環境で許可されるアプリを制御する (プレビュー)

[この記事はプレリリース ドキュメントであり、変更されることがあります。]

Dataverse 環境内で実行できるアプリを制御することで、データ流出を防ぎます。 これらの保護手段は、機密情報の不正な削除を防ぎ、ビジネスの継続性と規制への準拠を支援します。

環境で許可またはブロックするアプリを構成します。 これにより、悪意のあるユーザーが未承認のアプリを使用して機密データをエクスポートすることができなくなります。

重要

• これはプレビュー機能です。
• プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、追加の使用条件の対象となり、正式リリース前に利用可能です。お客様は早期にアクセスし、フィードバックを提供することができます。

アプリのアクセス制御はどのように機能しますか?

アプリのアクセス制御は Dataverse の認証レイヤーで実行されます。 詳細については、Power Platform サービスに対する認証 を参照してください。 Dataverse 認証では、ユーザーのトークンに含まれるクライアント アプリ ID を、環境に対して構成された許可、ブロックされたアプリの一覧と照合して検証します。 この認証は、環境へのユーザーのアプリ アクセスを許可または拒否します。

ユーザーは、次の 4 つの方法で認証できます:

• ユーザー コンテキスト

  ユーザーは、Dynamics 365 Sales などの資格情報を使用してシステムにサインインします。

• ユーザー偽装を含むアプリケーション コンテキスト

  ユーザーがファースト パーティの Microsoft アプリにサインインします。 アプリは、ユーザーを表すアプリケーション トークンを使用して Dataverse の呼び出しを行います。 詳細情報については、Web API を使用して別のユーザーを偽装するを参照してください。

• サービス間呼び出しを使用するファーストパーティ アプリ (アプリケーション コンテキスト)

  ファーストパーティの Microsoft アプリは、そのアプリケーション トークンを使用して Dataverse を呼び出します。 これらのファーストパーティ アプリは登録され、メール同期などの内部サービスを提供します。これらは通常、ユーザーの操作なしでバックグラウンドで実行されます。

• Azure ポータルのアプリ登録に登録されているサードパーティ製アプリ

  カスタム アプリは、Azure アプリ登録の証明書またはユーザー トークンを使用して認証されます。

クライアント アプリのアクセス制御が ユーザー およびアプリケーション コンテキスト認証でどのように機能するか の例:

• ユーザー トークンを含むユーザー コンテキスト

  • すべてのユーザー トークン要求について、使用されるアプリケーション ID が許可リストまたはブロックリストに含まれているかどうかを検証します。
  • ユーザー トークンは、ファーストパーティ アプリや パートナー アプリのパブリック クライアントに対しても取得できます。

  ヒント

  • 一時的に必要でない限り、パブリック クライアントを許可することはお勧めしません。
  • 00000007-0000-0000-c000-000000000000 Dataverse アプリは、すべての環境で自動的に許可されます。 ユーザーによる Dataverse 環境へのアクセスは、適切なユーザーライセンスを割り当てるか、ユーザーに Dataverse のセキュリティロールを割り当てるか、あるいはその両方を行うことで管理できます。

• ユーザーの偽装を含むアプリケーション コンテキスト

• ファーストパーティのアプリを使用した偽装

  • Power Automate のようなシナリオでは、ユーザーのなりすまし (偽装) にサービス間アプリケーション トークンが使用されるため、アプリケーション ID が許可またはブロックされているかどうかを確認します。
  • ユーザーのなりすましが使用されないその他のシナリオでは、サービス間トークンに対しては現在、有効性の確認は行なわれません。

以下のアプリには、クライアント アプリのアクセス制御は適用されません。

• サービス間呼び出しを使用するファーストパーティ アプリ (アプリケーション コンテキスト)

  詳細については、よく使われる Microsoft ファーストパーティ サービスとポータル アプリ を参照してください。

• サービス間呼び出しによるパートナー アプリ

  これらのアプリをブロックするには、Power Platform 管理センターで非アクティブにするか、環境から削除します。 Power Platform 管理センターでアプリケーション ユーザーを管理する方法の詳細情報。

前提条件

次の必要条件を完了します。

ロールを確認します

Power Platform関連のサービス管理者ロールには、高水準の管理者管理を提供できるように割り当てることができるロールが 2 つあります。

• Power Platform 管理者
• Dynamics 365 管理者

環境がマネージド環境であることを確認する

環境はすべて、マネージド環境である必要があります。 詳細については、マネージド環境の概要 を参照してください。

環境で監査をオンにする

新しい管理センター

1. システム管理者として、Power Platform 管理センター にサインインします。
2. ナビゲーション ウィンドウで、管理 を選択します。
3. 管理ウィンドウで環境を選択します。 続いて、特定の環境を選択します。
4. コマンド バーで、設定 を選択します。
5. 監査とログ>監査設定を選択します。
6. 監査 セクションで、監査の開始、ログアクセス、ログの読み取り オプションを選択します。
7. 保存 を選びます。

従来の管理センター

1. システム管理者として、Power Platform 管理センター にサインインします。
2. ナビゲーション ペインで、環境 を選択します。 続いて、特定の環境を選択します。
3. コマンド バーで、設定 を選択します。
4. 監査とログ>監査設定を選択します。
5. 監査 セクションで、監査の開始、ログアクセス、ログの読み取り オプションを選択します。
6. 保存を選択します。

環境のアプリケーション リストをレビューする

Dataverse 環境で実行するために事前登録された一連のアプリケーションがあります。 このアプリケーションの一覧は、環境によって異なる場合があります。 これらのアプリは、環境に自動的に読み込まれます。

ヒント

次のアプリは、Dataverse 環境での実行が事前承認されています。

• 「On-Behalf-Of (代理を務めるユーザー)」 トークンの取得が事前に承認されているすべての Microsoft アプリ。 詳細については、Microsoft ID プラットフォームと OAuth2.0 On-Behalf-Of フローを参照してください。
• アプリケーション ユーザー アプリ。 詳細については、特別なシステムユーザーとアプリケーション ユーザーを参照してください。
• On-Behalf-Of トークンを動的に取得できるすべてのレガシ アプリ。
• prvActOnBehalfOfAnotherUser 特権を持つすべてのアプリと、ヘッダーを使用してユーザーを偽装するアプリ。 詳細については、他のユーザーを偽装する を参照してください。

アプリケーションをリストに追加します

アプリケーションをリストに追加するには、次の手順を実行します。

新しい管理センター

1. Power Platform 管理センターにサインインします。

2. ナビゲーション ウィンドウで、管理 を選択します。

3. 管理ウィンドウで環境を選択します。

4. 環境ページで、環境名を選択します。

5. contoso.crm.dynamics.com などの環境 URL をコピーします。

6. 同じブラウザで新しいタブを開き (ログインしたままにするため)、次の URL をアドレス バーに追加します。 <EnvironmentURL> を環境 URL に置き換えて、Enter キーを押します。

   https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
   

   フォームには、環境に読み込まれているアプリケーションの一覧が表示されます。

7. +新規を選択します。

8. 新しい画面で、ApplicationId と入力します。

9. 名前を入力します。

10. 保存 を選びます。

従来の管理センター

1. Power Platform 管理センターにサインインします。

2. ナビゲーション ペインで、環境 を選択します。

3. 環境ページで、環境名を選択する

4. contoso.crm.dynamics.com などの環境 URL をコピーします。

5. 同じブラウザで新しいタブを開き (ログインしたままにするため)、次の URL をアドレス バーに追加します。 <EnvironmentURL> を環境 URL に置き換えて、Enter キーを押します。

   https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
   

   フォームには、環境に読み込まれているアプリケーションの一覧が表示されます。

6. +新規を選択します。

7. 新しい画面で、ApplicationId と入力します。

8. 名前を入力します。

9. 保存 を選びます。

リストからアプリケーションを選択する

リストからアプリケーションを削除するには:

1. アプリを選択します。

2. 削除を選択します。

3. 削除するアプリごとにこの手順を繰り返します。

   注意

   環境にプリ インストールされていたシステム アプリを削除した場合、そのアプリはシステムによって自動的に復元されます。 追加したアプリのみを削除することもできます。

アプリを許可またはブロックする

許可することの多い一般的なアプリ

ここでは、一般的に使用されるアプリのうち、安全に許可できるものをいくつか紹介します。

Application ID	アプリケーション名
07ce06e6-4ae9-4466-bca4-2984fa04d057	Microsoft Dynamics ファイル記憶域
1884bdbf-452a-4a11-9c76-afdbdb1b3768	RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3	PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff	MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15	Microsoft Dynamics NRD サービス
546068c3-99b1-4890-8e93-c8aeadcfe56a	Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa	DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e	Microsoft Dynamics CRM App for Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d	Dynamics 365 分析
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8	Common Data Service グローバル探索サービス
730d33da-0894-409f-a907-c577151719c5	Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c	Microsoft Flow サービス
7f15f9d9-cad0-44f1-bbba-d36650e07765	Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195	DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3	Power Platform 承認サービス PROD
978b42f5-e03a-4695-b8df-454959d032c8	BAP
99ff962b-6252-4b98-8478-0c65a3ea1925	InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf	Azure SQL Database と Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8	BizQA for CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94	Dynamic 365 Sales Insights Connector for Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9	PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e	IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b	Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021	CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3	JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2	AiBuilder PAIO-CDS Prod

一般的にブロックすることの多いアプリ

これらのアプリは、データの強力なエクスポーターです。 これらをブロックすることで、機密情報のデータ流出を防ぐことができます。

Application ID	アプリケーション名
a672d62c-fc7b-4e81-a576-e60dc46e951d	Microsoft Power Query for Excel (デスクトップ クライアント)
d3590ed6-52b3-4102-aeff-aad2292ab01c	Microsoft Access クライアント
51f81489-12ee-4a9e-aaae-a2591f45987d	xRm ToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc	PowerShell
a672d62c-fc7b-4e81-a576-e60dc46e951d	Power BI

推奨手順

1. 非運用環境で監査モードをオンにします。
2. 環境で実行されているアプリの監査ログを確認して、アクセス制御を管理するアプリの一覧を取得します。
3. 次に、運用環境で手順 1～2 を繰り返します。
4. 環境での実行を許可するアプリの一覧を確認します。

アプリのアクセス制御のモード

次の 4 つのモードがあります。

• 監査モードをオンにする
• 有効モードをオンにする
• ロールに対して有効なモードをオンにする
• アプリ アクセスをオフにする

監査モードをオンにする

少なくとも 1 週間は監査モードをオンにして、ユーザーが環境で実行しているアプリの一覧を取得することをお勧めします。

この監査ログの一覧を使用して、許可またはブロックするアプリを決定できます。

1. Power Platform 管理センターにサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. セキュリティ ペインで、ID およびアクセス管理を選択します。
4. ID およびアクセス管理 ペインで、アプリのアクセス制御を選択する
5. アプリのアクセス制御機能をオンにする環境を選択します。
6. アプリのアクセス制御を設定 ボタンを選択します。
7. Access Control ドロップダウンリストで AuditMode オプションを選択します。
8. Dataverse アプリケーションを選択し、グリッド上の 許可 オプションを選択します。
9. 保存を選択します。
10. 環境の一覧が再度表示されます。 監査を有効にする環境ごとにこの手順を繰り返します。 環境の監査モードを有効にしたら、パネルを閉じます。

ヒント

監査モードは構成設定を更新した後、有効になるまでに最大で 1 時間かかる場合があります。

監査モードでは、アクセスを許可するアプリケーションを少なくとも 1 つ選択する必要があります。 ただし、監査モードではアプリのアクセス制御は適用されません。 アクセスを許可または拒否されているかどうかに関係なく、環境にアクセスしているアプリの一覧を取得します。

ログ アクセス オプションを含め、環境の監査設定を許可する必要があります。

監査ログの一覧を取得する

新しい管理センター

1. システム管理者として、Power Platform 管理センター にサインインします。

2. ナビゲーション ウィンドウで、管理 を選択します。

3. 管理ウィンドウで環境を選択します。 次に、監査をオンにした環境を選択します。

4. 設定 を選択します。

5. 監査とログ>監査概要ビューを選択します。

6. フィルターを有効/無効にする を選択して、見出しのドロップダウン機能のリストを確認します。

7. イベント 見出しの近くにあるドロップダウン矢印を選択し、ApplicationBasedAccessDenied および ApplicationBasedAccessAllowed を見つけて選択します。

   

8. OK を選びます。

   フィルタリングされた監査が表示されます。

従来の管理センター

1. システム管理者として、Power Platform 管理センター にサインインします。

2. ナビゲーション ペインで、環境 を選択します。 次に、監査をオンにした環境を選択します。

3. 設定 を選択します。

4. 監査とログ>監査概要ビューを選択します。

5. フィルターを有効/無効にする を選択して、見出しのドロップダウン機能のリストを確認します。

6. イベント 見出しの近くにあるドロップダウン矢印を選択し、ApplicationBasedAccessDenied および ApplicationBasedAccessAllowed を見つけて選択します。

   

7. OK を選びます。

   フィルタリングされた監査が表示されます。

有効モードをオンにする

ブロックされているアプリのブロックを開始し、承認されたアプリのみを許可します。 アプリでアクセスを 許可する または ブロックする よう選択できます。

1. Power Platform 管理センターにサインインします。

2. ナビゲーション ウィンドウで、セキュリティ を選択します。

3. セキュリティ ペインで、ID およびアクセス管理を選択します。

4. ID およびアクセス管理 ペインで、アプリのアクセス制御を選択します。

5. アプリのアクセス制御機能をオンにする環境を選択します。

6. アプリのアクセス制御を設定 ボタンを選択します。

7. Access Control ドロップダウン リストで、有効 を選択します。

8. Dataverse アプリケーションを選択し、グリッドの上にある次のオプションのいずれかを選択します。

   • 許可では、アプリへのアクセスを許可します。
   • ブロックでは、アプリへのアクセスを拒否します。

9. 保存を選択します。

10. 環境の一覧が再度表示されます。 ブロックするアプリのブロックを開始し、承認されたアプリを許可する環境ごとに手順を繰り返します。 完了したら、パネルを閉じます。

    ヒント

    有効モードは、構成設定を更新した後、有効になるまでに最大で 1 時間かかる場合があります。

ロールに対して有効なモードをオンにする

ブロックされているアプリのブロックを開始し、承認されたアプリのみを許可します。 アクセスを許可するアプリには、セキュリティ ロールを割り当てて、環境内でそれらのアプリを実行できるユーザーを制限できます。 選択したセキュリティ ロールに割り当てられたユーザーのみがアプリを実行できます。

1. Power Platform 管理センターにサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. セキュリティ ペインで、ID およびアクセス管理を選択します。
4. ID およびアクセス管理 ペインで、アプリのアクセス制御を選択します。
5. アプリのアクセス制御機能をオンにする環境を選択します。
6. アプリのアクセス制御を設定 ボタンを選択します。
7. Access Control ドロップダウン リストで、ロールに対して有効 を選択します。
8. アプリを選択したら、グリッドの上にある セキュリティ ロールの管理 オプションを選択します。
9. 必要なセキュリティ ロールを 1 つ以上選択します。
10. 保存を選択します。
11. ウィンドウが表示され、選択したロールを確認するように求められます。 保存を選択します。
12. アプリのリストが再表示されます。 保存を選択します。
13. 環境の一覧が再度表示されます。 セキュリティ ロールを割り当てる環境ごとにこの手順を繰り返します。 完了したら、パネルを閉じます。

ヒント

ロールの有効化モードは、構成設定を更新した後、有効になるまでに最大 1 時間かかる場合があります。

アプリのアクセス制御機能をオフにする

アプリのアクセス制御機能をオフにして、環境で実行されているアプリの制限を解除します。

1. Power Platform 管理センターにサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. セキュリティ ペインで、ID およびアクセス管理を選択します。
4. ID およびアクセス管理 ペインで、アプリのアクセス制御を選択します。
5. アプリのアクセス制御機能をオンにする環境を選択します。
6. アプリのアクセス制御を設定 ボタンを選択します。
7. Access Control ドロップダウン リストで、無効 を選択します。
8. 保存を選択します。
9. 環境の一覧が再度表示されます。 機能をオフにする環境ごとに、この手順を繰り返します。 完了したら、パネルを閉じます。

ヒント

一部のアプリを 許可 または ブロックに設定している場合、アプリのアクセス制御機能が無効になっているときに設定を削除する必要はありません。 この環境では、アプリの制限はありません。

エラー メッセージ: ユーザーアプリ拒否エラー

ユーザーが許可されていないアプリを実行しようとすると、次のエラー メッセージが表示されます:

このアプリケーション ID への Dataverse API アクセスは制限されています。

一般的に使用される Microsoft のファーストパーティ サービスとポータル アプリ

次のアプリは Microsoft ファーストパーティ サービスです。 このアプリの一覧は、使用している環境の種類とインストールされているソリューションによって異なる場合があります。 これらのアプリは、存在するすべての環境で自動的に許可されます。 ユーザーがこれらのアプリを使用できないようにするには、必要なユーザー ライセンスを削除するか、Dataverse のセキュリティ ロールの割り当てを削除します。 たとえば、Power Apps Maker Portal を使用するには、作成者に「環境作成者」、「システム カスタマイザー」、または「システム管理者」のセキュリティロールを割り当てる必要があります。

Application ID	アプリケーション名
00000007-0000-0000-c000-000000000000	Dataverse
75eb2b80-011a-4693-9a47-7971c853603c	make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88	make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c	make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c	make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb	Microsoft Flow ポータル DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7	Microsoft FlowポータルGCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3	make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad	make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04	make.gov.powerapps.us
a522f059-bb65-47c0-8934-7db6e5286414	Power Virtual Agents - テスト
a8f7a65c-f5ba-4859-b2d6-df772c264e9d	make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab	make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031	make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a	PowerPlatformAdminCenter クライアント
065d9450-1e87-434e-ac2f-69af271549ed	PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23	MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8	Finance Copilot
a59cef1e-2e32-4703-8dab-810d9807efeb	ccibots
96ff4394-9197-43aa-b393-6a41652e21f8	ccibotsprod

関連するコンテンツ

• 一般的に使用される Microsoft のファーストパーティ サービスとポータル アプリ
• 一般的に使用される Microsoft アプリケーションのアプリケーション ID