次の方法で共有

セキュリティとガバナンスに関する考慮事項

  • [アーティクル]

多く顧客は、どのようにして Power Platform をより幅広いビジネスに利用し、IT でサポートすることができるのかと考えています。 答えはガバナンスです。 IT とビジネス コンプライアンスの標準を準拠しながら、ビジネス問題の効率的な解決に注力できるよう、ビジネス グループを有効にすることを目指しています。 以下のコンテンツは、運営ソフトウェアに関連するテーマを構成し、Power Platform 運営に関連する各テーマで利用可能な機能を認識させることを目的としています。

テーマ このコンテンツが回答する各テーマに関連付けられた一般的な質問
アーキテクチャ
  • Power Apps、Power Automate および Microsoft Dataverse の基本構造とコンセプトは何ですか。

  • これらの構造は設計時とランタイムに、どのように組み合わされるのですか。
セキュリティ
  • セキュリティ デザイン上の考慮事項において、最適な練習とは何ですか。

  • 既存のユーザーおよびグループ管理ソリューションを使用してアクセスとセキュリティ ロールを管理するにはどうすればよいですか Power Apps?
警告とアクション
  • どのように市民開発者と管理された IT サービス間で、ガバナンス モデルを定義しますか。

  • どのように中心的 IT と部署の管理者間で、ガバナンス モデルを定義しますか。

  • どのように組織の既定以外の環境へサポートをアプローチすべきでしょうか。
監視
  • どのようにコンプライアンス / 監査データをキャプチャしますか?

  • どのように組織内で採用と使用を評価したらいいですか。

アーキテクチャ

自社に適したガバナンス ストーリーを構築する第一歩として、環境に精通しておくことが最善の方法です。 環境は、Power Apps、Power Automate、および Dataverse が利用するすべてのリソースのコンテナーです。 環境の概要 は優れた入門書であり、その後に 環境の概要 Dataverse、タイプ Power AppsMicrosoft Power Automateコネクタ、および オンプレミスの ゲートウェイが続く必要があります。

セキュリティ

このセクションでは、環境の Power Apps とデータにアクセス可能なユーザーを制御するメカニズムを説明します: ライセンス、環境、環境ロール、Microsoft Entra ID、Power Automate で使用可能なデータ消失防止ポリシーと管理者コネクタ。

ライセンス

Power Apps にアクセスして、Power Automate はライセンスを持つことから始まります。 ユーザーが持っているライセンスの種類によって、ユーザーがアクセスできる資産とデータが決まります。 次の表では、高レベルからプランの種類に基づいてユーザーが利用できるリソースの違いを説明します。 ライセンスの詳細は、ライセンスの概要 に表示されます。

計画 説明
Microsoft 365 含む これにより、ユーザーは SharePoint と既に持っている他の Office 資産を拡張できます。
Dynamics 365 含む これにより、ユーザーは既に所有している Customer Engagement アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、および Dynamics 365 Project Service Automation)、をカスタマイズおよび拡張できます。
Power Apps プラン これにより実現できること:
  • エンタープライズ コネクタの作成および Dataverse を使用するためアクセスできます。
  • ユーザーは、アプリケーションの種類や管理機能にわたる強力なビジネス ロジックを使用できます。
Power Apps コミュニティ これにより、ユーザーは Power Apps、 Power Automate、 Dataverse、およびカスタム コネクタを1つにまとめて個別に使用できるようになります。 アプリを共有する機能はありません。
Power Automate Free これにより、ユーザーは無制限のフローを作成し、750 回実行できます。
Power Automate プラン Microsoft Power Apps と Microsoft Power Automate ライセンス ガイド を参照してください。

環境

ユーザーがライセンスを取得すると、環境は、Power Apps、Power Automate、および Dataverse が使用するすべてのリソースのコンテナーとなります。 環境は、さまざまな対象ユーザーをターゲットにしたり、開発、テスト、本番環境などのさまざまな目的に使用できます。 詳細については、環境の概要 を参照してください。

データおよびネットワークを保護

  • Power Apps また、ユーザーがまだアクセス権を持っていないデータ資産へのアクセスを Power Automate 提供しない ようにします。 ユーザーは実際にアクセスを必要とするデータへのアクセスのみが必要です。
  • ネットワークのアクセス制御のポリシーは、Power Apps と Power Automate にも適用可能です。 環境に関しては、シングル サインオン ページをブロックしてネットワーク内からサイトへのアクセスブロックすることが可能で、Power Apps と Power Automate で作成されたサイトへの接続を禁止します。
  • 環境では、アクセスは次の 3 つのレベルで制御されます: 環境ロール、Power Apps 用リソースのアクセス許可、Power Automate、などとDataverse セキュリティ ロール (Dataverse データベースがプロビジョニングされた場合)。
  • Dataverse が 環境 に作成されると、 Dataverse ロールが 環境 のセキュリティ制御を引き継ぎます (すべての 環境 管理者と作成者が移行されます)。

以下のプリンシパルは、ロールの種類ごとにサポートされます。

環境の種類 役割 プリンシパルの種類 (Microsoft Entra ID)
Dataverse を使用しない環境 環境のロール ユーザー、グループ、テナント
リソースのアクセス許可: キャンバス アプリ ユーザー、グループ、テナント
リソースのアクセス許可: Power Automate、カスタム コネクタ、ゲートウェイ、接続 1 ユーザー、グループ
Dataverse を使用する環境 環境のロール User
リソースのアクセス許可: キャンバス アプリ ユーザー、グループ、テナント
リソースのアクセス許可: Power Automate、カスタム コネクタ、ゲートウェイ、接続 1 ユーザー、グループ
Dataverse ロール (全モデル駆動型アプリとコンポーネントに適用) User

1共有できるのは特定の接続 (SQL など) だけです。

Note

  • 既定の環境では、テナントのすべてのユーザーが環境のメーカー ロールへのアクセス権を付与されます。
  • Power Platform 管理者 ロールを持つユーザーには、すべての環境に対する管理者アクセス権があります。

FAQ - テナント レベルにはどのような権限がありますか? Microsoft Entra

現時点では、Microsoft Power Platform 管理者は次のことができます。

  1. Power Apps & Power Automate ライセンス レポートをダウンロード
  2. 「すべての環境」のみに特化した DLP ポリシーを作成するか、特定の環境を含む/除外することに特化した DLP ポリシーを作成します。
  3. Office 管理センターでライセンスを管理および割り当て
  4. 以下から使用可能なテナント内のすべての環境の環境、アプリ、およびフロー管理機能にアクセスします:
    • Power Apps 管理者 PowerShell cmdlets
    • Power Apps 管理コネクタ
  5. テナントのすべての環境における Power Apps と Power Automate 管理者の分析にアクセス:

Intuneを検討する Microsoft

Intuneをご利用のお客様は、 Microsoft および Power Apps および Power Automate 上のアプリ Android と iOSの両方に対してモバイル アプリケーション保護ポリシーを設定できます。 このチュートリアルでは、Power Automate の Intune を通してポリシーを強調表示します。

場所に基づく条件アクセスを検討

Microsoft Entra ID P1 またはP2 を持つ顧客の場合、Azure で Power Apps と Power Automate の条件付きアクセス ポリシーを定義できます。 以下に基づいてアクセスするか、またはブロックことができます: ユーザー / グループ、デバイス、場所。

条件付きアクセス ポリシーを作成

  1. https://portal.azure.com にサインインします。
  2. 条件アクセスを選択します。
  3. + 新しいポリシー を選択します。
  4. 選択 ユーザーとグループが選択されました
  5. すべてのクラウド アプリ>すべてのクラウド アプリ>Common Data Service を選択し、Customer Engagement アプリへのアクセスを制御します。
  6. 条件 (ユーザー リスク、デバイス プラットフォーム、場所) を適用します。
  7. 作成を選択します。

データ紛失を防ぐポリシーでデータ漏出を防ぐ

データ損失防止ポリシー (DLP) は、コネクタをビジネス データのみ、またはビジネス データを許可しないかに分類することにより、どのコネクタを一緒に使用できるかのルールを適用します。 単純に、ビジネス データ グループのみにコネクタを置く場合、同じアプリケーションでそのグループから他のコネクタによってのみ使用できます。 Power Platform の管理者は、すべての環境に適用されるポリシーを定義できます。

よくあるご質問

Q: たとえば Dropbox や Twitter では使用不可、SharePoint では使用可など、テナント レベルで利用できるコネクタをコントロールできますか?

A: これは コネクタ分類 機能を利用し、使用しない 1 つ以上のコネクタに ブロック済み の分類子を割り当てることで可能になります。 ブロックできないコネクタのセット があることに注意してください。

質問: ユーザー間の共有コネクタについてはどうなっていますか。 たとえば、Teams のコネクタは共有できる一般的なコネクタですか。

A: プレミアム コネクタまたはカスタム コネクタを除くすべてのユーザーがコネクタを利用できます。プレミアム コネクタまたはカスタム コネクタには別のライセンス (プレミアム コネクタ) が必要であり、カスタム コネクタの場合は明示的に共有する必要があります。

通知とアクション

監視に加えて、多くのお客様は、いつアクションを実行するべきかを知るために、ソフトウェアの作成、使用、または正常性のイベントをサブスクライブしたいと考えています。 このセクションでは、イベント (手動とプログラム) に従い、イベント発生によってトリガーされたアクションを実行するいくつかの方法の概要について説明します。

キー監査イベントで警告する Power Automate フローを作成

  1. 実装可能な警告の例は、Microsoft 365 セキュリティとコンプライアンス 監査ログに登録します。
  2. これは、Webhook サブスクリプションまたはポーリング アプローチのいずれかで実行できます。 ただし、これらの警告に Power Automate を接続すると、電子メールの警告だけではない管理者を提供できます。

Power Apps、Power Automate、および PowerShell で必要なポリシーを作成

  1. PowerShell cmdlets は、ガバナンス ポリシーの必要性を自動化する管理者の手で、完全な制御を置きます。
  2. 管理コネクタ は同じレベルの制御を提供しますが、 Power Apps および Power Automateを使用することで拡張性と使いやすさが向上します。
  3. 管理コネクタの次の Power Automate テンプレートは、迅速に立ち上げるため存在します。
    1. 新しいコネクタの一覧 Power Automate
    2. 新しい Power Apps、 Power Automate フローとコネクタのリストを取得します
    3. Office 365 メッセージ センター 通知の週次サマリーをメールで受け取る
    4. セキュリティおよびコンプライアンスログにアクセスするには Office 365 Power Automate
  4. このブログとアプリのテンプレート を使用して、管理コネクタをすばやく立ち上げます。
  5. さらに、Community Apps Gallery で共有されているコンテンツは確認する価値があります。Power Apps と管理者のコネクタを使用して構築された管理エクスペリエンスの別の例を示します。

よくあるご質問

問題 現在、 Microsoft E3ライセンスを持つすべてのユーザーは、デフォルトの 環境 でアプリを作成できます。 たとえば、選択グループに対して環境メーカーの権限を有効にする方法。 アプリを作成する人は10人ですか?

推奨事項 PowerShellコマンドレット管理コネクタ により、管理者は組織に必要なポリシーを構築するための完全な柔軟性と制御が得られます。

監視

監視は大規模なソフトウェア管理の重要な側面であることはよく知られています。 このセクションでは、開発と使用状況に関する洞察を得るためのいくつかの手段について説明します。 Power Apps Power Automate

監査証跡のレビュー

Power Apps のアクティビティ ログは、Officeセキュリティおよびコンプライアンス センターと統合されており、 Microsoft や Dataverse などのサービス全体にわたる包括的なログ記録を実現します。 Microsoft 365 Office は API を作成し、このデータをクエリします。つまり、現在ではたくさんの SIEM ベンダーに使用され、レポート用のアクティビティ ログ データを使います。

Power Apps と Power Automate ライセンス レポートを表示

  1. Power Platform 管理センター に移動します。

  2. 分析>Power Automate または Power Apps を選択します。

  3. Power Apps と Power Automate 管理者の分析を表示

    次の情報を取得できます。

    • アクティブ ユーザーとアプリの使用 - 何人のユーザーがアプリを使っていますか、またその頻度は?
    • 場所 - その使用は、どこですか。
    • コネクタのサービス パフォーマンス
    • エラー報告 - 最もエラーが発生しやすいアプリです
    • 種類と日付が使用中のフロー
    • 種類と日付が作成されたフロー
    • アプリケーション レベルの監査
    • サービス正常性
    • 使用されたコネクタ

ライセンスされているユーザーを表示する

Microsoft 365 管理センターでは、特定のユーザーを掘り下げて個々のユーザーのライセンスを確認することができます。

割り当てられたユーザーライセンスをエクスポートするために、次の PowerShell コマンドを使用することもできます。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

テナントに割り当てられたすべてのユーザー ライセンス (Power Apps および Power Automate) を表形式のビュー .csv ファイルにエクスポートします。 エクスポートされたファイルには、セルフサービス サインアップの内部試用プランと、Microsoft Entra ID から生成されたプランが含まれます。 内部試用プランは、Microsoft 365 管理センターの管理者には表示されません。

多数の Power Platform ユーザーがある場合、エクスポートにはしばらく時間がかかることがあります。

環境で使用されるアプリのリソースを表示

  1. Power Platform 管理センターで、ナビゲーション メニューの環境を選択します。
  2. 環境を選択します
  3. オプションで、環境 で使用されるリソースのリストを .csvとしてダウンロードできます。

参照

ベストプラクティスを使用して環境を保護および管理する Power Automate
Microsoft Power Platform センターオブエクセレンス(CoE)スターターキット