条件付きアクセスとは
Microsoft Fabric を組織で運用する際、「社外(自宅・出張先)からのアクセスを制御したい」「許可したネットワーク(IP)からのみ利用させたい」「管理端末(Intune 準拠/登録デバイス)以外はブロックしたい」「特定の国/地域やデバイス種別からのアクセスを制限したい」といった、利用条件に関するセキュリティ要件が必ず出てきます。
これらをアプリごとに個別実装するのではなく、Microsoft Entra ID の 条件付きアクセス(Conditional Access) を使うことで、ユーザー・デバイス・場所/IP などのサインインシグナルをもとに“許可/ブロック”や“MFA 必須”といった制御を一元的に適用できます
Fabric でも条件付きアクセスを適用でき、Power BI Service を含む関連サービスもまとめて対象にした 共通ポリシー として設計することで、セキュリティを強化しつつ、不要なサインイン要求や機能影響を抑えた運用につなげられます。
以下のような操作の際、条件に合致するか判断され、条件外の場合はアクセスがブロックされます。
- Fabric Portalへのログイン
- OneLake Explolerへのログイン
- Power BI Desktopへのログイン
- Azure Data StudioからSQL接続文字列でウェアハウスへ接続
- ExcelからPower BIへデータ接続
設定手順
今回は許可したネットワーク(IP)からのみ利用させるための手順を示します。
ネームドロケーションの作成
まずは、許可するIPをまとめるネームドロケーションを作成します。
① [Microsoft Entra ID]>>[条件付きアクセス]>>[ネームドロケーション]を開く
② [IP範囲の場所] を選択し、任意の名前と許可するIPを追加する
条件付きアクセスの設定
① [Microsoft Entra ID]>>[条件付きアクセス] を開く
② [新しいポリシー] を選択
③ 条件の対象、または対象外のユーザやグループを選択
④ ターゲットリソースに以下を追加
- Power BI Service
- Azure Storage
- Azure SQL Database
- Azure Data Explorer
- Azure Cosmos DB
⑤ ネットワークの設定
許可したIPからはアクセスできるように、[対象外] に作成したネームドロケーションを追加
⑥ 許可の設定
設定を[アクセスのブロック] とすることで、既定ではブロックとなり、
対象外としたネームドロケーションのIPからのみアクセスできるようになる。
⑦ ポリシーの作成
最後に、ポリシーの有効化をオンにし、作成することで条件が適用される。
