Microsoft Fabric ガバナンス設計の一歩目を考える

Transcript

1. Microsoft MVP for Data Platform 永田 亮磨 (ZEAL CORPORATION) X:

   @ryomaru0825 Linkedin: ryoma-nagata-0825 Qiita: ryoma-nagata Microsoft Fabric ガバナンス設計の一歩目を考える

2. Index  はじめに  ワークスペースの設計  ロールの設計

3. はじめに 概要： 本資料は、Microsoft Fabric 環境におけるガバナンス設計の基礎・入口として、 「ワークスペース設計」と「ロール設計」に焦点を当て、現場での実務や運用を意識 した設計手法を紹介します 対象オーディエンス： Fabric をデータ分析基盤として導入する管理担当者

4. ガバナンスの目標と対象領域 データそのものの取り扱いを中心としたデータガバナンスと、 情報システム管理の側面を中心としたデータプラットフォームガバナンスは決めるべき事柄が異なってきます。 今回扱うガバナンスとは、主にデータプラットフォームガバナンスを指します。 データガバナンス データプラットフォームガバナンス データをどう使うかを決める責任とルールの枠組み データを扱うツールや環境をどう管理するかを決める責任とルールの枠組み データ分類・品質管理・データ保護 データの所有者・責任の明確化

   機密情報・個人情報のハンドリング 監査・追跡 環境・成果物の区分やセキュリティ構成 環境・成果物の管理者・責任の明確化 高機密領域の制御 監査・操作ログ管理 データライフサイクル管理 環境・成果物のライフサイクル管理

5. データ分析基盤構築の現実 「今回構築する基盤のガバナンスに関する要件を教えてください」 この質問で、すぐに要件が明確に出てくるイメージ、なかなか湧かないのではないでしょう か？ ドキュメントでは以下のようにも定義されますが、これも設計に落とすのは難しい・・・

6. ちなみに Chat GPT 4.1 では  以下のように要件を出してきました。  なかなかいい感じに見えますが、これを具体性をもったテスト可能な要件に整備 したり、設計に落とすのはレビュアーと作成者ともに難易度が高い

7. データプラットフォームガバナンスを “ワークスペース設計”から導出する  データガバナンスの理想や目的は、抽象的な議論になりがちで、実際の運用設 計や現場ニーズには落とし込みづらい場合が多い  例えば「セルフサービス活用」「責任範囲や管理粒度」など、本当にシステム運用に関わる要件は最初から明 確になっていないことが多い  まずワークスペース設計など「システムの具体的な構造から検討を始める」ことで、

   結果として「ガバナンス戦略や運用方針が現実的に導出できる」アプローチをと る  Fabric は SaaS として最低限のセキュリティ（Entra ID 認証でのみアクセス可能、など）が既定で構成されて いるため、どのように管理するかの検討の比重が相対的に大きくなる。

8. ワークスペースの設計について

9. ワークスペース ワークスペース 基礎知識：ワークスペースとは Microsoft Fabric のサービス内で作成したア イテムを格納し、同僚と共同作業するための 場所 (Teams における

   Teamの単位に近いイメー ジ) アクセス制御はワークスペースロールで編集ア クセスを付与するか、 アイテム個々の単位での閲覧アクセス権の付 与が可能 個人利用専用のワークスペースとしてマイワー クスペースがある ワークスペース ワークスペースロールによるアクセス制御 管理者 メンバー 共同作成者 ビューワー ワークスペース Microsoft Fabric Workspaces - Microsoft Fabric | Microsoft Learn

10. ワークスペースの粒度≒成果物の管理粒度  管理スコープの異なる成果物が同居すると、 適切なデータ保護を実現することが難しくなるため、ユースケースに対するワークスペースの粒度を想定して設計することが重要 スコープ エンタープライズ （全社） 配信範囲 ワークスペースの数 部門

    最大 最小 最大 最小 チーム 個人 全社データ活用WS（ERP） レイクハウスなどのデータストア 全社データWS（CRM） レイクハウスなどのデータストア成果物 全社レポートWS(CRM) レポートやノートブックなどのデータ消費成果物 部門用やテーマ用の 中規模WS チーム活用用の 小規模WS 部門用やテーマ用の 中規模WS 部門用やテーマ用の 中規模WS チーム活用用の 小規模WS チーム活用用の 小規模WS チーム活用用の 小規模WS 開発用などの 個人WS 開発用などの 個人WS 開発用などの 個人WS 開発用などの 個人WS 開発用などの 個人WS データと消費を分離することも 上位or同スコープの資産を 再利用する場合がある ワークスペースの編成例

11. ワークスペースを分類する  ワークスペースを分類することで、類型ごとに適切な環境構成（ライセンス、 セキュリティ、パフォーマンス）を設計することができる  実装計画: Workspace-Level ワークスペース - Power

    BI | Microsoft Learn  主なパターン  ランドスケープ  作業用・開発・テスト・本番  用途  BI・データサイエンス、データレイク・DWH（またはBronze/Silver/Gold等の表現）  意味的な分類  事業領域や組織スコープ・プライバシー等

12. 1. ワークスペースのランドスケープの分類  分類パターン例 1. 本番のみ  個人またはチームレベルの作業領域として構成。アドホック分析またPoC などで採用されることが多い 2.

    開発・本番  開発管理が可能な最低限の構成。幅広く採用される 3. 開発・テスト・本番  テスト環境を加えることで本番環境への影響を抑える構成。リリース作業やデータを検証することが重視される場合によく採用される 4. 作業用・開発・テスト・本番  作業用WS を加え、開発環境での独立した複数人開発を可能にする。追加のリソース管理が必要になるがGit を活用する場合に推奨される 環境を増やすほど管理コストも増えるため、「品質」と「運用リソース」のバランスに留意。 作業用WS 作業用WS 開発WS テストWS 本番WS 統合 リリース リリース

13. 補足：Git 統合時の共同開発のイメージ（継続的インテグレーション） main 開発 ワークスペース アイテム 作業用ワークスペース (jiro.tanaka用) アイテム users/jiro.tanaka

    users/taro.yamada 作業用ワークスペース (taro.yamada用) アイテム ①独立した自分用の環境で作業ブランチと連携して開発 ③Pull Requestにより作業をマージ ②コミット ①独立した自分用の環境で作業ブランチと連携して開発 ②コミット ④更新により全員分の作業 が反映 ③Pull Request により作業をマージ

14. 各ランドスケープの差異に基づいて検討すべき構成設定  Fabric 容量  デプロイした Fabric 容量とワークスペースはN:1 の関係で設定されるが、ランドスケープごとに容量を分離しする ことでパフォーマンスの問題を防ぐ

     例：本番F64/テストF64(テスト期間外は停止する)/開発用と作業用F4（開発WSと作業WSは容量を共用 するなど）  参考：Microsoft Fabric の展開パターン - Azure Architecture Center | Microsoft Learn  ワークスペース設定：  特にデータエンジニアリング設定について、既定のsparkプールのノード数を減らしておくことで、開発環境のリソー ス浪費を防ぐ  Git 統合：  リリース方式により各ワークスペースにgitブランチをひもづけるか否かを検討する  デプロイパイプライン（GUI）を使用してリリース→開発・作業WSのみgit構成  Azure DevOps パイプライン(YAML)でリリース→全WSをgit構成

15. 2. ワークスペースの用途による分類 ワークスペースの用途は多くの企業に共通した利用方法があり、パターン化可能。 基本パターンと発展となるオプションを定義し、基本パターンをテンプレート化から始めることを推 奨する。  基本パターン 1. データ整備（Bronze/Silver） 

    企業内の各種データを収集・蓄積し、汎用的なデータ整備・統合・品質管理を施す標準的なデータ基盤  Fabric 成果物：データパイプライン/レイクハウス/ウェアハウス/イベントハウス/ノートブック など 2. 総合分析  全社分析から業務やプロジェクトごとのシナリオに沿った個別分析・施策開発のための分析環境  Fabric 成果物：レイクハウス/ウェアハウス/イベントハウス/ノートブック/セマンティックモデル/レポート など  オプション（利用ニーズや組織の状況に応じて追加する） 1. MDM  全社横断またはドメイン単位でマスターデータを厳格に管理する  Fabric 成果物：ウェアハウス / SQL DBなど 2. セルフサービスBI  ユーザーが個別に作成し、業務・部門単位で自由に利用できるレポート・ダッシュボード配信用の環境※Power BI Pro ライセンスのみで運用可能  Fabric 成果物：セマンティックモデル/レポート 3. セルフサービス総合分析  ユーザーが個別に作成し、業務・部門単位で自由に利用できる分析用環境  Fabric 成果物：総合分析と同じ

16. 用途とデータフローの例 レイク ワークスペース DWHワークスペース 生データ (bronze) 整備済みデータ (silver) 総合分析ワークスペース 分析対象データ

    (gold) システムごとに フォルダ・命名整理 システムごとに スキーマ・命名整理 セルフサービス BI ワークスペース セルフサービス分析 ワークスペース MDM 統合 OneLake カタログでの発見と 再利用 MDM ワークスペース マスターデータ パターン：データ整備 （オプション）パターン： MDM パターン：総合分析 （オプション）パターン：セルフサービスBI ETL ETL 分析成果物 ETL （オプション）パターン：セルフサービス総合分析 必要なセキュリティ強度に応じて パターン内でもワークスペースを 分割する

17. 基本パターンの適正化について  「データ整備」の基本パターンを決めるにあたり、1つ以上のワークスペースで構成するテンプレート化や、派生テンプレートも検討可能  ワークスペース間はショートカットにより手間なくデータ共有が可能であるため、分割も現実的。ただし、ワークスペース総数が増えることによる 管理コスト増には注意  単一編成：生データと整備済みデータの管理者が同一の場合にシンプル化可能  メダリオン編成：生データと整備済みデータを分離してアクセス制御を細分化する

     メダリオン×ソース編成：ソースシステムごとに生データを分離することで、機密データの処理を分担可能 パターン：データ整備 パターン：データ整備 パターン：データ整備 生データ (bronze) 整備済みデータ (silver) 公開 レイク・DWH WS 生データ (bronze) 整備済みデータ (silver) 公開 DWHWS レイクWS Aシステムの生データ (bronze) システムAレイクWS Bシステムの生データ (bronze) システムBレイクWS 公開 DWHWS 整備済みデータ (silver) 単一編成 メダリオン編成 メダリオン×ソース編成

18. Asia 総合分析パターンの応用：階層的連携  「総合分析」パターンは汎用的なFabric環境であるため段階的に使用される場合がある  例：リージョンレベルのデータ分析とグローバルレベルの統合データ分析の連携 総合分析ワークスペース 分析対象データ (gold) パターン：総合分析

    分析成果物 US 総合分析ワークスペース 分析対象データ (gold) パターン：総合分析 分析成果物 Global 総合分析ワークスペース 分析対象データ (gold) パターン：総合分析 分析成果物 統合 統合

19. Asia ERP 3. ワークスペースの意味的な分類  ドメインはデータを意味的に整理するためのキーワードであり 、2.で定義された用途パターンは、格納されるデータ の意味的な分類（ドメイン）に応じて繰り返しデプロイされる  ドメインは一般的にリージョン、事業領域、プログラム（プロジェクト）のいずれか、または組合せで定義される

     ドメイン外を非公式なセルフサービス領域とすることで区別するなど レイクWS パターン：データ整備 総合分析WS パターン：総合分析 DWHWS CRM レイクWS パターン：データ整備 総合分析WS パターン：総合分析 DWHWS US ERP レイクWS パターン：データ整備 総合分析WS パターン：総合分析 DWHWS CRM レイクWS パターン：データ整備 総合分析WS パターン：総合分析 DWHWS ・・・

20. 意味的な分類にプライバシーレベルをかけあわせる場合  社内のデータのプライバシーレベルをあらかじめ定めてからワークスペース設計や秘密度ラベルに反映する  データを保護するための既定のラベルとポリシーについて説明します | Microsoft Learn  Azure

    でのクラウド規模の分析のデータ プライバシー - Cloud Adoption Framework | Microsoft Learn # プライバシーレベル名 共有範囲 概要 技術的対策 分類ラベルの例 ISO 27001分類 1 一般公開 社内外への制 限なし公開 社外公開のために準備され た情報 - Public 公開(Public) 2 社外秘 - 制限なし 社内への制限 なし公開 社内全般で共有される情 報 例：全社レポートなど コンテンツレベルのアクセス制御 Internal / General 社外秘 (Internal) 3 限定公開 （社内秘） 社内外の制限 されたチームの み 漏洩による損害度は低いが、 共有先の制限された情報 例：部門レポートなど コンテンツレベルのアクセス制御 に加えて、 エンジンレベルのアクセス制御 （行レベルセキュリティなど） Confidential 秘 (Confidential) 4 秘密 社内の特に限 定されたチーム のみ 個人情報など、漏洩が損 害となる情報 例：人事レポートなど コンテンツレベルのアクセス制御 に加えて、 データベースの分離やマスキング、 Purview 情報保護などのデー タ保護 Sensitive / Secret 秘 (Confidential) 5 極秘 社内の特に限 定された個人 のみ 研究情報など、漏洩が重 大な損害となる情報 例：経営層限定レポートな ど 完全に隔離された専用領域と 併せてマスキング、Purview 情 報保護などのデータ保護 Restricted / Strictly Confidential 極秘 (Restricted)

21. Tips: ワークスペースのドメイン設定  ワークスペースに対してドメインを設定することでワークスペースとデータの管理を効 率化し、OneLake カタログとの連動によりデータの公式化、発見性を向上 ドメインの定義 ワークスペースへの割当後 は一覧画面で使用可能 ワークスペース内のアイテムがドメインで整理さ

    れる

22. Tips: OneLake カタログの活用  承認（エンドースメント）の概要 - Microsoft Fabric | Microsoft

    Learn  組織内（またはドメイン内で）で信頼できるデータを認定することで、公式データを確立し、コラボレーションを促す  Fabric のタグ  追加のメタデータを設定して検索性を向上させる

23. ワークスペースの編成を設計するうえでの確認事項の例 1. 必要なアウトプット・利用目的の整理  全社共通、部門単位、プロジェクト単位など、どのスコープの成果物が予定されるか？  BIレポート、DWH、データサイエンスなど、どの用途のワークロードが必要か？  セルフサービス分析・BI（ユーザー作成ワークスペース）を提供する要件やポリシーは？ 2.

    ワークスペースパターンとドメイン設計  どのワークスペースパターン（データ整備/総合分析/BI/MDM/セルフサービスなど）を繰り返すのが適切か？  リージョン、事業領域、プロジェクト等、どの粒度の「ドメイン」でワークスペースを整理するか？  ドメイン横断で共通利用されるワークスペース（例：MDMや全社分析）は別立てが必要か？  ワークスペース間のデータ共有（ショートカットの利用法等）のルールやベストプラクティスは設計に含まれている か？ 3. ランドスケープ（環境）設計  開発/テスト/本番（および作業用・個人WSなど）の環境分離レベルは用途や体制に合っているか？  ランドスケープごとにリソース・容量設計（本番テスト：F64/開発：F4等）は適切か？

24. ロールの設計について

25. ロール設計の整理方法の基本的考え方 Fabric のようなサービスに実装されているロール（アプリケーションロール）は、 実際の人員管理と1対1では対応しません。 そのため、まず「ITロール」としてサービス内の権限設定の組合せを定義し、 その上で「ビジネスロール」（実際の役職や担当者）と紐づけるのが基本となります。 引用元：NPO日本ネットワークセキュリティ協会：エンタープライズロール管理解説書（アイデンティティ管理WG）

26. ドメイン ゲートウェイ Fabric 内のアプリケーションロール全体像 • 環境の管理に関連するロール：ディレクトリロール/Azure RBAC ロール/容量ロール • テナント全体やサブスクリプション単位の設定・管理や、ワークスペースで使用される容量の設定・管理

    • データ成果物に関連するロール：ワークスペースロール/アイテム内で定義するロール • Fabric内での開発・利用者・管理者などのデータの読み取りと書き込みや共有にまつわるロール • 配下のアイテム内にはロールベース以外にも詳細な権限設定が存在する • その他特殊なロール：ドメインロール/ゲートウェイロール/接続ロール • ワークスペースを横断した統制設定や、データ連携先への接続・認証の管理  一部のロールには他のロールと継承関係をもつものがありますが、組織規模や運用体制に応じて、上位ロールのみを使用す る場合や、分掌して厳格に分ける場合もあります。 Microsoft Fabric Microsoft Azure ワークスペース サブスクリプション Fabric 容量 Fabric アイテム Microsoft Entra ID テナント ディレクトリロール （テナント全体での 特権） 容量ロール ワークスペースロール 接続ロール ゲートウェイロール ドメインロール Azure RBAC ロール ・・・ 容量 接続 アイテム内で独自定義するロール

27. 環境の管理に関連するロール  以下のロールは環境の管理に関連するため、 Fabric を導入・展開するために必須のロールになる  Microsoft Fabric 管理者ロールを理解する -

    Microsoft Fabric | Microsoft Learn  Power BI Premium で容量を構成および管理する - Power BI | Microsoft Learn # アクセス制御種別 ロール名 主な設定画面 ロール概要と主な権限 備考 1 ディレクトリロール Fabric 管理者 M365 管理センターや、Azure Portal Fabric テナント全体の管理 - Fabric のテナント設定 - Fabric 内の全てのロールの割当 - 管理者ワークスペースへのフルアクセス グローバル管理者ロールなどの上 位での代用可能 2 Azure RBAC 共同作成者 Azure Portal 対象のスコープでのリソース管理 - 容量リソースの作成・削除 - 容量管理者への割当 その他、所有者ロールなどで代替 可能 3 容量ロール 容量管理者 Fabric 管理ポータル または Azure Portal 対象の容量でのフルアクセス - Workspaceへの容量割当 - 容量ロールへのユーザー割当 - 容量設定 容量を作成したユーザーに自動付 与される 4 容量ロール 容量共同作成者 Fabric 管理ポータル 対象の容量の利用 - Workspaceへの容量割当

28. データ成果物に関連するロール  ワークスペースレベルで権限を持つのか、一部のデータに限定するのかなどで使い分ける。 データ共有の観点では必要に応じて、ロールを自作したり、権限個々での割当も必要  Power BI のワークスペースのロール - Power

    BI | Microsoft Learn  ワークスペースのロール - Microsoft Fabric | Microsoft Learn  レイクハウスでのワークスペース ロールとアクセス許可 - Microsoft Fabric | Microsoft Learn # 種別 ロール名 主な設定画面 ロール概要と主な権限 備考 1 ワークスペースロール 管理者 ワークスペース設定画面 対象のワークスペースでのフルアクセス - ワークスペース設定・削除 - ワークスペースロール割当 - ワークスペース内のアイテムのフルアクセス ワークスペース作成者が自動的に 割当 2 ワークスペースロール メンバー ワークスペース設定画面 対象のワークスペースでの”ほぼ”フルアクセス - メンバー以下のユーザーの追加 - ワークスペース内のアイテムのフルアクセス（読取・編集・ 共有） 3 ワークスペースロール 共同作成者 ワークスペース設定画面 対象のワークスペースでの権限管理以外の操作 - アイテムの編集と削除などの操作 - 一部のエンジン内でのセキュリティ設定※ユーザーの追加 は不可 再共有など、アイテムへの権限割 当の権限を別途付与可能 4 ワークスペースロール ビューアー ワークスペース設定画面 対象のワークスペースでの読取リ専用アクセス - レポートやテーブルの表示 レイクハウス内のデータファイルを参 照するには追加の権限が必要 5 アイテム内で定義するロール <任意で指定> レイクハウス内のOneLake セ キュリティ設定画面 テーブル、ファイル、レコード、カラムなどで定義されたアクセス - ロールの定義に従った範囲での読取りアクセス ウェアハウス・SQL分析エンドポイン ト（委任モード）→T-SQLコマン ドにより定義 セマンティックモデル→モデル開発 時に定義 レイクハウス→OneLakeセキュリ ティで定義

29. 補足：データへのアクセス権限の基礎知識  原則として OneLake 上のデータに対する権限は、ワークスペース→アイテム→エンジンの3階層で管理を行う  上位で保持した権限が優先されるため、  ワークスペースロールを付与した場合には 特定のアイテムのみ閲覧可能にはできない

     特定のアイテムで共有した場合には、特定のテーブルのみを閲覧可能にはできない Microsoft Fabric のデータ権限制御（認可）の基本的考え方 #PowerBI - Qiita

30. その他特殊なロール①  Fabric 内外のデータとやりとりするための情報（接続先や 使用する ID）は接続として管理され、データ開発 のために利用するためのロールが提供される。 閉域環境など、ゲートウェイを使用した接続を作成する場合、ゲートウェイロールが別途必要となる  セキュリティ

    ロールの管理 | Microsoft Learn  特に開発作業では、接続の共有漏れでのエラーも多いため、同じ開発チーム内では接続を共有する必要がある ことを意識する # 種別 ロール名 主な設定画面 ロール概要と主な権限 備考 1 接続ロール 所有者 接続とゲートウェイ管理画面 対象の接続に対するフルアクセス - データソース接続の利用・編集・削除 - 接続ロールの割当 接続の作成者が自動的に割当 2 接続ロール 再共有可能ユーザー 接続とゲートウェイ管理画面 対象の接続の共有と利用 - データソース接続の利用 - 接続ロールの割当 テナントで制限可能 3 接続ロール ユーザー 接続とゲートウェイ管理画面 対象の接続の利用 - データソース接続の利用 4 ゲートウェイロール 管理者 接続とゲートウェイ管理画面 対象のゲートウェイに対するフルアクセス - ゲートウェイの設定変更や削除 - ゲートウェイロール/ゲートウェイ上の接続ロールの管理 - データソース接続の作成 5 ゲートウェイロール 再共有による 接続作成 接続とゲートウェイ管理画面 対象のゲートウェイ共有と利用 - 接続作成ロールのユーザーの追加 - データソース接続の作成 6 ゲートウェイロール 接続作成 接続とゲートウェイ管理画面 対象のゲートウェイ利用 - データソース接続の作成

31. その他特殊なロール②  ワークスペースをグループ化し、管理性を向上するためのドメイン機能では個々の ドメインのロールを利用して管理をドメインの専門家にデータの整理を委任するこ とが可能  注）ドメイン自体の作成は前述の Fabric 管理者ロールが必要 #

    種別 ロール名 主な設定画面 ロール概要と主な権限 備考 1 ドメインロール ドメイン管理者 Fabric ポータル画面 対象のドメイン内での設定管理や下位ロールメンバーの管 理 - ワークスペースのドメイン割当て - ドメインのイメージ画像や、設定の変更 - ドメイン共同作成者の割当て ドメイン名変更やドメイン管理者 の追加などは不可 2 ドメインロール ドメイン共同作成者 Fabric ポータル画面 対象のドメインとワークスペースの紐づけの管理 - ワークスペースのドメイン割当て

32. Tips: ドメインに委任された設定 ドメインの保護やエンドースメントの推進  エクスポートと共有：承認（エンドースメント） を利用して認定バッジの割当て ができるユーザーを指名してユーザー主導の活用を促進する  情報の保護：ドメインで自動的に付与される既定の秘密度ラベルを指定する ことで、データ漏洩保護などを構成し、ドメインを高機密領域化する

33. Tips: 秘密度ラベルによるデータ漏洩防止と保護ポリシーの活用 Purview の機能を活用することで、Fabric 環境内で発生し得る不適切な共有を上書き・是正  How can I decide

    which protection method to use to protect my sensitive data in Fabric? | Microsoft Fabric Blog | Microsoft Fabric  DLP ポリシー：機密データを検知し、適切な状況下でのみ利用できるようにアクセスを制限  データ損失防止について | Microsoft Learn  保護ポリシー：秘密度ラベルと連携し、指定ユーザー・グループのみのアクセスに制御  Microsoft Fabric の保護ポリシー - Microsoft Fabric | Microsoft Learn DLP（データ漏洩防止）ポリシーへの違反時にアラート Microsoft Purview 秘密度ラベル × データ損失保護でファイルの外部共有を監 視統制する #DLP - Qiita Microsoft Fabric で秘密度ラベルを適用する②保護ポリシーによりシ ステム管理者からのデータアクセスをブロックする #MicrosoftFabric - Qiita 保護ポリシーで許可されていないユーザーに対して制限

34. ロール設計の標準化と個別最適化について  標準化しやすいITロール  開発者・管理者（ITロール）は「どのような権限セットが必要か」をあらかじめ標準化しておき、“誰に割り当てるか”を決めるかの運用効率化が可能  個別最適化が必要なデータアクセスロール  データ利用者（データアクセスロール）は、「どんなデータ範囲」を「誰に見せるか」を個別の業務要件ごとに都度設計し、職掌などに対して直接割り当てる必要がある 開発者・管理者

    ・・・ 高機密データWS BBデータのみアクセ ス可能なロール CデータWS WS全データアクセ ス可能なロール C1データのみアクセ ス可能なロール AAデータのみアクセ ス可能なロール AAデータ利用者 （例：人事責任者） C1データ利用者 （例：一般ユーザー） Cデータ利用者 （例：データスチュアード） BBデータ利用者 （例：経営責任者） 標準化可能な IT ロール 開発者・管理者は全環境で同じロール定義が使える 個別設計が必要なデータアクセスロール データそれぞれで定義と設定が必要なため標準化が難しい 誰がどの環境で ～ロールなのかを管理 管理者用の ロール定義 開発者用の ロール定義 同じ内容を繰り返し設定 要件に応じて個々で 定義・管理 高機密データWS CデータWS

35. IT ロールの一般的な定義例 IT ロールを定義する際は、プラットフォーム内でどのような活動をするかを整理する ことで、アプリケーションロールのセットとの紐づけを進める  この時、IT ロールの個々のインスタンスはセキュリティグループとして具体化・人員管理することを推奨する  例：全社ERP

    データ分析プロジェクト用 “プロダクト管理者セキュリティグループ”/ERPドメインの”データスチュアードセキュリティグルー プ”・・・  ITロールのインスタンスが何個必要になるかをあらかじめ試算すると運用負荷も想定が可能 ITロール名 Fabric 内での役割 セキュリティグループの 作成単位 対応するビジネスロールの例 データガバナンス責任者 Fabric の利用状況や、データ資産の状態を 把握し、推進を行う 1つのみ CDO、IT統括部長 プラットフォーム管理者 容量や、Fabric上のリソース、ワークスぺース 提供などを行う 1つのみ ※セキュリティグループが利用できない領域 があるので主管アカウントを決定することを 推奨 ITインフラ担当、情報システム課 データスチュアード Fabric ドメインの管理とデータについての説 明の記載統制や、ポリシーの定義を行う ドメインごとに作成 業務リーダー、管理職 プロダクト管理者 Fabric ワークスペースの管理者として開発運 用を推進する ユースケースごとに作成 PJリーダー、部門長 データ開発者（データエンジニア/ データサイエンティスト/レポート開発者） Fabric ワークスペース上でデータパイプラインや データベース、モデル、レポート開発を行う ユースケースごとに作成 エンジニア、アナリスト データ利用者 公開されたデータを利用し、業務や、二次的 な成果物に活用する ワークスぺース上のアプリケーションにより決 定.分析設計書にて管理 一般担当者、事務スタッフ

36. データ分析プラットフォーム 業務プラットフォーム IT ロールの配置例 ソースシステム データ利用者 BIレポートや 分析データの 閲覧・利用 データ提供者

    プラットフォーム 管理者 ユースケース実装環境 の提供をはじめとする、 分析基盤環境の構 築・維持・運用 ユースケース レイクWS 総合分析 DWHWS ユースケース ユースケース ドメイン：公式に管理されるデータグループ セルフサービス データ・分析コンテンツ 非公式のセルフサービス コンテンツ セルフサービス データ・分析コンテンツ セルフサービスBI・ 総合分析 ドメイン ソースシステム データ提供者 データガバナンス責任者 組織全体の データガバナンス推進・方針策定・課題モニタリング ソースデータの提供や、 アクセス権限設定 プロダクト管理者 データ開発者 データパイプライン、モデル、 レポートなどの 成果物の開発運用 成果物の運用・ 公開の責任者 データスチュアード 各ユースケースを横断した管理責任・品質維持 データオーナーの策定した利用ポリシーを適用する

37. IT ロールとアプリケーションロールのマッピング例  各ITロールで割り当てられるアプリケーションロールの対応をまとめています。  実際の運用では、本表をもとに自組織の要件へあわせてカスタマイズしてください。  補足1. このようにデータ開発者のワークスペースロールやゲートウェイロールを本番環境で絞る場合などは、 特権をもったプロダクト管理者によるリリースセットアップが必要となるなど、運用作業での注意事項が増える点に注意

     デプロイパイプラインで必要となるワークスペースロール：Microsoft Fabric デプロイ パイプライン プロセス - Microsoft Fabric | Microsoft Learn  補足2. ワークスペース編成パターンで作業用WSを適用する場合、開発用容量の共同作成者にデータ開発者を割当てることを推奨します。  補足3. アプリケーション間連携や、開発時の設定調整時などそれなりの頻度でワークスペース管理者ロールが必要となる場面があるので、セキュリティグループ での人員管理を原則としたうえで、プロダクト管理者（開発現場の担当者）にはワークスペース管理者ロールを付与することを推奨します。 ITロール名 ディレクトリロール Azure RBAC ドメインロール 容量ロール ゲートウェイロール 接続ロール ワークスペースロール アイテム以下 DevOpsなど周辺 サービス・・・ データガバナンス責任者 - - Admin Monitoring： Viewer - プラットフォーム管理者 Fabric管理者 容量やGW用 サブスクリプション 共同作成者 - 管理者 （グループ適用不 可） 管理者 - Fabric Metrics アプ リなどの基盤管理用 ワークスペース: 管理者 - 組織所有者 （グループ適用不 可） データスチュアード - - 管理者 - - - 対象ドメイン内の WS: Viewer - - プロダクト管理者 - - - - 対象ゲートウェイの接 続作成 接続所有者 開発、テスト、本 番：管理者 - プロジェクト管理者 データ開発者 - - - 開発用の容量の共 同作成者 本番を除く 対象ゲートウェイの接 続作成 本番を除く 接続ユーザー 本番：共同開発者 開発、テスト：メン バー 作業用：管理者 - 共同作成者 データ利用者 - - - 要件に応じて Viewerまたは無し 要件に応じて別途 設計 -

38. IT ロール間で分担する運用フロー例：初期展開 データガバナンス責任者 プラットフォーム管理者 データスチュアード プロダクト管理者 （CoE/チャンピオンチーム） データ開発者 （CoE/チャンピオンチーム） データ利用者

    ドメイン定義などの全体 方針や体制策定 標準化ルール（命名規約など）検討 代表ユースケース 開発 テナント設定や 容量構成などの基盤 セットアップ PoC環境払出 環境テンプレート 作成 標準化ルール フィードバック 標準化ルール制定 承認 標準化ルール改善 ルール準拠レビュー ユースケース公開、運用 （ショーケース化） 最初の公式成果物を通して、開 発運用や、組織全体のスキル向 上、自走支援のためのチームを設 定することが推奨される Microsoft Fabric 導入ロードマッ プ: センター オブ エクセレンス - Power BI | Microsoft Learn データ利用、現場レビュー

39. IT ロール間で分担する運用フロー例：環境払出～開発 データガバナンス責任者 プラットフォーム管理者 データスチュアード プロダクト管理者 データ開発者 データ利用者 プロジェクト立ち上げ・環 境要求

    標準化サポート、 ルール準拠レビュー 環境払出 ユースケース検討・データ利用要件合意 初期設定 ユースケース実装 ユースケース公開、運用 データ利用、現場レビュー ユースケース検討

40. 定常監視の担当タスク例 監視領域 主担当 チェック内容 関連ツール 主要アクション 報告連絡先 全体の活動・資産状況 データガバナンス責任 者

    • 未分類データ・所有者未設定データの件数チェッ ク • 利用状況レポートの確認 Admin Monitoring • 機能の使用状況と導入レ ポート • コンテンツ共有レポート • Microsoft Purview ハブ 定例レビュー・全体会議で報 告/是正指示 データガバナンス委員会 データスチュアード リソース負荷状況 プラットフォーム管理者 • 容量使用率レポート・アラートの確認 • サービス停止や遅延の有無 • Fabric Capacity Metric App • M365 Health ダッシュボー ド リソース調整・障害対応 必要に応じてCoEとの相談や プロダクト管理者に連絡 CoEチーム・プロダクト管理者 データ成果物稼働 プロダクト管理者・ データ開発者 • パイプライン失敗や遅延の発生有無 • レポート等のパフォーマンス問題 • 監視ハブ • ワークスペース監視 再実行・サポートベンダー問い 合わせ 利用者への通知 データ利用者 データ利用状況 データスチュアード • 成果物へのユーザーアクセス状況や不要物の棚 卸 • メタデータ整備・分類漏れや、品質違反やルール 違反データの有無 • OneLake カタログ 問題検知時はPJ/管理者へ報 告 プロダクト管理者 ガバナンス責任者

41. Tips: OneLake カタログの発展  OneLake カタログではデータの利用・更新状況を確認できるガバナンスビューの ほか、アクセス権の棚卸に便利なセキュアタブが追加予定 Microsoft Fabric for

    Developers: Build Scalable Data & AI Solutions

42. データアクセスロールを設計するために  ワークスペースロールは、プロジェクトの全員にまとめてアクセス権を付与できる仕組み  ただし、すべてのアイテムが見られるようになってしまう  「一部のデータだけ見せたい」「人によって見せる範囲を制限したい」といった場合は、アイテム単位での個別設定 や、アイテムが提供するエンジンの権限設定やロール定義機能を実装する必要がある ウェアハウス（SQL分析エンドポイントの場合） 方法

    Read 付与 Write 付与 ワークスペースロール （配下の全アイテム へのアクセス） 〇 〇 アイテムの共有 （権限の個別付 与） 〇 × （セマンティックモデルの ”編集”のみ可） エンジン固有の設定 （権限の個別付 与・ロール定義） 〇 △ （エンジンにより異なる）

43. アイテムごとのアクセスポリシー実装機能 ウェアハウス / SQL 分析エンドポイント (T-SQL エンジン)  CREATE ROLE

    と DENY / GRANT / REVOKE と いった DCL にて、テーブル、ビュー、プロシージャに対す る オブジェクトレベル、列レベル のアクセス制御が可 能  また、セキュリティ述語関数を用いた 行レベルセキュリ ティ や、ADD MASK を使用した動的データマスキング を構成してデータを保護することも可能 引用：https://learn.microsoft.com/ja-jp/fabric/data-warehouse/security#object-level-security 学習コンテンツ：https://learn.microsoft.com/ja-jp/training/modules/secure-data-warehouse-in- microsoft-fabric/

44. アイテムごとのアクセスポリシー実装機能 レイクハウス（OneLake）  Spark エンジンに対しては読取の制御のみ、 OneLake セキュリティ（プレビュー）にてレイクハウスの Files / Tables

    フォルダ or 列 or 行レベルでの制御 が可能  OneLake セキュリティで設定したアクセス制御は下流での T-SQL , BI 処理時にも適用される Files / Tables フォルダ 行レベル 列レベル

45. アイテムごとのアクセスポリシー実装機能 セマンティックモデル  オブジェクトレベル：テーブルや列レベルで可能。外部ツールでのGUI または TMDL ビュー(プレビュー)でのスクリプト記述が必要  行レベル： 

    静的ルール：フィルタに使用する値を直接ロールと紐づける  動的ルール：ユーザーとフィルタ値をマッピングしたテーブルを使い、ユーザーごとにフィルタ値が変動するように構成する 引用：https://learn.microsoft.com/ja-jp/training/modules/enforce-power-bi-model-security/2-restrict-access-to-power-bi- model-data

46. データアクセスロールの権限マッピング例  データアクセスロールについてビジネスロールと対応したセキュリティグループとマッピング表を作成した例  マネージャーは販売部門の責任者としてすべてのデータ閲覧  パワーユーザーは Python なども駆使して自らコンテンツを作成する想定（セルフサービスユーザーあるいは、他のワークスペースで 開発者や管理者の

    ITロールに属しているな どのパターンが想定される）  ITロールはプラットフォーム管理者にて中央管理する一方で、このような詳細なデータアクセスロールの管理はそれぞれのプロダ クト管理者に委任し、データスチュアードと連携・棚卸する（資料フォーマットを標準化することで棚卸負荷軽減） ワークスペース アイテム名 アイテム分類 ロール名 アクセス範囲 備考 一般利用者 マネージャー パワーユーザー AAA ワークスペース Viewer ワークスペース なし なし なし LH_General レイクハウス アイテム なし 読取、All Read 読取 Analysis テーブル A , B の 表示 なし なし ◦ SQL分析エンドポイント アイテム なし 読取,ALL Data 読取 既定のセマンティックモデル アイテム なし 読取 読取 WH_BI ウェアハウス アイテム 読取 読取,ALL Data 読取 Public Public スキーマの SELECT ◦ なし ◦ 既定のセマンティックモデル アイテム 読取 読取 読取 売上_自由分析 セマンティックモデル アイテム 読取(組織アプリにより付 与) ビルド 読取(組織アプリにより付 与) ビルド 読取(組織アプリにより付 与) ビルド Public AAA<>マネー ジャーの行 ◦ なし ◦ Manager 全ての行 なし ◦ なし 売上レポート レポート アイテム 読取(組織アプリにより付 与) 読取(組織アプリにより付 与) 読取(組織アプリにより付 与) 予実レポート レポート アイテム 読取(組織アプリにより付 与) 読取(組織アプリにより付 与) 読取(組織アプリにより付 与) 売上分析 組織アプリ アイテム 読取 読取 読取

47. ロールを設計するうえでの確認事項の例 1. ロールと責任の整理  どんな業務・運用を誰が担当するか明確か？  兼任や分離が必要なロールは？  開発者とデータ利用者はどのように整理される？ 2.

    IT ロールの設計  各ITロールで実施する作業で必要な権限、アプリケーションロールは？  セキュリティグループなど、 Fabric の外側で管理されるオブジェクトに対しての管理を含める？  管理負荷がかかりすぎない適切な粒度となっているか？ 3. データアクセスロールの設計 1. ビジネス上の役割や既存のセキュリティグループとデータの公開範囲の関係は？ 2. どのようなワークロード（アイテム）でアクセスしてデータを利用する？ 4. 環境展開・開発、運用準備  初期展開ではどのような運用を設計・実現するか？  開発規約や資料テンプレートによる効率化、標準ルールの改善などの活動は運用内で想定されているか？  データアクセスロールやITロールにおけるマッピング管理マトリクスの整備など

48. その他、Fabric のガバナンス検討における参考リンク集 今回紹介したのはワークスペース設計とロール設計の方法論なので、 より広範なデータプラットフォームガバナンスを抑える場合は公式ドキュメントも活 用  プラットフォーム管理者向けのガイダンス:  管理者向けの Microsoft

    Fabric ドキュメント - Microsoft Fabric | Microsoft Learn  Microsoft Fabric のセキュリティ - Microsoft Fabric | Microsoft Learn  データガバナンス責任者向けのガイダンス  Microsoft Fabric 導入ロードマップ - Power BI | Microsoft Learn  Power BI 実装計画 - Power BI | Microsoft Learn

49. まとめ  ワークスペースやロール設計を起点にし、具体的な利用イメージを持ってガバナン スを設計する  ワークスペース設計では、分類の観点や一般的な編成パターンを起点に、組織 に合った基本パターンを導出する  ロール設計では運用もイメージしながら、多様なアプリケーションロールをITロール にセット化・標準化する。

    標準化が難しいデータアクセスロールは整理方法を整備することを意識する

50. Thank you !