IP アドレスの構成
Power Automate が要求する Power Platform 送信 IP アドレス は、フローを含む 環境 が置かれている リージョン によって異なります。 FQDNs (完全修飾ドメイン名) はフローシナリオ向けに公開されていません。
Power Automate クラウド フローが コネクタ を介して外部サービスを呼び出すことができるようにファイアウォールを構成する最も簡単なメカニズムは、Azure サービス タグ を使用することです。 Logic Apps コネクタのプライマリ サービス タグは、 AzureConnectors です ( Power Platform 送信 IP アドレスで説明されています)。
クラウド フロー ランタイムのロジック アプリとコネクタ
クラウド フローから行われた呼び出しは、Azure Logic Apps サービスを直接経由します。 これらの呼び出しの例としては、HTTP または HTTP + OpenAPI があります。 Logic Apps のドキュメント でそのサービスで使用される IP アドレスについて参照してください。
ネットワーク上でインバウンドまたはアウトバウンドの IP アドレスを制限している場合 (たとえば、ファイアウォール経由で)、フローが引き続き機能するようにするには、ネットワーク構成を更新して、サポートされているリージョンの Azure Logic Apps 用 IP アドレス と マネージド コネクター用 IP アドレス の両方を許可します。 詳細については、Azure Logic Apps - 可用性ゾーンを使用してゾーンの冗長性を設定する を参照してください。
Power Automate サービスに必要なエンドポイント
次の表に、Power Automate の接続先となるサービスの一覧を示します。 これらのサービスがネットワーク上でブロックされていないことを確認してください。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| login.microsoft.com login.windows.net login.microsoftonline.com login.live.com secure.aadcdn.microsoftonline-p.com |
https | 認証および承認エンドポイントへのアクセス。 |
| graph.microsoft.com | https | プロファイルの写真などのユーザー情報を取得するために、Microsoft Graph にアクセスします。 |
| *.azure-apim.net | https | コネクタのランタイムにアクセスします。 |
| *.azure-apihub.net | https | コネクタのランタイムにアクセスします。 |
| *.blob.core.windows.net | https | エクスポートされたフローの場所。 |
| *.flow.microsoft.com *.logic.azure.com |
https | Power Automate のサイトににアクセスする。 |
| *.powerautomate.com | https | Power Automate サイトへのアクセス。 |
| *.powerapps.com | https | Power Apps のサイトににアクセスする。 |
| *.azureedge.net | https | Power Automate CDN にアクセスする。 |
| *.microsoftcloud.com | https | NPS (Net Promoter Score) にアクセスします。 |
| webshell.suite.office.com | https | ヘッダーと検索のための Office にアクセスします。 詳細については、 Office 365 URL と範囲 をご覧ください。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス |
| go.microsoft.com | https | 更新を確認するための Power Automate へのアクセス |
| download.microsoft.com | https | 更新を確認するための Power Automate へのアクセス |
| login.partner.microsoftonline.cn | https | デスクトップ クラウド検出のための Power Automate へのアクセス |
| s2s.config.skype.com use.config.skype.com |
https | フライトと構成エンドポイントを通じて管理されるプレビュー機能へのアクセス。 |
| s2s.config.ecs.infra.gov.teams.microsoft.us | https | 米国政府クラウド向け、フライトと構成エンドポイントを通じて管理されるプレビュー機能へのアクセス。 |
| *.api.powerplatform.com *.api.powerplatformusercontent.com |
https | いくつかの Power Platform API へのアクセス。 |
| *.api.gov.powerplatform.microsoft.us | https | いくつかの Power Platform API へのアクセス (米国政府 - GCCのみ)。 |
| *.api.high.powerplatform.microsoft.us | https | いくつかの Power Platform API へのアクセス (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us | https | いくつかの Power Platform API へのアクセス (米国政府 - DoD のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | いくつかの Power Platform API へのアクセス (21Vinaet - 中国のみ)。 |
Power Automate モバイル アプリを使用するために必要なエンドポイント
次の表に、Power Automate モバイル アプリを使用するときに必要な追加のエンドポイントを示します。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| *.events.data.microsoft.com | https | モバイル アプリからすべての運用リージョンとサポート対象の米国ソブリン クラウドのテレメトリを送信します。 |
| collector.azure.cn | https | モバイル アプリから Mooncake リージョンのテレメトリを送信します。 |
| officeapps.live.com | https | モバイル アプリの認証および承認エンドポイントにアクセスします。 |
デスクトップ フロー ランタイムに必要なサービス
次の表に、デスクトップ フローを実行するためのユーザーのマシンからの接続に関するエンドポイント データ要件を示します。 グローバル エンドポイントとクラウドに対応するエンドポイントを確実に承認する必要があります。
デスクトップ フロー ランタイムのグローバル エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| server.events.data.microsoft.com | https | ヨーロッパ、中近東およびアフリカのクラウド、米国政府機関のクラウド、中国のクラウド以外のユーザーのテレメトリを処理します。 フォールバック テレメトリ エンドポイントとして機能します。 |
| msedgedriver.azureedge.net chromedriver.storage.googleapis.com |
https | デスクトップ フロー WebDriver ダウンローダーにアクセスします。 WebDriver は、ブラウザー (Microsoft Edge と Google Chrome) を自動化するために使用されます。 |
デスクトップ フロー ランタイムのパブリック エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| ocsp.digicert.com ocsp.msocsp.com mscrl.microsoft.com crl3.digicert.com crl4.digicert.com |
http | パブリック クラウドの CRL サーバーにアクセスします。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| *.servicebus.windows.net | https | TCP を介して Service Bus Relay をリスニングします。 マシンの接続に必要です。 |
| *.gateway.prod.island.powerapps.com | https | マシンの接続に必要です。 |
| emea.events.data.microsoft.com | https | EMEA ユーザーのテレメトリを処理します。 |
| *.api.powerplatform.com | https | いくつかの Power Platform API へのアクセス (デスクトップ フローでのクラウド コネクタの使用に必須)。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションには必須) (GCC にも有効)。 |
注意
公開エンドポイント *.servicebus.windows.net を許可しない場合は、名前空間のリストを個別に許可できます。 名前空間エンドポイントの詳細については、デスクトップ フロー ランタイムに必要な名前空間エンドポイントの許可リストを参照してください。
デスクトップ フロー ランタイムの米国政府エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| ocsp.digicert.com crl3.digicert.com crl4.digicert.com |
http | 米国政府機関クラウドの CRL サーバーにアクセスします。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| *.servicebus.usgovcloudapi.net | https | 米国政府のクラウド向けの Service Bus Relay をリッスンします。 マシンの接続に必要です。 |
| *.gateway.gov.island.powerapps.us | https | 米国政府機関クラウド (GCC および GCCH) のコンピューターの接続に必要 |
| *.gateway.gov.island.appsplatform.us | https | 米国政府機関クラウド (DOD) のマシンの接続に必要です。 |
| tb.events.data.microsoft.com | https | 米国政府ユーザーのテレメトリを処理します。 |
| *.api.gov.powerplatform.microsoft.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - GCC のみ)。 |
| *.api.high.powerplatform.microsoft.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - DoD のみ)。 |
| *.microsoftdynamics.us | https | 複数の Dataverse テーブルへのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - GCC High のみ)。 |
| *.crm.appsplatform.us | https | 複数の Dataverse テーブルへのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - DoD のみ)。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションには必須) (パブリック クラウドにも有効)。 |
デスクトップ フロー ランタイムの 21Vianet エンドポイント (中国)
| ドメイン | プロトコル | 用途 |
|---|---|---|
| crl.digicert.cn ocsp.digicert.cn |
http | 21Vianet が運用するクラウドの CRL サーバーにアクセスする。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| apac.events.data.microsoft.com | https | 中国のユーザーのテレメトリを処理します。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | いくつかの Power Platform API へのアクセス (デスクトップ フローでのクラウド コネクタ アクションに必須) (21Vinaet - 中国のみ)。 |
| *.dynamics.cn | https | Dataverse テーブルへのアクセス (DesktopFlow モジュール機能) (21Vinaet - 中国のみ)。 |
その他のIPアドレスの記事
承認メールの送信
承認メールのルーティングに関する詳細については、承認メールの送信 記事を参照してください。
Azure SQL データベース
たとえば、Azure SQL Database の IP アドレスを承認する場合は、Power Platform の送信 IP アドレス を使う必要があります。
よくあるご質問
ここには多くの詳細がありますが、IP アドレス構成に関する高レベルの推奨事項は何ですか?
Power Automate クラウド フローが コネクタ を介して外部サービスを呼び出すことができるようにファイアウォールを構成する最も簡単なメカニズムは、Azure サービス タグ を使用することです。 Logic Apps コネクタのプライマリ サービス タグは、 AzureConnectors です ( Power Platform 送信 IP アドレスで説明されています)。
Azure Firewall を使用している場合、個々の IP アドレスを追跡する必要がありますか?
Azure サービス タグ を使用することをお勧めします。 ネットワーク セキュリティ グループ ルールでサービス タグを使用すると、各サービスの IP 範囲を継続的に監視して手動で更新する必要がなくなります。
オンプレミスのファイアウォールを使用している場合、個々の IP アドレスを追跡する必要がありますか?
オンプレミス ファイアウォールでサービス タグ を使用することで、IP 範囲の監視と手動更新の必要がなくなります。 サービス タグ検出 API は、各サービス タグに関連付けられた最新の IP アドレス範囲へのアクセスを提供し、変更に対応することができます。