Power BI ガバナンス: ワークスペース アーキテクチャとアクセス制御
管理されていない Power BI のデプロイは、予測可能な軌道に従います。それは熱意から始まります。各部門が Power BI を有機的に導入し、ワークスペースを作成し、レポートを構築し、データ ソースに接続します。 1 年以内に、組織には一貫性のない名前を持つ 200 のワークスペース、矛盾するメトリクスを持つ 500 のレポートが存在し、どのダッシュボードが「正しい」収益数値を持っているのか誰も知りません。データ リテラシーは向上しますが、データの信頼性は低下します。
ガバナンスは解毒剤です。適切に設計されたガバナンス フレームワークはセルフサービス分析を遅らせません。ガードレール、標準、信頼シグナルを提供することでセルフサービス分析を加速します。ユーザーはどのデータセットが認定されているかを知っているため、レポートをより迅速に作成できます。定義が標準化されているため、経営幹部はその数字を信頼します。機密データが分類され、アクセスが制御されるため、IT 部門はよりよく眠ります。
このガイドでは、ワークスペース アーキテクチャ、コンテンツ ライフサイクル、アクセス制御、承認、機密ラベル、管理ポータル構成、使用状況の監視をカバーする完全なガバナンス フレームワークを提供します。これは、50 ~ 5,000 人の Power BI ユーザーの範囲の組織にわたるパターン ECOSIRE が実装した に基づいています。
重要なポイント
- ワークスペースの命名規則 (DEPT-PURPOSE-ENV など) はガバナンスの基礎です。これにより、ワークスペースを大規模に検出、監査、管理できるようになります。
- 導入パイプラインを備えた 3 つのワークスペース パターン (開発、テスト、運用) により、テストされていない変更がエンド ユーザーに到達するのを防ぎます。
- Power BI アプリは、消費者に推奨される配布メカニズムです --- ワークスペースを公開せずに厳選されたエクスペリエンスを提供します
- コンテンツの推奨 (プロモーションおよび認定) により信頼階層が作成され、ユーザーが信頼できるデータセットやレポートを見つけやすくなります。
- Microsoft Purview の機密ラベルは、エクスポートへの自動ダウンストリーム継承により、Power BI コンテンツを分類および保護します。
- Power BI 管理ポータルには、ワークスペースの作成、コンテンツの共有、データのエクスポート、レポートの埋め込み、AI 機能の使用を誰ができるかを制御する 50 を超えるテナント設定があります。
- 使用状況メトリクスとアクティビティ ログにより、導入パターンが可視化され、ガバナンスの調整についてデータに基づいた意思決定が可能になります。
ワークスペースのアーキテクチャ
ワークスペースの目的
Power BI ワークスペースは、データセット、レポート、ダッシュボード、データフロー、ページ分割されたレポートのコンテナーです。これは次の 3 つの目的を果たします。
- コラボレーション: ワークスペースのメンバーは、コンテンツの構築と保守に協力します。
- セキュリティ境界: ワークスペースの役割 (管理者、メンバー、投稿者、閲覧者) によって、誰が何を実行できるかを制御します。
- 展開単位: ワークスペースは、展開パイプラインとアプリ公開の単位です。
ワークスペースの命名規則
命名規則がない場合、ワークスペースには「Sales Dashboard」、「Sales Reports v2」、「John's Test」、「Q4 Revenue Final FINAL」などの名前が蓄積されます。命名規則により曖昧さが排除されます。
推奨される命名パターン:
{Department}-{Subject}-{Environment}
例:
| ワークスペース名 | 部門 | 件名 | 環境 |
|---|---|---|---|
| FIN-収益-製品 | 金融 | 収益報告 | 制作 |
| FIN-収益-DEV | 金融 | 収益報告 | 開発 |
| FIN-収益-テスト | 金融 | 収益報告 | テスト/UAT |
| 販売-パイプライン-製品 | 販売 | パイプライン分析 | 制作 |
| HR-労働力-製品 | 人事 | 労働力分析 | 制作 |
| OPS-在庫-PROD | オペレーション | 在庫監視 | 制作 |
| EXEC-KPI-PROD | エグゼクティブ | 部門横断的な KPI | 制作 |
| IT ゲートウェイ監視 | IT | ゲートウェイ監視 | 該当なし (内部) |
命名規則:
- 部門の略称には大文字を使用します (最大 5 文字)
- 件名には PascalCase を使用してください (最大 20 文字)
- 環境接尾辞には大文字を使用します
- ハイフン以外の特殊文字は使用できません
- 個人名なし (ワークスペースは個人ではなくチームに属します)
データセットごとのワークスペースと部門ごとのワークスペース
部門ごとのワークスペース では、部門のすべてのコンテンツが 1 つのワークスペースにグループ化されます。これは管理が簡単ですが、部門内の複数のチームが異なるアクセス レベルを必要とする場合、権限の問題が発生します。
データセットごとのワークスペース は、主要なデータセットとそれに関連するレポートごとに個別のワークスペースを作成します。これにより、きめ細かいアクセス制御が可能になりますが、管理するワークスペースがさらに増えます。
推奨されるアプローチ: サブジェクト領域ごとのワークスペース。関連するデータセットとレポートを部門ごとではなくビジネス主題 (収益、パイプライン、在庫) ごとにグループ化します。これは、データがどのように生成されるか (部門内) ではなく、データがどのように消費されるか (部門間で) を反映しています。
3 つの環境パターン
実稼働ワークスペースは決して直接変更しないでください。 Power BI デプロイ パイプラインでは 3 つの環境パターンを使用します。
開発ワークスペース — アナリストと開発者がレポートやデータセットを構築し、反復処理する場所。 BI チームのみがアクセスできます。変更は頻繁に実験的に行われます。
テスト ワークスペース — ビジネス関係者が変更をレビューおよび検証する場所。コンテンツは、デプロイメント パイプラインを介して開発からデプロイされます。関係者は、承認前にデータの正確性、視覚的なレイアウト、ビジネス ロジックを検証します。
運用ワークスペース — エンド ユーザーが (アプリ経由で) アクセスできる唯一のワークスペースです。コンテンツは関係者の承認後にテストからデプロイされます。変更は管理され、監査可能です。
デプロイメントパイプラインのセットアップ:
- Power BI サービスで、デプロイ パイプラインを作成します ([設定]、[デプロイ パイプライン])
- 3 つのワークスペースを開発、テスト、実稼働の各ステージに割り当てます。
- デプロイメント ルールを構成します (例: テストから実稼働へのデプロイメント中にデータ ソースを DEV データベースから PROD データベースに変更します)
- BI チームに、複数の段階にわたってデプロイするためのアクセス権を付与します。
- テストから実稼働への展開を承認するためのアクセス権を関係者に付与する
このパターンにより、次のことが保証されます。
- エンドユーザーには壊れたレポートや進行中のレポートが表示されることはありません
- 変更は本番環境に到達する前にレビューされます
- 導入履歴により監査証跡が得られます
- データソース接続は環境間で自動的に切り替わります
コンテンツ配布: アプリ vs 直接アクセス
Power BI アプリ
エンド ユーザーにコンテンツを配布するには、アプリが推奨される方法です。アプリは、ワークスペースのコンテンツの読み取り専用で厳選されたビューです。
アプリの利点:
- ユーザーには、すっきりと整理されたインターフェイスが表示されます (ワークスペースの完全なコンテンツ リストではありません)。
- コンテンツはカスタム ナビゲーションを使用してセクションに整理できます
- アプリの権限はワークスペースの権限とは別のものです
- アプリはセキュリティ グループ、組織全体、または特定のユーザーに配布できます
- アプリの更新は明示的に公開されます --- ユーザーには進行中の変更は表示されません
アプリの構成
- 実稼働ワークスペースを開きます 2.「アプリの作成」または「アプリの更新」をクリックします
- アプリのセクションとナビゲーション順序を構成する
- 対象者を設定します (特定のユーザー、セキュリティ グループ、または組織全体)
- 権限を構成します。
- ユーザーにレポートのコピーを許可: はい/いいえ (管理された環境の場合はいいえ)
- ユーザーがデータセットを使用してコンテンツを構築できるようにします: はい/いいえ (セルフサービスの場合ははい)
- ユーザーにアプリの共有を許可: はい/いいえ
- アプリを公開する
ワークスペースへのダイレクト アクセスを使用する場合
(アプリ経由ではなく) ワークスペースへの直接アクセスは、次の場合に適しています。
- コンテンツを編集する必要がある BI チームのメンバー
- 共有データセットに対して独自のレポートを作成するパワー ユーザー
- 開発およびテスト ワークスペース (エンド ユーザー向けではありません)
他のすべてのユーザーにとって、アプリはより詳細な制御により優れたエクスペリエンスを提供します。
役割と権限
ワークスペースの役割
| 役割 | 見る | レポートの編集 | 発行 | ワークスペースの管理 | コンテンツを削除 |
|---|---|---|---|---|---|
| ビューア | はい | いいえ | いいえ | いいえ | いいえ |
| 寄稿者 | はい | はい | はい | いいえ | 独自のコンテンツのみ |
| メンバー | はい | はい | はい | 寄稿者の追加/削除 | はい |
| 管理者 | はい | はい | はい | フルマネジメント | はい |
重要な注意事項: 閲覧者と投稿者は行レベルのセキュリティ (RLS) の対象となります。メンバーと管理者は RLS をバイパスし、すべてのデータを表示します。データ制限の対象となるユーザーには、メンバーまたは管理者の役割を決して割り当てないでください。
権限マトリックス
組織の役割を Power BI の役割にマップします。
| 組織の役割 | ワークスペースの役割 | アプリへのアクセス | セルフサービス |
|---|---|---|---|
| エグゼクティブ | 該当なし (アプリのみ) | はい、アプリ経由 | いいえ |
| 部長 | ビューア(制作) | はい、アプリ経由 | いいえ |
| ビジネスアナリスト | 寄稿者 (開発) | はい、アプリ経由 | はい、データセットに基づいて構築します |
| BI開発者 | メンバー (すべての環境) | はい | はい |
| BI 管理者 | 管理者 (すべての環境) | はい | はい |
| 外部パートナー | 該当なし | はい、埋め込み | 経由で可能です。いいえ |
Microsoft 365 グループ
すべての Power BI ワークスペースは Microsoft 365 グループによってサポートされています。ワークスペースを作成すると、対応する M365 グループが作成されます。次のことができます。
- M365グループメンバーをワークスペースに自動的に追加します
- ワークスペースのメンバーシップに既存の M365 グループ (セキュリティ グループまたは配布リスト) を使用する
- Power BI ではなく Azure AD グループ管理を通じてワークスペース アクセスを管理します
ベスト プラクティス: ワークスペース アクセスには Azure AD セキュリティ グループを使用します。 「PBI-FIN-Revenue-Contributors」や「PBI-FIN-Revenue-Viewers」などのグループを作成します。アドホックな Power BI 割り当てではなく、IAM プロセスを通じてメンバーシップを管理します。
コンテンツの承認: プロモーションおよび認定済み
承認は、Power BI の信頼シグナル システムです。これは、ユーザーが信頼できるコンテンツとアドホック レポートを区別するのに役立ちます。
承認レベル
| レベル | バッジ | 誰が支持できるか | 目的 |
|---|---|---|---|
| なし | バッジなし | 該当なし | すべての新しいコンテンツのデフォルト |
| 昇格 | 青いバッジ | ワークスペースのメンバーと管理者 | 「このコンテンツは有益であり、共有する価値があります」 |
| 認定 | チェックマーク付きの金バッジ | 写真指定された認証者のみ | 「このコンテンツは組織の唯一の信頼できる情報源です」 |
認定のセットアップ
- Power BI 管理ポータルで、[テナント設定] に移動します。
- [コンテンツ パックとアプリの設定] で [認定] を見つけます。
- 認証を有効にする
- コンテンツを認証できる人を指定します (推奨: BI リーダーとデータ スチュワードの小グループ)
- 認定ドキュメント (認定基準) へのリンクを提供します。
認定基準
認定バッジを受け取る前にコンテンツが合格する必要がある認定チェックリストを作成します。
データ品質:
- データ ソースは承認されたエンタープライズ ソースである (個人の Excel ファイルではない)
- 更新スケジュールが構成され、確実に成功する
- データ検証チェックに合格しました (行数、合計調整)
- 履歴データは完全です (ギャップや重複はありません)
モデルの品質:
- スター スキーマ設計 (ファクト テーブル + ディメンション テーブル)
- 日付テーブルが適切に構成され、マークされている
- 人間関係が正しく、良好な関係にある
- 明示的に正当化されない限り、双方向クロスフィルターは使用できません
- メジャーには明確な名前と書式が付いています
ビジネス ロジック:
- メトリクスの定義が組織のデータ ディクショナリと一致する
- 計算はビジネス関係者によってレビューされます
- エッジケースの処理 (ゼロ除算、NULL 値、将来の日付)
セキュリティ:
- 必要に応じて行レベルのセキュリティが実装されます
- 機密ラベルが適用されます
- Power Query のステップにハードコードされた資格情報や機密データはありません
ドキュメント:
- レポートにはドキュメント ページまたはツールチップの説明が含まれます
- メジャーの説明がモデルに入力されます
- 変更ログが維持される
認定ワークフロー
- コンテンツ作成者がコンテンツを宣伝する (セルフサービス)
- 作成者は BI ガバナンス チームに通知して認定を要求します。
- ガバナンスチームが認定チェックリストに照らしてレビューします
- 承認された場合、指定された認証機関が内容を認証します。
- 認定は四半期ごとに (または大きな変更が導入されたときに) 見直されます。
機密ラベル
Microsoft Purview (旧称 Microsoft Information Protection) の機密ラベルは、Power BI コンテンツを分類して保護します。これらはエクスポート後も保持されます。Excel にエクスポートされた「機密」レポートには、Excel ファイルに「機密」ラベルが付けられます。
ラベル分類法
データ分類ポリシーに合わせて機密ラベルを定義します。
| ラベル | 説明 | 保護 |
|---|---|---|
| パブリック | 公共消費を目的としたデータ | なし |
| 一般 | 特別な制限のない内部データ | なし |
| 機密 | ビジネス上の機密データ | 暗号化、制限された共有 |
| 極秘 | 規制されたデータまたは PII データ | 暗号化、外部共有なし、エクスポートなし |
ラベルの適用
ラベルは、データセット、レポート、ダッシュボード レベルで適用できます。
- データセットまたはレポート設定を開きます
- [機密ラベル] で適切なラベルを選択します。
- ラベルはコンテンツのライフサイクル全体にわたって持続します。
自動ラベル付け
Power BI 管理ポータルでデフォルトの秘密度ラベルを構成します。
- 新しいコンテンツのデフォルトのラベル: すべての新しいワークスペースがベースライン分類で始まるように、「全般」に設定します。
- 必須のラベル付け: 公開する前にユーザーにラベルを適用するよう要求します
- ダウンストリーム継承: データセットにラベルがある場合、そのデータセット上に構築されたレポートは自動的にラベルを継承します。
ラベルベースの保護
「機密」および「極秘」ラベルの場合、保護アクションを構成します。
- データをエクスポートできるユーザーを制限する (機密性の高い CSV/Excel エクスポートをブロック)
- レポートを印刷できるユーザーを制限する
- 外部共有を制限する
- エクスポートされたファイルに Azure Information Protection 暗号化を適用する
- 監査ラベルのダウングレード(例:機密から一般への変更には正当な理由が必要)
管理ポータルの構成
Power BI 管理ポータルには、組織の動作を制御する 50 を超えるテナント設定が含まれています。ガバナンスにとって最も影響力のある設定は次のとおりです。
ワークスペースの設定
| 設定 | 推奨値 | 理論的根拠 |
|---|---|---|
| ワークスペースを作成する | 特定のセキュリティ グループ | ワークスペースの無秩序な拡大を防ぐ |
| ワークスペース間でデータセットを使用する | 有効 | 共有データセットを有効にする |
| 再発行をブロックし、パッケージの更新を無効にする | 無効 | 通常のコンテンツ更新を許可する |
設定のエクスポートと共有
| 設定 | 推奨値 | 理論的根拠 |
|---|---|---|
| Excel にエクスポート | 機密ラベル制限付きで有効 | ガードレール付きを許可する |
| CSV にエクスポート | 機密ラベル制限付きで有効 | ガードレール付きを許可する |
| PDF にエクスポート | 有効 | 低リスク --- 生データなし |
| ダッシュボードとレポートを印刷する | 有効 | 低リスク |
| 外部共有を許可する | 特定のセキュリティ グループ | B2B 共有の制御 |
| Web に公開 (パブリック) | 無効 | 偶発的な公衆露出を防ぐ |
開発者設定
| 設定 | 推奨値 | 理論的根拠 |
|---|---|---|
| サービス プリンシパルに API の使用を許可する | 特定のセキュリティ グループ | 自動化を有効にする |
| サービス プリンシパルにプロファイルの作成/使用を許可する | 特定のセキュリティ グループ | ISV 埋め込みの場合 |
| アプリにコンテンツを埋め込む | 特定のセキュリティ グループ | コントロールの埋め込み |
AI と副操縦士の設定
| 設定 | 推奨値 | 理論的根拠 |
|---|---|---|
| Copilot と Azure OpenAI サービス | 特定のグループに対して有効 (パイロット) | 制御されたロールアウトから始める |
| 簡単な対策の提案 | 有効 | リスクが低く、セルフサービスに役立ちます |
| スマートな物語 | 有効 | 低リスク、テキスト要約を生成 |
監査とコンプライアンス
| 設定 | 推奨値 | 理論的根拠 |
|---|---|---|
| コンテンツ作成者向けの使用状況の指標 | 有効 | コンテンツ作成者はレポートの使用法を参照 |
| Azure ログ分析 | 有効 | エンタープライズログの統合 |
| 監査ログを作成する | 有効 (デフォルト、無効にすることはできません) | コンプライアンス要件 |
使用状況メトリクスと導入モニタリング
組み込みの使用状況メトリック
Power BI は、ワークスペースごとに使用状況メトリック レポートを提供します。これらのレポートには次のことが表示されます。
- レポートごとのビュー数 (日次、週次、月次)
- レポートごとの固有の閲覧者
- 最も人気のあるレポート
- レポートのパフォーマンス (平均ロード時間)
- 配布方法 (直接アクセス、アプリ、埋め込み)
- プラットフォーム (ウェブ、デスクトップ、モバイル)
使用状況メトリックにアクセスするには、ワークスペース内のレポートの [使用状況メトリック] をクリックします。
Power BI アクティビティ ログ
アクティビティ ログには、Power BI サービスで実行されたすべてのアクションが記録されます。以下から入手できます。
- Microsoft 365 監査ログ (コンプライアンス センター)
- Power BI REST API (
Get-PowerBIActivityEventコマンドレット) - Azure Log Analytics (構成されている場合)
監視すべき主なイベント:
| イベント | なぜそれが重要なのか |
|---|---|
| レポートを見る | 導入とエンゲージメントを追跡する |
| エクスポートレポート | データ漏洩リスクを監視 |
| ワークスペースの作成 | ワークスペースの無秩序な拡大を検出する |
| グループメンバーの追加 | アクセス変更の追跡 |
| データセットの所有権を変更する | 所有権の移転を監査する |
| データセットの更新に失敗しました | データの鮮度の問題を検出する |
| SetScheduledRefresh | 構成の変更を追跡する |
| 感度ラベル変更 | 分類の変更を監査する |
| データセットを認証する | ガバナンスのマイルストーンを追跡 |
| レポートの削除 | 偶発的/悪意のある削除を検出 |
導入ダッシュボード
アクティビティ ログ データを使用して社内導入ダッシュボードを構築します。主要な指標:
Monthly Active Users =
DISTINCTCOUNT(ActivityLog[UserEmail])
Adoption Rate =
DIVIDE(
[Monthly Active Users],
[Total Licensed Users]
)
Reports Per User =
DIVIDE(
COUNTROWS(FILTER(ActivityLog, ActivityLog[Activity] = "ViewReport")),
[Monthly Active Users]
)
Self-Service Ratio =
DIVIDE(
CALCULATE(COUNTROWS(ActivityLog), ActivityLog[Activity] = "CreateReport"),
CALCULATE(COUNTROWS(ActivityLog), ActivityLog[Activity] = "ViewReport")
)
導入ダッシュボードは、ガバナンス チームに次のような効果をもたらします。
- 導入率が低い部門を特定する (トレーニングが必要)
- 認定されるべき頻繁に使用されているレポートを見つける
- 閲覧されていないレポート (退職候補) を検出します。
- ガバナンス KPI を長期にわたって追跡します (認定コンテンツ %、ラベル付きコンテンツ %)
系統と影響の分析
データリネージュビュー
Power BI の系統ビューには、データ ソースからデータセット、レポート、ダッシュボードまでの依存関係チェーンが表示されます。ワークスペース メニュー (3 つのドット、リネージュ ビュー) からアクセスします。
系統ビューは次のように答えます。
- 「このデータセットを使用するレポートはどれですか?」 (データセット変更の影響分析)
- 「このレポートのデータはどこから来たのですか?」 (ソーストレーサビリティ)
- 「レポートのない孤立したデータセットはありますか?」 (クリーンアップ候補)
- 「どのデータセットがゲートウェイに接続しますか?」 (ゲートウェイ依存関係マッピング)
影響分析
データセットを変更する (テーブルの変更、列の名前変更、リレーションシップの変更) 前に、影響分析を使用して下流への影響を理解します。
- リネージ ビューでデータセットを選択します 2.「影響分析」をクリックします。
- Power BI には、データセットに依存するすべてのレポート、ダッシュボード、アプリが表示されます
- 重大な変更を加える前にリストを確認し、レポート所有者に通知します。
これにより、善意によるスキーマ変更によって 3 部門にわたる 15 個のレポートが破損するという一般的なシナリオが回避されます。
データカタログの統合
Microsoft Purview (旧称 Azure Data Catalog) を使用している組織の場合、Power BI データセットをデータ カタログに登録できます。これにより、以下が提供されます。
- クロスプラットフォームのデータ検出 (SQL テーブル、Synapse ビューなどと一緒に Power BI データセットを検索)
- ビジネス用語集の統合 (Power BI メジャーを標準のビジネス定義にリンク)
- データ管理 (カタログ内でデータ所有者と管理者を割り当てる)
- コンプライアンスの追跡 (すべてのデータ資産にわたる機密ラベルと分類を表示)
ガバナンス方針文書
すべての組織は、Power BI ガバナンス ドキュメントを維持する必要があります。以下はテンプレート構造です。
セクション 1: 範囲と目的
- 組織にとって「ガバナンス」が何を意味するかを定義します (官僚主義ではなく、イネーブルメント)
- 目標を説明します: データの信頼性、規制遵守、コスト管理、導入の加速
- ガバナンス フレームワークを適用する対象者を定義します (すべての Power BI ユーザー、特定の部門など)
セクション 2: 役割と責任
| 役割 | 責任 |
|---|---|
| Power BI 管理者 | テナント設定、ゲートウェイ管理、ライセンス割り当て |
| データスチュワード | メトリクスの定義、認証レビュー、データ品質 |
| BI開発者 | データセット開発、展開パイプライン、モデル最適化 |
| レポート作成者 | レポート作成、視覚化のベスト プラクティス |
| ビジネスチャンピオン | 導入の擁護、トレーニングの調整、フィードバック |
| コンプライアンス責任者 | 機密ラベル、監査ログのレビュー、規制報告 |
セクション 3: 標準
- ワークスペースの命名規則 (上で定義したとおり)
- データセットの命名規則 (DS_Revenue_Sales、DS_Headcount_HR など)
- メジャーの命名規則 (例: "RevYTD" や "ytd_revenue" ではなく "Revenue YTD")
- レポートの命名規則 (例: RPT_Executive_Sales_Monthly)
- カラーパレット基準(企業ブランドに合わせて)
- 視覚化ガイドライン (どのデータ タイプにどのチャート タイプが対応するか)
セクション 4: プロセス
- コンテンツのライフサイクル: 作成、宣伝、認定、廃止
- 変更管理: 認定コンテンツへの変更をリクエストする方法
- アクセス要求プロセス: ユーザーがワークスペースまたはアプリへのアクセスを要求する方法
- インシデント対応: データ侵害またはガバナンス違反が検出された場合に何をすべきか
- レビューの頻度: 四半期ごとの認定レビュー、年次ポリシーの更新
セクション 5: コンプライアンス
- データ分類要件 (どの機密ラベルが必須か)
- 規制要件 (GDPR、HIPAA、SOC 2、業界固有)
- データ保持ポリシー (履歴データをデータセットに保持する期間)
- エクスポート制限(誰がどのようなデータ型をエクスポートできるか)
セクション 6: トレーニング
- 新しい Power BI ユーザー向けのオンボーディング トレーニング (セルフサービス、2 時間)
- レポート作成者向けの高度なトレーニング (インストラクター主導、1 日)
- データ スチュワードおよび管理者向けのガバナンス トレーニング (インストラクター主導、半日)
- すべてのユーザーを対象とした年次更新トレーニング (セルフサービス、1 時間)
ガバナンスをゼロから実装する組織向けに、ECOSIRE の Power BI 実装サービス には、組織の規模と業界に合わせてカスタマイズされたガバナンス ドキュメント、ワークスペース アーキテクチャ、および認定プロセスを作成するガバナンス ワークショップが含まれています。
ガバナンスの拡大
小規模組織 (ユーザー数 100 人未満)
ガバナンスを軽量に保つ:
- 明確な名前が付いた 5 ~ 10 個のワークスペース
- 部門ごとに 1 つまたは 2 つの認定された「ゴールデン」データセット
- 機密ラベルはオプションです (単純なワークスペースのアクセス制御から始めます)
- 四半期ごとのガバナンス検討会議
- データ スチュワードを兼ねる Power BI 管理者 1 名
中規模組織 (ユーザー数 100 ~ 1,000)
構造を追加します。
- 命名規則が適用された 20 ~ 50 のワークスペース
- すべての本番コンテンツのデプロイメント パイプライン
- データセットに対する必須の機密ラベル
- 正式なチェックリストによるコンテンツ認証
- 毎月のガバナンス検討会議
- 管理者とスチュワードの役割を備えた専任の BI チーム (2 ~ 5 人)
大規模組織 (1,000 ユーザー以上)
完全なガバナンス プログラム:
- 中央管理チームによって管理される 100 以上のワークスペース
- 標準、トレーニング、サポートを提供する Center of Excellence (CoE)
- 自動化されたガバナンス監視 (Power BI REST API + カスタム ダッシュボード)
- エンタープライズ データ カタログ用の Microsoft Purview との統合
- 監査ログをレビューする専任のコンプライアンス担当者
- ガバナンスKPIを含む四半期ごとのビジネスレビュー
- 認定コンテンツに対する重大な変更のための正式な変更諮問委員会
センター オブ エクセレンス モデル
Power BI Center of Excellence (CoE) は、ガバナンス、標準、トレーニング、サポートを担当する部門横断的なチームです。 CoE はすべての部門のレポートを作成するわけではありません。CoE により、各部門がガバナンスのガードレール内で独自のレポートを作成できるようになります。
CoE の責任:
- ガバナンスポリシーを定義および維持する
- 共有データセット (「ゴールデン」データ層) を構築および認証する
- データゲートウェイとインフラストラクチャを管理する
- セルフサービス ユーザーにトレーニングとオフィスアワーを提供する
- 部門のコンテンツをレビューして認定する
- 導入と使用状況の指標を監視する
- 新しい Power BI の機能を評価する
- セキュリティ、コンプライアンス、ライセンスに関して IT 部門と調整する
CoE サイジング:
| 組織規模 | CoE サイズ |
|---|---|
| 100 ~ 500 ユーザー | 2~3名(パートタイムCoE担当) |
| 500 ~ 2,000 ユーザー | 3 ~ 5 人の専任 CoE メンバー |
| 2,000 ~ 10,000 ユーザー | 5 ~ 10 人の専任 CoE メンバー |
| 10,000 人以上のユーザー | 10 人以上の CoE メンバーと地域リーダー |
よくある質問
組織にはワークスペースがいくつ必要ですか?
普遍的な答えはありませんが、主要な主題領域 (収益、パイプライン、在庫、労働力など) ごとに 1 つの運用ワークスペースと、それぞれに開発ワークスペースとテスト ワークスペースを設けることが有用なガイドラインです。 500 人の組織には通常、15 ~ 30 のワークスペースがあります。重要な指標は、ワークスペースの数ではなく、各ワークスペースに明確な所有者、目的、命名規則があるかどうかです。明確な所有権のない孤立したワークスペースは、ガバナンスのリスクとなります。
ワークスペースを作成できるユーザーを制限する必要がありますか?
はい。無制限にワークスペースを作成すると、無秩序に拡散してしまいます。管理ポータルでは、ワークスペースの作成を BI チームまたは指定されたパワー ユーザーに制限します。他のユーザーは、簡単なフォームまたはチケット発行プロセスを通じてワークスペースをリクエストできます。リクエストには、ワークスペース名 (命名規則に従う)、目的、所有者、想定される対象者、およびデータ ソースを含める必要があります。これにより、すべてのワークスペースに説明責任があることが保証されながら、ワークスペースの急増を防ぐ少量の摩擦が追加されます。
ワークスペースとアプリの違いは何ですか?
ワークスペースは、BI 開発者がコンテンツ (データセット、レポート、ダッシュボード) を構築および維持するコラボレーション環境です。アプリは、エンド ユーザーに配布されるコンテンツの読み取り専用で厳選されたパッケージです。ワークスペースをキッチン、アプリをレストランのメニューと考えてください。ダイナー(エンドユーザー)はメニュー(アプリ)を見て、何を食べるかを選択します。シェフ (BI 開発者) はキッチン (ワークスペース) で作業し、提供物を準備し、反復処理します。分離により、ユーザーは常に洗練された検証済みのコンテンツを参照できるようになります。
Power BI で機密データをどのように処理すればよいですか?
保護を階層化します: (1) 行レベルのセキュリティを使用して、各ユーザーが表示できる行を制限します。 (2) オブジェクトレベルのセキュリティを使用して、機密性の高い列 (給与など) を権限のない役割から隠します。 (3) 機密ラベルを適用してコンテンツを分類し、エクスポートを制御します。 (4) 機密性の高いコンテンツについては、管理ポータルでエクスポート許可を制限します。 (5) Azure AD 条件付きアクセスを使用して、Power BI へのアクセスに管理対象デバイスと MFA を要求します。 (6) アクティビティ ログを監視して、異常なデータ アクセス パターンがないか確認します。単一の対策だけでは十分ではありません。多層防御が不可欠です。
ガバナンス プログラムの成功をどのように測定すればよいでしょうか?
これらのガバナンス KPI を毎月追跡します: (1) 認定された運用データセットの割合 (目標: 80%+)。 (2) 機密ラベルが適用されたコンテンツの割合 (目標: 100%)。 (3) 90 日間アクティビティのない孤立したワークスペースの数 (目標: 0)。 (4) 新しいコンテンツを認証するまでの平均時間 (目標: 5 営業日以内)。 (5) ユーザー導入率 (月間アクティブ ユーザーをライセンス ユーザーで割った値、目標: 70% 以上)。 (6) 監査ログで検出されたガバナンス違反件数(目標:減少傾向)。 (7) セルフサービス比率 (ビジネス ユーザーが作成したレポートと IT が作成したレポート、目標: 増加)。内部ガバナンス ダッシュボードを構築してこれらの指標を追跡し、毎月のガバナンス会議でレビューします。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Power BI AI の機能: Copilot、AutoML、予測分析
自然言語レポート用の Copilot、予測用の AutoML、異常検出、スマート ナラティブなどの Power BI AI 機能をマスターします。ライセンスガイド。
Power BI ダッシュボード開発の完全ガイド
KPI 設計、視覚的なベスト プラクティス、ドリルスルー ページ、ブックマーク、モバイル レイアウト、RLS セキュリティを備えた効果的な Power BI ダッシュボードを構築する方法を学びます。
Power BI データ モデリング: ビジネス インテリジェンスのためのスター スキーマ設計
スター スキーマ設計、ファクト テーブルとディメンション テーブル、DAX メジャー、計算グループ、タイム インテリジェンス、複合モデルを使用した Power BI データ モデリングをマスターします。