Power BI の実装計画: テナント レベルの監視

  • [アーティクル]

注意

この記事は、Power BI 実装計画 シリーズの記事の一部です。 このシリーズでは、主に Microsoft Fabric 内での Power BI のエクスペリエンスに焦点を当てます。 シリーズの概要については、「Power BI 実装計画」を参照してください。

テナント レベルの監視に関するこの記事は、主に次の方を対象としています。

  • Power BI 管理者: 組織の Power BI 監視を担当する管理者。 Power BI 管理者は、IT、情報セキュリティ、内部監査、その他の関連チームと共同で作業することが必要な場合があります。
  • センター オブ エクセレンス、IT、BI チーム: Power BI の監視も担当するチーム。 彼らは、Power BI 管理者、情報セキュリティ、その他の関連チームと共同で作業することが必要な場合があります。

"監査" と "監視" という用語は、密接に関連しています。

  • 監査: システム、そのユーザー アクティビティ、関連するプロセスを理解するために行うアクション。 監査アクティビティは、手動、自動、またはその両方の組み合わせで行うことができます。 監査プロセスは、ある特定の側面 (たとえば、ワークスペースのセキュリティ監査) に焦点を当てることもあれば、エンドツーエンドの監査ソリューションを指す場合もあります。 監査ソリューションは、分析と処理の対象となるデータの抽出、格納、変換で構成されます。
  • 監視: 何が起きているのかを知らせる継続的なアクティビティ。 通常、監視にはアラートと自動化が含まれますが、手動で監視を行うこともあります。 監視は、監査対象として選んだプロセスに対して設定できます (たとえば、特定のテナント設定が変更されたときに表示される通知など)。

この記事では、Power BI テナントを監視するさまざまな方法について説明します。

注意

ユーザーが実行するアクティビティの追跡については、「テナント レベルの監査」を参照してください。

コンテンツの監視と保護

情報保護とデータ損失防止に関連する監視の側面がいくつかあります。

Power BI の情報保護

情報保護は、組織のデータを保護し、機密情報を共有するリスクを軽減し、規制要件に対するコンプライアンス状態を強化することに重点を置いています。 情報保護は、秘密度ラベルの使用から始まります。

コンテンツを分類してラベルを付けると、組織の次の作業に役立ちます。

  • 機密データが存在する場所を理解する。
  • 外部および内部のコンプライアンス要件を追跡する。
  • 認可されていないユーザーからコンテンツを保護する。
  • 責任を持ってデータを処理する方法についてユーザーを教育する。
  • リアルタイム制御を実装して、データ漏えいのリスクを軽減する。

ヒント

秘密度ラベルの実装については、Power BI の情報保護に関する記事を参照してください。

Power BI のデータ損失防止

データ損失防止 (DLP) とは、組織のデータを保護するアクティビティとプラクティスを指します。 DLP の目標は、承認されていないユーザーと機密データを共有する場合に発生する可能性があるデータ漏えいのリスクを軽減することです。 ユーザーの責任ある行動はデータを保護する上で不可欠ですが、通常、DLP は自動化されたポリシーを指します。

DLP を使用すると、次のことができます。

  • 機密データの危険、不注意、または不適切な共有が行われた場合、それを検出して管理者に通知します。 具体的には、次のことができます。
    • 自動化と情報を使用して、Power BI テナントの全体的なセキュリティ設定を改善する。
    • 機密データを対象とする分析ユース ケースを有効にする。
    • 監査情報をセキュリティ管理者に提供する。
  • ユーザーにコンテキスト通知を提供します。 具体的には、次のことをサポートします。
    • 通常のワークフローで適切な意思決定を行うのを支援する。
    • 生産性を悪影響を与えることなく、データ分類と保護ポリシーに従う。

ヒント

DLP の実装については、Power BI のデータ損失防止に関する記事を参照してください。

セキュリティと脅威を監視する

セキュリティと脅威に関連する監視の側面がいくつかあります。

Defender for Cloud Apps for Power BI

Microsoft Defender for Cloud Apps は、管理者が以下のことを実行できるようにするクラウド アクセス セキュリティ ブローカー (CASB) です。

  • 特定のアクティビティに基づいて監視し、アラートを生成する。
  • DLP ポリシーを作成する。
  • 異常な動作や危険なセッションを検出します。
  • アプリケーションによって実行されるアクティビティを制限します (Microsoft Entra 条件付きアクセス アプリ制御を使用)。

Defender for Cloud Apps により、強力な Power BI の監視と保護の機能をいくつか利用できます。 たとえば、次のようなことができます。

  • 特定の秘密度ラベルが割り当てられているときに、すべてのユーザー (または特定のユーザー) が Power BI サービスからファイルをダウンロードできないようにします。
  • Power BI サービスでテナント設定が更新されたときなど、管理アクティビティが検出されたときにアラートを受信する。
  • Power BI サービスでの、大量のファイル ダウンロードや異常な数の共有操作など、疑わしい動作や異常な動作が発生したことを検出する。
  • Power BI サービスからのエクスポートなど、特定の秘密度ラベルが割り当てられているコンテンツに関連する特定のアクティビティを、アクティビティ ログで検索する。
  • 短期間に同じユーザー アカウントが異なる地域から接続した場合など、危険なセッションが発生したときに通知を受け取る。
  • 事前定義済みのセキュリティ グループに属さないユーザーが、Power BI サービスで特定のコンテンツを表示したことを特定する。

詳細については、「Power BI 用の Defender for Cloud Apps」を参照してください。

Microsoft Sentinel

Microsoft Sentinel は、セキュリティ情報イベント管理 (SIEM) サービスです。 これは、次のことができる Azure サービスです。

  • ユーザー、デバイス、アプリケーション、インフラストラクチャのログとセキュリティ データを収集する。 Power BI サービスなど、企業内のさまざまな領域からログとユーザー アクティビティを取り込むことができます。
  • 潜在的な脅威を検出する。 規則とアラートを作成し、追跡すべき重要な情報を絞り込むことができます。自動化された脅威インテリジェンスもあるので、手動の作業を減らすことができます。
  • データを分析し、インシデントのスコープと根本原因を調査する。 組み込みの視覚化ツールや Kusto 照会言語 (KQL) クエリを使用できます。 また、Power BI を使って、収集したデータを視覚化および分析することもできます。
  • セキュリティ インシデントと脅威に対応する。 対応を直接処理できます。 また、Azure Logic Apps に基づくワークフローであるプレイブックを使うことで、対応と修復を自動化することもできます。

Microsoft Sentinel のデータは Azure Log Analytics (Azure Monitor のコンポーネント) に格納されます。 これは、セマンティック モデル イベント ログと同じアーキテクチャに基づいており、セマンティック モデル (旧称はデータセット) で発生したユーザー生成とシステム生成のアクティビティが取り込まれます。

Power BI で Microsoft Sentinel を使うには、2 種類の方法があります。

  • Sentinel の Power BI データ コネクタを使う: Power BI 監査ログの属性の一部は Azure Log Analytics (Azure Monitor) にストリーミングされます。 これは、Power BI 環境のユーザー アクティビティを追跡するために監査ログを取得する方法の 1 つです。 詳細については、「テナントレベルの監査」を参照してください。
  • Power BI を分析ツールとして使う: Power BI は、Microsoft Sentinel (およびそれに伴う Azure Monitor と Azure Log Analytics) がさまざまなデータ コネクタから収集するデータに接続します。 そうすると、標準の Power BI 機能を使ってデータをモデル化、分析、視覚化できます。 詳細については、「Microsoft Sentinel のデータから Power BI レポートを作成する」を参照してください。

重要

Microsoft Sentinel、Azure Monitor、Azure Log Analytics、Defender for Cloud Apps は個別のサービスです。 それぞれ、Power BI とは別の独自の価格モデルとセキュリティ モデルがあります。 Power BI 管理者には、これらのサービスに対するアクセス権が自動的に付与されません。 インフラストラクチャ チームと連携して、どのサービスを使うのが最適かを計画することをお勧めします。

ユーザー アクティビティを取り込むさまざまなオプションの詳細については、「テナントレベルの監査」を参照してください。

Power BI サービスの正常性を監視する

サービスの正常性、インシデント、問題について情報を取得する方法はいくつかあります。

ヒント

Microsoft に Power BI サポート リクエストを送信する前に、まずこのセクションに記載されているリソースを確認することをお勧めします。

Power BI サポート サイト

明らかなサービス停止や劣化が発生した場合、Power BI 管理者とユーザーは Power BI サポート サイトを参照することをお勧めします。 一般公開されているサイトであり、Power BI に関する優先度の高い問題に関する情報が表示されいます。 このサイトの内容は次のとおりです。

  • Power BI サービスの状態。
  • サービス レベルの停止または低下の通知。
  • 広く啓発するための情報提供メッセージ。

Power BI サポート サービス状態ページのスクリーンショット。

注意

通常、Microsoft は国/地域内クラウドに関連する問題を Power BI サポート サイトではなく、Microsoft 365 管理センターで伝えています。 国/地域内クラウドを使っている場合は、Microsoft 365 管理者と連携して Power BI の問題を監視してください。

Power BI サポートの詳細については、サポートに問い合わせる方法に関する記事を参照してください。

組織内のユーザーをサポートする方法については、ユーザー サポートに関する記事を参照してください。

Power BI のメール通知

Power BI テナントでサービスの停止、中断、機能低下が発生した場合に、アラート通知をメールで受け取ることができます。 これらの通知は、Premium ワークスペースでのみ使用できます。

重要

この記事では、Power BI Premium またはその容量サブスクリプション (P SKU) に言及することがあります。 現在、Microsoft は購入オプションを統合し、容量あたりの Power BI Premium SKU を廃止していることに注意してください。 新規および既存のお客様は、代わりに Fabric 容量サブスクリプション (F SKU) の購入をご検討ください。

詳細については、「Power BI Premium ライセンスに関する重要な更新」と「Power BI Premium のよく寄せられる質問」を参照してください。

メール アラートを設定するには、[サービスの停止またはインシデントに関する電子メール通知を受け取る] テナント設定をオンにします。 この目的はメールを送信することなので、メール対応のセキュリティ グループをこの設定に割り当てる必要があります。 Power BI System Support のようなグループ名を付けることをお勧めします。 このグループには、Power BI 管理者、センター オブ エクセレンス (COE) の主要担当者、ユーザー サポートを処理するヘルプ デスクを追加するようにします。

ヒント

内部ユーザーに通知する必要がある場合は、技術用語を使わないようにカスタマイズしたメッセージを COE から送信することをお勧めします。 そうすれば、メッセージに追加のコンテキストを含めて、Teams チャネルのような優先コミュニケーション プラットフォームを使用することができます。

詳細については、サービス中断の通知を有効にする方法の記事を参照してください。

Power BI の既知の問題

Power BI 管理者とユーザーは、「Power BI の既知の問題」ページを監視することもできます。 このページには、現在アクティブな既知の問題や最近解決された既知の問題に関する情報が掲載されています。

既知の問題には、他のお客様から Microsoft サポートに報告されたソフトウェアのバグが含まれる場合があります。 また、問題には設計上の機能が含まれる場合もありますが、Microsoft サポートは多数のチケットを受け取っていいるため、説明が必要になります。

Microsoft 365 管理センター

Microsoft 365 管理センターには、Microsoft 365 サービスのサービス正常性情報、インシデントの概要、アドバイザリ メッセージが表示されます。 また、Power BI サービスのサービス インシデントと特定の種類の主要な更新プログラムが Microsoft 365 管理センターに投稿されます。

ヒント

M365 へのアクセスは、十分なアクセス許可を持つ管理者が使用できます。 Power BI 管理者は、M365 サービスの正常性と M365 メッセージ センターの閲覧が制限されています。

メッセージには次の 2 種類があります。

  • アドバイザリ メッセージ: 一部のお客様のみに影響する問題です。 サービスは使用できますが、問題は断続的か、スコープとユーザーへの影響が限定的である可能性があります。
  • アクティブ インシデント: 現在、サービス、または主要な機能が使用できない、または著しく低下する問題が複数のお客様に発生しています。

Microsoft 365 サービスの正常性

Microsoft 365 サービスの正常性」ページには、アドバイザリやインシデントに関する通知が表示されます。 また、次のようなアクティブなインシデントの情報も表示されます。

  • 説明
  • ユーザーへの影響
  • Status
  • 期間 (解決している場合) または解決までの推定時間 (未解決の場合)
  • 次の状態の更新 (未解決の場合)
  • 根本原因 (解決している場合)

問題履歴ページには、過去 30 日間に解決されたインシデントとアドバイザリが表示されます。

Microsoft 365 メッセージ センター

Microsoft 365 メッセージ センターには Microsoft 365 サービスの変更予定が公開されているので、管理者は事前に準備できます。 アクティブなインシデントの場合、前述のように、各メッセージは Microsoft 365 サービスの正常性ページの詳細情報にリンクしています。

メッセージは、Microsoft によって収集されたテレメトリに基づいている場合があります。 たとえば、Microsoft のテレメトリでは、ユーザーが Power BI サービスに接続するために使っているブラウザーの種類を認識しています。 Internet Explorer の使用が検出された場合、Power BI がそのブラウザーをサポートしなくなったことを説明するメッセージが表示されることがあります。

Power BI で Internet Explorer がサポートされなくなったことを説明する Microsoft 365 メッセージ センターの通知のスクリーンショット。

Power BI の問題サイト

公開されている Power BI の問題サイトを確認できます。 これは、発生した問題をユーザーが一般公開で報告する場所です。

更新プログラムと修正プログラムを監視する

Power BI Desktop をユーザー マシンにインストールする方法を管理することで、更新プログラムと修正プログラムがインストールされるタイミングを制御できます。 ただし、Power BI サービスの変更がテナントにリリースされるタイミングは制御できません。

Power BI サービスと Power BI Desktop のリリースをよく監視することをお勧めします。 リリースを監視することで、準備を整え、重要な機能の変更をテストし、重要な変更をユーザーに通知することができます。

更新プログラム

Power BI サービスは、継続的かつ頻繁に更新されるクラウド サービスです。 Windows マシンにインストールする必要がある Power BI Desktop は、通常、毎月更新されます (次に説明する修正プログラムを除きます)。 Microsoft は、Power BI ブログでリリースのお知らせを投稿します。

バージョン番号と現在のリリースに関する詳細情報のリンクについては、「Power BI の新機能」を参照してください。

以前のリリースの詳細については、Power BI の更新プログラム アーカイブに関する記事を参照してください。

QFE リリース

重要度に応じて、Microsoft は Quick-Fix Engineering (QFE) リリースを行うことがあります。これは一般に "バグ修正" または "修正プログラム" と呼ばれます。 QFE リリースは、Power BI Desktop の更新プログラムが通常の月次リリース サイクル以外で作成されるときに発生します。

過去の QFE リリースの履歴については、「Power BI Desktop の変更ログ」を参照してください。

Power BI のお知らせを監視する

組織で Power BI を効果的にサポートするには、お知らせと新機能に継続的に監視するようにします。

Power BI のリリース計画

リリース計画のページでは、今後の機能について、予定日を含む公開ロードマップを確認できます。

今後の変更が重要で、事前に計画しておきたいこともあります。 毎年の計画サイクルは 4 月から 9 月までと 10 月から 3 月までという 2 期間に分けられています。

Power BI ブログ

Power BI ブログを購読すると、重要なお知らせと新しいリリースに関する記事をフォローできます。 また、一部のブログ記事には今後の機能に関する情報も掲載されており、事前に計画するために役立ちます。

ヒント

特に重要なのは、毎月のブログ記事のお知らせを読むことです。 Power BI サービス、Power BI Desktop、Power BI モバイル アプリの新機能と予定されている変更の概要が記載されています。

Power BI のアイデア

Power BI アイデア サイトを定期的に監視することを検討してください。 このサイトには、他のお客様からリクエストされた上位のアイデアが掲載されています。 また、新しいアイデアを送信し、サポートするアイデアに投票することで、Power BI の将来の方向性に影響を与えることができます。

Azure の状態」ページには、Azure サービスの状態が表示されます。 Power BI テナントと統合できる可能性のある Azure サービスは数多くあります。

Power BI と統合されている一般的な Azure サービスを次に示します。

  • Microsoft Entra ID: お客様の Power BI テナント は、ID とアクセス管理のために Microsoft Entra ID (旧称 Azure Active Directory) に依存しています。
  • Azure Power BI Embedded: Azure Power BI Embedded は、顧客向けアプリに Power BI コンテンツをプログラムで埋め込むことをサポートします。 Power BI Embedded は、Power BI Premium 容量で自動スケーリングを有効にしているお客様にも適用されます。 Power BI Embedded を使う場合の詳細については、「顧客向けに埋め込む」使用シナリオを参照してください。
  • Azure Storage アカウント: Azure Data Lake Storage Gen2 (ADLS Gen2) は、データフロー ストレージやセマンティック モデル バックアップを含むワークスペースレベルのデータ ストレージに使用できます。 データフロー ストレージの詳細については、「セルフサービス データ準備」使用シナリオを参照してください。
  • Azure Log Analytics: ワークスペース監査を有効にすると、セマンティック モデル イベント ログを取り込むことができます。 詳細については、「データレベルの監査」を参照してください。
  • Azure Files: ワークスペースで大規模なセマンティック モデル形式が有効な場合、データは Azure Files に格納されます。
  • データ ソース: Power BI が接続するデータ ソースの種類が多数存在する可能性があります。 データ ソースには、Azure Analysis Services、Azure SQL Database、Azure Synapse Analytics、Azure storage などがあります。
  • 仮想マシン: Power BI のデータ ゲートウェイは、Azure 仮想マシン (VM) 上で実行できます。 また、Power BI のデータ ソースとして使われるデータを含むデータベースは、Azure の VM 上で実行される場合があります。
  • 仮想ネットワーク データ ゲートウェイ:仮想ネットワーク (VNet) データ ゲートウェイを実装することで、プライベート ネットワーク内のデータ ソースにセキュリティで保護された方法でアクセスできます。
  • Azure Key Vault: Azure Key Vault の一般的な使用方法として、Power BI サービスで保存されているデータの暗号化キーをお客様が管理する場合があります。 詳細については、Bring Your Own Key (BYOK) とカスタマー マネージド キー (CMK) を参照してください。
  • Microsoft Purview:Microsoft Purview 情報保護または Microsoft Purview データ カタログで、Power BI テナントをスキャンし、メタデータを抽出するために使います。

チェックリスト - テナントレベルの監視を計画する場合は、主に次のような決定とアクションを行います。

  • 管理者と主要担当者を教育する: Power BI 管理者と COE の主要担当者が、サービス正常性、更新プログラム、お知らせを監視する際に使用できるリソースを認識するようにします。
  • 監視計画を作成する: サービス正常性、更新プログラム、お知らせを監視する方法と担当者を決定します。 情報の収集、伝達、計画、対応の方法についての想定を明確にします。
  • ユーザー コミュニケーション計画を作成する: 組織内の他のユーザーとのコミュニケーションが必要な状況を明確にします。 組織内のユーザーに伝達する方法と担当者と、その状況を決定します。
  • メール通知を受け取る担当者を決定する: Power BI の問題が発生したときに、Microsoft からのメール通知を受け取る担当者を決定します。 その決定に併せて [サービスの停止またはインシデントに関する電子メール通知を受け取る] テナント設定を更新します。
  • 管理者ロールを確認する: M365 管理センターでサービス正常性を確認するために必要なロールとアクセス許可を確認します。
  • 情報保護と DLP の要件を調査する: Microsoft Purview 情報保護の秘密度ラベルを使ってデータ (情報保護の最初の構成要素) を分類するための要件を検討します。 Power BI の DLP を実装するための要件と、関連する監視プロセスについて検討します。
  • Defender for Cloud Apps の機能を調査する: Microsoft Defender for Cloud Apps を使って、ユーザーの行動とアクティビティを監視するための要件を検討します。

関連するコンテンツ

Power BI の実装の決定に役立つ考慮事項、アクション、意思決定基準、推奨事項について詳しくは、「Power BI 実装計画」をご覧ください。