Microsoft Fabric は、ID ベースのゼロ トラスト セキュリティ モデルの一部として Microsoft Entra ID 条件付きアクセスを使用します。 Fabric に対するすべての要求は Microsoft Entra ID で認証され、条件付きアクセス ポリシーは、ユーザー ID、デバイスの状態、場所などのシグナルに基づいてアクセスを決定できます。 一般的なポリシーは次のとおりです。
- 多要素認証 (MFA) が必要です。
- Intune に登録されているデバイスのみが特定のサービスにアクセスすることを許可します。
- ユーザーの場所と IP 範囲を制限します。
条件付きアクセスは、Fabric へのアクセスを保護するために使用できるいくつかのセキュリティ制御の 1 つです。 プライベート リンクなどのネットワーク ベースの保護を補完し、 ゼロ トラスト の原則に沿った多層セキュリティ アプローチをサポートします。 条件付きアクセスのすべての機能の詳細については、 Microsoft Entra の条件付きアクセスに関するドキュメントを参照してください。
Fabric 条件付きアクセス ポリシーのベスト プラクティス
Microsoft Fabric とその接続されたサービス全体でスムーズで安全なエクスペリエンスを確保するには、一般的な条件付きアクセス ポリシーを 1 つ設定します。 この方法は、次の場合に役立ちます。
- ダウンストリーム サービスのさまざまなポリシーによって発生する予期しないサインイン プロンプトを減らします。
- すべてのツールで一貫したセキュリティ設定を維持します。
- 全体的なユーザー エクスペリエンスを向上させます。
ポリシーに次のターゲット リソースを含めます。
- Power BI サービス
- Azure Data Explorer
- Azure SQL Database
- Azure Storage
- Azure Cosmos DB
ポリシーの制限が厳しすぎる場合 (たとえば、Power BI を除くすべてのアプリがブロックされている場合) は、データフローなどの一部の機能が機能しない可能性があります。
注
- Power BI 用に構成された条件付きアクセス ポリシーが既にある場合は、既存の Power BI ポリシーにここに記載されているリソースを含めます。 そうしないと、条件付きアクセスが Fabric で意図したとおりに動作しない可能性があります。
- Fabric では、条件付き アクセスでの継続的アクセス評価 (CAE) セッション制御はサポートされていません。
Fabric の条件付きアクセス ポリシーを設定する
次の手順では、推奨される ターゲット リソース の割り当てを構成する方法など、Fabric の条件付きアクセス ポリシーの構成を開始する方法を示します。
Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
Entra ID>Conditional Access>Policies に移動します。
[新しいポリシー] を選択します。
ポリシーの名前を入力します。 ポリシーの名前にわかりやすい標準を作成します。
シナリオに基づいて、ポリシーの [割り当て と アクセス ] セクションでコントロールを構成します。 一般的なポリシー設計パターンについては、条件付きアクセス のハウツー ガイドを参照してください。
[ ターゲット リソース] でリンクを選択し、次のオプションを構成します。
[ このポリシーの適用対象を選択] で、[ リソース (以前のクラウド アプリ)] を選択します。
[ 含める ] タブで、[リソースの選択] を 選択します。
[特定のリソースの選択] でリンク を選択します。
表示された [リソース ] サイド ウィンドウで、 Power BI サービス、 Azure Data Explorer、 Azure SQL Database、 Azure Storage、 Azure Cosmos DB を見つけて選択します。 5 つの項目をすべて選択したら、[ 選択] を選択してサイド ウィンドウを閉じます。
すべての割り当てとアクセス制御がポリシーに対して構成されている場合は、[ 作成 ] または [保存] を選択します。
関連するコンテンツ
- Microsoft Entra の条件付きアクセスに 関するドキュメント - 条件付きアクセス機能、ポリシーの設計、ベスト プラクティスの詳細について説明します。
- Microsoft Fabric の Azure セキュリティ ベースライン – Microsoft クラウド セキュリティ ベンチマーク標準からの推奨事項を確認します。
- Microsoft Fabric への受信トラフィックを保護する – 条件付きアクセスがプライベート リンクと共にどのように機能するかを理解して、Fabric への受信アクセスを制御します。