次の方法で共有

受信トラフィックを保護する

  • [アーティクル]

受信トラフィックは、インターネットから Fabric に送信されるトラフィックです。 この記事では、Microsoft Fabric で受信トラフィックを保護する 2 つの方法の違いについて説明します。 この記事を使用して、組織に最適な方法を決定してください。

  • Entra 条件付きアクセス - ユーザーがアクセスを認証する場合は、IP アドレス、場所、およびマネージド デバイスを含む一連のポリシーに基づいて決定されます。

  • プライベート リンク - Fabric では、Virtual Network のプライベート IP アドレスが使用されます。 このエンドポイントを使用すると、ネットワーク内のユーザーはプライベート リンクを使用してプライベート IP アドレス経由で Fabric と通信できます。

トラフィックが Fabric に入ると、Microsoft Entra ID によって認証されます。これは、Microsoft 365、OneDrive、Dynamics 365 で使用されるのと同じ認証方法です。 Microsoft Entra ID 認証を使用すると、ユーザーは自宅、リモート、会社のオフィスのいずれであっても、任意のデバイスやネットワークからクラウド アプリケーションに安全に接続できます。

Fabric のバックエンド プラットフォームは Virtual Network によって保護されており、セキュリティで保護されたエンドポイント以外のパブリック インターネットから直接アクセスすることはできません。 Fabric でトラフィックがどのように保護されるかを理解するには、Fabric の アーキテクチャ図を確認してください。

既定では、Fabric は内部の Microsoft バックボーン ネットワークを使用してエクスペリエンス間で通信します。 Power BI レポートが OneLake からデータを読み込むと、データは内部の Microsoft ネットワークを経由します。 この構成は、プライベート ネットワーク経由で相互に接続するために複数のサービスとしてのプラットフォーム (PaaS) サービスを設定する必要とは異なります。 ブラウザーや SQL Server Management Studio (SSMS) や Fabric などのクライアント間の受信通信では、TLS 1.2 プロトコルが使用され、可能な場合は TLS 1.3 にネゴシエートされます。

Fabric の既定のセキュリティ設定は次のとおりです。

  • すべての要求を認証するために使用される Microsoft Entra ID

  • 認証が成功すると、要求はセキュリティで保護された Microsoft マネージド エンドポイントを介して適切なバックエンド サービスにルーティングされます。

  • Fabric のエクスペリエンス間の内部トラフィックは、Microsoft バックボーン経由でルーティングされます。

  • クライアントとファブリック間のトラフィックは、少なくともトランスポート層セキュリティ (TLS) 1.2 プロトコルを使用して暗号化されます。

Entra 条件付きアクセス

Fabric とのやり取りはすべて、Microsoft Entra ID で認証されます。 Microsoft Entra ID は、組織のネットワーク境界内で完全に保護されていないことを前提とするゼロ トラスト セキュリティ モデルに基づいています。 ネットワークをセキュリティ境界として見る代わりに、ゼロ トラストは ID をセキュリティの主要な境界として見ています。

認証時にアクセスを決定するには、ユーザーの ID、デバイス コンテキスト、場所、ネットワーク、アプリケーションの機密度に基づいて条件付きアクセス ポリシーを定義して適用できます。 たとえば、Fabric のデータとリソースにアクセスするために、多要素認証、デバイス コンプライアンス、承認されたアプリを要求できます。 危険な場所、デバイス、またはネットワークからのアクセスをブロックまたは制限することもできます。

条件付きアクセス ポリシーは、ユーザーの生産性とエクスペリエンスを損なうことなく、データとアプリケーションを保護するのに役立ちます。 条件付きアクセスを使用して適用できるアクセス制限の例をいくつか次に示します。

  • Fabric への受信接続用の IP のリストを定義する。

  • 多要素認証 (MFA) を使用する。

  • 送信元の国やデバイスの種類などのパラメーターに基づいてトラフィックを制限する。

Fabric では、ユーザー名とパスワードに依存するアカウント キーや SQL 認証などの他の認証方法はサポートされていません。

条件付きのアクセスの構成

Fabric で条件付きアクセスを構成するには、Power BI、Azure Data Explorer、Azure SQL データベース、Azure Storage など、複数の Fabric 関連の Azure サービスを選択する必要があります。

Note

条件付きアクセスは、Fabric と関連する Azure サービスにポリシーが適用されるため、一部のお客様は広すぎると感じる可能性があります。

ライセンス

条件付きアクセスには、Microsoft Entra ID P1 ライセンスが必要になります。 多くの場合、これらのライセンスは Microsoft 365 などの他の Microsoft 製品と共有されているため、組織で既に利用できます。 要件に適したライセンスを見つけるには、「ライセンス要件」を参照してください。

信頼されたアクセス

データが格納されている場合でも、Fabric はプライベート ネットワーク内に存在する必要はありません。 PaaS サービスでは、コンピューティングをストレージ アカウントと同じプライベート ネットワークに配置するのが一般的です。 ただし、Fabric では、これは必要ありません。 Fabric への信頼されたアクセスを有効にするには、オンプレミス データ ゲートウェイ信頼されたワークスペース アクセスマネージド プライベート エンドポイントなどの機能を使用できます。 詳細については、「Microsoft Fabric のセキュリティ」を参照してください。

プライベート エンドポイント では、お客様のサービスに Virtual Network からプライベートIPアドレスが割り当てられます。 エンドポイントにより、ネットワーク内の他のリソースがプライベート IP アドレス経由でサービスと通信できるようになります。

プライベート リンクを使用すると、サービスからいずれかのサブネットへのトンネルによってプライベート チャネルが作成されます。 外部デバイスからの通信は、IP アドレスから、そのサブネット内のプライベート エンドポイントに、トンネルを経由してサービスに送信されます。

プライベート リンクを実装する場合、Fabric はパブリック インターネット経由でアクセスできなくなります。 Fabric にアクセスするには、すべてのユーザーがプライベート ネットワーク経由で接続する必要があります。 ブラウザーで Power BI レポートを表示したり、SQL Server Management Studio (SSMS) を使用して SQL エンドポイントに接続したりするなど、Fabric とのすべての通信にはプライベート ネットワークが必要です。

オンプレミス ネットワーク

オンプレミス ネットワークを使用している場合は、ExpressRoute 回線またはサイト間 VPN を使用して Azure Virtual Network (VNet) に拡張し、プライベート接続を使用して Fabric にアクセスできます。

帯域幅

プライベート リンクを使用すると、Fabric へのすべてのトラフィックがプライベート エンドポイントを通過し、帯域幅の問題が発生する可能性があります。 ユーザーは、Fabric で使用される画像の .css ファイルや .html ファイルなどのグローバル分散型非データ関連リソースをリージョンから読み込むことができなくなります。 これらのリソースは、プライベート エンドポイントの場所から読み込まれます。 たとえば、米国のプライベート エンドポイントを持つオーストラリアのユーザーの場合、トラフィックは最初に米国に移動します。 これにより、読み込み時間が長くなり、パフォーマンスが低下する可能性があります。

コスト

プライベート リンクのコストと、ネットワークからのプライベート接続を許可する ExpressRoute 帯域幅の増加により、組織にコストが追加される可能性があります。

考慮事項と制限事項

プライベート リンクを使用すると、Fabric はパブリック インターネットから遮断されます。 そのため、考慮する必要がある検討事項と制限が多数あります。

関連するコンテンツ