OneLake は、Azure Data Lake Storage (ADLS) Gen2 や Windows ファイル システムのような階層型データ レイクです。 OneLake のセキュリティは、アクセスと制御のさまざまな側面に対応する複数のレベルで適用されます。 コントロール プレーンとデータ プレーンのアクセス許可の違いを理解することは、データを効果的にセキュリティで保護するための鍵となります。
- コントロール プレーンのアクセス許可: ユーザーが環境内で実行できるアクション (アイテムの作成、管理、共有など) を管理します。 コントロール プレーンのアクセス許可は、多くの場合、既定でデータ プレーンのアクセス許可を提供します。
- データ プレーンのアクセス許可: リソースを管理する機能に関係なく、ユーザーがアクセスまたは表示できるデータを管理します。
データ レイク内の各レベルでセキュリティを設定できます。 しかし、階層内の一部のレベルは、Fabric の概念と関連付けられるため、特別な扱いを受けます。 OneLake セキュリティは、親アイテムまたはワークスペースのアクセス許可から継承された異なるアクセス許可を持つ OneLake データへのすべてのアクセスを制御します。 アクセス許可は次のレベルで設定できます。
ワークスペース: 項目を作成および管理するための共同作業環境。 セキュリティは、このレベルのワークスペース ロールによって管理されます。
項目: 1 つのコンポーネントにまとめられた一連の機能。 データ アイテムはアイテムのサブタイプであり、OneLake を使用してデータをその中に格納することができます。 アイテムはワークスペース ロールからアクセス許可を継承しますが、追加のアクセス許可を持つ場合もあります。
フォルダー: テーブルやファイルなどのデータの格納と管理に使用されるアイテム内のフォルダー。
アイテムは常にワークスペース内に配置され、ワークスペースは常に OneLake 名前空間の直下に配置されます。 この構造は、次のように視覚化できます。
OneLake のセキュリティ
このセクションでは、一般提供されている OneLake 機能に基づくセキュリティ モデルについて説明します。
ワークスペースのアクセス許可
ワークスペースのアクセス許可は、ユーザーがワークスペースとそのアイテム内で実行できるアクションを定義します。 これらのアクセス許可はワークスペース レベルで管理され、主にコントロール プレーンのアクセス許可です。これらは、直接データ アクセスではなく、管理およびアイテム管理機能を決定します。 ただし、ワークスペースのアクセス許可は通常、既定でデータ アクセス権を付与するためにアイテムとフォルダー レベルまで継承されます。 ワークスペースのアクセス許可で、そのワークスペース内のすべてのアイテムへのアクセスを定義できます。 4 つの異なるワークスペース ロールがあり、それぞれに異なる種類のアクセス権が付与されます。 各ワークスペース ロールの既定の動作を次に示します。
| 役割 | 管理者を追加できますか? | メンバーを追加できますか? | OneLake のセキュリティを編集できますか? | データの書き込み、アイテムの作成が可能ですか? | OneLake でデータを読み取ることができますか? | ワークスペースを更新して削除します。 |
|---|---|---|---|---|---|---|
| 管理者 | はい | はい | はい | はい | はい | はい |
| メンバー | いいえ | はい | はい | はい | はい | いいえ |
| 共同作成者 | いいえ | いいえ | いいえ | はい | はい | いいえ |
| ビューアー | いいえ | いいえ | いいえ | いいえ | いいえ* | いいえ |
Microsoft Fabric のワークスペースのロールの詳細について説明します。
注
*閲覧者には、OneLake セキュリティ ロールを介してデータへのアクセス権を付与できます。
Fabric ワークスペース ロールは、セキュリティ グループに割り当てることによって、管理を簡素化できます。 この方法により、セキュリティ グループに対してメンバーを追加または削除することで、アクセスを制御できます。
アイテムのアクセス許可
共有機能を使用すると、ユーザーにアイテムへの直接アクセスを許可できます。 ユーザーはワークスペース内のそのアイテムしか表示できず、いずれのワークスペース ロールのメンバーでもありません。 アイテムのアクセス許可は、ユーザーがアクセスできるそのアイテムとそのエンドポイントに接続するためのアクセス権を付与します。
| 権限 | アイテム メタデータを表示しますか? | SQL でデータを表示しますか? | OneLake でデータを表示しますか? |
|---|---|---|---|
| お読みください | はい | いいえ | いいえ |
| データを読む | いいえ | はい | いいえ |
| 全て読む | いいえ | いいえ | あり* |
* OneLake セキュリティ ロールまたはデータ アクセス ロールが有効になっているアイテムには適用されません。 プレビューが有効になっている場合、ReadAll は DefaultReader ロールが使用中の場合にのみアクセスを許可します。 DefaultReader ロールが編集または削除された場合、代わりに、ユーザーが参加しているデータ アクセス ロールに基づいてアクセスが付与されます。
アクセス許可を構成するもう 1 つの方法は、アイテムの[アクセス許可の管理] ページを使用することです。 このページを使用すると、ユーザーまたはグループの個々のアイテム アクセス許可を追加または削除できます。 使用できるアクセス許可は、アイテムの種類によって決まります。
OneLake セキュリティ (プレビュー)
OneLake セキュリティを使用すると、ユーザーは OneLake に格納されているデータに対してきめ細かいロールベースのセキュリティを定義し、Fabric 内のすべてのコンピューティング エンジンにわたってそのセキュリティを一貫して適用できます。 OneLake セキュリティは、OneLake のデータのデータ プレーン セキュリティ モデルです。
管理者ロールまたはメンバー ロールのファブリック ユーザーは、OneLake セキュリティ ロールを作成して、アイテム内のデータへのアクセス権をユーザーに付与できます。 各ロールには 4 つのコンポーネントがあります。
- データ: ユーザーがアクセスできるテーブルまたはフォルダー。
- アクセス許可: ユーザーがデータに対して持つアクセス許可。
- メンバー: ロールのメンバーであるユーザー。
- 制約: 特定の行や列など、ロール アクセスから除外されるデータのコンポーネント (存在する場合)。
OneLake セキュリティ ロールは、 ビューアー ワークスペース ロールまたはアイテムに対する 読み取り アクセス許可を持つユーザーのデータへのアクセスを許可します。 管理者、メンバー、共同作成者は、OneLake セキュリティ ロールの影響を受けず、ロールメンバーシップに関係なく、アイテム内のすべてのデータを読み書きできます。 すべてのレイクハウスには DefaultReader ロールがあり、ReadAll の権限を持つユーザーにレイクハウス内のデータへのアクセスを提供します。 DefaultReader ロールを削除または編集して、そのアクセス権を削除できます。
テーブルとフォルダー、列、および 行に対する OneLake セキュリティ ロールの作成の詳細について説明します。
OneLake セキュリティのアクセス制御モデルの詳細について説明します。
コンピューティングのアクセス許可
コンピューティングアクセス許可は、Microsoft Fabric の特定のクエリ エンジンに適用されるデータ プレーンアクセス許可の一種です。 付与されたアクセスは、SQL エンドポイントや Power BI セマンティック モデルなど、その特定のエンジンに対して実行されるクエリにのみ適用されます。 ただし、ユーザーがコンピューティング エンジンを介してデータにアクセスする場合と、OneLake で直接データにアクセスする場合とは異なる結果が表示される場合があります。これは、適用されるコンピューティングのアクセス許可に応じて異なります。 OneLake セキュリティは、ユーザーが操作するすべてのエンジンで一貫した結果を確保するために、OneLake のデータをセキュリティで保護するための推奨されるアプローチです。
コンピューティング エンジンには、OneLake セキュリティではまだ使用できないより高度なセキュリティ機能がある場合があり、その場合、一部のシナリオを解決するにはコンピューティング アクセス許可の使用が必要になる場合があります。 コンピューティングアクセス許可を使用してデータへのアクセスをセキュリティで保護する場合は、セキュリティが設定されているコンピューティング エンジンへのアクセス権のみがエンド ユーザーに付与されていることを確認します。 これにより、必要なセキュリティ機能がなくても、別のエンジンを介してデータにアクセスできなくなります。
ショートカットのセキュリティ
Microsoft Fabric のショートカットを使用すると、データ管理を簡素化できます。 OneLake フォルダーのセキュリティは、データが格納されているレイクハウスで定義されているロールに基づいて OneLake ショートカットに適用されます。
ショートカット セキュリティに関する考慮事項の詳細については、「 OneLake セキュリティ アクセス制御モデル」を参照してください。
特定のショートカットのアクセスと認証の詳細については、 OneLake ショートカットの種類を参照してください。
認証
OneLake は認証に Microsoft Entra ID を使用します。これを使用して、ユーザー ID とサービス プリンシパルにアクセス許可を付与できます。 OneLake は、Microsoft Entra 認証を使用するツールからユーザー ID を自動的に抽出し、Fabric ポータルで設定したアクセス許可にマップします。
注
Fabric テナントでサービス プリンシパルを使用するには、テナント管理者がテナント全体または特定のセキュリティ グループに対してサービス プリンシパル名 (SPN) を有効にする必要があります。 テナント管理者 ポータルの開発者設定でのサービス プリンシパルの有効化の詳細について説明します。
監査ログ
OneLake 監査ログを表示するには、「Microsoft Fabric でユーザー アクティビティを追跡する」の手順に従います。 OneLake 操作名は、CreateFile や DeleteFile などの ADLS API に対応します。 OneLake 監査ログには、読み取り要求や Fabric ワークロード経由で OneLake に対して行われた要求は含まれません。
暗号化とネットワーク
保存データ
OneLake に格納されるデータは、Microsoft によって管理されたキーを使って、保存時に既定で暗号化されます。 Microsoft マネージド キーは、適切に交換されます。 OneLake 内のデータは、透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。
カスタマー マネージド キーを使った保存時の暗号化は、現在はサポートされていません。 この機能についてのご要望は、Microsoft Fabric のアイデアに関するページでお送りいただけます。
転送中のデータ
Microsoft サービス間のパブリック インターネット経由で転送中のデータは、常に TLS 1.2 以上で暗号化されます。 ファブリックは可能な限り TLS 1.3 にネゴシエートします。 Microsoft サービス間のトラフィックは、常に Microsoft グローバル ネットワーク経由でルーティングされます。
受信 OneLake 通信では、TLS 1.2 も適用され、可能な限り TLS 1.3 にネゴシエートされます。 お客様が所有するインフラストラクチャへの送信Fabric通信では、セキュリティで保護されたプロトコルが優先されますが、新しいプロトコルがサポートされていない場合は、古い安全でないプロトコル (TLS 1.0 を含む) にフォールバックする可能性があります。
プライベート リンク
Fabric でプライベート リンクを構成するには、「プライベート リンクを設定して使用する」を参照してください。
Fabric の外部で実行されているアプリが OneLake 経由でデータにアクセスできるようにする
Fabric 環境の外部にあるアプリケーションから OneLake データへのアクセスを許可または制限できます。 管理者は、 管理ポータルのテナント設定の OneLake セクションでこの設定を見つけることができます。
この設定を有効にすると、ユーザーはすべてのソースのデータにアクセスできます。 たとえば、Azure Data Lake Storage (ADLS) API または OneLake ファイル エクスプローラーを使用するカスタム アプリケーションがある場合は、この設定を有効にします。 この設定をオフにすると、ユーザーは Spark、Data Engineering、Data Warehouse などの内部アプリのデータに引き続きアクセスできますが、Fabric 環境の外部で実行されているアプリケーションからのデータにはアクセスできません。