こんにちは、Power BI サポート チームの中川です。
Power BI の利用にあたって、「セキュリティ設定をどのように構成すべきか」というお問い合わせを多くいただきます。
Power BI では、レポートやデータをどの範囲で共有するか等を制御できますが、意図せず関係者以外や社外にレポートを公開してしまう可能性があります。
本ブログでは、セキュリティリスクを防ぐために特に重要な設定を、シナリオ別に紹介します。
重要
本記事は弊社公式ドキュメントの公開情報を元に構成しておりますが、
本記事編集時点と実際の機能に相違がある場合がございます。
最新情報につきましては、参考情報として記載しておりますドキュメントをご確認ください。
目次
- はじめに
- 社外ユーザーへのレポート共有を制限する
- Power BI からデータを持ち出さない
- 組織内の不特定多数のユーザーからレポートへアクセスさせない
- Power BI Service へのアクセスを制限する
- おわりに
はじめに
Power BI には多様な共有方法が用意されていますが、どの設定を有効または制限すべきかは、各組織のセキュリティポリシーや運用形態によって異なります。
そのため、弊サポートでは一律の設定をご案内することはできませんが、情報漏洩の防止という観点から、特に考慮しておくべき設定をシナリオベースでご紹介します。
その他の設定につきましては、Power BI 管理ポータルや Microsoft の公開情報をあわせてご確認ください。
社外ユーザーへのレポート共有を制限する
Power BI には多様な共有方法が用意されていますが、誤った設定や運用により、意図せず社外にレポートを公開してしまうケースが発生することがあります。
Web に公開
「Web に公開」は、認証を必要とせずインターネット上のすべてのユーザーがアクセス可能な URL を生成する機能です。
URL を知っていれば誰でもアクセスできるため、社外秘データを含むレポートや、Web に公開が必要となる事情がない場合には利用しないことを推奨します。
Web に公開が必要な場合は、以下のような制限設定を合わせてご検討ください。
- 特定のセキュリティグループのみを適用先として許可する
- 「ユーザーに新しい埋め込みコードの作成を許可する」をオフに設定する
ゲストユーザーとの共有
ゲストユーザーとして外部のユーザーを Azure AD に招待することで、組織外のユーザーとレポートを共有・共同作業することが可能です。
もし、Power BI の利用範囲が組織内ユーザーのみに限定される場合は、ゲストユーザーに関するテナント設定を無効化することを推奨します。
ゲストユーザー機能や外部共有の詳細につきましては、以下のブログをご参考ください。
参考情報:組織外のユーザーとPower BIコンテンツの共有 | Japan CSS Support Power BI Blog
Power BI からデータを持ち出さない
Power BI では、レポートから Excel や PDF などへデータをエクスポートする機能があり、レポート外へのデータ持ち出しが可能になります。
そのため、外部環境での二次利用や、意図しない情報共有といったリスクを考慮される場合、各エクスポートのテナント設定の有効可否をご検討ください。
レポートのデータエクスポートの制御やエクスポート可能な形式につきましては、以下のブログをご参考ください。
なお、エクスポートしたファイルへのアクセス制御につきましては、後述の「秘密度ラベル」をご参照ください。
組織内の不特定多数のユーザーからレポートへアクセスさせない
Power BI では、ワークスペースロールやレポート単位でアクセス許可を設定できます。
ワークスペースのロール設定では、指定されたユーザーのみがレポートを閲覧できますが、レポート単位でのアクセス許可の設定内容によっては、組織内のすべてのユーザーがアクセス可能になる場合があります。
その設定が有効な場合、ワークスペースロールで明示的にアクセス権を持たないユーザーでも、リンクを知っていればレポートを閲覧できるようになります。
そのため、組織全体から意図しないアクセスを防ぎたい場合は、以下の設定を無効化または限定的に運用することを推奨します。
組織内の全ユーザーがアクセスできるようにするための共有可能なリンクを許可する
テナント設定の「組織内の全ユーザーがアクセスできるようにするための共有可能なリンクを許可する」を有効にすると、組織内のユーザーからアクセスが可能なリンクを発行できるようになります。
設定方法
ワークスペースから対象レポートの [その他のオプション(⋯)] → [アクセス許可の管理] → [リンクの追加] から、[組織内のユーザー] オプションを選択してリンクを発行します。
なお、組織内で共有されているレポートは、現在プレビュー機能として提供されているコンテンツ共有レポートの [ Details ] → [ Is shared with whole org ] で確認できます。
Power BI Service へのアクセスを制限する
Power BI Service では、アクセス元のネットワークやユーザー属性に基づいて、Power BI サービスへのアクセスを制御することが可能です。
これにより、社外ネットワークや個人端末等からの不正アクセスを防ぎ、意図しないアクセスを制限することができます。
代表的な機能としては以下があり、詳細については各ブログをご参照ください。
・条件付きアクセス
特定の条件(ユーザー、デバイス、ネットワーク、場所など)を満たした場合のみ Power BI にアクセスを許可することで、アクセスできるユーザーを制限します。
参考情報:Power BI Service へのアクセス制御① 条件付きアクセス | Japan CSS Support Power BI Blog
・Private Link(プライベートリンク)
仮想ネットワーク内のプライベート エンドポイントを経由してAzureサービスやその他のサービスにアクセスする機能です。この仮想ネットワークとサービス間の通信では、Microsoftのネットワークが利用されるため、インターネットを経由するよりもセキュアな通信が可能です。
参考情報:Power BI Service へのアクセス制御② Azure Private Link | Japan CSS Support Power BI Blog
・秘密度ラベル(Sensitivity Label)
データやレポートに対して「社外秘」「機密」などの分類ラベルを付与し、アクセス制御や暗号化を適用します。
参考情報:Power BI Service へのアクセス制御③ 秘密度ラベル | Japan CSS Support Power BI Blog
おわりに
本ブログでは、Power BI のセキュリティに関して、注意すべきポイントについてご紹介しました。
ただし、セキュリティ対策は組織ごとの環境や運用方法によっても異なることから、本ブログだけですべてを網羅することはできませんので、公式ドキュメントや最新情報もあわせてご参照いただき、ご利用の環境に適した対策を検討していただければ幸いです。
以上、本ブログが少しでも皆様のお役に立てますと幸いでございます。
アンケートご協力のお願い
Japan CSS Support Power BI Blog では、作成する記事やブログの品質向上を目的に、匿名回答でのアンケートを実施しております。
ユーザー様のご意見・ご要望を参考に今後もお役に立てるブログを目指してまいりますので、ぜひご協力いただけますと幸いでございます。
※ 所要時間は1分程度となります。
【ご協力のお願い】Microsoft Japan CSS Power BI Blog ご利用に関するアンケート
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。