送信アクセス保護は、ネットワーク セキュリティ境界内でデータが安全に共有されるようにするのに役立ちます。 たとえば、データ流出保護ソリューションでは、送信アクセス保護制御を使用して、悪意のあるアクターが信頼されていない外部の場所に大量のデータを移動する機能を制限します。 送信保護では、ワークスペース内で送信され、別のワークスペースまたは場所と通信する要求のみが制限されます。
データ エージェントにおけるワークスペースからの外部アクセス保護の図。
送信アクセス保護の管理の詳細については、「 ワークスペースの送信アクセス保護」を参照してください。
データ エージェントが送信要求を行うタイミング
送信要求は、ワークスペース内からワークスペース外の場所に対して行われた要求として定義されます。 呼び出しの方向のみが重要です。外部の場所に対する読み取りと書き込みの両方で、信頼されていない場所に機密情報が流出する可能性があります。 データ エージェントは、データ ソースを追加またはクエリするときに送信要求を開始します。 この動作は、Azure AI 検索にも当てはまります。
送信アクセス保護では、同じワークスペース内のリソースを対象とする Data Agent 呼び出しは制限されません。これらの呼び出しはワークスペースの境界を越えていないためです。
送信アクセス保護を構成する
送信アクセス保護を構成するには、「 ワークスペースの送信アクセス保護を設定する」の手順に従います。 送信アクセス保護を有効にした後、データ ソースまたは AI 検索への送信アクセスを許可するようにデータ接続規則を構成できます。
サポートされているデータ ソースのコネクタを介してデータ接続規則を作成することで、Fabric ワークスペースが別のFabric ワークスペースへの送信要求を行えるようにすることができます。 ターゲット ワークスペースの一覧を許可すると、送信アクセスが制限されている場合でも、ソース ワークスペースからターゲット ワークスペースへの送信要求が許可されます。
考慮事項と制限事項
- 送信アクセス保護は、Fabric データ エージェントによって使用される Azure OpenAI 接続には適用されません。 データ エージェントは、自然言語の理解とオーケストレーションのためにMicrosoftマネージド Azure OpenAI サービスに依存しており、このサービスの依存関係は、ワークスペースの送信アクセス保護モデル内で構成可能な外部データ接続として扱われません。
- 送信アクセス保護は現在、Azure AI 検索ではサポートされていません
- 特定のデータ ソースのコネクタがサポートされていない場合、送信アクセス保護が有効になっていると、ワークスペース外のそのデータ ソースへの接続はブロックされます。
- その他の制限事項については、「Workspace 送信アクセス保護の概要 - Microsoft Fabric」を参照してください。