OneLake は、Azure Data Lake Storage (ADLS) Gen2 や Windows ファイル システムのような階層型データ レイクです。 OneLake のセキュリティは、アクセスと制御のさまざまな側面に対応する複数のレベルで適用されます。 コントロール プレーンとデータ プレーンのアクセス許可の違いを理解することは、データを効果的にセキュリティで保護するための鍵となります。
- コントロール プレーンのアクセス許可: ユーザーが環境内で実行できるアクション (アイテムの作成、管理、共有など) を管理します。 コントロール プレーンのアクセス許可は、多くの場合、既定でデータ プレーンのアクセス許可を提供します。
- データ プレーンのアクセス許可: リソースを管理する機能に関係なく、ユーザーがアクセスまたは表示できるデータを管理します。
データ レイク内の各レベルでセキュリティを設定できます。 しかし、階層内の一部のレベルは、Fabric の概念と関連付けられるため、特別な扱いを受けます。 OneLake セキュリティは、親アイテムまたはワークスペースのアクセス許可から継承された異なるアクセス許可を持つ OneLake データへのすべてのアクセスを制御します。
ワークスペース: アイテムの作成と管理を行うための共同作業環境。 ワークスペース ロールは、このレベルで管理できます。
アイテム: 単一のコンポーネントにまとめられた一連の機能。 データ アイテムはアイテムのサブタイプであり、OneLake を使用してデータをその中に格納することができます。 アイテムはワークスペース ロールからアクセス許可を継承しますが、追加のアクセス許可を持つ場合もあります。
フォルダー: テーブルやファイルなどのデータの格納と管理に使用されるアイテム内のフォルダー。
アイテムは常にワークスペース内に配置され、ワークスペースは常に OneLake 名前空間の直下に配置されます。 この構造は、次のように視覚化できます。
OneLake のセキュリティ
このセクションでは、一般提供されている OneLake 機能に基づくセキュリティ モデルについて説明します。
ワークスペースのアクセス許可
ワークスペースのアクセス許可は、ユーザーがワークスペースとそのアイテム内で実行できるアクションを定義します。 これらのアクセス許可はワークスペース レベルで管理され、主にコントロール プレーンのアクセス許可です。これらは、直接データ アクセスではなく、管理およびアイテム管理機能を決定します。 ただし、ワークスペースのアクセス許可は通常、既定でデータ アクセス権を付与するためにアイテムとフォルダー レベルまで継承されます。 ワークスペースのアクセス許可で、そのワークスペース内のすべてのアイテムへのアクセスを定義できます。 4 つの異なるワークスペース ロールがあり、それぞれに異なる種類のアクセス権が付与されます。 各ワークスペース ロールの既定の動作を次に示します。
| 役割 | 管理者を追加できますか? | メンバーを追加できますか? | OneLake のセキュリティを編集できますか? | データの書き込み、アイテムの作成が可能ですか? | OneLake でデータを読み取ることができますか? |
|---|---|---|---|---|---|
| 管理者 | はい | はい | はい | はい | はい |
| メンバー | いいえ | はい | はい | はい | はい |
| 共同作成者 | いいえ | いいえ | いいえ | はい | はい |
| ビューアー | いいえ | いいえ | いいえ | いいえ | いいえ* |
注
*閲覧者には、OneLake セキュリティ ロールを介してデータへのアクセス権を付与できます。
Fabric ワークスペース ロールは、セキュリティ グループに割り当てることによって、管理を簡素化できます。 この方法により、セキュリティ グループに対してメンバーを追加または削除することで、アクセスを制御できます。
アイテムのアクセス許可
共有機能を使用すると、ユーザーにアイテムへの直接アクセスを許可できます。 ユーザーはワークスペース内のそのアイテムしか表示できず、いずれのワークスペース ロールのメンバーでもありません。 アイテムのアクセス許可は、そのアイテムに接続するためのアクセス権と、ユーザーがアクセスできるアイテム エンドポイントを付与します。
| 権限 | アイテム メタデータを表示しますか? | SQL でデータを表示しますか? | OneLake でデータを表示しますか? |
|---|---|---|---|
| お読みください | はい | いいえ | いいえ |
| データを読む | いいえ | はい | いいえ |
| 全て読む | いいえ | いいえ | あり* |
*OneLake セキュリティロールまたはデータ アクセス ロールが有効になっているアイテムには適用されません。 プレビューが有効になっている場合、ReadAll は DefaultReader ロールが使用中の場合にのみアクセスを許可します。 DefaultReader ロールが編集または削除された場合、代わりに、ユーザーが参加しているデータ アクセス ロールに基づいてアクセスが付与されます。
アクセス許可を構成するもう 1 つの方法は、アイテムの[アクセス許可の管理] ページを使用することです。 このページを使用すると、ユーザーまたはグループの個々のアイテム アクセス許可を追加または削除できます。 使用できるアクセス許可は、アイテムの種類によって決まります。
コンピューティングのアクセス許可
コンピューティングアクセス許可は、Microsoft Fabric の特定のクエリ エンジンに適用されるデータ プレーンアクセス許可の一種です。 付与されたアクセスは、SQL エンドポイントや Power BI セマンティック モデルなど、その特定のエンジンに対して実行されるクエリにのみ適用されます。 ただし、ユーザーがコンピューティング エンジンを介してデータにアクセスする場合と、OneLake で直接データにアクセスする場合とは異なる結果が表示される場合があります。これは、適用されるコンピューティングのアクセス許可に応じて異なります。 この不一致を防ぐには、ユーザーの項目のアクセス許可が、SQL 分析エンドポイント (ReadData を使用) または OneLake (ReadAll を使用) へのアクセスのみを許可するように構成されていることを確認します。 OneLake セキュリティ (プレビュー) を使用すると、Fabric 内のすべてのエンジン間でデータの一貫性のあるビューが確保され、この複雑さを回避することをお勧めします。
次の例では、ユーザーにアイテム共有を通じて lakehouse への読み取り専用アクセス権が付与されています。 SQL 分析エンドポイントを介してユーザーにテーブルに対する SELECT アクセス許可が付与されます。 このユーザーが OneLake API を介してデータを読み取ろうとすると、ユーザーには十分なアクセス許可がないため、アクセスは拒否されます。 ユーザーは、SQL SELECT ステートメントを使用すると、正常に読み取ることができます。
OneLake セキュリティ (プレビュー)
OneLake セキュリティを使用すると、ユーザーは OneLake に格納されているデータに対してきめ細かいロールベースのセキュリティを定義し、Fabric 内のすべてのコンピューティング エンジンにわたってそのセキュリティを一貫して適用できます。
注
OneLake セキュリティは現在、限定プレビュー段階です。 プレビューへの参加を依頼してこれらの機能にアクセスするには、https://aka.ms/onelakesecuritypreview のフォームに入力します。
OneLake セキュリティは、2024 年 4 月にリリースされた既存の OneLake データ アクセス ロール (プレビュー) 機能に代わるものです。 この機能がパブリック プレビューになると、すべてのデータ アクセス ロールユーザーが OneLake セキュリティ ロールに自動的にアップグレードされます。 詳細については、 Fabric のロードマップ を確認してください。
管理者ロールまたはメンバー ロールのファブリック ユーザーは、OneLake セキュリティ ロールを作成して、アイテム内のデータへのアクセス権をユーザーに付与できます。 各ロールには 4 つのコンポーネントがあります。
- データ: ユーザーがアクセスできるテーブルまたはフォルダー。
- アクセス許可: ユーザーがデータに対して持つアクセス許可。
- メンバー: ロールのメンバーであるユーザー。
- 制約: 特定の行や列など、ロール アクセスから除外されるデータのコンポーネント (存在する場合)。
OneLake セキュリティ ロールは、 ビューアー ワークスペース ロールのユーザーのデータへのアクセス権を付与します。 管理者、メンバー、共同作成者は、OneLake セキュリティ ロールの影響を受けず、ロールメンバーシップに関係なく、アイテム内のすべてのデータを読み書きできます。 すべてのレイクハウスには DefaultReader ロールがあり、ReadAll の権限を持つユーザーにレイクハウス内のデータへのアクセスを提供します。 DefaultReader ロールを削除または編集して、そのアクセス権を削除できます。
テーブルとフォルダー、列、および 行に対する OneLake セキュリティ ロールの作成の詳細について説明します。
OneLake データ アクセス ロール (プレビュー)
OneLake データ アクセス ロールは、OneLake に格納されているデータにロールベースのアクセス制御 (RBAC) を適用できる機能です。 Fabric アイテム内の特定のフォルダーに読み取りアクセス権を付与し、ユーザーまたはグループに割り当てるセキュリティ ロールを定義できます。 アクセス許可によって、ユーザーが lakehouse UX、ノートブック、または OneLake API を介してデータのレイク ビューにアクセスするときに表示されるフォルダーが決まります。
Von Bedeutung
2025 年第 3 四半期以降、OneLake データ アクセス ロールは OneLake セキュリティに置き換えられます。 すべてのユーザーが自動的にアップグレードされ、アクションは必要ありません。
管理者、メンバー、または共同作成者のロールの Fabric ユーザーは、レイクハウス内の特定のフォルダーにのみアクセスを許可する OneLake データ アクセス ロールを作成することで開始できます。 レイクハウス内のデータへのアクセスを許可するには、データ アクセス ロールにユーザーを追加します。 データ アクセス ロールの一部ではないユーザーには、そのレイクハウスにデータが表示されません。
注
ショートカット データにアクセスするには、OneLake データ アクセス ロールを介したアクセスに加えて、ターゲットの lakehouse に対する ReadAll アクセス許可が必要です。
Power BI セマンティック モデルまたは T-SQL を使用してショートカットにアクセスする場合は、呼び出し元のユーザーの ID がショートカット ターゲット パスに渡されない点に注意してください。 代わりに、呼び出し元のアイテム所有者の ID が渡され、呼び出し元ユーザーへのアクセスが委任されます。
データ アクセス ロールの作成の詳細については、「データ アクセス ロールの概要」を参照してください。
アクセス ロールのセキュリティ モデルの詳細については、「データ アクセス制御モデル」を参照してください。
ショートカットのセキュリティ
Microsoft Fabric のショートカットを使用すると、データ管理を簡素化できます。 OneLake フォルダーのセキュリティは、データが格納されているレイクハウスで定義されているロールに基づいて OneLake ショートカットに適用されます。
ショートカットのセキュリティに関する考慮事項の詳細については、「OneLake のアクセス制御モデル」を参照してください。
特定のショートカットのアクセスと認証の詳細については、「OneLake ショートカット > ショートカットの種類」を参照してください。
認証
OneLake は認証に Microsoft Entra ID を使用します。これを使用して、ユーザー ID とサービス プリンシパルにアクセス許可を付与できます。 OneLake は、Microsoft Entra 認証を使用するツールからユーザー ID を自動的に抽出し、Fabric ポータルで設定したアクセス許可にマップします。
注
Fabric テナントでサービス プリンシパルを使用するには、テナント管理者がテナント全体または特定のセキュリティ グループに対してサービス プリンシパル名 (SPN) を有効にする必要があります。 テナント管理者 ポータルの開発者設定でのサービス プリンシパルの有効化の詳細について説明します。
監査ログ
OneLake 監査ログを表示するには、「Microsoft Fabric でユーザー アクティビティを追跡する」の手順に従います。 OneLake 操作名は、CreateFile や DeleteFile などの ADLS API に対応します。 OneLake 監査ログには、読み取り要求や Fabric ワークロード経由で OneLake に対して行われた要求は含まれません。
暗号化とネットワーク
保存データ
OneLake に格納されるデータは、Microsoft によって管理されたキーを使って、保存時に既定で暗号化されます。 Microsoft マネージド キーは、適切に交換されます。 OneLake 内のデータは、透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。
カスタマー マネージド キーを使った保存時の暗号化は、現在はサポートされていません。 この機能についてのご要望は、Microsoft Fabric のアイデアに関するページでお送りいただけます。
転送中のデータ
Microsoft サービス間のパブリック インターネット経由で転送中のデータは、常に TLS 1.2 以上で暗号化されます。 ファブリックは可能な限り TLS 1.3 にネゴシエートします。 Microsoft サービス間のトラフィックは、常に Microsoft グローバル ネットワーク経由でルーティングされます。
受信 OneLake 通信では、TLS 1.2 も適用され、可能な限り TLS 1.3 にネゴシエートされます。 お客様が所有するインフラストラクチャへの送信Fabric通信では、セキュリティで保護されたプロトコルが優先されますが、新しいプロトコルがサポートされていない場合は、古い安全でないプロトコル (TLS 1.0 を含む) にフォールバックする可能性があります。
プライベート リンク
Fabric でプライベート リンクを構成するには、「プライベート リンクを設定して使用する」を参照してください。
Fabric の外部で実行されているアプリが OneLake 経由でデータにアクセスできるようにする
Fabric 環境の外部にあるアプリケーションから OneLake データへのアクセスを許可または制限できます。 管理者は、 管理ポータルのテナント設定の OneLake セクションでこの設定を見つけることができます。
この設定を有効にすると、ユーザーはすべてのソースのデータにアクセスできます。 たとえば、Azure Data Lake Storage (ADLS) API または OneLake ファイル エクスプローラーを使用するカスタム アプリケーションがある場合は、この設定を有効にします。 この設定をオフにすると、ユーザーは Spark、Data Engineering、Data Warehouse などの内部アプリのデータに引き続きアクセスできますが、Fabric 環境の外部で実行されているアプリケーションからのデータにはアクセスできません。