保護できるように、Fabric はMicrosoft Purview データ損失防止 (DLP) ポリシーをサポートしています。 ファブリックの DLP ポリシーが機密情報を含む サポートされている項目の種類 を検出すると、ポリシーで構成されたアクションがトリガーされます。 これらのアクションには、次のものが含まれます。

  • 機密性の高いコンテンツの性質を説明する項目にポリシー ヒントをアタッチする。
  • Microsoft Purview ポータルの [データ損失防止アラート] ページで管理者に アラート を登録する。
  • 管理者と指定されたユーザーに電子メール アラートを送信する。
  • アイテムへのアクセスを制限する。

詳細については、「 Fabric と Power BI の DLP ポリシーのしくみ」を参照してください。

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

ライセンスとアクセス許可

ライセンス

ライセンスの詳細については、次を参照してください。

アクセス許可

DLP for Fabric および Power BI からのデータは、 アクティビティ エクスプローラーで表示できます。 アクティビティ エクスプローラーにアクセス許可を付与するロールは 4 つあります。データへのアクセスに使用するアカウントは、いずれかのメンバーである必要があります。

アクティビティ エクスプローラーを表示するには、データへのアクセスに使用するアカウントが、次のいずれかのロール以上のメンバーである必要があります。

  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンス データ管理者

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。

請求

DLP 評価ワークロードは、容量の消費に影響します。 従量制課金と課金方法の詳細については、「 Microsoft Purview 課金モデルについて」を参照してください。

Fabric と Power BI の DLP ポリシーのしくみ

DLP ポリシーは、Microsoft Purview ポータルのデータ損失防止セクションで定義します。 ポリシーでは、検出する秘密度ラベルや機密情報の種類など、条件を指定します。 また、ポリシーの一致が検出されたときにシステムが実行する アクション も指定します。

サポートされている項目の種類が DLP ポリシーによって評価されると、DLP ポリシーで指定された条件と一致する場合、ポリシーで指定されたアクションが発生します。 DLP ポリシーは、次のアクションによって開始されます。

セマンティック モデル:

セマンティック モデルは、次のいずれかのイベントが発生するたびに DLP ポリシーに対して評価されます。

  • 公開
  • Republish
  • オンデマンド更新
  • 計画更新

注:

次のいずれかが当てはまる場合、セマンティック モデルの DLP 評価は行われません。

  • イベントのイニシエーター (発行、再発行、オンデマンド更新、スケジュールされた更新) は、サービス プリンシパル認証を使用したアカウントです。
  • セマンティック モデルの所有者はサービス プリンシパルです。

レイクハウス:

レイクハウスは DLP ポリシーに対して評価されます。レイクハウス内のデータが、新しいデータの取得、新しいソースの接続、既存のテーブルの追加または更新など、変更を受けた場合。

ファブリック DLP ポリシーによって項目にフラグが設定された場合の動作

DLP ポリシーで項目に関する問題が検出された場合:

  • ポリシーで "ユーザー通知" が有効になっている場合、アイテムは Fabric でマークされ、DLP ポリシーによってアイテムに関する問題が検出されたことを示すアイコンが表示されます。 アイコンの上にマウス ポインターを合わせると、サイド パネルに完全な詳細を表示するオプションを提供するホバー カードが表示されます。 サイド パネルに表示される内容の詳細については、「 Fabric での DLP 違反への対応」を参照してください。

    OneLake データ ハブのポリシー ヒント アイコンのスクリーンショット。

    セマンティック モデルの場合、詳細ページを開くと、ポリシー違反と検出された機密情報の種類を処理する方法について説明するポリシー ヒントが表示されます。 [ すべて表示 ] を選択すると、すべてのポリシーの詳細が表示されたサイド パネルが開きます。

    セマンティック モデルの詳細ページのポリシー ヒントのスクリーンショット。

    注:

    ポリシー ヒントを非表示にすると、削除されません。 次回、ページにアクセスすると表示されます。

    レイクハウスの場合、表示は編集モードでヘッダーに表示され、フライアウトを開くと、レイクハウスに影響を与えるポリシーヒントの詳細を確認できます。 [ すべて表示 ] を選択すると、すべてのポリシーの詳細が表示されたサイド パネルが開きます。

    lakehouse ヘッダー ポップアップのポリシー ヒントのスクリーンショット。

  • ポリシーでアラートが有効になっている場合は、Microsoft Purview ポータルの [データ損失防止 アラート] ページにアラートが記録され、(構成されている場合)、管理者や指定されたユーザーに電子メールが送信されます。 詳細については、「 DLP ポリシー違反の監視と管理」を参照してください。

サポートされているアクション

セマンティック モデルまたは lakehouse が DLP ポリシーによって評価されると、DLP ポリシーで指定された条件と一致すると、ポリシーで指定されたアクションが実行されます。 Fabric と Power BI の DLP ポリシーでは、次の 3 つのアクションがサポートされています。

  • ポリシー ヒントによるユーザー向けの通知。
  • 通知。 アラートは、管理者とユーザーに電子メールで送信できます。 さらに、管理者は Purview ポータルの [アラート] タブで アラート を監視および管理できます。
  • アクセスを制限します。 アクセスの制限アクションを使用してポリシーが構成されている場合、ポリシーの構成方法に応じて、データ所有者またはorganizationのメンバーに対して、アイテムへのアクセスが制限されます。 その他のすべてのユーザーは、アイテムへのアクセスを失います。

DLP 評価のトリガーの詳細については、「 Fabric と Power BI の DLP ポリシーのしくみ」を参照してください。

サポートされている項目の種類

Fabric と Power BI の DLP ポリシーでは、現在、次の項目の種類がサポート (プレビュー) されています。

  • セマンティック モデル
  • レイクハウーズ

例外に 関する考慮事項と制限事項に関するページを 参照してください。

サポートされている条件の種類

Fabric と Power BI の DLP ポリシー ルールでは、秘密度ラベルと機密情報の種類のサブセット ( 考慮事項と制限事項を参照) が条件としてサポートされます。

Fabric と Power BI の DLP ポリシーを構成する

Fabric または Power BI の DLP ポリシーの作成については、「 データ損失防止ポリシーの作成と展開」を参照してください。 具体的には、「シナリオ 7 クレジット カード番号を使用して Power BI レポートをブロックする」の手順に従って、独自のシナリオに適応させます。

考慮事項と制限事項

  • DLP ポリシーはワークスペースに適用されます。 サポートされるのは、Fabric または Premium 容量でホストされているワークスペースのみです。 詳細については、「 Microsoft Fabric の概念とライセンス」を参照してください。
  • DLP ポリシー テンプレートは、Fabric DLP ポリシーではまだサポートされていません。 Fabric の DLP ポリシーを作成する場合は、[カスタム ポリシー] オプションを選択します。
  • Fabric の DLP ポリシーは、DirectQuery またはライブ接続を介してデータ ソースに接続するサンプル セマンティック モデル、ストリーミング データセット、セマンティック モデルではサポートされていません。 これには、一部のデータがインポート モードで取得され、一部が DirectQuery 経由で提供される、混在ストレージを持つセマンティック モデルが含まれます。
  • Fabric の DLP ポリシーは、Delta 形式で格納されている Lakehouse Tables/ フォルダー内のデータにのみ適用されます。
  • Fabric の DLP ポリシーでは、timestamp_ntzを除くすべてのプリミティブ Delta 型 サポートされます。
  • Fabric の DLP ポリシーは、次の Delta Parquet データ型ではサポートされていません。
    • Binary、timestamp_ntz、Struct、Array、List、Map、Json、Enum、Interval、Void。
    • LZ4、Zstd、Gzip 圧縮コーデックを使用したデータ。
  • 正確なデータ一致 (EDM) 分類子トレーニング可能な分類子 は、DLP for Fabric ではサポートされていません。 ポリシーの条件で EDM またはトレーニング可能な分類子を選択した場合、セマンティック モデルまたは lakehouse に実際に EDM またはトレーニング可能な分類子を満たすデータが含まれている場合でも、ポリシーは結果を生成しません。 ポリシーで指定された他の分類子は、結果 (存在する場合) を返します。
  • Fabric の DLP ポリシーは、中国北部リージョンではサポートされていません。 organizationの既定のデータ領域を見つける方法については、「organizationの既定のリージョンを見つける方法」を参照してください。
  • Azure 容量は、次のクラスターの Fabric の DLP ではサポートされていません。
    • WUS3
    • WUS2
    • SCUS
  • DLP への新しいテナントのオンボードには、オンボードされているサポートされているワークスペースの数に応じて数時間かかることがあります。

関連項目