Microsoft Purview 保護ポリシーを使用して SQL データベースの機密データを保護する

適用対象:✅Microsoft Fabric の SQL データベース

Microsoft Purview は、組織がデータ資産全体をガバナンス制御、保護、管理するのを支援するデータのガバナンス、リスク、コンプライアンス ソリューションのファミリです。 Microsoft Purview の利点の 1 つとして、秘密度ラベルを使って SQL データベース項目にラベルを付け、秘密度ラベルに基づいてアクセスを制御する保護ポリシーを定義できます。

この記事では、Microsoft Purview 保護ポリシーが Microsoft Fabric アクセス制御および SQL アクセス制御と連携してどのように機能するかについて説明します。

SQL データベースなど、Microsoft Fabric に対する Microsoft Purview 機能に関する全般的な情報については、「関連コンテンツ」に記載されている記事を参照してください。

SQL データベースでの保護ポリシーのしくみ

Microsoft Fabric の各保護ポリシーは、秘密度ラベルに関連付けられます。 保護ポリシーは、2 つのアクセス制御を通じて、関連付けられたラベルを持つ項目へのアクセスを制御します。

• ユーザーに読み取りアクセスの保持を許可する - 有効にすると、指定したユーザー (または指定したグループに属するユーザー) が、ラベルの付いた項目に対する項目読み取りアクセス許可を保持できます (指定したユーザーが既にこのアクセス許可を持っている場合)。 指定したユーザーが項目に対して持っているその他のアクセス許可はすべて削除されます。 SQL データベースでは、ユーザーがデータベースに接続するには、項目の読み取りアクセス許可が必要です。 そのため、ユーザーがこのアクセス制御で指定されていない場合、ユーザーはデータベースに接続できません。

• ユーザーにフル コントロールの保持を許可する - 有効にすると、指定したユーザー (または指定したグループに属するユーザー) は、ラベルの付いた項目に対するフル コントロール (指定したユーザーが既にそれを持っている場合) またはその他のアクセス許可を保持できます。 SQL データベース項目の場合、このコントロールを使用すると、ユーザーは項目の書き込みアクセス許可を保持できます。つまり、ユーザーはデータベース内で完全な管理者アクセス権を保持します。 ユーザーがこのアクセス制御で指定されていない場合、項目の書き込みアクセス許可は実質的にユーザーから削除されます。 このコントロールは、データベースでのユーザーの SQL ネイティブ アクセス許可には影響しません。詳細については、「例 4」と「制限事項」を参照してください。

例

このセクションの例は、次の構成を共有しています。

• ある組織に、Production と呼ばれる Microsoft Fabric ワークスペースがあります。
• このワークスペースには、秘密度ラベル Confidential が付いた Sales という名前の SQL データベース項目が含まれています。
• Microsoft Purview に、Microsoft Fabric に適用できる保護ポリシーがあります。 そのポリシーは秘密度ラベル Confidential に関連付けられています。

例 1

• ユーザーは、Production ワークスペースの共同作成者ロールのメンバーです。
• ユーザーに読み取りアクセスの保持を許可するのアクセス制御は有効になっていますが、このユーザーは含まれていません。
• ユーザーにフル コントロールの保持を許可するのアクセス制御は無効または非アクティブです。

このポリシーでは、ユーザーの項目読み取りアクセス許可が削除されるため、ユーザーは Sales データベースに接続できません。 そのため、ユーザーはデータベース内のデータに対して読み取りまたはアクセスを行うことはできません。

例 2

• ユーザーは、Sales データベースの項目読み取りアクセス許可を持っています。
• ユーザーは、このデータベース内の SQL ネイティブ データベース レベルの db_owner ロールのメンバーです。
• ユーザーに読み取りアクセスの保持を許可するのアクセス制御は有効になっていますが、このユーザーは含まれていません。
• ユーザーにフル コントロールの保持を許可するのアクセス制御は無効または非アクティブです。

このポリシーはユーザーの項目読み取りアクセス許可を削除するため、ユーザーの SQL ネイティブ アクセス許可 (ユーザーの db_owner ロールのメンバーシップを介して付与される) に関係なく、ユーザーは Sales データベースに接続できません。 そのため、ユーザーはデータベース内のデータに対して読み取りまたはアクセスを行うことはできません。

例 3

• ユーザーは、Production ワークスペースの共同作成者ロールのメンバーです。
• ユーザーには、データベース内の SQL ネイティブ アクセス許可が付与されていません。
• ユーザーに読み取りアクセスの保持を許可するのアクセス制御が有効であり、このユーザーが含まれています。
• ユーザーにフル コントロールの保持を許可するのアクセス制御が有効になっていますが、このユーザーは含まれていません。

共同作成者ロールのメンバーとして、ユーザーは Sales データベースに対するすべてのアクセス許可 (Read、ReadData、Write を含む) を最初に持っています。 ポリシーのユーザーに読み取りアクセスの保持を許可するのアクセス制御によって、ユーザーは Read および ReadDataアクセス許可を保持できます。ただし、ユーザーにフル コントロールの保持を許可するのアクセス制御によってユーザーの書き込みアクセス許可が削除されます。 その結果、ユーザーはデータベースに接続してデータを読み取ることができますが、データに対する書き込みと編集を行うことができるデータベースへの管理者アクセス権は失われます。

例 4

• ユーザーは、Sales データベースの項目読み取りアクセス許可を持っています。
• ユーザーは、このデータベース内の SQL ネイティブ データベース レベルの db_owner ロールのメンバーです。
• ユーザーに読み取りアクセスの保持を許可するのアクセス制御が有効であり、このユーザーが含まれています。
• ユーザーにフル コントロールの保持を許可するのアクセス制御が有効になっていますが、このユーザーは含まれていません。

ポリシーのユーザーに読み取りアクセスの保持を許可するのアクセス制御により、ユーザーは読み取りアクセス許可を保持できます。 ユーザーは、最初はフル コントロール アクセス (項目の書き込みアクセス許可) を持っていないので、ユーザーにフル コントロールの保持を許可するのアクセス制御は、Microsoft Fabric で付与されたユーザーのアクセス許可には影響しません。 ユーザーにフル コントロールの保持を許可するのアクセス制御は、データベース内のユーザーの SQL ネイティブ アクセス許可には影響しません。 db_owner ロールのメンバーとして、ユーザーは引き続きデータベースへの管理者アクセス権を持ちます。 「制限事項」を参照してください。

制限事項

• Microsoft Purview 保護ポリシーのユーザーにフル コントロールの保持を許可するのアクセス制御は、データベース内のユーザーに付与される SQL ネイティブ アクセス許可には影響しません。

関連するコンテンツ

• Microsoft Purview を使用して Microsoft Fabric を管理する
• Microsoft Fabric での情報保護
• Microsoft Fabric の保護ポリシー (プレビュー)
• Fabric の保護ポリシー (プレビュー) を作成および管理する
• Microsoft Fabric SQL データベースでの認可