Microsoft Fabric の保護ポリシー (プレビュー)
Microsoft Purview 保護アクセス制御ポリシー (保護ポリシー) を使用すると、組織は秘密度ラベルを使用して Fabric 内の項目へのアクセスを制御できます。
この記事の対象読者は、セキュリティおよびコンプライアンス管理者、Fabric 管理者とユーザー、保護ポリシーが Fabric 内の項目へのアクセスを制御する方法について学習したいその他のユーザーです。 Fabric の保護ポリシーを作成する方法については、「Fabric の保護ポリシー (プレビュー) を作成および管理する」を参照してください。
Note
現在、Microsoft Purview ポータルでは、サービス プリンシパルを保護ポリシーに追加することはサポートされていません。 保護ポリシーで保護されている項目にサービス プリンシパルでアクセスできるようにするには、PowerShell コマンドレットを使用して、サービス プリンシパルをポリシーに追加できます。 コマンドレットへのアクセスを得るには、サポート チケットを開きます。
許可されているユーザーの一覧にサービス プリンシパルを追加しないと、現在データにアクセスできているサービス プリンシパルはアクセスを拒否され、アプリケーションが中断する可能性があります。 たとえば、サービス プリンシパルは、セマンティック モデルにアクセスするためのアプリケーションの認証に使われている可能性があります。
Fabric の保護ポリシーのしくみ
Fabric の各保護ポリシーは、秘密度ラベルに関連付けられます。 このポリシーは、ポリシーで指定されたユーザーとグループに対しては、項目に対するアクセス許可を保持することを許可し、他のすべてのユーザーに対してはアクセスをブロックして、関連付けられたラベルが付いた項目へのアクセスを制御します。 ポリシーでは、次のことを許可することができます。
指定されたユーザーとグループが、ラベル付けされた項目に対する "読み取り" アクセス許可を持っている場合、それを保持することを許可します。 項目に対するその他のアクセス許可はすべて削除されます。
および/または
指定されたユーザーとグループが、ラベル付けされた項目に対する "フル コントロール" を持っている場合、それを保持することを許可します。または、持っているすべてのアクセス許可を保持することを許可します。
前述のとおり、ポリシーで指定されていないすべてのユーザーとグループによる項目へのアクセスは、ポリシーによってブロックされます。
Note
保護ポリシーは、ラベル発行者には適用されません。 つまり、保護ポリシーに関連付けられたラベルを項目に最後に適用したユーザーは、ポリシーで指定されていない場合でも、項目へのアクセスを拒否されません。 たとえば、保護ポリシーがラベル A に関連付けられており、あるユーザーがラベル A を項目に適用した場合、そのユーザーは、ポリシーで指定されていない場合でも、項目にアクセスできます。
ユース ケース
保護ポリシーが役立つ可能性のある例を次に示します。
- 組織は、組織内のユーザーのみが "機密" というラベルが付いた項目にアクセスできるようにする必要がある。
- 組織は、財務部門のユーザーのみが "財務データ" というラベルが付いた項目を編集することができ、組織内の他のユーザーに対しては、それらの項目の読み取りを許可する必要がある。
Fabric の保護ポリシーの作成者
Fabric の保護ポリシーは、通常、組織の Purview セキュリティおよびコンプライアンス チームによって構成されます。 保護ポリシーの作成者には、情報保護管理者以上のロールが必要です。 詳細については、「Fabric の保護ポリシー (プレビュー) を作成および管理する」を参照してください。
要件
Microsoft Purview Information Protection の秘密度ラベルに必要な Microsoft 365 E3 または E5 ライセンス。 詳細については、「Microsoft Purview Information Protection: 秘密度ラベル付け」を参照してください。
テナントには、Microsoft Purview Information Protection からの "適切に構成された" 秘密度ラベルが少なくとも 1 つ存在する必要があります。 Fabric の保護ポリシーのコンテキストで "適切に構成された" とは、ラベルが構成されたときに、そのスコープが[ファイルとその他のデータ資産] に設定され、その保護設定が、[アクセスの制御] を含むように設定されていることを意味します (秘密度ラベルの構成の詳細については、「秘密度ラベルとそのポリシーを作成して構成する」を参照してください)。 Fabric の保護ポリシーを作成するために使用できるのは、このような "適切に構成された" 秘密度ラベルのみです。
Fabric で保護ポリシーを適用するには、Fabric テナント設定の [ユーザーによるコンテンツへの秘密度ラベルの適用を許可する] を有効にする必要があります。 この設定は、Fabric 内の秘密度ラベルに関連するすべてのポリシーの適用に必要であるため、Fabric で秘密度ラベルが既に使用されている場合は、この設定は既に有効になっています。 Fabric で秘密度ラベルを有効にする方法の詳細については、「秘密度ラベルを有効にする」を参照してください。
サポートされていない項目の種類
保護ポリシーは、Fabric のすべての種類のネイティブ項目と、Power BI セマンティック モデルでサポートされます。 その他のすべての種類の Power BI 項目は、現在サポートされていません。
考慮事項と制限事項
現在、Microsoft Purview ポータルでは、サービス プリンシパルを保護ポリシーに追加することはサポートされていません。 保護ポリシーで保護されている項目にサービス プリンシパルでアクセスできるようにするには、PowerShell コマンドレットを使用して、サービス プリンシパルをポリシーに追加できます。 コマンドレットへのアクセスを得るには、サポート チケットを開きます。
許可されているユーザーの一覧にサービス プリンシパルを追加しないと、現在データにアクセスできているサービス プリンシパルはアクセスを拒否され、アプリケーションが中断する可能性があります。 たとえば、サービス プリンシパルは、セマンティック モデルにアクセスするためのアプリケーションの認証に使われている可能性があります。
Fabric の保護ポリシーでは、保護ポリシーごとに 1 つのラベルのみ、ラベルごとに 1 つの保護ポリシーのみを使用できます。 ただし、保護ポリシーで使用されるラベルは、通常の秘密度ラベル ポリシーにも関連付けることができます。
最大 50 個の保護ポリシーを作成できます。
保護ポリシーには、最大 100 のユーザーおよびグループを追加できます。
Fabric の保護ポリシーでは、ゲストおよび外部ユーザーはサポートされません。
ユーザーが、そのユーザーを含まない保護ポリシーによって保護されている項目を含むワークスペースに ALM パイプラインを作成するシナリオでは、ALM パイプラインは機能しません。
ポリシーが作成された後、ポリシーに関連付けられた秘密度ラベルが付けられた項目の検出と保護が開始されるまでに最大 30 分かかる場合があります。