Microsoft Fabric の保護ポリシー (プレビュー)

  • [アーティクル]

Microsoft Purview 保護アクセス制御ポリシー (保護ポリシー) を使用すると、組織は、Microsoft Purview 情報保護の秘密度ラベルを使用して Fabric 内のアイテムへのアクセスを制御できます。

この記事の対象読者は、セキュリティとコンプライアンスの管理者、Fabric 管理者とユーザー、および保護ポリシーが Fabric 内のアイテムへのアクセスを制御する方法について知りたい他のユーザーです。 Fabric の保護ポリシーを作成する方法については、Fabric の保護ポリシーの作成と管理 (プレビュー) に関するページを参照してください

Note

Fabric 用の Microsoft Purview 保護ポリシーは現在ロールアウト中であり、すべてのテナントですぐに使用できるわけではありません。

Fabric の保護ポリシーのしくみ

Fabric の各保護ポリシーは、秘密度ラベルに関連付けられています。 ポリシーは、ポリシーで指定されたユーザーとグループがアイテムに対するアクセス許可を保持できるようにしながら、他のすべてのユーザーのアクセスをブロックすることで、関連付けられたラベルを持つアイテムへのアクセスを制御します。 ポリシーでは、次のことができます。

  • 指定したユーザーとグループがラベル付きアイテムの読み取りアクセス許可を持っている場合に保持できるようにします。 アイテムに対するその他のアクセス許可は削除されます。

    および/または

  • 指定したユーザーとグループがラベル付きアイテムを持っている場合は、そのアイテムに対して完全な制御を保持したり、持っているアクセス許可を保持したりできます。

前述のように、ポリシーは、ポリシーで指定されていないすべてのユーザーとグループのアイテムへのアクセスをブロックします。

Note

保護ポリシーはラベル発行者には適用されません。 つまり、保護ポリシーに関連付けられているラベルをアイテムに最後に適用したユーザーは、ポリシーで指定されていない場合でも、そのアイテムへのアクセスは拒否されません。 たとえば、保護ポリシーがラベル A に関連付けられている場合、ユーザーがラベル A をアイテムに適用すると、そのユーザーはポリシーで指定されていなくてもアイテムにアクセスできます。

ユース ケース

保護ポリシーが役立つ可能性がある例を次に示します。

  • 組織では、組織内のユーザーのみが "社外秘" というラベルのアイテムにアクセスできるようにする必要があります。
  • 組織では、財務部門のユーザーのみが "財務データ" というラベルの付いたデータ項目を編集できるようにし、組織内の他のユーザーがそれらのアイテムを読み取ることができるようにしたいと考えています。

Fabric の保護ポリシーを作成するユーザー

Fabric の保護ポリシーは、通常、組織の Purview セキュリティおよびコンプライアンス チームによって構成されます。 保護ポリシー作成者は、Information Protection 管理者以上の役割を持っている必要があります。 詳細については、「Fabric の保護ポリシーの作成と管理 (プレビュー)」を参照してください

要件

  • Microsoft Purview 情報保護の秘密度ラベルに必要な Microsoft 365 E3/E5 ライセンス。 詳細については、「Microsoft Purview 情報保護: 秘密度ラベル付け」を参照してください

  • テナントには、Microsoft Purview 情報保護の少なくとも 1 つの "適切に構成された" 秘密度ラベルが存在する必要があります。 Fabric の保護ポリシーのコンテキストで "適切に構成された" とは、ラベルが構成されたときに、そのラベルがファイルおよびその他のデータ資産にスコープ設定され、その保護設定に制御アクセスが含まれるよう設定されたことを意味します (秘密度ラベルの構成については、「秘密度ラベルとそのポリシーの作成と構成」を参照してください)。 このような "適切に構成された" 秘密度ラベルのみを使用して、Fabric の保護ポリシーを作成できます。

  • Fabric で保護ポリシーを適用するには、Fabric テナント設定 の [ユーザーがコンテンツ に秘密度ラベルを適用できるようにする] を有効にする必要があります。 この設定は、Fabric のすべての秘密度ラベルに関連するポリシーの適用に必要であるため、秘密度ラベルが Fabric で既に使用されている場合、この設定は既にオンになっています。 Fabric で秘密度ラベルを有効にする方法の詳細については、「秘密度ラベルを有効にする」を参照してください

  • Microsoft Fabric サブスクリプション

サポートされていない項目の種類

保護ポリシーは、すべてのネイティブ Fabric 項目の種類と Power BI セマンティック モデルでサポートされます。 その他のすべての Power BI 項目の種類は、現在サポートされていません。

考慮事項と制限事項

  • Fabric の保護ポリシーでは、保護ポリシーごとにラベルを 1 つだけ、ラベルごとに保護ポリシーを 1 つだけ使用できます。 ただし、保護ポリシーで使用されるラベルは、通常の秘密度ラベル ポリシーにも関連付けることができます。
  • 最大 50 個の保護ポリシーを作成できます。
  • 保護ポリシーには、最大 100 人のユーザーとグループを追加できます。
  • Fabric の保護ポリシーでは、ゲスト/外部ユーザーはサポートされません。
  • ALM パイプラインは、ユーザーが、ユーザーを含まない保護ポリシーによって保護された項目を含む ALM パイプラインをワークスペースに作成するシナリオでは機能しません。
  • ポリシーが作成されると、ポリシーに関連付けられた秘密度ラベルでラベル付けされた項目の検出と保護が開始されるまでに最大 30 分かかる場合があります。

関連するコンテンツ