Azureサービス深掘り応用

Power BIで行レベルセキュリティ(RLS)を実装し、営業部員AはRegion=「東日本」、営業部員BはRegion=「西日本」のみ表示可能に設定していました。このときDAX式で定義されたRLSルールが「ユーザー名」ではなく「Azure ADグループメンバーシップ」に基づいて評価された場合、どのような問題が発生する可能性が最も高いですか?

A.Azure ADグループベースのRLSは公式非サポート機能であるため、ルール評価時にエラーが発生し、すべてのユーザーがデータ閲覧不可になる
✗ Azure ADグループベースのRLSはサポートされている実装方法です。エラー発生による完全なアクセス不可ではなく、同期遅延が主な問題です。
B.グループメンバーシップは動的に変更されるため、Power BIキャッシュとAzure ADグループの同期遅延により、権限外データが一時的に表示される可能性がある← 正解
✓ 正解です。グループメンバーシップはAzure ADで動的に管理されるため、メンバーシップ変更とPower BIキャッシュの同期遅延により、権限外データが一時的に表示される可能性があります。
C.グループベースRLSでは複数グループ所属ユーザーの場合、ルール評価順序によっては両グループのデータが表示され、権限分離が破綻する可能性がある
✗ DAX RLSは複数グループ所属時の処理を適切に設計すれば、同時表示を防ぐことができます。設計不備による可能性はありますが、仕様上の問題ではありません。
D.Power BI Serviceはユーザーコンテキストとグループコンテキストを区別するため、グループベースRLSでは権限範囲外データが自動的にフィルタリングされる
✗ Power BIはグループコンテキストを自動的には区別しません。RLS設定の設計責任はアプリケーション実装者にあります。

この問題のポイント

グループメンバーシップはAzure ADで動的に管理されるため、メンバーシップ変更とPower BIキャッシュの同期遅延により、権限外データが一時的に表示される可能性があります。

DP-900:Microsoft Azure Data Fundamentals の問題一覧