Microsoft Fabric では、データ ハブ、お気に入り、系列、検索、OneLake カタログ、マルチワークスペース API を使用したその他のガバナンスおよび検出機能などのマルチワークスペース シナリオがサポートされています。 これらの API を使用すると、ユーザーはワークスペースのネットワーク構成の外部からアクセスできる複数のワークスペースから軽量メタデータにアクセスできます。 API は、基になるデータ コンテンツを公開することなく、プラットフォーム全体で統合された検索、組織、ナビゲーションをサポートします。
マルチワークスペース API は、常にスタンドアロン REST エンドポイントとして公開されるとは限りません。 多くの場合、これらの API は間接的に呼び出されます。 たとえば、より広範な REST 呼び出し、バックグラウンド プロセス、ポータル操作 (Fabric UI でのページの読み込みなど) の一部として呼び出すことができます。 トリガー方法に関係なく、ユーザーがアクセスを許可されているメタデータのみを確実に返すように、慎重にスコープが設定されます。
マルチワークスペース API のカテゴリ
マルチワークスペース API は、次の 2 つのカテゴリに分類されます。 それぞれが特定のシナリオに対応し、個別の方法でアクセス制御を適用します。
読み取り専用でフィルター処理されていないマルチワークスペース API
- ユーザーのすべてのアクセス可能なワークスペースのメタデータを返すように設計されています。
- ネットワークベースのアクセス制限を適用しないでください。
- デザインによる読み取り専用で、ワークスペースのプライベート エンドポイント接続ではサポートされていません。
- 通常、プラットフォーム全体のインデックス作成やカタログ化などのグローバル集計シナリオで使用されます。
フィルター処理されたマルチワークスペース API
- API 要求のネットワーク配信元に基づいてアクセス制御を適用します。
- ワークスペース プライベート リンク、テナント プライベート リンク、パブリック ネットワーク構成からのセキュリティで保護された使用をサポートします。
- 要求のネットワーク コンテキストに基づいて到達可能なワークスペースのメタデータのみを返します。
これらの API は大規模なメタデータ集計をサポートし、アクセス制御とネットワーク セキュリティの処理方法に基づいて分類されます。 次の表は、複数ワークスペース環境のさまざまな種類の API が、ネットワーク接続の種類に基づいてメタデータを返す方法をまとめたものです。
| マルチワークスペース API の種類 | 受信ネットワーク接続 | 返されたメタデータ |
|---|---|---|
| 読み取り専用、フィルター処理なし | パブリック インターネット、テナント プライベート エンドポイント | ユーザーがアクセスできるすべてのワークスペース |
| Filtered | パブリック インターネット、テナント プライベート エンドポイント | ワークスペースプライベート エンドポイントを介してセキュリティ保護されていないワークスペース |
| Filtered | ワークスペースのプライベート エンドポイント | そのワークスペースのプライベート エンドポイントに関連付けられているワークスペースのみ |
サンプル シナリオ
ユーザーが 5 つの Fabric ワークスペースにアクセスできるものとします。
- ワークスペース 1 とワークスペース 2 は、それぞれ、ワークスペース プライベート エンドポイント WSPE 1 と WSPE 2 で保護されます。
- ワークスペース 3、4、5 には、パブリック ネットワークまたはテナントのプライベート リンク経由でアクセスできます。
このシナリオ例では、ユーザーはさまざまなネットワーク構成で Get Workspace API を呼び出したいと考えています。 Get Workspace API は、ユーザーがアクセスできるすべてのワークスペースに関するメタデータを取得できるようにする、読み取り専用のフィルター処理されていない集計 API です。 この API の動作は、Microsoft Fabric のネットワーク構成全体で変更 (または一貫性を保つ) 可能性があります。
ユーザーが Get Workspace (フィルターなし) API を呼び出すとき:
- パブリック ネットワークから: API は 5 つのワークスペースをすべて返します。 ネットワーク制限は適用されません。アクセスは、ユーザーのアクセス許可に基づいています。
- テナント のプライベート リンクから: 動作はパブリック ネットワークの場合と同じです。 5 つのワークスペースがすべて返されます。 テナントのプライベート リンクでは、フィルター処理されていない API にワークスペース レベルの制限は適用されません。
- ワークスペースのプライベート エンドポイントから: API 呼び出しは失敗します。 フィルター処理されていない API は、ワークスペース間のデータ公開を防ぐために設計されているため、ワークスペースのプライベート リンクではサポートされません。
このシナリオでは、フィルター処理されていない集計 API が開いているネットワーク間で一貫して動作するが、セキュリティのためにワークスペース スコープのプライベート環境内で意図的にブロックされる方法を示します。
スコープと使用状況のデータ
-
アクセス許可、所有権、作成者の情報: アイテムを所有または管理するユーザー、アイテムを作成または最後に変更したユーザー、およびさまざまなプリンシパルが持つアクセス レベルを識別するフィールドを含むメタデータ。 例としては、
Artifact.CurrentPrincipalPermissions、Artifact.OwnerOrContact、Workspace.PrincipalPermissions、Workspace.OwnerOrContactなどがあります。 -
アクセスと変更の詳細: アイテムまたはワークスペースが作成、最後にアクセス、または変更された日時とユーザーをキャプチャするメタデータ。 たとえば、
Artifact.CreateAccessModifyTime、Artifact.CreateAccessModifyUser、Workspace.CreateAccessModifyTime、およびJobScheduleとInformationProtectionの下の関連フィールドがあります。 -
識別子、型、説明的な属性: アイテムを検索または分類するための一意の識別子、表示名、成果物の種類、接続情報、URL を対象とするメタデータ。 フィールドには、
Artifact.Id、Artifact.TypeOrSubtype、Artifact.NameOrDisplayName、Artifact.UrlOrConnectionString、Workspace.TypeOrSubtype、Workspace.NameOrDisplayNameなどがあります。 -
データ分類、ラベル付け、タグ: 情報保護ラベル、分類状態、コンテンツ タグ、セキュリティ制限など、ガバナンスとコンプライアンスの目的で使用されるフィールドを含むメタデータ。 例としては、
Artifact.ContentTag、Artifact.InformationProtection.StateOrStatus、Artifact.InformationProtection.Restrictions、Tenant.MipLabelなどがあります。 -
組織レベルおよびプラットフォーム レベルの属性: ドメイン、容量、リージョン、プラットフォームのメタデータなど、より広範なプラットフォームまたはテナント構造内の項目の場所を反映するメタデータ。 フィールドには、
Tenant.Domain、Tenant.Capacity、Workspace.StorageInfo、およびWorkspace.SecuritySettingsが含まれる場合があります。 -
リレーションシップと階層: アイテムまたはワークスペースが他のオブジェクト (親/子リレーションシップ、サブアーティファクト、ジョブ系列、グループ化されたエンティティ) にどのように関連するかを示すメタデータ。 これには、
Artifact.RelationToArtifactParentChild、Artifact.SubArtifact、Workspace.RelationToWorkspaceParentChild、Workspace.Subfolder、Tenant.Groupなどのフィールドが含まれる場合があります。
このメタデータ アクセスは読み取り専用であり、スコープ内で制限されています。 成果物内の基になるデータ コンテンツやユーザーが生成したペイロードへのアクセスは含まれません。 これは、Fabric エクスペリエンス全体で一元的な検出とガバナンスの機能をサポートすることを目的としています。