次の方法で共有

OneLake データ アクセス ロールの概要 (プレビュー)

OneLake データ アクセス ロールを使用すると、OneLake に格納されているデータにロールベースのアクセス制御 (RBAC) を適用できます。 Fabric アイテム内の特定のフォルダーに読み取りアクセス権を付与するセキュリティ ロールを定義し、それらのロールをユーザーまたはグループに割り当てられます。 アクセス許可によって、ユーザーがレイクハウス UX、ノートブック、OneLake API のいずれかを使用してデータのレイク ビューにアクセスするときにユーザーに表示されるフォルダーが決まります。

重要

2025 年 8 月以降、共同作成者には、OneLake データ アクセス ロールを表示または管理するための十分なアクセス許可がなくなりました。

管理者、メンバー、または共同作成者のロールの Fabric ユーザーは、レイクハウス内の特定のフォルダーにのみアクセスを許可する OneLake データ アクセス ロールを作成することで開始できます。 レイクハウス内のデータへのアクセスを許可するには、データ アクセス ロールにユーザーを追加します。 データ アクセス ロールの一部ではないユーザーには、そのレイクハウスにデータが表示されません。

データ アクセス ロールのセキュリティは、OneLake に直接アクセスするユーザーにのみ適用されます。 SQL 分析エンドポイント、セマンティック モデル、ウェアハウスなどの Fabric アイテムには、独自のセキュリティ モデルがあり、委任された ID を介して OneLake にアクセスします。 つまり、ユーザーに複数のアイテムへのアクセス権が付与されている場合、ユーザーはワークロードごとに異なるアイテムを表示できます。

前提条件

レイクハウスのセキュリティを構成するには、ワークスペースの管理者、メンバー、または共同作成者である必要があります。 ロールの作成とメンバーシップの割り当ては、ロールが保存されるとすぐに有効になるため、ロールにユーザーを追加する前にアクセス権を付与してください。

OneLake データ アクセス ロールは、レイクハウス アイテムに対してのみサポートされます。

オプトインする方法

データ アクセス ロールのプレビュー機能は、既定では無効になっています。 プレビュー機能は、レイクハウスごとに構成されます。 オプトイン コントロールを使用すると、単一のレイクハウスでその他のレイクハウスや Fabric アイテムでプレビューを有効にせずにプレビューを試すことができます。

プレビューを有効にするには、ワークスペースの管理者、メンバー、または共同作成者である必要があります。

一度有効にすると、プレビュー機能をオフにすることはできません。

  1. レイクハウスに移動し、[Manage OneLake data access (preview)]\(OneLake データ アクセスの管理 (プレビュー)\) を選択します。
  2. 確認ダイアログを確認します。 データ アクセス ロールプレビューは、外部データ共有プレビューと互換性がありません。 変更に問題がない場合は、[続行] を選択します。

スムーズなオプトイン エクスペリエンスを確保するために、レイクハウス内のデータに対する読み取りアクセス許可を持つすべてのユーザーは、引き続き DefaultReader という既定のデータ アクセス ロールを通じて読み取りアクセス権を持ちます。 仮想化されたロール メンバーシップを使用すると、レイクハウス内のデータを表示するために必要なアクセス許可 (ReadAll アクセス許可) を持つすべてのユーザーが、この既定のロールのメンバーとして含められます。 これらのユーザーへのアクセスの制限を開始するには、DefaultReader ロールを削除するか、アクセス中のユーザーから ReadAll アクセス許可を削除します。

重要

データ アクセス ロールに含まれるすべてのユーザーが、DefaultReader ロールから削除されていることを確認します。 そうしないと、それらのユーザーにデータへのフル アクセスが維持されます。

セキュリティで保護できるデータの種類とは

OneLake データ アクセス ロールを使用して、レイクハウス内のフォルダーへの OneLake 読み取りアクセスを管理できます。 読み取りアクセス権は、レイクハウス内の任意のフォルダーに付与でき、既定の状態ではフォルダーへのアクセス権はありません。 データ アクセス ロールによるセキュリティの設定は、OneLake または OneLake 固有の API に対するアクセスにのみ適用されます。 詳細については、「データのアクセス制御モデル」に関する記事を参照してください。

ロールの作成

OneLake でデータ アクセス ロールを作成するには、次の手順に従います。

  1. セキュリティを定義するレイクハウスを開きます。

  2. レイクハウス メニューから、[Manage OneLake data access (preview)]\(OneLake データ アクセスの管理 (プレビュー)\) を選択します。

  3. [Manage OneLake data access]\(OneLake データ アクセスの管理\) ウィンドウで、[新規] を選択します。

  4. 次のガイドラインを満たす新しいロールの名前を指定します。

    • ロール名に使用できるのは英数字のみです。
    • ロール名の先頭は文字である必要があります。
    • 名前は大文字と小文字を区別せず、一意である必要があります。
    • 名前の最大長は 128 文字です。

  5. このロールをこのレイクハウス内のすべてのテーブルとファイルに適用する場合は、[すべてのデータ] トグルを選択します。

    この選択により、今後追加されるすべてのフォルダーへのアクセスも提供されます。

  6. このロールをテーブルとフォルダーの選択したグループにのみ適用する場合は、[選択したデータ] トグルを選択します。 次に、次の手順を使用して、このロールの承認済みデータを定義します。

    1. [Browse Lakehouse]\(レイクハウスの参照\) を選択します。

      データを選択する [Browse Lakehouse]\(レイクハウスの参照\) オプションを示すスクリーンショット。

    2. Tables ディレクトリと Files ディレクトリを展開して、レイクハウス内のデータを表示します。

    3. ロールを適用するテーブルとファイルの横にあるチェック ボックスをオンにします。

    4. [データの追加] を選択して、選択したアイテムをロールに追加します。

  7. [Add members to your role]\(メンバーのロールへの追加\) テキスト ボックスを使用して、ロールに含めるユーザーの名前またはメール アドレスを手動で入力します。 または、[詳細な構成] を選択し、「仮想メンバーを割り当てる」のガイダンスに従います。

    メンバーを手動で追加するには、次の手順を実行します。

    1. ユーザーの名前またはメール アドレスを入力します。
    2. 推奨されたリストから、適切な名前を選択します。
    3. チェック アイコンを選択して選択を確定するか、[X] アイコンを選択して選択を解除します。

  8. [ロールのプレビュー]\(Preview role\) の概要を確認します。

    1. データ プレビューを編集するには、[Browse Lakehouse]\(レイクハウスの参照\) を選択し、選択したテーブルとフォルダーを更新します。
    2. メンバー プレビューからユーザーを削除するには、名前の横にある他のオプション ([...]) を選択し、[ロールから削除] を選択します。

  9. [ロールの作成] を選択し、ロールが正常に発行されたことを示す通知を待ちます。

ロールを編集する

OneLake で既存のデータ アクセス ロールを編集するには、次の手順に従います。

  1. セキュリティを定義するレイクハウスを開きます。

  2. レイクハウス メニューから、[Manage OneLake data access (preview)]\(OneLake データ アクセスの管理 (プレビュー)\) を選択します。

  3. [Manage OneLake data access]\(OneLake データ アクセスの管理\) ウィンドウで、編集するロールを選択します。

    このアクションにより、ロールの詳細ページが開きます。これには、[Data in role]\(ロールのデータ\)[ロールのメンバー] の 2 つのタブが含まれます。

  4. [Data in role]\(ロールのデータ\) タブの情報を確認します。

    このタブには、ロールのメンバーがアクセスできるすべてのデータが表示されます。

    [データ] 列には、ロール アクセスの一部であるテーブルまたはフォルダーの名前が表示されます。 スキーマを展開するか折りたたみ、下位のアイテムを表示できます。 エントリの上にマウス ポインターを置くと、テーブルまたはフォルダーの完全なパスが表示されます。

    [種類] 列には、選択された項目の種類が示されます。 この値は、[スキーマ][テーブル]、または [フォルダー] のいずれかです。

    [アクセス許可] 列には、各アイテムに対するロールによって付与されるアクセス許可が表示されます。 現時点では、Read のみがサポートされています。

    [データ アクセス] 列は、行レベルまたは列レベルの制限がアイテムに適用されるかどうかを示します。 ロックと水平線を持つアイコンは行レベル セキュリティが適用されていることを示し、ロックと垂直線を持つアイコンは列レベル セキュリティが適用されていることを示します。

  5. ロールに含まれるデータを編集するには、[データの追加] を選択します。

    この操作により、テーブルとフォルダーの選択ダイアログが開きます。

  6. テーブルまたはフォルダーをオンまたはオフにして、ロールに対してテーブルまたはフォルダーを追加または削除します。

  7. [データの追加] を選択して、選択内容を確認します。

  8. [ロールのメンバー] タブを選択して、ロールのメンバーを表示します。

    [メンバー] 列には、メンバーのプロファイル画像と名前が表示されます。

    [種類] 列は、メンバーがユーザーかグループかを示します。

    [Added using]\(次を使用して追加済み\) 列は、ユーザーが自分のメール アドレスを使用してロールのメンバーとして追加されたか、レイクハウスのアクセス許可グループの一部として含まれているかを示します。 レイクハウスのアクセス許可を使用したユーザーの追加の詳細については、「仮想メンバーを割り当てる」を参照してください。

  9. ロールのメンバーを編集するには、[メンバーの追加] を選択します。

  10. メンバーを手動で追加するには、[Add members to your role]\(メンバーのロールへの追加\) テキスト ボックスに、名前またはメール アドレスを入力します。 推奨されたリストから、適切な名前を選択します。 次に、チェック アイコンを選択して選択を確定するか、[X] アイコンを選択して選択を解除します。

  11. ロールからユーザーを削除するには、名前の横にある他のオプション ([...]) を選択し、[ロールから削除] を選択します。

ロール メンバーシップを変更すると、すぐにロールが更新されます。 変更の成功または失敗は、通知に示されます。

ロールの削除

OneLake データ アクセス ロールを削除するには、次の手順に従います。

  1. セキュリティを定義するレイクハウスを開きます。

  2. レイクハウス メニューから、[Manage OneLake data access (preview)]\(OneLake データ アクセスの管理 (プレビュー)\) を選択します。

  3. [OneLake データ アクセスの管理] ウィンドウで、削除するロールの横にあるチェックボックスをオンにします。

  4. [削除] を選択し、ロールが正常に削除されたことを示す通知を待ちます。

メンバーまたはグループを割り当てる

OneLake データ アクセス ロールでは、ロールにユーザーを追加する 2 つの方法がサポートされています。 主な方法は、[ロールの割り当て] ページの [ユーザーまたはグループの追加] ボックスを使用して、ユーザーまたはグループをロールに直接追加することです。 2 つ目は、詳細な構成コントロールを使用して、アクセス許可グループを持つ仮想メンバーシップを作成することです。

ロールにユーザーを直接追加すると、そのユーザーは、ロールの明示的なメンバーとして追加されます。 これらのユーザーは、[メンバー] の一覧に名前と画像が表示されます。

仮想メンバーを使用すると、ユーザーの Fabric アイテムのアクセス許可に基づいてロールのメンバーシップを動的に調整できます。 [詳細な構成] を選択し、アクセス許可を選択することで、選択したすべてのアクセス許可を持つすべてのユーザーを、そのロールの暗黙的なメンバーとして Fabric ワークスペースに追加します。 たとえば、[ReadAll]、[Write] を選択すると、そのアイテムに対する ReadAll アクセス許可と Write アクセス許可を持つ Fabric ワークスペースのすべてのユーザーが、ロールのメンバーとして含められます。 アクセス許可グループによって追加されるユーザーは、[ロールのメンバー] タブの [Added using]\(次を使用して追加済み\) 列を参照すると確認できます。これらのメンバーを手動で直接削除することはできません。 アクセス許可グループを介して追加されたメンバーを削除するには、ロールからアクセス許可グループを削除します。

使用するメンバーシップの種類に関係なく、データ アクセス ロールでは、個々のユーザー、Microsoft Entra グループ、セキュリティ プリンシパルの追加がサポートされます。

仮想メンバーを割り当てる

仮想メンバーに使用できるアクセス許可は次のとおりです。

  • お読みください
  • 書く
  • 再共有する
  • 実行
  • 全て読む

アクセス許可グループを持つユーザーを割り当てるには、次の手順を使用します。

  1. メンバーを割り当てるロールの名前を選択します。

  2. ロールの詳細ページで、[ロールのメンバー] タブを選択します。

  3. [メンバーの追加] を選択します。

  4. [詳細な構成] を選択します。

    アクセス許可グループを使用してメンバーを追加する [詳細な構成] が選択されていることを示すスクリーンショット。

  5. [Permission groups]\(アクセス許可グループ\) ボックスで、ユーザーを含める各アクセス許可の横にあるチェック ボックスをオンにします。

    各アクセス許可グループには、そのグループに含まれているユーザーの数が表示されます。

    複数のアクセス許可グループを選択すると、選択したすべての必要なアクセス許可を持つユーザーが含まれます。

  6. [追加] を選択してグループを含め、ロールを保存します。

既知の問題

外部データ共有プレビュー機能は、データ アクセス ロール プレビューと互換性がありません。 レイクハウスでデータ アクセス ロール プレビューを有効にすると、既存の外部データ共有が機能しなくなる可能性があります。

OneLake セキュリティは、リージョンをまたがる OneLake ショートカットでは機能しません。

関連するコンテンツ