Virtual Network のサポートの概要
Power Platform 向け Azure Virtual Network サポートを活用すると、リソースを公共のインターネットに曝さずに、Power Platform を仮想ネットワーク内のリソースに統合できます。 仮想ネットワーク サポートは、Azure サブネット委任 を使用して、実行時に Power Platform からの送信トラフィックを管理します。 Azure サブネット委任を使用すると、保護されたリソースをインターネット経由で利用して Power Platform と統合する必要がなくなります 。 仮想ネットワークのサポートにより、 Power Platform コンポーネントは、Azureまたは オンプレミスの でホストされているかどうかに関係なく、ネットワーク内で企業が所有するリソースを呼び出し、プラグインとコネクタを使用して発信呼び出しを行うことができます。
Power Platform は通常、パブリック ネットワークを介してエンタープライズ リソースと統合します。 パブリック ネットワークでは、パブリック IP アドレスを記述する Azure IP 範囲またはサービス タグのリストからエンタープライズ リソースにアクセスできる必要があります。 ただし、Power Platform 向け Azure 仮想ネットワーク サポートを活用することで、プライベート ネットワークを使用することができますが、それでもクラウド サービスやエンタープライズ ネットワーク内でホストされているサービスと統合できます。
Azure サービスは、プライベート エンドポイント によって Virtual Network 内で保護されます。 エクスプレス ルート を使用して、オンプレミスのリソースを Virtual Network 内に取り込むことができます。
Power Platform は、委任された Virtual Network とサブネットを使用して、エンタープライズ プライベート ネットワーク経由でエンタープライズ リソースへ通話を発信することができます。 プライベート ネットワークを使用すると、企業リソースが公開される可能性があるパブリック インターネット経由でトラフィックを転送する必要がなくなります。
Virtual Network では、Power Platform からのアウトバウンド トラフィックを完全に制御できます。 トラフィックは、ネットワーク管理者によって適用されるネットワーク ポリシーの対象になります。 次の図は、ネットワーク内のリソースが Virtual Network とどのように対話するかを示しています。
Virtual Network のサポートのメリット
Virtual Network のサポートにより、Power Platform と Dataverse コンポーネントは、次のような Azure サブネット委任が提供する メリットを得ることができます。
データ保護: 仮想ネットワークにより、 Power Platform サービスは、インターネットに公開することなく、プライベートで保護されたリソースにアクセスできます。
不正アクセスなし: 仮想ネットワークは、接続にIP範囲やサービス タグを必要とせずにリソースに接続します Power Platform 。
サポートされているシナリオ
Power Platform は、Dataverse プラグインと コネクタ の両方に対する Virtual Network のサポートを有効にします。 このサポートにより、Power Platform から Virtual Network 内のリソースへの安全でプライベートなアウトバウンド接続を確立できます。 Dataverse プラグインとコネクタは、Power Apps、Power Automate、および Dynamics 365 アプリから外部データ ソースに接続することにより、データ統合のセキュリティを強化します。 たとえば、以下を実行できます。
- Dataverse プラグイン を使用して、Azure SQL、Azure Storage、BLOB ストレージ、Azure Key Vault などのクラウド データ ソースに接続します。 データ流出やその他のインシデントからデータを保護できます。
- Dataverse プラグイン を使用して、Web API などの Azure 内のプライベートなエンドポイントで保護されたリソースや、SQL や Web API などのプライベート ネットワーク内のリソースに安全に接続します。 データの侵害やその他の外部脅威からデータを保護できます。
- 仮想ネットワーク対応コネクタ ( SQL Server など)を使用すると、Azure SQLやSQL Serverなどのクラウドでホストされるデータ ソースに、インターネットに公開することなく安全にアクセスできます。 同様に、Azure Queue コネクタを使用して、プライベートのエンドポイント対応 Azure Queue への安全な接続を確立できます。
- Azure Key Vault コネクタを使用して、プライベートでエンドポイント保護された Azure Key Vault に安全に接続します。
- カスタム コネクタ を使用して、Azureのプライベート エンドポイントによって保護されているサービスや、プライベート ネットワーク内でホストされているサービスに安全に 接続 します。
- Azure File Storage を使用して、プライベートのエンドポイント対応Azureファイル ストレージに安全に 接続 します。
制限
- Dataverse コネクタを使用する ローコード プラグイン は、それらのコネクタ タイプがサブネット委任を使用するように更新されるまでサポートされません。
- 仮想ネットワーク対応の Power Platform 環境では、コピー、バックアップ、復元などの環境ライフサイクル操作を使用します。 復元操作は、同じ仮想ネットワーク内だけでなく、同じ仮想ネットワークに接続されている場合は異なる環境間でも実行できます。 さらに、仮想ネットワークをサポートしていない環境からサポートしている環境への復元操作も許可されます。
サポートされているリージョン
Power Platform 環境とエンタープライズ ポリシーが、サポートされている Power Platform リージョンと Azure リージョンにあることを確認します。 たとえば、 Power Platform 接続 が米国にある場合、仮想ネットワークとサブネットは eastus および westus Azureリージョンに存在する必要があります。
| Power Platform 地域 | Azure リージョン |
|---|---|
| アメリカ合衆国 | eastus、westus |
| 南アフリカ | eouthafricanorth、southafricawest |
| 英国 | uksouth、ukwest |
| 日本 | japaneast、japanwest |
| インド | centralindia、southindia |
| フランス | francecentral、francesouth |
| 欧州 | westeurope、northeurope |
| ドイツ | germanynorth、germanywestcentral |
| スイス | switzerlandnorth、switzerlandwest |
| カナダ | canadacentral、canadaeast |
| ブラジル | brazilsouth、southcentralus |
| オーストラリア | australiasoutheast、australiaeast |
| アジア | eastasia、southeastasia |
| UAE | uaecentral、uaenorth |
| 韓国 | koreasouth、koreacentral |
| ノルウェイ | norwaywest、norwayeast |
| シンガポール | southeastasia |
| スウェーデン | swedencentral |
サポートされているサービス
次のテーブルは、Power Platform の仮想ネットワーク サポートの Azure サブネット委任をサポートするサービスを示しています。
| 地域 | Power Platform サービス | Virtual Network のサポートの可用性 |
|---|---|---|
| Dataverse | Dataverse プラグイン | 一般に入手可能 |
| コネクタ | 一般に入手可能 |
Power Platform 環境で Virtual Network サポートを有効にするための考慮事項
a Power Platform 接続 で仮想ネットワーク サポートを使用すると、プラグインやコネクタなどのサポートされているすべてのサービスが、委任されたサブネットで実行時にリクエストを実行し、ネットワーク ポリシーの対象となります。 Dataverse 公開されているリソースへの呼び出しが中断され始めます。
重要
Power Platform 環境の仮想環境サポートを有効にする前に、プラグインとコネクタのコードを必ず確認してください。 プライベート接続で動作するには、URL と接続を更新する必要があります。
たとえば、プラグインが一般公開されているサービスに接続しようとしても、ネットワーク ポリシーにより Virtual Network 内でのパブリック インターネット アクセスが許可されない場合があります。 プラグインからの呼び出しは、ネットワーク ポリシーに従ってブロックされます。 呼び出しのブロックを回避するには、Virtual Network で一般に公開されたサービスをホストします。 また、サービスが Azure でホストされている場合、Power Platform 環境で Virtual Network サポートを有効にする前に、サービスでプライベート エンドポイントを使用することができます。
よくあるご質問
仮想ネットワーク データ ゲートウェイと Power Platform の Azure Virtual Network サポートの違いは何ですか?
仮想ネットワーク データ ゲートウェイは、オンプレミスのデータ ゲートウェイを設定せずに、仮想ネットワーク内から Azure および Power Platform サービスにアクセスできるようにするマネージド ゲートウェイです。 たとえば、ゲートウェイは Power BI および Power Platform データフローの ETL (抽出、変換、読み込み) ワークロード用に最適化されています。
Power Platform 用 Azure Virtual Network サポートでは、Power Platform 環境の Azure サブネット委任を使用します。 サブネットは Power Platform 環境内のワークロードによって使用されます。 Power Platform API は、リクエストの有効期間が短く、多数のリクエストに合わせて最適化されているため、Virtual Network サポートを使用します。
Power Platform と仮想ネットワーク データ ゲートウェイの Virtual Network サポートを使用する必要があるシナリオは何ですか?
Power Platform の Virtual Network サポートは、Power BI と Power Platform データフロー を除く Power Platform からのアウトバウンド接続のすべてのシナリオでサポートされている唯一のオプションです。
Power BI また、データフローは引き続き仮想ネットワーク (vNet) データ ゲートウェイを使用します。 Power Platform ...
ある顧客の仮想ネットワーク サブネットやデータ ゲートウェイを Power Platform の別の顧客が使用していないことを確認するにはどうすればよいですか?
Power Platform 用 Virtual Network サポートは、Azure サブネット委任を使用します。
各 Power Platform 環境は 1 つの仮想ネットワーク サブネットにリンクされます。 その環境からの呼び出しのみが、その仮想ネットワークへのアクセスを許可されます。
委任することで、仮想ネットワークに注入する必要がある Azure のサービスとしてのプラットフォーム (PaaS) の特定のサブネットを指定できるようになります。
Power Platform の Virtual Network サポートは、フェイルオーバーをサポートしていますか?
はい、セットアップ中にプライマリおよびフェールオーバーの仮想ネットワークとサブネットを委任する必要があります。
あるリージョンの Power Platform 環境は、別のリージョンでホストされているリソースにどのように接続できますか?
Power Platform 環境にリンクされた Virtual Network は、Power Platform 環境のリージョン に存在する必要があります。 Virtual Network が別のリージョンにある場合は、Power Platform 環境のリージョンに Virtual Network を作成し、Virtual Network ピアリング を使用して 2 つのリージョンをブリッジします。
委任されたサブネットからのアウトバウンド トラフィックを監視できますか?
はい。 ネットワーク セキュリティ グループやファイアウォールを使用して、委任されたサブネットからのアウトバウンド トラフィックを監視できます。
サブネットで委任するには、Power Platform でいくつの IP アドレスが必要ですか?
少なくとも 24 のクラスレス ドメイン間ルーティング (CIDR) か、または 255 の IP をサブネットで委任する必要があります。 同じサブネットを複数の環境に委任する場合、そのサブネット内でさらに多くの IP アドレスが必要です。
環境がサブネット委任された後、プラグインまたはコネクタからインターネットへの呼び出しを行うことはできますか?
はい プラグインやコネクタからインターネットへの通話は可能ですが、サブネットは Azure NAT ゲートウェイと構成する必要があります。
サブネットIPアドレス範囲を "Microsoft.PowerPlatform/enterprisePolicies" に委任した後で更新できますか?
いいえ サブネットのIPアドレス範囲は、"Microsoft.PowerPlatform/enterprisePolicies" に委任された後は変更できません。
私の Virtual Network には、カスタム DNS が構成されています。 Power Platform は、カスタム DNS を使用しますか?
はい Power Platform は委任されたサブネットを保持する Virtual Network 内で構成されたカスタム DNS を使用して、すべてのエンドポイントを解決します。 環境が委任されたら、正しいエンドポイント を使用するようにプラグインを更新して、カスタム DNS が解決できるようにすることができます。
私の環境には ISV が提供するプラグインがあります。これらのプラグインは委任されたサブネットで実行されますか?
はい。 すべての顧客プラグインと ISV プラグインは、サブネットを使用して実行できます。 ISV プラグインに送信接続がある場合、それらの URL をファイアウォールにリストする必要がある場合があります。
私のオンプレミスのエンドポイント TLS 証明書は、有名なルート証明機関 (CA) によって署名されていません。 不明な証明書をサポートしていますか?
いいえ。 エンドポイントが完全なチェーンを含む TLS 証明書を提示していることを確認する必要があります。 カスタム ルート CA を既知の CA のリストに追加することはできません。
顧客テナント内の Virtual Network の推奨設定は何ですか?
特定のトポロジはお勧めしません。 ただし、当社のお客様はハブアンドスポーク トポロジ ネットワーク モデルを広く使用しています。
Virtual Network をアクティブ化するには、Azure サブスクリプションを Power Platform テナントにリンクする必要がありますか?
はい、Power Platform 環境で Virtual Network のサポートを有効にするには、Power Platform テナントに関連付けられた Azure サブスクリプションが必要です。
Power Platform は、Azure サブネット委任をどのように使用しますか?
Power Platform 環境に委任された Azure サブネットが割り当てられている場合、Azure Virtual Network インジェクションを使用して、実行時にコンテナーを委任されたサブネットに挿入します。 このプロセス中、コンテナーのネットワーク インターフェイス カード (NIC) に委任されたサブネットから IP アドレスが割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
Power Platform の既存の Virtual Network を使用できますか?
はい、Virtual Network 内の 1 つの新しいサブネットが Power Platform に特別に委任されている限り、Power Platform の既存の Virtual Network を使用できます。 この委任されたサブネットは、他のサービスをホストしてはならないことに注意することが重要です。
カナダに Power Platform 環境がある場合、フェールオーバーとして米国東部 2 を使用できますか?
適切なフェールオーバーを確保するには、プライマリ サブネットとフェールオーバー サブネットをそれぞれ canadacentral と canadaeast にプロビジョニングする必要があります。 効果的なフェールオーバーには、プライマリ サブネットとフェールオーバー サブネットをそれぞれ canadacentral と canadaeast リージョンに作成します。 さらに、 useast2 リージョン内のリソースとの接続をサポートする場合は、 useast2 リージョン内の仮想ネットワークを含むプライマリ仮想ネットワークとフェールオーバー仮想ネットワーク間の仮想ネットワーク ピアリングを確立します。
Dataverse プラグインとは何ですか?
Dataverse プラグインは、Power Platform 環境に展開できるカスタム コードです。 このプラグインは、イベント (データの変更など) 中に実行するように構成することも、カスタム API としてトリガーすることもできます。 詳細: Dataverse プラグイン
Dataverse プラグインはどのように実行されますか?
Dataverse プラグインはコンテナー内で動作します。 Power Platform 環境に委任されたサブネットが割り当てられると、そのサブネットのアドレス空間からの IP アドレスがコンテナーのネットワーク インターフェイス カード (NIC) に割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
同じコンテナー内で複数のプラグインを実行できますか?
はい 特定の Power Platform または Dataverse 環境では、複数のプラグインが同じコンテナー内で動作できます。 各コンテナーはサブネット アドレス空間から 1 つの IP アドレスを使用し、各コンテナーは複数のリクエストを実行できます。
インフラストラクチャは、プラグインの同時実行の増加にどのように対処しますか?
プラグインの同時実行の数が増えると、インフラストラクチャは負荷に対応するために自動的にスケール (アウトまたはイン) します。 Power Platform 環境に委任されたサブネットには、その Power Platform 環境でワークロードの実行のピーク ボリュームを処理するのに十分なアドレス空間が必要です。
Virtual Networkとそれに関連付けられたネットワーク ポリシーを管理するのは誰ですか?
顧客には、Virtual Network とそれに関連するネットワーク ポリシーに対する所有権と管理権があります。 一方、Power Platform は、その Virtual Network 内の委任されたサブネットから割り当てられた IP アドレスを利用します。
Azure 対応プラグインは仮想ネットワークをサポートしていますか?
いいえ、Azure 対応プラグインは仮想ネットワークをサポートしていません。