次の方法で共有


デスクトップ用 Power Automate のアーキテクチャ

重要

フロー実行ジョブを受信するために Power Automate がクラウド サービスに接続するために使用できる 2 つの異なる方法があります。 最初のオプションは直接接続ですが、2 番目のオプションではオンプレミスのデータ ゲートウェイをインストールする必要があります。

デスクトップとクラウド間のデータ フローはどちらのオプションでも同じです。Web 要求を開始するアプリケーションとユーザー アカウントのみが異なります。

クラウド サービスへの有人/無人のデスクトップ直接接続

UIFlowService は、デスクトップマシン上で Power Automate とともにインストールされる Windows サービスです。 既定では、自動的に開始するように設定され、新しいユーザー NT SERVICE\UIFlowService として実行されます。 このユーザーは、インストール中に作成されます。

デスクトップの直接接続図。

Azure Relay は、サービスへの送信要求を作成することによって完全に確立された通信チャネルを促進するサービスです。 必要に応じて、WebSocket 接続を確立するか、HTTP ロングポーリングを使用することで、この機能を実現します。

Note

Azure Relay と Power Automate クラウド サービスはどちらも Azure のクラウド リソースです。 Azure Relay の詳細については、Azure Relay とはを参照してください。

デスクトップ コンピューター上の UIFlowService からクラウドの Azure Relay への送信 Web 要求では、HTTPS を使用して、ポート 443 経由で、FQDN *.servicebus.windows.net に要求が送信されます。

Azure Relay の宛先 IP アドレスは、ServiceBus という名前のパブリック クラウドではAzure IP 範囲およびサービス タグにあります。 他の Azure ナショナル クラウドについても同様のドキュメントを利用できます。 デスクトップ マシンでインバウンド ポートを開く必要はありません。

オンプレミスのデータ ゲートウェイを使用したクラウド サービスへの有人/無人のデスクトップ接続

Note

Power Automate は、オンプレミスのデータ ゲートウェイを使用せずに、クラウドへの直接接続を提供するようになりました。 詳細については、クラウド サービスへの有人/無人のデスクトップ直接接続を参照してください。

UIFlowService は、デスクトップマシン上で Power Automate とともにインストールされる Windows サービスです。 オンプレミス データ ゲートウェイの Windows サービスは、個別にインストールされるコンポーネントであり、UIFlowService と Azure Relay 間の通信ゲートウェイとして機能します。

オンプレミスのデータ ゲートウェイを使用したデスクトップ接続図。

既定では、データ ゲートウェイ サービスは自動的に開始するように設定され、新しいユーザー NT SERVICE\PBIEgwService として実行されます。 このユーザーは、インストール中に作成されます。

Azure Relay は、サービスへの送信要求を作成することによって完全に確立された通信チャネルを促進するサービスです。 必要に応じて、WebSocket 接続を確立するか、HTTP ロングポーリングを使用することで、この機能を実現します。

Note

Azure Relay と Power Automate クラウド サービスはどちらも Azure のクラウド リソースです。 Azure Relay の詳細については、Azure Relay とはを参照してください。

このデータ フローの詳細については、通信設定の調整を参照してください。 実行のためのファイアウォール要件は、直接接続オプションとまったく同じですが、異なるサービスとユーザー アカウントで送信要求を行います。

その他の Power Automate 送信 Web リクエスト

Power Automate は、実行時にいくつかの追加の送信 Web 要求を行います。これは、ランタイムに必要なデスクトップ フロー サービス に記載されています。

CRL エンドポイントは、オンプレミスのデータ ゲートウェイを使用する場合にのみ必要です。 これらはポート 80 を介して HTTP を使用し、UIFlowService で開始されます。

セッションの資格照明のライフサイクル

  1. デスクトップ マシンは、オンプレミスのデータ ゲートウェイにサインインするか、直接接続機能を使用して Power Automate 内に登録することで登録されます。 このプロセスにより、このマシンとの安全な通信に使用される公開キーと秘密キーが生成されます。

  2. マシン登録要求は、デスクトップ アプリケーションによって Power Automate クラウド サービスに送信されます。 要求には、新しく生成されたマシンの公開キーが含まれています。 このキーは、マシンの登録とともにクラウドに保存されます。

  3. 要求が完了すると、マシンは正常に登録され、管理可能なリソースとして Power Automate の Web ポータルに表示されます。 ただし、マシンへの接続が確立されるまで、フローはマシンを使用できません。

  4. Web ポータルで Power Automate 接続を確立するには、ユーザーは使用可能なマシンを選択し、デスクトップ フローの実行に使用するアカウントのユーザー名とパスワードの資格情報を提供する必要があります。

    ユーザーは、共有されているマシンを含め、以前に登録された任意のマシンを選択できます。 接続が保存されると、資格情報はマシンに関連付けられた公開キーを使用して暗号化され、この暗号化された形式で保存されます。

    クラウド サービスは、マシンの暗号化されたユーザーの資格情報を保存しています。 ただし、秘密キーはデスクトップ マシンにのみ存在するため、資格情報を復号化することはできません。 ユーザーはいつでもこの接続を削除でき、保存されている暗号化された資格情報も削除されます。

  5. デスクトップ フローがクラウドから実行されると、以前に確立された接続 (デスクトップ用 Power Automate で構築したフローを実行するアクションで選択された接続) が使用されます。

  6. デスクトップ フロー ジョブがクラウドからデスクトップに送信されると、それには接続に保存されている暗号化された資格情報が含まれます。 これらの資格情報は、秘密キーを使用してデスクトップで復号化され、指定されたユーザー アカウントとしてサインインするために使用されます。

セッションの資格情報のライフサイクル。

論理データ フローはクラウドからデスクトップへですが、接続はデスクトップからクラウドへと確立されます。 Azure Relay を使用して、送信 Web 要求を使用してクラウドに接続します。

ゲートウェイ クラスターがオンプレミスのデータ ゲートウェイを使用して作成されている場合、資格情報の復号化に使用される秘密キーは、クラスター内のすべてのマシンで生成されます。 秘密キーは、マシンの登録時に要求された回復キーを使用して生成されます。 回復キーがクラウドに送信されることはありません。

直接接続を使用してマシン グループを作成する場合、グループの秘密キーは、ユーザー定義のグループ パスワードを使用して暗号化されます。 次に、マシン登録要求の一部としてストレージのためにクラウドに送信されます。

暗号化された秘密キーは、グループに参加している他のマシンと共有されます。 ただし、ユーザーは最初にこの秘密キーを復号化するためのパスワードを指定する必要があるため、サービスは接続に保存されている資格情報を読み取ることができません。