Power BI 実装計画: テナント設定
注意
この記事は、Power BI 実装計画 シリーズの記事の一部です。 このシリーズでは、主に Microsoft Fabric 内での Power BI のエクスペリエンスに焦点を当てます。 シリーズの概要については、「Power BI 実装計画」を参照してください。
このテナント設定に関する記事では、Power BI エクスペリエンスに重点を置いた Fabric テナントの設定について知っておくべき重要な側面について説明します。 これは複数のユーザーを対象としています。
- Fabric 管理者: 組織の Fabric 監視を担当する管理者。
- Microsoft Entra 管理者: Microsoft Entra ID の監督と管理を担当するチーム。
Fabric は、より大規模な Microsoft エコシステムの一部です。 組織で Azure、Microsoft 365、Dynamics 365 などの他のクラウド サブスクリプション サービスを既に使用している場合、Fabric は同じ Microsoft Entra テナント内で動作します。 組織のドメイン (contoso.com など) が Microsoft Entra ID に関連付けられています。 Fabric テナントは、すべての Microsoft クラウド サービスと同様に、ID とアクセス管理のために組織の Microsoft Entra ID に依存しています。
ヒント
多くの組織には、クラウド内の Microsoft Entra ID と同期するオンプレミスの Active Directory (AD) 環境があります。 この設定はハイブリッド ID ソリューションと呼ばれ、この記事では範囲外です。 理解すべき重要な概念は、Fabric などのクラウドベースのサービス スイートが機能するためには、ユーザー、グループ、サービス プリンシパルが Microsoft Entra ID に存在する必要があることです。 ハイブリッド ID ソリューションは Fabric で機能します。 組織に最適なソリューションについては、Microsoft Entra 管理者に問い合わせることをお勧めします。
ファブリック管理者の責任の詳細については、「テナント管理」を参照してください。
Microsoft Entra テナント
ほとんどの組織には 1 つの Microsoft Entra テナントがあるため、Microsoft Entra テナントが組織を表すのが一般的です。
通常、Microsoft Entra ID は Fabric の実装を開始する前に設定されます。 ただし、クラウド サービスをプロビジョニングするときに、Microsoft Entra ID の重要性が認識される場合があります。
ヒント
ほとんどの組織にある Microsoft Entra テナントは 1 つであるため、切り離した方法で新機能を確認するのは困難な場合があります。 Microsoft 365 開発者プログラムを使用して、運用環境以外の開発者用テナントを利用できる資格がある場合があります。詳細については、FAQ をご覧ください。 または、1 か月間の無料試用版にサインアップするか、Microsoft 365 プランをお買い求めいただくこともできます。
アンマネージド テナント
マネージド テナントには、Microsoft Entra ID 内でグローバル管理者が割り当てられます。 組織のドメイン (例: contoso.com) に Microsoft Entra テナントが存在しない場合、その組織の最初のユーザーが Fabric 試用版または Fabric アカウントにサインアップすると、Microsoft Entra ID にアンマネージド テナントが作成されます。 アンマネージド テナントは、シャドウ テナントまたはセルフサービスで作成されたテナントとも呼ばれます。 これは基本的な構成になっていて、グローバル管理者を割り当てずにクラウド サービスを機能させることができます。
Fabric を適切に管理、構成、サポートするには、マネージド テナントが必要です。 システム管理者が組織に代わって適切に管理できるようにアンマネージド テナントを引き継ぐために、従うことができるプロセスがあります。
ヒント
Microsoft Entra ID の管理は広範囲で奥深いトピックです。 組織の Microsoft Entra ID を安全に管理するために、IT 部門の特定の人員をシステム管理者として割り当てることをお勧めします。
チェックリスト - Fabric での使用について Microsoft Entra テナントを確認する場合、主な決定事項とアクションは次のとおりです。
- テナントを引き継ぐ: 該当する場合は、アンマネージド テナントを引き継ぐプロセスを開始します。
- Microsoft Entra テナントが管理されていることを確認する: システム管理者が Microsoft Entra テナントを積極的に管理していることを確認します。
外部ユーザーのテナント ID
外部ユーザー (顧客、パートナー、ベンダーなど) が存在する場合、または内部ユーザーが組織外の別のテナントにアクセスする必要がある場合に、ユーザーがテナントにアクセスする方法を検討する必要があります。 別の組織のテナントにアクセスするには、変更された URL を使用します。
すべての Microsoft Entra テナントには、テナント ID と呼ばれるグローバル一意識別子 (GUID) があります。 Fabric では、これは "顧客テナント ID (CTID)" と呼ばれます。 CTID はテナント URL の末尾に追加されています。 [Microsoft Fabric について] ダイアログ ウィンドウを開くと、Fabric ポータルの CTID を確認できます。 これは、Fabric ポータルの右上にある [ヘルプとサポート (?)] メニューから利用できます。
Microsoft Entra B2B シナリオの場合、CTID を知っておくことが重要です。 外部ユーザーに提供する (たとえば Power BI レポートを表示するための) URL には、適切なテナントにアクセスするために CTID パラメーターを追加する必要があります。
外部ユーザーとの共同作業またはコンテンツの提供を行う予定の場合は、カスタム ブランドを設定することをお勧めします。 ロゴ、カバー画像、テーマを使用すると、ユーザーがアクセスしている組織のテナントを識別するのに役立ちます。
チェックリスト - 外部ユーザーにコンテンツを表示するアクセス許可を付与する場合、または複数のテナントがある場合は、次のような重要な決定事項とアクションがあります。
- 関連するユーザー ドキュメントに CTID を記載する: テナント ID (CTID) を追加する URL をユーザー ドキュメントに記録します。
- Fabric でカスタム ブランドを設定する: Fabric 管理ポータルで、組織のテナントをユーザーが識別しやすいようにカスタム ブランドを設定します。
Microsoft Entra 管理者
Fabric 管理者は、Microsoft Entra 管理者と定期的に連携する必要があります。
次の一覧は、Fabric 管理者と Microsoft Entra 管理者の間で共同作業を行う一般的な理由のいくつかを示しています。
- セキュリティ グループ: Fabric テナント設定を適切に管理するには、新しいセキュリティ グループを作成する必要があります。 また、ワークスペースのコンテンツをセキュリティで保護したり、コンテンツを配布したりするために、新しいグループが必要になる場合もあります。
- セキュリティ グループの所有権: グループ所有者を割り当てると、セキュリティ グループをだれが管理できるかについての柔軟性を高めることができます。 たとえば、センター オブ エクセレンス (COE) が特定の Fabric 固有グループのメンバーシップを管理できるようにする方が効率的な場合があります。
- サービス プリンシパル: サービス プリンシパルをプロビジョニングするために、Microsoft Entra アプリ登録の作成が必要になる場合があります。 Fabric 管理者が管理 API を使用してデータを抽出するスケジュールされた無人スクリプトを実行する場合、またはアプリケーションにコンテンツを埋め込む場合は、サービス プリンシパルを使用した認証をお勧めします。
- 外部ユーザー: Microsoft Entra ID に外部 (ゲスト) ユーザーのための設定を設定する方法を理解する必要があります。 外部ユーザーに関連するいくつかの Fabric テナント設定があり、それらは Microsoft Entra ID がどのように設定されているかに依存します。 また、Power BI ワークロードの特定のセキュリティ機能は、Microsoft Entra ID の外部ユーザーに対して計画的な招待のアプローチを使用した場合にのみ機能します。
- リアルタイム制御ポリシー: リアルタイム セッション制御ポリシーを設定する選択もできます。これには、Microsoft Entra ID と Microsoft Defender for Cloud Apps の両方が含まれます。 たとえば、Power BI レポートに特定の秘密度ラベルが付いている場合、それをダウンロードすることを禁止できます。
詳細については、「他の管理者と共同作業する」を参照してください。
チェックリスト - Microsoft Entra 管理者と連携する方法を検討する場合、主な決定事項とアクションは次のとおりです。
- Microsoft Entra 管理者を特定する: 組織のMicrosoft Entra 管理者がわかっていることを確認します。 必要に応じて連携できるように準備します。
- Microsoft Entra 管理者を関与させる: 実装計画プロセスを進める際に、関連する会議に Microsoft Entra 管理者を招待し、関連する意思決定に参加してもらいます。
データの保存場所
新しいテナントが作成されると、リソースは、Microsoft のクラウド コンピューティング プラットフォームである Azure にプロビジョニングされます。 ご自身の地理的な場所がテナントの "ホーム リージョン" になります。 ホーム リージョンは、"既定のデータ リージョン" とも呼ばれます。
ホーム リージョン
ホーム リージョンは、次の理由で重要です。
- レポートとダッシュボードのパフォーマンスは、ユーザーがテナントの場所に近接していることに部分的に依存します。
- 組織のデータを特定の管轄区域に格納する法的または規制上の理由がある場合があります。
組織のテナントのホーム リージョンは、サインアップする最初のユーザーの場所に設定されます。 ほとんどのユーザーが別のリージョンに属している場合は、そのデータ リージョンが最適な選択肢ではない可能性があります。
Fabric ポータルで [Microsoft Fabric について] ダイアログ ウィンドウを開いて、テナントのホーム リージョンを判断することができます。 リージョンは、[データの保存先] ラベルの横に表示されます。
テナントが最適ではないリージョンに存在している場合があります。 特定のリージョンに容量を作成して (次のセクションで説明します) Multi-Geo 機能を使用するか、移動することができます。 別のリージョンにテナントを移動するには、Microsoft 365 グローバル管理者がサポート リクエストを作成する必要があります。
テナントを別のリージョンに再配置することは、完全に自動化されたプロセスではなく、ダウンタイムが発生します。 移動の前後に必要となる前提条件とアクションを必ず考慮してください。
ヒント
多くの手間がかかるため、必要と判断した場合は、後からではなく早めに移動することをお勧めします。
チェックリスト - テナントのホーム リージョンを検討する場合、主な決定事項とアクションは次のとおりです。
- ホーム リージョンを特定する: テナントのホーム リージョンを決定します。
- テナントを移動するプロセスを開始する: テナントが不適切な地理的リージョン (Multi-Geo 機能で解決できない) にあることが判明した場合は、テナントを移動するプロセスを調査します。
その他の特定のデータ リージョン
組織によっては、"データ所在地" の要件があります。 通常、データ所在地の要件には、特定の地理的リージョンにデータを格納することについての規制または業界の要件が含まれます。 "データ主権" の要件は、類似していますが、より厳格です。データが格納される国または地域の法律がデータに適用されるためです。 一部の組織には、"データ ローカライズ" 要件もあります。これは、特定の国境内で作成されたデータは、その国境内にとどまる必要があることを規定するものです。
規制、業界、または法的要件によって、ホーム リージョン (前述) にある特定のデータを別の場所に格納することが必要になる場合があります。 このような状況では、特定のリージョンに容量を作成して Multi-Geo 機能を利用できます。 この場合、ワークスペース データが目的の地理的な場所に確実に格納されるように、ワークスペースを適切な容量に割り当てる必要があります。
Multi-Geo のサポートにより、組織は次のことができるようになります。
- 保存データのデータ所在地の要件を満たす。
- データをより確実にユーザー ベースの近くに配置できる。
Note
Multi-Geo 機能は、すべての容量ライセンスの種類 (共有容量を除く) で使用できます。 Premium Per User (PPU) では使用できません。PPU に割り当てられたワークスペースの格納データは、常にホーム リージョンに格納されるためです (共有容量と同様です)。
チェックリスト - テナント用に他の特定のデータ リージョンを検討する場合、主な決定事項とアクションは次のとおりです。
- データ所在地の要件を特定する: データ所在地の要件を決定します。 適切なリージョンと、関係する可能性があるユーザーを特定します。
- Multi-Geo 機能の使用について調査する: ホーム リージョンから別の場所にデータを格納する必要がある特定の状況について、Multi-Geo の有効化を調査します。
関連するコンテンツ
Power BI の実装の決定に役立つ考慮事項、アクション、意思決定基準、推奨事項について詳しくは、「Power BI 実装計画」をご覧ください。
ヒント
Fabric テナントを管理する方法については、「Microsoft Fabric を管理する」モジュールに取り組むことをお勧めします。