Fabric、コンピューティング エンジン、OneLake を使用してデータをセキュリティで保護する

Fabric には、データ アクセスを管理するためのマルチレイヤー セキュリティ モデルが用意されています。 セキュリティは、ワークスペース全体、個々の項目、または各 Fabric エンジンの詳細なアクセス許可を使用して設定できます。 OneLake には、このドキュメントで説明する独自のセキュリティに関する考慮事項があります。

OneLake データ アクセス ロール (プレビュー)

OneLake データ アクセス ロール (プレビュー) を使用すると、ユーザーはレイクハウス内にカスタム ロールを作成し、OneLake にアクセスするときに指定したフォルダーにのみ読み取りアクセス許可を付与できます。 OneLake ロールごとに、ユーザーはユーザー、セキュリティ グループを割り当てたり、ワークスペース ロールに基づいて自動割り当てを付与したりできます。

個別にセキュリティで保護されたコンテナーに接続するデータ レイクの構造を示す図。

OneLake データ アクセス制御モデルデータ アクセスを開始の詳細について説明します。

ショートカットのセキュリティ

Microsoft Fabric のショートカットを使用すると、データ管理を簡素化できます。 OneLake フォルダーのセキュリティは、データが格納されているレイクハウスで定義されているロールに基づいて OneLake ショートカットに適用されます。

ショートカットのセキュリティに関する考慮事項の詳細については、「OneLake のアクセス制御モデル」を参照してください。 ショートカットの詳細については[こちら]をご覧ください。

認証

OneLake は認証に Microsoft Entra ID を使用します。これを使用して、ユーザー ID とサービス プリンシパルにアクセス許可を付与できます。 OneLake は、Microsoft Entra 認証を使用するツールからユーザー ID を自動的に抽出し、Fabric ポータルで設定したアクセス許可にマップします。

Note

Fabric テナントでサービス プリンシパルを使用するには、テナント管理者がテナント全体または特定のセキュリティ グループに対してサービス プリンシパル名 (SPN) を有効にする必要があります。 テナント管理者 ポータルの開発者設定でのサービス プリンシパルの有効化の詳細について説明します

保存データ

OneLake に格納されるデータは、Microsoft によって管理されたキーを使って、保存時に既定で暗号化されます。 Microsoft マネージド キーは、適切に交換されます。 OneLake 内のデータは、透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。

カスタマー マネージド キーを使った保存時の暗号化は、現在はサポートされていません。 この機能についてのご要望は、Microsoft Fabric のアイデアに関するページでお送りいただけます。

転送中のデータ

Microsoft サービス間のパブリック インターネット経由で転送中のデータは、常に TLS 1.2 以上で暗号化されます。 ファブリックは可能な限り TLS 1.3 にネゴシエートします。 Microsoft サービス間のトラフィックは、常に Microsoft グローバル ネットワーク経由でルーティングされます。

受信 OneLake 通信では、TLS 1.2 も適用され、可能な限り TLS 1.3 にネゴシエートされます。 お客様が所有するインフラストラクチャへの送信Fabric通信では、セキュリティで保護されたプロトコルが優先されますが、新しいプロトコルがサポートされていない場合は、古い安全でないプロトコル (TLS 1.0 を含む) にフォールバックする可能性があります。

現在、Fabric では、Fabric 以外の製品と Apache Spark を介した OneLake データへのプライベート リンク アクセスはサポートされていません。

Fabric の外部で実行されているアプリが OneLake 経由でデータにアクセスできるようにする

OneLake を使うと、Fabric 環境の外部で実行されているアプリケーションからのデータへのアクセスを制限できます。 管理者は、「テナント管理ポータルのOneLake セクション」で設定を見つけることができます。 このスイッチをオンにすると、ユーザーはすべてのソースを介してデータにアクセスできます。 スイッチをオフにすると、ユーザーは Fabric 環境の外部で実行されているアプリケーションを介してデータにアクセスできなくなります。 たとえば、ユーザーは Azure Data Lake Storage (ADLS) API や OneLake ファイル エクスプローラーを使用してアプリケーション経由でデータにアクセスできます。