Power Platform におけるセキュリティとガバナンスに関する考慮事項

多く顧客は、どのようにして Power Platform をより幅広いビジネスに利用し、IT でサポートすることができるのかと考えています。 答えはガバナンスです。 IT とビジネス コンプライアンスの標準を準拠しながら、ビジネス問題の効率的な解決に注力できるよう、ビジネス グループを有効にすることを目指しています。 以下のコンテンツは、運営ソフトウェアに関連するテーマを構成し、Power Platform 運営に関連する各テーマで利用可能な機能を認識させることを目的としています。

テーマ	このコンテンツが回答する各テーマに関連付けられた一般的な質問
アーキテクチャ	Power Apps、Power Automate および Microsoft Dataverse の基本構造とコンセプトは何ですか。 これらの構造は設計時とランタイムに、どのように組み合わされるのですか。
セキュリティ	セキュリティ デザイン上の考慮事項において、最適な練習とは何ですか。 どのように既存のユーザーとグループ管理ソリューションを活用して、Power Apps のアクセスとセキュリティ ロールを管理しますか?
警告とアクション	どのように市民開発者と管理された IT サービス間で、ガバナンス モデルを定義しますか。 どのように中心的 IT と部署の管理者間で、ガバナンス モデルを定義しますか。 どのように組織の既定以外の環境へサポートをアプローチすべきでしょうか。
監視	どのようにコンプライアンス / 監査データをキャプチャしますか? どのように組織内で採用と使用を評価したらいいですか。

アーキテクチャ

自社に適したガバナンス ストーリーを構築する第一歩として、環境に精通しておくことが最善の方法です。 環境は、Power Apps、Power Automate、および Dataverse が利用するすべてのリソースのコンテナーです。 環境の概要 は、Dataverse とは、Power Apps のタイプ、Microsoft Power Automate、コネクター、オンプレミスのゲートウェイ と並んで役立つ入門書です。

セキュリティ

このセクションでは、環境の Power Apps とデータにアクセス可能なユーザーを制御するメカニズムを説明します: ライセンス、環境、環境ロール、Microsoft Entra ID、Power Automate で使用可能なデータ消失防止ポリシーと管理者コネクタ。

ライセンス

Power Apps にアクセスして、Power Automate はライセンスを持つことから始まります。 ユーザーが持っているライセンスの種類によって、ユーザーがアクセスできる資産とデータが決まります。 次の表では、高レベルからプランの種類に基づいてユーザーが利用できるリソースの違いを説明します。 ライセンスの詳細は、ライセンスの概要 に表示されます。

計画	説明
Microsoft 365 含む	これにより、ユーザーは SharePoint と既に持っている他の Office 資産を拡張できます。
Dynamics 365 含む	これにより、ユーザーは既に所有している Customer Engagement アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、および Dynamics 365 Project Service Automation)、をカスタマイズおよび拡張できます。
Power Apps プラン	これにより実現できること: エンタープライズ コネクタの作成および Dataverse を使用するためアクセスできます。 ユーザーは、アプリケーションの種類や管理機能にわたる強力なビジネス ロジックを使用できます。
Power Apps コミュニティ	これにより、ユーザーは Power Apps、Power Automate、Dataverse および個人用のシングルのカスタム コネクタを使用することができます。 アプリを共有する機能はありません。
Power Automate Free	これにより、ユーザーは無制限のフローを作成し、750 回実行できます。
Power Automate プラン	Microsoft Power Apps と Microsoft Power Automate ライセンス ガイド を参照してください。

環境

ユーザーがライセンスを取得すると、環境は、Power Apps、Power Automate、および Dataverse が使用するすべてのリソースのコンテナーとなります。 環境は、開発、テスト、運用など、対象者や目的に応じて使い分けることができます。 詳細については、環境の概要 を参照してください。

データおよびネットワークを保護

• Power Apps と Power Automate では、まだユーザーがまだアクセスできないデータ資産へのアクセスを提供しません。 ユーザーは実際にアクセスを必要とするデータへのアクセスのみが必要です。
• ネットワークのアクセス制御のポリシーは、Power Apps と Power Automate にも適用可能です。 環境に関しては、シングル サインオン ページをブロックしてネットワーク内からサイトへのアクセスブロックすることが可能で、Power Apps と Power Automate で作成されたサイトへの接続を禁止します。
• 環境では、アクセスは次の 3 つのレベルで制御されます: 環境ロール、Power Apps 用リソースのアクセス許可、Power Automate、などとDataverse セキュリティ ロール (Dataverse データベースがプロビジョニングされた場合)。
• Dataverse が環境で作成されると、Dataverse ロールは環境のセキュリティを制御するため引き継ぎます (およびすべての環境管理者と作成者は移行されます)。

以下のプリンシパルは、ロールの種類ごとにサポートされます。

環境の種類	役割	プリンシパルの種類 (Microsoft Entra ID)
Dataverse を使用しない環境	環境のロール	ユーザー、グループ、テナント
	リソースのアクセス許可: キャンバス アプリ	ユーザー、グループ、テナント
	リソースのアクセス許可: Power Automate、カスタム コネクタ、ゲートウェイ、接続 1	ユーザー、グループ
Dataverse を使用する環境	環境のロール	User
	リソースのアクセス許可: キャンバス アプリ	ユーザー、グループ、テナント
	リソースのアクセス許可: Power Automate、カスタム コネクタ、ゲートウェイ、接続 1	ユーザー、グループ
	Dataverse ロール (全モデル駆動型アプリとコンポーネントに適用)	User

¹共有できるのは特定の接続 (SQL など) だけです。

Note

• 既定の環境では、テナントのすべてのユーザーが環境のメーカー ロールへのアクセス権を付与されます。
• Power Platform 管理者ロールを持つユーザーは、すべての環境に対する管理者アクセス権を持ちます。

よく寄せられる質問 - Microsoft Entra のテナント レベルでは、どのアクセス許可がありますか?

現時点では、Microsoft Power Platform 管理者は次のことができます。

1. Power Apps & Power Automate ライセンス レポートをダウンロード
2. 「すべての環境」のみに特化した DLP ポリシーを作成するか、特定の環境を含む/除外することに特化した DLP ポリシーを作成します。
3. Office 管理センターでライセンスを管理および割り当て
4. 以下から使用可能なテナント内のすべての環境の環境、アプリ、およびフロー管理機能にアクセスします:
   • Power Apps 管理者 PowerShell cmdlets
   • Power Apps 管理コネクタ
5. テナントのすべての環境における Power Apps と Power Automate 管理者の分析にアクセス:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Microsoft Intune を検討

Microsoft Intune の顧客は、Android と iOS で Power Apps と Power Automate アプリのモバイル アプリケーションの保護ポリシーを設定できます。 このチュートリアルでは、Power Automate の Intune を通してポリシーを強調表示します。

場所に基づく条件アクセスを検討

Microsoft Entra ID P1 またはP2 を持つ顧客の場合、Azure で Power Apps と Power Automate の条件付きアクセス ポリシーを定義できます。 以下に基づいてアクセスするか、またはブロックことができます: ユーザー / グループ、デバイス、場所。

条件付きアクセス ポリシーを作成

1. https://portal.azure.com にサインインします。
2. 条件アクセスを選択します。
3. + 新しいポリシー を選択します。
4. 選択したユーザーとグループ を選択します。
5. すべてのクラウド アプリ>すべてのクラウド アプリ>Common Data Service を選択し、Customer Engagement アプリへのアクセスを制御します。
6. 条件 (ユーザー リスク、デバイス プラットフォーム、場所) を適用します。
7. 作成を選択します。

データ紛失を防ぐポリシーでデータ漏出を防ぐ

データ消失防止ポリシー (DLP) では、コネクタをビジネス データのみ、またはビジネス データは許可しないとして分類されることで、どのコネクタが一緒に使用されるかのルールを施行します。 単純に、ビジネス データ グループのみにコネクタを置く場合、同じアプリケーションでそのグループから他のコネクタによってのみ使用できます。 Power Platform の管理者は、すべての環境に適用されるポリシーを定義できます。

よくあるご質問

Q: たとえば Dropbox や Twitter では使用不可、SharePoint では使用可など、テナント レベルで利用できるコネクタをコントロールできますか?

A: これは コネクタ分類 機能を利用し、使用しない 1 つ以上のコネクタに ブロック済み の分類子を割り当てることで可能になります。 ブロックできないコネクタのセット があります。

質問: ユーザー間の共有コネクタについてはどうなっていますか。 たとえば、Teams のコネクタは共有できる一般的なコネクタですか。

A: コネクタは、プレミアム コネクタまたはカスタム コネクタを除き、すべてのユーザーが使用できます。プレミアム コネクタは、別のライセンスが必要か (プレミアム コネクタ)、明示的に共有する必要があります (カスタム コネクタ)

通知とアクション

監視に加えて、大部分の顧客はソフトウェアを作成、使用、または正常性のイベントを登録し、アクションを実行することで確認します。 このセクションでは、イベント (手動とプログラム) に従い、イベント発生によってトリガーされたアクションを実行するいくつかの方法の概要について説明します。

キー監査イベントで警告する Power Automate フローを作成

1. 実装可能な警告の例は、Microsoft 365 セキュリティとコンプライアンス 監査ログに登録します。
2. これは、Webhook サブスクリプションまたはポーリング アプローチのいずれかで実行できます。 ただし、これらの警告に Power Automate を接続すると、電子メールの警告だけではない管理者を提供できます。

Power Apps、Power Automate、および PowerShell で必要なポリシーを作成

1. PowerShell cmdlets は、ガバナンス ポリシーの必要性を自動化する管理者の手で、完全な制御を置きます。
2. Power Platform for Admins V2 (プレビュー) および Power Automate 管理 コネクタは、同じレベルのコントロールを提供しますが、Power Apps と Power Automate を使用することで拡張性と使いやすさが加わります。
3. Power Platform 管理とガバナンスのベスト プラクティスを確認し、センター オブ エクセレンス (CoE) スタート キットの設定を検討しましょう。
4. このブログとアプリのテンプレート を使用して、管理コネクタをすばやく立ち上げます。
5. さらに、Community Apps Gallery で共有されているコンテンツは確認する価値があります。Power Apps と管理者のコネクタを使用して構築された管理エクスペリエンスの別の例を示します。

よくあるご質問

現在の問題、Microsoft E3 ライセンスを持つすべてのユーザーは、既定の環境でアプリを作成できます。 たとえば、選択グループに対して環境メーカーの権限を有効にする方法。 10 人でアプリを作成するのですか？

レコメンデーション

PowerShell cmdlets と 管理コネクタ は、管理者が組織のために必要なポリシーを構築するための完全な柔軟性とコントロールを提供します。

監視

監視がソフトウェアを大規模に管理する上で重要な側面であることはよく理解されています。 このセクションでは、Power Apps と Power Automate の開発と使用に関する分析情報を得るためのいくつかの手段を紹介します。

監査証跡のレビュー

Power Apps のアクテビティ ログ では、Dataverse と Microsoft 365 のような Microsoft サービスにおよぶ包括的なログの Office セキュリティとコンプライアンス センターで統合されます。 Office は API を作成し、このデータをクエリします。つまり、現在ではたくさんの SIEM ベンダーに使用され、レポート用のアクティビティ ログ データを使います。

Power Apps と Power Automate ライセンス レポートを表示

1. Power Platform 管理センター に移動します。

2. 分析>Power Automate または Power Apps を選択します。

3. Power Apps と Power Automate 管理者の分析を表示

   次の情報を取得できます。

   • アクティブ ユーザーとアプリの使用 - 何人のユーザーがアプリを使っていますか、またその頻度は？
   • 場所 - その使用は、どこですか。
   • コネクタのサービス パフォーマンス
   • エラー報告 - 最もエラーが発生しやすいアプリです
   • 種類と日付が使用中のフロー
   • 種類と日付が作成されたフロー
   • アプリケーション レベルの監査
   • サービス正常性
   • 使用されたコネクタ

ライセンスされているユーザーを表示する

Microsoft 365 管理センターでは、特定のユーザーを掘り下げて個々のユーザーのライセンスを確認することができます。

割り当てられたユーザーライセンスをエクスポートするために、次の PowerShell コマンドを使用することもできます。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

テナントに割り当てられたすべてのユーザー ライセンス (Power Apps および Power Automate) を表形式のビュー .csv ファイルにエクスポートします。 エクスポートされたファイルには、セルフサービス サインアップの内部試用プランと、Microsoft Entra ID から生成されたプランが含まれます。 内部試用プランは、Microsoft 365 管理センターの管理者には表示されません。

多数の Power Platform ユーザーがある場合、エクスポートにはしばらく時間がかかることがあります。

環境で使用されるアプリのリソースを表示

1. Power Platform 管理センターで、ナビゲーション メニューの環境を選択します。
2. 環境を選択します
3. 必要に応じて、環境で使用されるリソースの一覧は.csv としてダウンロードされる可能性があります。

関連情報

• ベスト プラクティスを使用した Power Automate 環境のセキュリティ保護と管理
  
• Microsoft Power Platform Center of Excellence (CoE) スタート キット