Microsoft Fabric には、項目やデータにアクセスするときに受信接続が発生する場所を組織が制御できるように、受信ネットワーク保護のレイヤーがいくつか用意されています。 これらの機能を使用すると、テナント管理者とワークスペース管理者は、ネットワーク境界を適用し、パブリック アクセスを制限し、セキュリティで保護されたプライベート チャネル経由で受信接続をルーティングできます。 この記事では、すべての受信保護オプションの概要、それらが相互にどのように関連しているか、環境に適した構成を選択するためのガイダンスについて説明します。
受信保護機能の概要
Fabric は、次の 2 つのスコープで受信保護を提供します。
テナント レベルの受信保護: テナント管理者は、Fabric テナント内のすべてのワークスペースに適用されるこれらの設定を構成します。 これには、テナント レベルの Private Link や、受信接続の発信元を制限する Microsoft Entra 条件付きアクセス ポリシーなどの機能が含まれます。
ワークスペース レベルの受信保護: ワークスペース管理者は、個々のワークスペースに適用されるこれらの設定を構成します。 これには、ワークスペース レベルの Private Link と、管理者がワークスペースの特定のネットワーク境界を定義できるようにするワークスペース IP ファイアウォール規則が含まれます。
テナント レベルとワークスペース レベルの受信保護機能を組み合わせることで、組織は特定のアクセス制御要件を満たす階層型セキュリティ アプローチを作成できます。 次のセクションでは、各機能とその相互作用について詳しく説明します。
テナント単位での受信保護
テナント管理者は、ワークスペース固有の設定によってオーバーライドされない限り、すべてのワークスペースに適用される受信コントロールを構成できます。
- テナント レベルの Private Link: すべての受信接続を Azure Private Link 経由でファブリック リソースにルーティングし、承認された仮想ネットワークからトラフィックが送信されるようにします。
- Microsoft Entra 条件付きアクセス: ユーザーの場所、デバイスのコンプライアンス、その他の要因に基づいて受信接続を制限できる ID ベースのアクセス ポリシーを適用します。
- サービス タグ: 定義済みのサービス タグを使用して、特定の Azure サービスからの受信トラフィックを許可またはブロックします。
- ワークスペース レベルの受信規則を有効にする: テナント設定 の [ワークスペース レベルの受信ネットワーク規則の構成 ] では、ワークスペース管理者がワークスペース レベルでパブリック アクセスを制限することを許可または禁止します。 既定では、テナント管理者がこの設定を有効にしない限り、ワークスペース管理者は受信パブリック アクセスを制限できません。 有効にすると、ワークスペース管理者は、ワークスペース レベルの受信制限 (プライベート リンクを含む) を適用して、組織のネットワークセグメント化をきめ細かく行うことができます。
これらのテナント レベルの機能は、テナント内のすべてのワークスペースをセキュリティで保護するのに役立つ広範な保護を提供します。 ただし、ワークスペース レベルの設定は、より対象を絞った制御のためにそれらを補完できます。
ワークスペース レベルのインバウンド保護
ワークスペース管理者は、テナントで許可されている場合に、より具体的な受信セキュリティ制御を適用できます。
ワークスペース Private Link: ワークスペースが Azure でプライベート エンドポイントを確立することを許可し、受信接続が承認されたネットワークからのみ発信されるようにします。
ワークスペースの受信アクセス保護: テナントがワークスペース レベルのルールを有効にすると、ワークスペース管理者は [パブリック アクセスの制限] を切り替えることができます。 パブリック受信接続をブロックし、承認済みのプライベート ネットワーク経由で受信アクセスを要求するには、このオプションを選択します。
ワークスペース IP ファイアウォール: 管理者は、ワークスペースの IP ファイアウォール規則を構成して、ワークスペースアイテムにアクセスできる IP 範囲を指定できます。 この機能は、詳細な許可リストを有効にすることで、プライベート リンクを補完します。
これらのレイヤーは、組織のニーズに応じて、独立して、または一緒に動作できます。
ネットワーク セキュリティ設定の相互作用
セキュリティで保護された受信アクセスを構成するには、テナント レベルとワークスペース レベルの設定がどのように相互作用するかを理解することが不可欠です。 次の表は、ネットワーク構成が Fabric ポータルと REST API へのアクセスにどのように影響するかを示しています。
テナント管理者は、テナント レベルのプライベート リンクが有効になっている場合にのみ、パブリック アクセスを制限できます。
表 1: ネットワーク設定に基づく Fabric ポータルへのアクセス
| テナント レベルのパブリック アクセス設定 | からアクセスする | Fabric ポータルにアクセスできますか? | Fabric REST API にアクセスできますか? |
|---|---|---|---|
| 許可 | パブリック インターネット | イエス | はい(api.fabric.microsoft.com を使用) |
| 許可 | テナント プライベート リンクを使用したネットワーク | イエス | はい(テナント固有の FQDN を使用) |
| 許可 | ワークスペースのプライベート リンクを使用したネットワーク | イエス | はい(ワークスペース固有の FQDN を使用) |
| 許可 | 許可される IP | イエス | はい(api.fabric.microsoft.com を使用) |
| 制限あり | パブリック インターネット | いいえ | いいえ |
| 制限あり | テナント プライベート リンクを使用したネットワーク | イエス | はい。テナント固有の FQDN または api.fabric.microsoft.com エンドポイントを使用します。クライアントが送信パブリック アクセスを許可している場合のみ |
| 制限あり | ワークスペースのプライベート リンクを使用したネットワーク | いいえ | はい(ワークスペース固有の FQDN を使用) |
| 制限あり | ワークスペース レベルで許可されるパブリック IP | いいえ | はい(api.fabric.microsoft.com を使用) |
| 制限あり | テナント プライベート リンクとワークスペース プライベート リンクの両方を含むネットワーク | イエス | はい(api.fabric.microsoft.com を使用) |
受信保護の計画に関する考慮事項
Fabric 環境の受信保護を計画する場合は、次の要因を考慮してください。
- テナント レベルの受信規則を有効にするには、ファブリック管理者である必要があります。
- ワークスペース レベルの機能は、テナント設定によって異なります。
- プライベート リンクには Azure 構成が必要です。
- IP ファイアウォールでは細かい制御が可能ですが、慎重な IP 計画が必要です。
- 集中型モデルまたはワークスペース駆動型モデルが環境に最適かどうかを検討します。
次のステップ
- [ワークスペースの受信アクセス保護] の詳細を確認します。
- 完全なネットワーク モデルを理解するために、ワークスペースの送信アクセス保護の詳細について説明します。
- テナント レベルとワークスペース レベルの両方で Private Link の構成を確認します。
- 詳細なセットアップ ガイダンスについては、シナリオに関する記事に進んでください。