Power BIユーザーがOneLakeセキュリティを試してみた

Power BIユーザーがOneLake セキュリティを試してみた k_maki 2025年11月 「バイストン・ウェルの物語を、覚えている者は幸せである。心豊かであ ろうから。私達はその記憶を記されて、この地上に生まれてきたにもかか わらず、思い出すことのできない性を持たされたから。それ故に、ミ・ フェラリオの語る次の物語を伝えよう。」 『聖戦士ダンバイン』OPナレーション

自己紹介（k_makiとかいう人） 1. 職業: 金融機関でDX推進的なことをやる人 2. オンラインでは a. Qiita: k_maki – Qiita b. Github: knmaki (github.com) c. connpass: k_maki_ - connpass 唐津くんち見れた('ω') 佐賀バルーン見れなかった 2

• https://qiita.com/k_maki
• https://github.com/knmaki
• https://connpass.com/user/k_maki_/

目次 1. RLS比較 ～セマンティック モデルとOneLake 2. セマンティック モデルのRLS 3. OneLakeのRLS 4. 感想 3

OneLakeセキュリティって何？ おいしいの？ 4

Power BIにも関係しますが、まだプ レビュー中だし、なぜか上手くいか なかったので、鼻くそホジホジしな がら聞いてください 5

1. RLS比較 ～セマンティック モデル とOneLake 6

セマンティックモデルのRLS 1. RLSは行レベルセキュリティ（Row Level Security）のこと 2. 以前からPower BIのセマンティック モデルに対して設定が可能 a. ユーザーが見れる行をロールで定義されたものに制限するもの b. ロールの定義はDAXで記述 c. ロールへの割り当てはPower BI Service上で行う Power BI で行レベル セキュリティ (RLS) を使用すると、特定のユーザーのデータ ア クセスを制限できます。 フィルターでは行レベルでデータ アクセスが制限され、ロー ル内でフィルターを定義することができます。 Power BI サービスでは、ワークスペー スにアクセスできるユーザーがそのワークスペース内のセマンティック モデルにアク セスすることができます。 RLS では、ビューアーのアクセス許可を持つユーザーの データ アクセスのみが制限されます。 管理者、メンバー、共同作成者には適用されま せん。 Power BI での行レベルのセキュリティ (RLS) - Microsoft Fabric | Microsoft Learn 7

• https://learn.microsoft.com/ja-jp/fabric/security/service-admin-row-level-security

OneLakeセキュリティのRLS 1. Lakehouseに設定するRLSで、プレビュー中 a. ユーザーが見れる行をロールで定義されたものに制限するのは同様 b. ロールの定義はSQLで記述 c. ロールへの割り当てはFabric上で行う 行レベル セキュリティ (RLS) は、OneLake に格納されている表形式データの行レベル のデータ制限を定義できる OneLake セキュリティ (プレビュー) の機能です。 ユー ザーは、OneLake でそのロールのメンバーのデータ行をフィルター処理するための規 則を含むロールを定義できます。 RLS ロールのメンバーがそのデータのクエリを実行 すると、RLS 規則が評価され、許可された行のみが返されます。 行レベルのセキュリティ - Microsoft Fabric | Microsoft Learn 8

• https://learn.microsoft.com/ja-jp/fabric/onelake/security/row-level-security

RLSの比較 項目 セマンティック モデル OneLake Security セマンティック モデル Lakehouse レポートのみ Fabricアイテム全般 動的RLS 可 不可 M365グループへの ロール割り当て 不可 可 記述方法 DAX SQL（制限あり） リレーションシップの 利用 可 不可 設定対象 影響するアイテム 9

デモ用データ 以下のデータで、自分の店舗のみを表示させたい。 10

2. セマンティック モデルのRLS 11

ロールの定義 12

ロールの割り当て 13

やってみるさ 以下に従い、RLSロールを割り当て 店舗 ユーザー ワークスペース ロール セマンティックモデル RLSロール割当方法 東京 徳川 共同作成者 割当なし 熊本 加藤 ビューワー 割当なし 鹿児島 島津 ビューワー ユーザー 福岡 黒田; 立花 ビューワー セキュリティ グ ループ 佐賀 鍋島 ビューワー ユーザー 14

やってみるさ 想定どおり。 なおNotebookのSemantic Linkでは何も見れなくなった 15

3. OneLakeセキュリティのRLS 16

ロールの定義 17

ロールの割り当て 18

SQL分析エンドポイントのアクセスモード 19

やってみるさ 以下に従い、RLSロールを割り当て 店舗 ユーザー ワークスペース ロール テーブルも制限 OneLakeセキュリティ RLSロール割当方法 東京 徳川 共同作成者 割当なし 熊本 加藤 ビューワー 割当なし 鹿児島 島津 ビューワー ユーザー 福岡 黒田; 立花 ビューワー セキュリティ グ ループ 佐賀 鍋島 ビューワー M365グループ 20

やってみるさ（Lakehouse） テーブルの制御はでき てるが、RLSはダメ 21

やってみるさ（Lakehouse SQL） 俺だけでけとらん 22

やってみるさ（レポート on DL on OneLake） 全員でけとらん （できた時もあった） 23

やってみるさ（レポート on DL on SQL） 俺だけでけとらん 24

やってみるさ（Dataflow Gen 2） 俺だけでけとらん 25

4. 感想 26

感想 1. 思った通りに動かなかったのはかなC。設定は間違っていないはず。 GAするまでは様子見かなと。 2. M365グループが使えるのは有用。例えば、自部署のデータのみを見 せる運用を考えた場合、M365グループが使えればかなり楽になりそ う。セマンティック モデルで動的RLSにするにしても、人事異動 データの連携が面倒になりそうだし。 3. 何だかんだでユーザーやグループを用意するのが一番勉強になった。 AzureポータルとかM365ポータルとか。 27

THANK YOU