Power BI のデータ損失防止ポリシー

  • [アーティクル]

組織が機密データを検出して保護できるように、Power BI では Microsoft Purview データ損失防止 (DLP) ポリシーをサポートしています。 Power BI の DLP ポリシーで機密性の高いセマンティック モデルが検出された場合、Power BI サービスのセマンティック モデルに、機密性の高いコンテンツの性質を説明するポリシー ヒントを添付できます。また、Microsoft Purview コンプライアンス ポータルのデータ損失防止 [アラート] ページで、管理者が監視および管理に利用できるアラートを登録できます。 さらに、電子メール アラートを管理者および指定されたユーザーに送信することもできます。

この記事では、Power BI での DLP のしくみを説明し、考慮事項と制限事項、ライセンスとアクセス許可の要件を一覧で示し、DLP の CPU 使用率の測定方法を説明します。 詳細については、以下を参照してください。

考慮事項と制限事項

  • Power BI の DLP ポリシーは、Microsoft Purview コンプライアンス ポータルで定義されています。
  • DLP ポリシーはワークスペースに適用されます。 Premium 容量でホストされているワークスペースのみがサポートされます。
  • DLP セマンティック モデル評価ワークロードは容量に影響します。 詳細については、DLP ポリシー評価のための CPU 使用状況測定に関する記事を参照してください。
  • DLP ポリシー テンプレートは、Power BI の DLP ポリシーではまだサポートされていません。 Power BI の DLP ポリシーを作成する場合は、"カスタム ポリシー" オプションを選択します。
  • Power BI DLP ポリシー ルールでは、現在、機密度ラベルと機密情報の種類が条件としてサポートされています。
  • Power BI の DLP ポリシーは、サンプル セマンティック モデル、ストリーミング データセット、または DirectQueryライブ接続を介してデータ ソースに接続するセマンティック モデルではサポートされていません。 これには、データの一部をインポート モードで取得し、一部を DirectQuery で取得する、混合ストレージを用いるセマンティック モデルが含まれます。
  • 完全データ一致 (EDM) 分類器トレーニング可能な分類器は Power BI の DLP ではサポートされていません。 ポリシーの条件で EDM またはトレーニング可能な分類器を選んだ場合、セマンティック モデルに実際に EDM またはトレーニング可能な分類器に合致するデータが含まれていても、ポリシーは結果を生成しません。 ポリシーで指定された他の分類器がある場合、結果があればそれが返されます。
  • Power BI の DLP ポリシーは、中国北部リージョンではサポートされていません。 組織の既定のリージョンを探す方法については、「組織の既定のリージョンを確認する方法」を参照してください。

ライセンスとアクセス許可

SKU およびサブスクリプションのライセンス

Power BI の DLP の使用を開始する前に、Microsoft 365 サブスクリプションを確認する必要があります。 DLP ルールを設定する管理者アカウントには、次のいずれかのライセンスが割り当てられている必要があります。

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection & Governance

アクセス許可

Power BI の DLP からのデータは、アクティビティ エクスプローラーで表示できます。 アクティビティ エクスプローラーにアクセス許可を付与するロールは 4 つあります。データへのアクセスに使用するアカウントは、それらのいずれかである必要があります。

  • 全体管理者
  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンス データ管理者

DLP ポリシー評価のための CPU 使用状況測定

DLP ポリシー評価では、評価対象のセマンティック モデルが配置されているワークスペースに関連付けられた Premium 容量の CPU が使用されます。 評価の CPU 消費量は、評価をトリガーしたアクションによって消費された CPU の 30% として計算されます。 たとえば、更新アクションによって CPU の 30 ミリ秒が消費された場合、DLP のスキャンによってさらに 9 ミリ秒が消費されます。 DLP 評価に対するこの固定された 30% の追加 CPU 消費量は、組織内で DLP ポリシーをロールアウトするときに DLP ポリシーが全体的な容量 CPU 使用率に与える影響を予測し、キャパシティ プランニングを実行するのに役立ちます。

Power BI Premium Capacity Metrics アプリを使って、DLP ポリシーの CPU 使用率を監視します。 詳細については、Microsoft Fabric Capacity Metrics アプリの使用に関する記事を参照してください。

Note

PPU ライセンスを持つユーザーには、前述の DLP ポリシー評価コストが発生しません。これらのコストは PPU ライセンスによって事前にカバーされているためです。

Power BI の DLP ポリシーのしくみ

DLP ポリシーは、コンプライアンス ポータルのデータ損失防止のセクションで定義します。 ポリシーでは、検出する秘密度ラベルや機密情報の種類を指定します。 また、指定した種類の機密データを含むセマンティック モデルがポリシーによって検出されたときに発生するアクションも指定します。 Power BI の DLP ポリシーでは、次の 2 つのアクションがサポートされます。

  • ポリシー ヒントを使用したユーザー通知。
  • アラート。 アラートは、管理者およびユーザーに電子メールで送信できます。 また、管理者は、コンプライアンス ポータルの [アラート] タブでアラートを監視および管理できます。

DLP ポリシーによってセマンティック モデルが評価されると、DLP ポリシーの指定条件と一致する場合に、ポリシーで指定されたアクションが発生します。 セマンティック モデルは、次のいずれかのイベントが発生するたびに DLP ポリシーに照らして評価されます。

  • 公開
  • 再発行
  • オンデマンドの更新
  • スケジュールされている更新

Note

次のいずれかに該当する場合、セマンティック モデルの DLP 評価は発生しません。

  • イベント (公開、再公開、オンデマンド更新、スケジュールされた更新) のイニシエーターは、サービス プリンシパル認証を使うアカウントです。
  • セマンティック モデルの所有者がサービス プリンシパルの場合。

Power BI の DLP ポリシーによってセマンティック モデルにフラグが設定されるとどうなるか

DLP ポリシーでセマンティック モデルの問題が検出された場合は、次のようになります。

  • ポリシーで "ユーザー通知" が有効になっている場合、Power BI サービスでセマンティック モデルに、DLP ポリシーによってセマンティック モデルの問題が検出されたことを示すシールドのマークが付けられます。

    Screenshot of policy tip badge on semantic model in lists.

    [セマンティック モデルの詳細] ページを開くと、ポリシー違反と、検出された機密情報の種類をどのように処理するかを説明するポリシー ヒントが表示されます。

    Screenshot of policy tip on semantic model details page.

    Note

    ポリシー ヒントを非表示にしても、削除されることはありません。 次にページにアクセスしたときに表示されます。

  • ポリシーでアラートが有効になっている場合、コンプライアンス ポータルの [データ損失防止] の [アラート] ページにアラートが記録され、(構成されている場合) 管理者や指定されたユーザーにメールが送信されます。 次の画像は、コンプライアンス ポータルの [データ損失防止] セクションの [アラート] ページを示しています。 [アラート] ページを表示するには、コンプライアンス ポータルで [データ損失防止] ソリューションを展開し、[アラート] を選びます。

    Screenshot of Alerts tab in the compliance portal.

ポリシー アラートの監視と管理

Microsoft Purview コンプライアンス ポータルにログインし、[データ損失防止] ソリューションを展開し、[アラート] を選びます。

Screenshot of D L P Alerts tab.

アラートを選択してその詳細にドリルダウンし、管理オプションを確認します。

関連するコンテンツ