Power Platform におけるセキュリティとガバナンスに関する考慮事項

多く顧客は、どのようにして Power Platform をより幅広いビジネスに利用し、IT でサポートすることができるのかと考えています。 答えはガバナンスです。 IT とビジネス コンプライアンスの標準を準拠しながら、ビジネス問題の効率的な解決に注力できるよう、ビジネス グループを有効にすることを目指しています。 以下のコンテンツは、運営ソフトウェアに関連するテーマを構成し、Power Platform 運営に関連する各テーマで利用可能な機能を認識させることを目的としています。

アーキテクチャ

自社に適したガバナンス ストーリーを構築する第一歩として、環境に精通しておくことが最善の方法です。 環境は、Power Apps、Power Automate、Dataverse によって使用されるすべてのリソースのコンテナーです。 Environments Overview は適切な入門書であり、その後に Dataverse とは何ですか?、 Power Apps、Microsoft Power Automate、Connectors、および On-premises Gateways の種類。

セキュリティ

このセクションでは、環境内のPower Appsにアクセスできるユーザーとデータにアクセスできるユーザーを制御するためのメカニズムについて説明します。ライセンス、環境、環境ロール、Microsoft Entra ID、データ ポリシー、およびPower Automateで使用できる管理コネクタ。

ライセンス

Power AppsとPower Automateへのアクセスは、ライセンスの取得から始まります。 ユーザーが持っているライセンスの種類によって、ユーザーがアクセスできる資産とデータが決まります。 次の表では、高レベルからプランの種類に基づいてユーザーが利用できるリソースの違いを説明します。 ライセンスの詳細は、ライセンスの概要 に表示されます。

環境

ユーザーがライセンスを取得すると、環境は、Power Apps、Power Automate、Dataverse によって使用されるすべてのリソースのコンテナーとして存在します。 環境は、開発、テスト、運用など、対象者や目的に応じて使い分けることができます。 詳細については、環境の概要 を参照してください。

データおよびネットワークを保護

• Power AppsとPower Automateは、ユーザーがまだアクセス権を持っていないデータ資産へのアクセスを提供しません。 ユーザーは実際にアクセスを必要とするデータへのアクセスのみが必要です。
• ネットワーク アクセス制御ポリシーは、Power AppsとPower Automateにも適用できます。 環境の場合、サインオン ページをブロックして、そのサイトへの接続が Power Apps および Power Automate で作成されないようにすることで、ネットワーク内からサイトへのアクセスをブロックできます。
• 環境では、アクセスは 3 つのレベルで制御されます。Environment ロール、Power Apps、Power Automateなどのリソースアクセス許可、Dataverse セキュリティ ロール (Dataverse データ ベースがプロビジョニングされている場合)。
• Dataverse が環境で作成されると、Dataverse ロールは環境のセキュリティを制御することを担当します (およびすべての環境管理者と作成者の役割が移行されます)。

以下のプリンシパルは、ロールの種類ごとにサポートされます。

¹共有できるのは特定の接続 (SQL など) だけです。

FAQ - Microsoft Entra テナント レベルにはどのようなアクセス許可がありますか?

現在、Microsoft Power Platform管理者は次の操作を行うことができます。

1. Power Apps と Power Automate のライセンス レポートをダウンロードする
2. "すべての環境" のみをスコープとするデータ ポリシーを作成するか、特定の環境を含める/除外するようにスコープを設定する
3. Office 管理センターでライセンスを管理および割り当て
4. 以下から使用可能なテナント内のすべての環境の環境、アプリ、およびフロー管理機能にアクセスします:
   • Power Apps管理者 PowerShell コマンドレット
   • Power Apps管理コネクタ
5. テナント内のすべての環境のPower AppsとPower Automate管理者分析にアクセスします。
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Microsoft Intuneを検討する

Microsoft Intuneをお持ちのお客様は、Android および iOS 上の Power Apps アプリとPower Automate アプリの両方にモバイル アプリケーション保護ポリシーを設定できます。 このチュートリアルでは、Intune を使用してPower Automateポリシーを設定する方法について説明します。

場所に基づく条件アクセスを検討

Microsoft Entra ID P1 または P2 をお持ちのお客様は、Power AppsとPower AutomateのAzureで条件付きアクセス ポリシーを定義できます。 以下に基づいてアクセスを許可またはブロックすることができます：ユーザー・グループ、デバイス、場所。

条件付きアクセス ポリシーを作成

1. https://portal.azure.com にサインインします。
2. 条件アクセスを選択します。
3. [ + 新しいポリシー] を選択します。
4. 選択したユーザーとグループ を選択します。
5. すべてのクラウド アプリ>すべてのクラウド アプリ>Common Data Service を選択し、Customer Engagement アプリへのアクセスを制御します。
6. 条件 (ユーザー リスク、デバイス プラットフォーム、場所) を適用します。
7. を選択してを作成します。

データ ポリシーによるデータ漏洩の防止

データ ポリシーでは、コネクタを ビジネス データのみまたは許可されていないビジネス データとして分類することで、コネクタを一緒に使用できるルールが適用されます。 単純に、ビジネス データ グループのみにコネクタを置く場合、同じアプリケーションでそのグループから他のコネクタによってのみ使用できます。 Power Platform の管理者は、すべての環境に適用されるポリシーを定義できます。

FAQ

Q: テナント レベルで、使用できるコネクタを制御することはできますか (たとえば、Dropbox または Twitter へのいいえ、SharePointははい)。

A: これは コネクタ分類 機能を利用し、使用しない 1 つ以上のコネクタに ブロック済み の分類子を割り当てることで可能になります。 ブロックできないコネクタのセット があります。

質問: ユーザー間の共有コネクタについてはどうなっていますか。 たとえば、Teams のコネクタは共有できる一般的なコネクタですか。

A: コネクタは、プレミアム コネクタまたはカスタム コネクタを除き、すべてのユーザーが使用できます。プレミアム コネクタは、別のライセンスが必要か (プレミアム コネクタ)、明示的に共有する必要があります (カスタム コネクタ)

通知とアクション

監視に加えて、多くの顧客はソフトウェアの作成、利用、または正常性に関するイベントを受信登録したいと考え、いつアクションを実行する必要があるか知るようにしたいとしています。 このセクションでは、イベント (手動とプログラム) に従い、イベント発生によってトリガーされたアクションを実行するいくつかの方法の概要について説明します。

主要な監査イベントに関するアラートを生成するPower Automate フローを構築する

1. 実装できるアラートの例として、Microsoft 365セキュリティおよびコンプライアンス監査ログのサブスクライブがあります。
2. これは、Webhook サブスクリプションまたはポーリング アプローチのいずれかで実行できます。 ただし、これらのアラートにPower Automateを添付することで、管理者に電子メール アラート以上のものを提供できます。

Power Apps、Power Automate、PowerShell を使用して必要なポリシーを構築する

1. PowerShell cmdlets により、管理者はガバナンス ポリシーを自動化し、必要な完全な制御を手に入れることができます。
2. Power Platform for Admins V2 (プレビュー) および Power Automate Management コネクタは、同じレベルの制御を提供しますが、Power AppsとPower Automateを使用して拡張性と使いやすさを強化します。
3. Power Platform 管理とガバナンスのベスト プラクティスを確認し、センター オブ エクセレンス (CoE) スタート キットの設定を検討しましょう。
4. このブログとアプリのテンプレート を使用して、管理コネクタをすばやく立ち上げます。
5. さらに、Community Apps Galleryで共有されているコンテンツには見る価値があります。Power Appsと管理用コネクタを使用して構築された別の管理エクスペリエンスの例です。

FAQ

現在の問題、Microsoft E3 ライセンスを持つすべてのユーザーは、既定の環境でアプリを作成できます。 選択グループに環境作成者の権限を付与する方法はどうすればよいですか。 10 人でアプリを作成するのですか？

Recommendation

PowerShell cmdlets と 管理コネクタ は、管理者が組織のために必要なポリシーを構築するための完全な柔軟性とコントロールを提供します。

監視

ソフトウェアを大規模に管理する上で、監視が重要であることはよく知られています。 このセクションでは、Power AppsとPower Automate開発と使用状況に関する分析情報を得るためのいくつかの方法について説明します。

監査証跡を確認する

Power Apps のアクティビティ ログは、Dataverse や Microsoft 365 などの Microsoft サービス全体で包括的なログ記録を行う Office セキュリティおよびコンプライアンス センターと統合されています。 Office は API を作成し、このデータをクエリします。つまり、現在ではたくさんの SIEM ベンダーに使用され、レポート用のアクティビティ ログ データを使います。

Power AppsとPower Automate ライセンス レポートを表示する

1. Power Platform 管理センターにサインインします。
2. サイド ナビゲーションのウィンドウで、ライセンスを選択します。
3. Licensing ペインで、Power Automate または Power Apps を選択して情報を確認します。

次の情報を取得できます。

• アクティブ ユーザーとアプリの使用 - 何人のユーザーがアプリを使っていますか、またその頻度は？
• 利用場所はどこですか？
• コネクタのサービス パフォーマンス
• エラー報告 - 最もエラーが発生しやすいアプリです
• 種類と日付別のフローの利用状況
• 種類と日付によって作成されたフロー
• アプリケーション レベルの監査
• Service Health
• 使用されたコネクタ

ライセンスされているユーザーを表示する

特定のユーザーを掘り下げれば、Microsoft 365管理センターで個々のユーザー ライセンスをいつでも確認できます。

割り当てられたユーザーライセンスをエクスポートするために、次の PowerShell コマンドを使用することもできます。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

テナントに割り当てられているすべてのユーザー ライセンス (Power AppsとPower Automate) を表形式のビュー .csv ファイルにエクスポートします。 エクスポートされたファイルには、セルフサービス サインアップの内部試用版プランと、Microsoft Entra IDから提供されるプランの両方が含まれています。 内部試用版プランは、Microsoft 365管理センターの管理者には表示されません。

多数の Power Platform ユーザーがある場合、エクスポートにはしばらく時間がかかることがあります。

環境で使用されるアプリのリソースを表示

1. Power Platform 管理センターにサインインします。
2. ナビゲーション ウィンドウで、[管理] を選択 します。
3. 管理ウィンドウで環境を選択します。
4. 環境ページで、環境を選択します。
5. リソース セクションで、環境で使用されているアプリの一覧を確認します。

関連するコンテンツ

• Power Automate環境をセキュリティで保護して管理するためのベスト プラクティスを使用します
  
• Microsoft Power Platform センター オブ エクセレンス (CoE) スターター キット