このドキュメントでは、OneLake セキュリティ アクセス制御モデルのしくみの詳細なガイドを示します。 ロールの構造、データへの適用方法、および Microsoft Fabric 内の他の構造との統合について詳しく説明します。
OneLake セキュリティ ロール
OneLake セキュリティでは、ロールベースのアクセス制御 (RBAC) モデルを使用して、OneLake 内のデータへのアクセスを管理します。 各ロールは、いくつかの主要なコンポーネントで構成されます。
- 種類: ロールがアクセス権 (GRANT) を付与するか、アクセス権を削除するか (DENY)。 GRANT 型ロールのみがサポートされています。
- 許可: 許可または拒否されている特定のアクション。
- スコープ: 権限を持つ OneLake オブジェクト。 オブジェクトは、テーブル、フォルダー、またはスキーマです。
- メンバーズ: ロールに割り当てられている Microsoft Entra ID (ユーザー、グループ、非ユーザー ID など)。 このロールは、Microsoft Entra グループのすべてのメンバーに付与されます。
ロールにメンバーを割り当てることにより、そのユーザーは、そのロールのスコープに関連付けられているアクセス許可の対象になります。 OneLake セキュリティでは既定で拒否モデルが使用されるため、OneLake セキュリティ ロールによって明示的に付与されない限り、すべてのユーザーはデータにアクセスできなくなります。
アクセス許可とサポートされている項目
OneLake セキュリティ ロールでは、次のアクセス許可がサポートされます。
- 読む: テーブルからデータを読み取り、関連付けられているテーブルと列のメタデータを表示する機能をユーザーに付与します。 SQL の用語では、このアクセス許可は VIEW_DEFINITION と SELECT の両方に相当します。 詳細については、 メタデータセキュリティを参照してください。
OneLake セキュリティを使用すると、ユーザーは次の Fabric アイテムに対してのみデータ アクセス ロールを定義できます。
| 布製品 | ステータス | サポートされているアクセス許可 |
|---|---|---|
| レイクハウス | パブリック プレビュー | 読み取り、読み取りWrite |
| Azure Databricks ミラー化カタログ | パブリック プレビュー | 読み取り |
OneLake のセキュリティとワークスペースのアクセス許可
ワークスペースのアクセス許可は、OneLake 内のデータの最初のセキュリティ境界です。 各ワークスペースは、チームがデータの共同作業を行うことができる単一のドメインまたはプロジェクト領域を表します。 ワークスペース内のセキュリティは、Fabric ワークスペース ロールを使って管理します。 Fabric のロールベースのアクセス制御 (RBAC) の詳細については、ワークスペース ロールを参照してください。
ファブリック ワークスペース ロールは、ワークスペース内のすべての項目に適用されるアクセス許可を付与します。 次の表は、ワークスペース ロールで許可される基本的なアクセス許可の概要を示しています。
| 権限 | 管理者 | メンバー | 投稿者 | ビューアー |
|---|---|---|---|---|
| OneLake でファイルを表示する | 常に*はい | 常に*はい | 常に*はい | 既定では、いいえ。 OneLake セキュリティを使用してアクセス権を付与します。 |
| OneLake でファイルを書き込む | 常に*はい | 常に*はい | 常に*はい | いいえ |
| OneLake セキュリティ ロールを編集できます | 常に*はい | 常に*はい | いいえ | いいえ |
*ワークスペース管理者、メンバー、および共同作成者ロールは、OneLake に書き込みアクセス許可を自動的に付与するため、OneLake セキュリティの読み取りアクセス許可をオーバーライドします。
ワークスペース ロールは、コントロール プレーンのデータ アクセスを管理します。つまり、Fabric の成果物とアクセス許可の作成と管理を行う操作です。 さらに、ワークスペース ロールでは、OneLake セキュリティの既定のロールを使用して、データ項目への既定のアクセス レベルも提供されます。 (既定のロールは閲覧者にのみ適用されることに注意してください。管理者、メンバー、および共同作成者は書き込みアクセス許可を介して昇格されたアクセス権を持っているためです)。既定のロールは、新しい項目ごとに自動的に作成される通常の OneLake セキュリティ ロールです。 特定のワークスペースまたはアイテムのアクセス許可を持つユーザーに、そのアイテム内のデータへの既定のレベルのアクセス権が付与されます。 たとえば、Lakehouse アイテムには、ReadAll 権限を持つユーザーが Lakehouse 内のデータを表示できるようにする DefaultReader ロールがあります。 これにより、新しく作成されたアイテムにアクセスするユーザーは、基本的なレベルのアクセス権を持つことができます。 すべての既定のロールではメンバー仮想化機能が使用されるため、ロールのメンバーは、必要なアクセス許可を持つそのワークスペース内の任意のユーザーになります。 たとえば、Lakehouse に対する ReadAll 権限を持つすべてのユーザーです。 次の表は、標準の既定のロールを示しています。 アイテムには、そのアイテムの種類にのみ適用される特殊な既定のロールがある場合があります。
| 布製品 | ロール名 | 権限 | フォルダーが含まれる | 割り当てられたメンバー |
|---|---|---|---|---|
| レイクハウス | DefaultReader |
読み取り |
Tables/ および Files/ のすべてのフォルダー |
ReadAll アクセス許可を持つすべてのユーザー |
| レイクハウス | DefaultReadWriter |
読み取り | すべてのフォルダー | 書き込みアクセス許可を持つすべてのユーザー |
注
特定のユーザーまたは特定のフォルダーへのアクセスを制限するには、既定のロールを変更するか、それを削除して新しいカスタム ロールを作成します。
OneLake のセキュリティとアイテムのアクセス許可
ワークスペース内では、Fabric のアイテムはワークスペース ロールとは別に構成されたアクセス許可を持つことができます。 アクセス許可は、項目を共有するか、項目のアクセス許可を管理することによって構成できます。 次のアクセス許可によって、OneLake のデータに対してユーザーがアクションを実行できるかどうかが決まります。 アイテム共有の詳細については、「Lakehouse 共有のしくみ」を参照してください。
| 権限 | OneLake でファイルを表示できるか? | OneLake でファイルを書き込めるか? | SQL 分析エンドポイントを介してデータを読み取ることができますか? |
|---|---|---|---|
| 読み取り | 既定では、いいえ。 OneLake セキュリティを使用してアクセス権を付与します。 | いいえ | いいえ |
| すべてを読む | はい。DefaultReader ロールを使用します。 OneLake セキュリティを使用してアクセスを制限します。 | いいえ | いいえ* |
| 書き込み | はい | はい | はい |
| 実行、再共有、出力を表示、ログを表示 | N/A - 単独では付与できません | N/A - 単独では付与できません | N/A - 単独では付与できません |
* SQL 分析エンドポイント モードによって異なります。
ロールを作成する
OneLake セキュリティ ロールは、レイクハウスのデータ アクセス設定を使用して定義および管理できます。
詳細については、「データ アクセス ロールの概要」を参照してください。
エンジンとユーザーによるデータへのアクセス
OneLake へのデータ アクセスは、次の 2 つの方法のいずれかで行われます。
- Fabric クエリ エンジンまたは
- ユーザー アクセスを通じて (Fabric 以外のエンジンからのクエリはユーザー アクセスと見なされます)
OneLake セキュリティにより、データは常にセキュリティで保護されます。 行レベルや列レベルのセキュリティなどの特定の OneLake セキュリティ機能はストレージ レベルの操作ではサポートされていないため、行レベルまたは列レベルのセキュリティで保護されたデータへのすべての種類のアクセスを許可できるわけではありません。 これにより、ユーザーは許可されていない行または列を表示できなくなります。 Microsoft Fabric エンジンでは、行レベルと列レベルのセキュリティ フィルターをデータ クエリに適用できます。 つまり、ユーザーが OneLake セキュリティ RLS または CLS を使用してレイクハウスまたはその他の項目のデータに対してクエリを実行すると、ユーザーに表示される結果に非表示の行と列が削除されます。 RLS または CLS を使用して OneLake 内のデータにユーザーがアクセスする場合、アクセスを要求しているユーザーがそのテーブル内のすべての行または列を表示することが許可されていない場合、クエリはブロックされます。
次の表は、RLS および CLS フィルター処理をサポートする Microsoft Fabric エンジンの概要を示しています。
| エンジン | RLS/CLS フィルター処理 | 地位 |
|---|---|---|
| レイクハウス | はい | パブリック プレビュー |
| Spark ノートブック | はい | パブリック プレビュー |
| "ユーザー ID モード" の SQL Analytics エンドポイント | はい | パブリック プレビュー |
| OneLake モードでの DirectLake を使用したセマンティック モデル | はい | パブリック プレビュー |
| イベントハウス | いいえ | 予定 |
| データ ウェアハウスの外部テーブル | いいえ | 予定 |
OneLake セキュリティ アクセス制御モデルの詳細
このセクションでは、OneLake セキュリティ ロールが特定のスコープへのアクセスを許可する方法、そのアクセスのしくみ、および複数のロールとアクセスの種類にわたってアクセスを解決する方法について詳しく説明します。
テーブル レベルのセキュリティ
すべての OneLake テーブルは、レイク内のフォルダーによって表されますが、Fabric の OneLake セキュリティおよびクエリ エンジンの観点から見ると、レイク内のすべてのフォルダーがテーブルであるわけではありません。 有効なテーブルと見なすには、次の条件を満たす必要があります。
- フォルダーは、アイテムの Tables/ ディレクトリに存在します。
- このフォルダーには、テーブル メタデータに対応する JSON ファイルを含む_delta_log フォルダーが含まれています。
- フォルダーに子ショートカットが含まれていません。
これらの条件を満たしていないテーブルは、テーブル レベルのセキュリティが構成されている場合、アクセスが拒否されます。
メタデータのセキュリティ
OneLake セキュリティのデータへの読み取りアクセスは、テーブル内のデータとメタデータへのフル アクセスを許可します。 テーブルにアクセスできないユーザーの場合、データは公開されず、一般にメタデータは表示されません。 これは、列レベルのセキュリティと、そのテーブル内の列を表示または表示しないユーザーの機能にも適用されます。 ただし、OneLake セキュリティでは、テーブルの メタデータ にアクセスできないことは保証されません。具体的には、次の場合です。
- SQL エンドポイント クエリ: SQL Analytics エンドポイントでは、SQL Server と同じメタデータ セキュリティ動作が使用されます。 つまり、ユーザーがテーブルまたは列にアクセスできない場合、そのクエリのエラー メッセージには、ユーザーがアクセスできないテーブルまたは列名が明示的に示されます。
- セマンティック モデル: ユーザーにセマンティック モデルに対する Build 権限を付与すると、ユーザーがアクセス権を持っているかどうかにかかわらず、モデルに含まれるテーブル名を表示できます。 さらに、非表示の列を含むレポート ビジュアルには、エラー メッセージの列名が表示されます。
アクセス許可の継承
任意のフォルダーに対して、OneLake セキュリティのアクセス許可は常にフォルダーのファイルとサブフォルダーの階層全体に継承されます。
たとえば、OneLake のレイクハウスの次の階層を考えてみましょう。
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file1111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
このレイクハウスには 2 つの役割を作成します。
Role1 はフォルダー 1 に読み取りアクセス許可を付与し、Role2 はフォルダー 2 に対する読み取りアクセス許可を付与します。
特定の階層では、 Role1 と Role2 に対する OneLake セキュリティ アクセス許可は、次のように継承されます。
ロール 1: フォルダー 1 の読み取り
│ │ file11.txt │ │ │ └───subfolder11 │ │ file1111.txt | │ │ └───subfolder111 | │ file1111.txtロール 2: フォルダー 2 の読み取り
│ file21.txt
OneLake セキュリティでのトラバーサルと一覧表示
OneLake セキュリティでは、データを簡単に検出できるように、親項目の自動トラバーサルが提供されます。 サブフォルダー 11 に対する読み取りアクセス許可をユーザーに付与すると、親ディレクトリ フォルダー 1 を一覧表示およびトラバースする権限がユーザーに付与されます。 この機能は、サブフォルダーへのアクセス権を付与すると、親ディレクトリの検出と走査が提供される Windows フォルダーのアクセス許可に似ています。 親に対し付与されたリストとトラバーサルは、直接の親以外の他の項目には拡張されないため、他のフォルダーのセキュリティが確保されます。
たとえば、OneLake のレイクハウスの次の階層を考えてみましょう。
Tables/
──── (empty folder)
Files/
────folder1
│ │ file11.txt
│ │
│ └───subfolder11
│ │ file111.txt
| │
│ └───subfolder111
| │ file1111.txt
│
└───folder2
│ file21.txt
ある階層に対し、'ロール 1' の OneLake セキュリティ アクセス許可は次のアクセス許可を提供します。 file11.txt は、サブフォルダー 11 の親ではないのでアクセスは提供されません。 ロール 2 の場合も同様に、file111.txt は表示されません。
ロール 1: サブフォルダー 11 の読み取り
Files/ ────folder1 │ │ │ └───subfolder11 │ │ file111.txt | │ │ └───subfolder111 | │ file1111.txtロール 2: サブフォルダー 111 の読み取り
Files/ ────folder1 │ │ │ └───subfolder11 | │ │ └───subfolder111 | │ file1111.txt
ショートカットの場合、一覧表示の動作は若干異なります。 外部データ ソースへのショートカットはフォルダーと同じように動作しますが、他の OneLake の場所へのショートカットには特殊な動作があります。 ショートカットのターゲット アクセス許可によって、OneLake ショートカットへのアクセスが決まります。 ショートカットを一覧表示する場合、ターゲット アクセスをチェックするための呼び出しは行われません。 その結果、ディレクトリを一覧表示すると、ユーザーのターゲットへのアクセスに関係なく、すべての内部ショートカットが返されます。 ユーザーがショートカットを開こうとすると、アクセス チェックが評価され、ユーザーには必要なアクセス許可を持つデータのみが表示されます。 ショートカットの詳細については、「ショートカットのセキュリティー」セクションを参照してください。
ショートカットを含む次のフォルダー階層について考えてみましょう。
Files/
────folder1
│
└───shortcut2
|
└───shortcut3
ロール 1: フォルダー 1 の読み取り
Files/ ────folder1 │ └───shortcut2 | └───shortcut3ロール 2: アクセス許可が定義されていません
Files/ │ └───shortcut2 | └───shortcut3
行レベルのセキュリティ
OneLake セキュリティを使用すると、ユーザーは SQL 述語を記述してユーザーに表示されるデータを制限することで、行レベルのセキュリティを指定できます。 RLS は、述語が true と評価される行を表示することによって動作します。 詳細については、 行レベルのセキュリティを参照してください。
行レベルのセキュリティでは、並べ替えと比較に次の照合順序を使用して、文字列データの大文字と小文字が区別されないと評価 されます: Latin1_General_100_CI_AS_KS_WS_SC_UTF8
行レベルのセキュリティを使用する場合は、RLS ステートメントがクリーンでわかりやすいことを確認してください。 並べ替えに整数列を使用し、操作より大きいか小さいか。 入力データの形式がわからない場合は、特に Unicode 文字またはアクセントの区別に関連して、文字列の等価性を避けてください。
列レベルのセキュリティ
OneLake セキュリティでは、ユーザーの列へのアクセスを削除 (非表示) することで、列へのアクセスを制限できます。 非表示の列は、アクセス許可が割り当てられていないと見なされ、既定のポリシーはアクセスなしになります。 非表示の列はユーザーには表示されず、非表示の列を含むデータに対するクエリでは、その列のデータは返されません。 メタデータのセキュリティで説明したように、列のメタデータが一部のエラー メッセージに引き続き表示される場合があります。
列レベルのセキュリティは、拒否セマンティックを使用して動作することで、SQL エンドポイントのより厳密な動作に従います。 SQL Endpoint の列で拒否すると、複数のロールが組み合わせてアクセス権を付与する場合でも、列へのすべてのアクセスがブロックされます。 その結果、SQL エンドポイントの CLS は、他のすべてのアクセス許可の種類に対する共用体の動作ではなく、ユーザーが参加しているすべてのロール間の交差を使用して動作します。 ロールの結合方法の詳細については、「複数の OneLake セキュリティ ロールの評価」セクションを参照してください。
ショートカット
ショートカットの概要
OneLake セキュリティは OneLake のショートカットと統合され、OneLake の内外のデータを簡単にセキュリティで保護できます。 ショートカットには、次の 2 つの主要な認証モードがあります。
- パススルー ショートカット (SSO): クエリを実行するユーザーの資格情報がショートカット ターゲットに対して評価され、表示できるデータが決定されます。
- 委任されたショートカット: ショートカットは固定の資格情報を使用してターゲットにアクセスし、クエリを実行するユーザーは、委任された資格情報のソースへのアクセスを確認する前に、OneLake セキュリティに対して評価されます。
さらに、OneLake でショートカットを作成すると、OneLake のセキュリティアクセス許可が評価されます。 ショートカット セキュリティ ドキュメントのショートカット アクセス許可について説明します。
パススルー ショートカットでの OneLake セキュリティ
OneLake フォルダーのセキュリティ セットは、常に 内部ショートカット間を流れ、ショートカット ソース パスへのアクセスを制限します。 ユーザーが別の OneLake の場所へのショートカット経由でデータにアクセスすると、ショートカットのターゲット パス内のデータへのアクセスを承認するために、呼び出し元のユーザーの ID が使用されます。 その結果、このユーザーは、ターゲットの場所でデータを読み取るための OneLake セキュリティ アクセス許可を持っている必要があります。
重要
委任された ID モードで DirectLake over SQL または T-SQL エンジンを使用して Power BI セマンティック モデルを介してショートカットにアクセスする場合、呼び出し元のユーザーの ID はショートカット ターゲットに渡されません。 代わりに、呼び出し元のアイテム所有者の ID が渡され、呼び出し元ユーザーへのアクセスが委任されます。 これを解決するには、 DirectLake over OneLake モードで Power BI セマンティック モデル を使用するか、 ユーザーの ID モードで T-SQL を使用します。
内部ショートカットに対する OneLake セキュリティ アクセス許可の定義は許可されず、ターゲット項目にあるターゲット フォルダーで定義する必要があります。 ターゲット項目は、OneLake セキュリティ ロールをサポートする項目の種類である必要があります。 ターゲット項目が OneLake セキュリティをサポートしていない場合、ユーザーのアクセスは、対象アイテムに対する Fabric ReadAll アクセス許可があるかどうかに基づいて評価されます。 ユーザーは、ショートカットを使用してアイテムにアクセスするために、アイテムに対するファブリック読み取りアクセス許可を必要としません。
委任されたショートカットの OneLake セキュリティ
OneLake では、ADLS、S3、Dataverse ショートカットなどのショートカットに対するアクセス許可の定義がサポートされています。 この場合、アクセス許可は、この種類のショートカットに対して有効になっている委任された承認モデルの上に適用されます。
ユーザー 1 が、AWS S3 バケット内のフォルダーを指す S3 ショートカットをレイクハウスに作成するとします。 その後、user2 はこのショートカット内のデータにアクセスしようとしています。
| S3 接続は、委任されたユーザー 1 のアクセスを承認しますか? | OneLake セキュリティは、要求ユーザー 2 のアクセスを承認しますか? | 結果: user2 は S3 ショートカットのデータにアクセスできますか? |
|---|---|---|
| はい | はい | はい |
| いいえ | いいえ | いいえ |
| いいえ | はい | いいえ |
| はい | いいえ | いいえ |
OneLake セキュリティ アクセス許可は、ショートカットのスコープ全体または選択したサブフォルダーに対して定義できます。 フォルダーに設定されたアクセス許可は、サブフォルダーがショートカット内にある場合でも、すべてのサブフォルダーに再帰的に継承されます。 外部ショートカットのセキュリティ セットのスコープを設定して、ショートカット全体またはショートカット内の任意のサブパスへのアクセスを許可できます。 外部ショートカットを指すもう 1 つの内部ショートカットでは、ユーザーは元の外部ショートカットにアクセスできる必要があります。
OneLake セキュリティの他の種類のアクセスとは異なり、外部ショートカットにアクセスするユーザーには、外部ショートカットが存在するデータ項目に対する Fabric Read アクセス許可が必要です。 これは、外部システムへの接続を安全に解決するために必要です。
S3、ADLS、Dataverse のショートカットの詳細については、「OneLake ショートカット」を参照してください。
複数の OneLake セキュリティ ロールの評価
ユーザーは複数の異なる OneLake セキュリティ ロールのメンバーにすることができ、それぞれがデータへの独自のアクセスを提供します。 これらのロールの組み合わせは"有効なロール" と呼ばれ、OneLake のデータにアクセスするときにユーザーに表示されます。 ロールは、UNION または最も制限の厳しいモデルを使用して OneLake セキュリティで結合されます。 これは、Role1 が TableA へのアクセス権を付与し、Role2 が TableB にアクセスできるようにする場合、ユーザーは TableA と TableB の両方を表示できることを意味します。
OneLake セキュリティ ロールには、テーブルの行と列へのアクセスを制限する行レベルと列レベルのセキュリティも含まれます。 各 RLS および CLS ポリシーはロール内に存在し、その 1 つのロール内のすべてのユーザーのデータへのアクセスを制限します。 たとえば、Role1 が Table1 にアクセスできるが、Table1 に RLS があり、Table1 の一部の列のみが表示されている場合、Role1 の有効なロールは Table1 の RLS サブセットと CLS サブセットになります。 これは、(R1ols n R1cls n R1rls) として表すことができます。ここで、n はロール内の各コンポーネントの交差部分です。
複数のロールを処理する場合、RLS と CLS はそれぞれのテーブルで UNION セマンティックと結合します。 CLS は、各ロールに表示されるテーブルの直接セット UNION です。 RLS は、OR 演算子を使用して述語間で結合されます。 たとえば、WHERE city = 'Redmond' OR city = 'New York' などです。
RLS または CLS を持つ複数のロールをそれぞれ評価するために、各ロールは、ロール自体によって与えられたアクセスに基づいて最初に解決されます。 つまり、すべてのオブジェクト、行、列レベルのセキュリティの INTERSECTION を評価します。 評価された各ロールは、ユーザーが UNION 操作を介してメンバーになっている他のすべてのロールと組み合わされます。 出力は、そのユーザーの有効なロールです。 これは次のように表すことができます。
( (R1ols n R1cls n R1rls) u (R2ols n R2cls n R2rls) )
最後に、lakehouse 内の各ショートカットは、クエリ対象のアイテムにショートカット ターゲットのアクセス許可を伝達するために使用される推論されたロールのセットを生成します。 推論されたロールは、ショートカット レイクハウスのロールと組み合わせる前に、ショートカット ターゲットで最初に解決される点を除き、推論されていないロールと同様の方法で動作します。 これにより、ショートカット レイクハウスに対するアクセス許可の継承が確実に解除され、推論されたロールが正しく評価されます。 その後、完全な組み合わせロジックを次のように表すことができます。
( (R1ols n R1cls n R1rls) u (R2ols n R2cls n R2rls) ) n ( (R1'ols n R1'cls n R1'rls) u (R2'ols n R2'cls n R2'rls)) )
ここで、R1' と R2' は推論されたロールであり、R1 と R2 はショートカット レイクハウスロールです。
重要
2 つのロールが組み合わせると、列と行がクエリ全体で揃わない場合、エンド ユーザーにデータが漏えいしないようにアクセスがブロックされます。
OneLake のセキュリティの制限事項
B2B ゲスト ユーザーに OneLake セキュリティ ロールを割り当てる場合は、Microsoft Entra 外部 ID で B2B の外部コラボレーション設定を構成する必要があります。 ゲスト ユーザー アクセス 設定は、ゲスト ユーザーがメンバー (最も包括的な) と同じアクセス権を持つに設定する必要があります。
OneLake セキュリティでは、リージョン間のショートカットはサポートされていません。 異なる容量リージョン間でデータへのショートカットにアクセスしようとすると、404 エラーが発生します。
OneLake セキュリティのロールに配布リストを追加した場合、SQL エンドポイントはリストのメンバーを解決してアクセスを強制することはできません。 その結果、ユーザーは SQL エンドポイントにアクセスするときにそのロールのメンバーではないように見えます。 SQL セマンティック モデルでの DirectLake も、この制限の対象となります。
Spark SQL を使用して Spark ノートブックからデータを照会するには、ユーザーがクエリを実行しているワークスペースで少なくともビューアー アクセス権を持っている必要があります。
Spark ノートブックでは、環境が 3.5 以上で、Fabric ランタイム 1.3 を使用している必要があります。
OneLake セキュリティは 、プライベート リンク保護では機能しません。
外部データ共有プレビュー機能は、データ アクセス ロールプレビューと互換性がありません。 Lakehouse でデータ アクセス ロールプレビューを有効にすると、既存の外部データ共有が機能しなくなる可能性があります。
Azure Mirrored Databricks カタログでは、その項目で OneLake セキュリティが有効になっている場合、カタログの管理機能はサポートされません。 この機能は、2025 年 11 月に提供されます。
次の表に、OneLake データ アクセス ロールの制限事項を示します。
シナリオ 制限 ファブリック項目あたりの OneLake セキュリティ ロールの最大数 レイクハウスあたり 250 ロール OneLake セキュリティ ロールあたりのメンバーの最大数 ロールあたり 500 ユーザーまたはユーザー グループ OneLake セキュリティ ロールあたりのアクセス許可の最大数 ロールあたり 500 のアクセス許可
OneLake セキュリティの遅延
- ロール定義の変更が適用されるまでに約 5 分かかります。
- OneLake セキュリティ ロールのユーザー グループに対する変更は、OneLake が更新されたユーザー グループにロールのアクセス許可を適用するまでに約 1 時間かかります。
- 一部のファブリック エンジンには独自のキャッシュ レイヤーがあるため、すべてのシステムでアクセスを更新するために余分な時間が必要になる場合があります。