Updated September 26, 2024: This feature is now live and is active in your tenant.

Coming soon for Microsoft Fabric: Two new settings in the Fabric Admin portal that are designed to enhance security and flexibility for applications interacting with Microsoft OneLake.

[When this will happen:]

Public Preview: We will begin rolling out late September 2024 and expect to complete by late September 2024. You can start saving your settings in late August 2024.

When the General Availability release timeline is known, we will update you.

[How this will affect your organization:]

Before this rollout: Users could not generate SAS tokens in OneLake.

After this rollout: Admins will have support for short-lived user-delegated OneLake shared access signature (SAS) tokens in public preview. This functionality allows applications to request a user delegation key backed by a Microsoft Entra ID, which can then be used to build a OneLake SAS token. This token can be handed off to provide delegated access to another tool, node, or user, ensuring secure and controlled access. OneLake SAS tokens are constructed and used similarly to Azure Storage SAS tokens, with a few key differences:

• OneLake user delegation keys and SAS tokens cannot exceed a lifetime of one hour.
• OneLake SAS tokens are always user delegated and must be backed by an Entra ID.
• OneLake SAS can only grant access to data items in Fabric.

The usage of OneLake SAS in a Fabric tenant is controlled by two tenant switches:

1. A switch managed by tenant admins that controls the generation of OneLake SAS tokens
2. A switch automatically delegated to workspace admins that controls the acceptance of OneLake SAS tokens

Both switches must be turned on to allow the use of OneLake SAS in a workspace.

Scenarios supported by SAS

Delegated access with SAS tokens allows applications without native support for Microsoft Entra to gain temporary access to specific folders or files in OneLake. SAS tokens are commonly used for data integration workloads by granting external engines temporary permissions to write data to a staging location. Many ISVs also use SAS tokens to grant their users temporary scoped-down access to their data.

New tenant settings

1. Use Short-lived user-delegated SAS tokens (Preview):

• Default Status: ON
• This setting allows the creation of short-lived user-delegated SAS tokens by turning on the user delegation key API for the entire tenant.

2. Authenticate with OneLake user-delegated SAS tokens (Preview):

• Default Status: OFF
• This setting enables authentication using OneLake user-delegated SAS tokens. This setting is automatically delegated to workspace admins, allowing them to decide whether their workspace will accept OneLake SAS as a valid authentication method.

[What you need to do to prepare:]

1. Review and decide on settings:

• Use short-lived user-delegated SAS tokens: As this setting is turned ON by default, please review its implications and decide if it should remain enabled for your organization.
• Authenticate with OneLake user-delegated SAS tokens: This setting is OFF by default, and workspace admins will be able to enable this feature. Evaluate its potential benefits and determine if you would like to enable it automatically for all workspaces.

2. Action for tenant admins:

• In late September 2024, OneLake SAS will be available in public preview. If no actions are taken on the tenant setting, workspace admins will be able to turn ON OneLake SAS authentication for their workspace. Note that Authenticate with OneLake user-delegated SAS tokens is automatically delegated to workspace admins. If you prefer not to have these features available for your organization, please turn OFF the Use short-lived user-delegated SAS tokens setting in Fabric before late September 2024. This will disable OneLake SAS generation for your tenant, ensuring OneLake SAS cannot be used, regardless of the workspace admins setting.
• Workspace admins will be able to enable authentication with SAS tokens for their workspaces if no action is taken by tenant admins.
• We encourage you to assess these new settings and make any necessary changes to align with your organization’s security and access control policies.

If you have any questions or need further assistance, please do not hesitate to contact our support team.

This rollout will happen automatically by the specified dates with no admin action required before the rollout. You may want to notify your admins about this change and update any relevant documentation.

Explore Microsoft Fabric documentation. Before rollout, we will update this post with links to new documentation.

2024 年 9 月 26 日更新: この機能は現在公開されており、テナントでアクティブになっています。

Microsoft Fabric の近日公開予定: Fabric 管理ポータル の 2 つの新しい設定は、Microsoft OneLake と対話するアプリケーションのセキュリティと柔軟性を強化するように設計されています。

[これがいつ起こるか:]

パブリック プレビュー: 2024 年 9 月下旬にロールアウトを開始し、2024 年 9 月下旬までに完了する予定です。2024年8月下旬から設定の保存を開始できます。

一般公開リリースのスケジュールがわかり次第、更新します。

[これがあなたの組織にどのように影響しますか:]

このロールアウト前: ユーザーは OneLake で SAS トークンを生成できませんでした。

このロールアウト後: 管理者は、パブリック プレビューで、有効期間が短いユーザー委任の OneLake Shared Access Signature (SAS) トークンをサポートできるようになります。この機能により、アプリケーションは Microsoft Entra ID に裏打ちされたユーザー委任キーを要求でき、それを使用して OneLake SAS トークンを構築できます。このトークンを渡すことで、別のツール、ノード、またはユーザーに委任されたアクセスを提供し、安全で制御されたアクセスを確保できます。 OneLake SAS トークンは、 Azure Storage SAS トークンと同様に構築および使用されますが、いくつかの重要な違いがあります。

• OneLake ユーザー委任キーと SAS トークンの有効期間は 1 時間を超えることはできません。
• OneLake SAS トークンは常にユーザーによって委任され、Entra ID によって裏付けられている必要があります。
• OneLake SAS は、Fabric 内のデータ項目へのアクセスのみを許可できます。

Fabric テナントでの OneLake SAS の使用は、次の 2 つのテナント スイッチによって制御されます。

1. OneLake SAS トークンの生成を制御するテナント管理者によって管理されるスイッチ
2. OneLake SAS トークンの受け入れを制御するワークスペース管理者に自動的に委任されるスイッチ

ワークスペースで OneLake SAS を使用するには、両方のスイッチをオンにする必要があります。

SAS がサポートするシナリオ

SAS トークンを使用した委任アクセスを使用すると、Microsoft Entra のネイティブ サポートがないアプリケーションは、OneLake 内の特定のフォルダーまたはファイルに一時的にアクセスできます。SASトークンは、ステージング場所にデータを書き込むための一時的な権限を外部エンジンに付与することで、データ統合ワークロードによく使用されます。 また、多くの ISV では、SAS トークンを使用して、データへの一時的なスコープダウン アクセスをユーザーに付与します。

新しいテナント設定

1. ユーザーが委任した短時間の SAS トークンを使用する (プレビュー):

• デフォルトのステータス: ON
• この設定では、テナント全体のユーザー委任キー API を有効にすることで、有効期間の短いユーザー委任 SAS トークンを作成できます。

2. OneLake ユーザー委任 SAS トークンを使用して認証 する (プレビュー):

• デフォルトのステータス: OFF
• この設定により、OneLake ユーザー委任 SAS トークンを使用した認証が有効になります。この設定はワークスペース管理者に自動的に委任されるため、ワークスペースが有効な認証方法として OneLake SAS を受け入れるかどうかを管理者に決定できます。

【準備に必要なこと】

1. 設定を確認して決定します。

• 有効期間の短いユーザー委任 SAS トークンを使用します。 この設定はデフォルトでオンになっているため、その影響を確認し、組織で有効にしておく必要があるかどうかを決定してください。
• OneLake ユーザー委任 SAS トークンで認証する: この設定は既定でオフになっており、ワークスペース管理者はこの機能を有効にできます。その潜在的な利点を評価し、すべてのワークスペースで自動的に有効にするかどうかを決定します。

2. テナント管理者向けのアクション:

• 2024 年 9 月下旬に、OneLake SAS のパブリック プレビューが利用可能になります。テナント設定に対してアクションが実行されない場合、ワークスペース管理者はワークスペースの OneLake SAS 認証を有効にできます。 OneLake ユーザー委任 SAS トークンを使用した認証 は、ワークスペース管理者に自動的に委任されることに注意してください。組織でこれらの機能を利用できない場合は、2024 年 9 月下旬までに Fabric の [ 有効期間の短いユーザー委任 SAS トークンを使用する ] 設定をオフにしてください。これにより、テナントの OneLake SAS の生成が無効になり、ワークスペース管理者の設定に関係なく OneLake SAS を使用できなくなります。
• ワークスペース管理者は、テナント管理者がアクションを実行しない場合、ワークスペースの SAS トークンを使用した認証を有効にすることができます。
• これらの新しい設定を評価し、組織のセキュリティおよびアクセス制御ポリシーに合わせて必要な変更を加えることをお勧めします。

ご不明な点がある場合や、さらにサポートが必要な場合は、お気軽にサポートチームにお問い合わせください。

このロールアウトは、ロールアウト前に管理者のアクションを必要とせずに、指定された日付までに自動的に行われます。この変更について管理者に通知し、関連するドキュメントを更新することをお勧めします。

Microsoft Fabric のドキュメントをご覧ください。ロールアウトの前に、新しいドキュメントへのリンクでこの投稿を更新します。