メモ
Microsoft Viva Engageの Power Platform Virtual Network コミュニティを利用できます。 この機能に関するご質問やフィードバックを投稿できます。 次の形式で要求に入力することで参加できます: Finance and Operations Viva Engage Community へのアクセスの要求。
Azure Virtual Network サポートを使用することで、Power Platform を仮想ネットワーク内のリソースとパブリックインターネットを介さずに統合できます。 Virtual Networkサポートでは、Azure サブネット委任を使用して、実行時に Power Platform からの送信トラフィックを管理します。 Azureサブネットの委任を使用することで、保護されたリソースをインターネット経由で使用して Power Platform と統合する必要はありません。 仮想ネットワークのサポートを使用すると、Power Platform コンポーネントは、ネットワーク内の企業が所有するリソースを、Azureまたはオンプレミスでホストされているかどうかにかかわらず呼び出し、プラグインとコネクタを使用して送信呼び出しを行うことができます。
Power Platform は通常、パブリック ネットワークを介してエンタープライズ リソースと統合します。 パブリック ネットワークでは、パブリック IP アドレスを記述する Azure IP 範囲またはサービス タグの一覧からエンタープライズ リソースにアクセスできる必要があります。 ただし、Power Platform Azure Virtual Networkサポートを使用すると、プライベート ネットワークと still エンタープライズ ネットワーク内でホストされているクラウド サービスまたはサービスと統合できます。
Azure サービスは、private エンドポイントによってVirtual Network内で保護されます。 Express Routeを使用して、オンプレミスのリソースをVirtual Network内に取り込むことができます。
Power Platform では、委任したVirtual Networkとサブネットを使用して、エンタープライズ プライベート ネットワーク経由でエンタープライズ リソースへの送信呼び出しを行います。 プライベート ネットワークを使用すると、トラフィックをパブリック インターネット経由でルーティングする必要がなく、エンタープライズ リソースが公開される可能性があります。
Virtual Networkでは、Power Platform からの送信トラフィックを完全に制御できます。 トラフィックは、ネットワーク管理者によって適用されるネットワーク ポリシーの対象になります。 次の図は、ネットワーク内のリソースがVirtual Networkと対話する方法を示しています。
Virtual Network サポートの利点
Virtual Network サポートを使用すると、Power Platform と Dataverse コンポーネントは、Azure サブネット委任が提供する次のようなすべての利点を得ることができます。
Data protection: Virtual Networkでは、Power Platform サービスをインターネットに公開することなく、プライベートリソースと保護されたリソースに接続できます。
不正アクセスなし: Virtual Networkは、接続に Power Platform の IP 範囲やサービス タグを必要とせずに、リソースに接続します。
Power Platform 環境のサブネット サイズの見積もり
過去 1 年間のテレメトリ データと観測結果は、運用環境では通常、25 ~ 30 個の IP アドレスが必要であり、ほとんどのユース ケースはこの範囲内に収まることを示しています。 この情報に基づいて、運用環境には 25 から 30 個の IP を割り当て、サンドボックスや開発者環境などの非運用環境には 6 から 10 個の IP を割り当てます。 Virtual Networkに接続されているコンテナーは、主にサブネット内の IP アドレスを使用します。 環境の使用が開始されると、少なくとも 4 つのコンテナーが作成され、呼び出しボリュームに基づいて動的にスケーリングされますが、通常は 10 から 30 のコンテナー範囲内に残ります。 これらのコンテナーは、それぞれの環境のすべての要求を実行し、並列接続要求を効率的に処理します。
複数の環境の計画
複数の Power Platform 環境で同じ委任されたサブネットを使用する場合は、クラスレスドメイン間ルーティング (CIDR) IP アドレスのブロックが大きくなる可能性があります。 環境を 1 つのポリシーにリンクする場合は、運用環境と非運用環境で推奨される IP アドレスの数を検討してください。 各サブネットは 5 つの IP アドレスを予約するため、これらの予約済みアドレスを見積もりに含めます。
メモ
リソース使用率の可視性を高めるために、製品チームは、エンタープライズ ポリシーとサブネットの委任されたサブネット IP 使用量の公開に取り組んでいます。
IP 割り当ての例
2 つのエンタープライズ ポリシーを持つテナントについて検討します。 最初のポリシーは運用環境用で、2 番目のポリシーは非運用環境用です。
運用エンタープライズ ポリシー
エンタープライズ ポリシーに関連付けられている運用環境が 4 つあり、各環境に 30 個の IP アドレスが必要な場合、IP 割り当ての合計は次のようになります。
(4 つの環境 x 30 IP) + 5 つの予約済み IP = 125 IP
このシナリオでは、128 IP のキャパシティを持つ /25 の CIDR ブロックが必要です。
非稼働企業ポリシー
20 の開発者およびサンドボックス環境を持つ非運用環境のエンタープライズ ポリシーで、各環境に 10 個の IP アドレスが必要な場合、IP 割り当ての合計は次のようになります。
(20 個の環境 x 10 IP) + 5 つの予約済み IP = 205 IP
このシナリオでは、256 IP の容量を持ち、エンタープライズ ポリシーに環境を追加するのに十分な領域を持つ /24 の CIDR ブロックが必要です。
サポートされているシナリオ
Power Platform では、Dataverse プラグインと connectors の両方のVirtual Networkがサポートされています。 このサポートを使用すると、Power Platform からVirtual Network内のリソースへの、セキュリティで保護されたプライベートな送信接続を作成できます。 Dataverse プラグインとコネクタは、Power Apps、Power Automate、Dynamics 365 アプリから外部データ ソースに接続することで、データ統合のセキュリティを向上させます。 たとえば、以下を実行できます。
- Dataverse プラグインを使用して、Azure SQL、Azure Storage、BLOB ストレージ、Azure Key Vaultなどのクラウド データ ソースに接続します。 データ流出やその他のインシデントからデータを保護できます。
- Dataverse プラグインを使用して、Azure内のプライベート、エンドポイントで保護されたリソース (Web API など)、またはプライベート ネットワーク内のリソース (SQL や Web API など) に安全に接続します。 データの侵害やその他の外部脅威からデータを保護できます。
- Virtual Networkサポートされているコネクタ (SQL Server など) を使用して、Azure SQLやSQL Serverなどのクラウドでホストされているデータ ソースにインターネットに公開せずに安全に接続します。 同様に、Azure Queue コネクタを使用して、エンドポイント対応のプライベート Azure キューへのセキュリティで保護された接続を確立できます。
- Azure Key Vault コネクタを使用して、エンドポイントで保護されたプライベート Azure Key Vaultに安全に接続します。
- custom コネクタを使用して、プライベート ネットワーク内でホストされているAzureまたはサービス内のプライベート エンドポイントによって保護されているサービスに安全に接続します。
- Azure File Storage を使用して、エンドポイント対応のプライベート Azure ファイル ストレージに安全に接続します。
- Microsoft Entra ID (事前認証)
HTTP を使用して、Microsoft Entra IDまたはオンプレミスの Web サービスによって認証されたさまざまな Web サービスから仮想ネットワーク経由でリソースを安全にフェッチします。
制限事項
- コネクタを使用する Dataverse ローコード プラグインは、それらのコネクタ タイプがサブネット委任を使用するように更新されるまでサポートされません。
- 仮想ネットワーク対応の Power Platform 環境において、コピー、バックアップ、および復元といった環境ライフサイクル操作を使用します。 同じ仮想ネットワークに接続されていれば、同じ仮想ネットワーク内および異なる環境で復元操作を実行できます。 さらに、仮想ネットワークをサポートしていない環境からサポートしている環境への復元操作も許可されます。
サポートされているリージョン
Virtual Networkとエンタープライズ ポリシーを作成する前に、Power Platform 環境のリージョンを検証して、サポートされているリージョンにあることを確認します。 の コマンドレットを使用して、環境のリージョン情報を取得できます。
環境のリージョンを確認したら、サポートされている対応するAzure リージョンでエンタープライズ ポリシーとAzure リソースが構成されていることを確認します。 たとえば、Power Platform 環境が英国にある場合、Virtual Networkとサブネットは、uksouth および ukwest Azure リージョンに存在する必要があります。 Power Platform リージョンに使用可能なリージョン ペアが 2 つ以上ある場合は、環境のリージョンに一致する特定のリージョン ペアを使用する必要があります。 たとえば、Get-EnvironmentRegion があなたの環境で westus を返す場合、Virtual Network とサブネットは eastus および westus 内にある必要があります。
| Power Platform リージョン | Azure リージョン |
|---|---|
| 米国 | eastus、westus |
| 南アフリカ | southafricanorth、southafricawest |
| 英国 | uksouth、ukwest |
| 日本 | japaneast、japanwest |
| インド | centralindia、southindia |
| フランス | francecentral、francesouth |
| ヨーロッパ | westeurope、northeurope |
| ドイツ | germanynorth、germanywestcentral |
| スイス | switzerlandnorth、switzerlandwest |
| カナダ | canadacentral、canadaeast |
| ブラジル | brazilsouth |
| オーストラリア | australiasoutheast、australiaeast |
| アジア | eastasia、southeastasia |
| UAE | uaenorth |
| 韓国 | koreasouth、koreacentral |
| ノルウェイ | norwaywest、norwayeast |
| シンガポール | southeastasia |
| スウェーデン | swedencentral |
| イタリア | italynorth |
| 米国政府 | usgovtexas, usgovvirginia |
メモ
現在、米国政府コミュニティ クラウド (GCC) でのサポートは、GCC High にデプロイされている環境でのみ利用できます。 国防総省 (DoD) と GCC 環境のサポートは利用できません。
サポートされているサービス
次の表に、Power Platform のVirtual NetworkサポートAzureサブネット委任をサポートするサービスの一覧を示します。
| 領域 | Power Platform サービス | Virtual Network サポートの可用性 |
|---|---|---|
| Dataverse | Dataverse プラグイン | 一般に入手可能 |
| コネクタ | 一般に入手可能 | |
| コネクタ |
|
一般に入手可能 |
サポートされる環境
Power Platform のVirtual Networkサポートは、Power Platform 環境では利用できません。 次の表に、Virtual Networkをサポートする環境の種類を示します。
| 環境の種類 | サポートされています |
|---|---|
| 生産 | イエス |
| 既定値 | イエス |
| サンドボックス | イエス |
| Developer | イエス |
| Trial | いいえ |
| Microsoft Dataverse for Teams | いいえ |
Power Platform Environment のVirtual Networkサポートを有効にする際の考慮事項
Power Platform 環境でVirtual Networkサポートを使用する場合、Dataverse プラグインやコネクタなど、サポートされているすべてのサービスは、委任されたサブネットで実行時に要求を実行し、ネットワーク ポリシーの対象となります。 一般公開されているリソースへの呼び出しが中断し始めます。
重要
Power Platform 環境で仮想環境サポートを有効化する前に、プラグインとコネクタのコードを確認してください。 プライベート接続を使用するには、URL と接続を更新する必要があります。
たとえば、プラグインは一般に利用可能なサービスへの接続を試みる場合がありますが、ネットワーク ポリシーでは、Virtual Network内のパブリック インターネット アクセスは許可されません。 ネットワーク ポリシーは、プラグインからの呼び出しをブロックします。 ブロックされた呼び出しを回避するために、Virtual Networkで一般公開されているサービスをホストできます。 サービスが Azure でホストされている場合は、Power Platform 環境で仮想ネットワークサポートを有効にする前に、サービスのプライベート エンドポイントを使用できます。
よく寄せられる質問
Virtual Network データ ゲートウェイと Power Platform のAzure Virtual Networkサポートの違いは何ですか?
Virtual Network データ ゲートウェイ は、オンプレミスのデータ ゲートウェイを設定することなく、Virtual Network内から Azure および Power Platform サービスにアクセスするために使用するマネージド ゲートウェイです。 たとえば、ゲートウェイは、Power BIおよび Power Platform データフローの ETL (抽出、変換、読み込み) ワークロード用に最適化されています。
Power Platform Azure Virtual Networkサポートでは、Power Platform 環境にAzureサブネット委任が使用されます。 サブネットは、Power Platform 環境内のワークロードが使用します。 Power Platform API ワークロードではVirtual Networkサポートが使用されます。要求は有効期間が短く、多数の要求用に最適化されているためです。
Power Platformでの仮想ネットワークのサポートや仮想ネットワークデータゲートウェイを使用するべきシナリオは何ですか?
Power Platform のVirtual Networkサポートは、Power BI および Power Platform データフローを除く、Power Platform からの送信接続のすべてのシナリオで唯一サポートされるオプションです。
Power BI と Power Platform データフロー仮想ネットワーク (vNet) データ ゲートウェイ を引き続き使用します。
Power Platform において、ある顧客の仮想ネットワークサブネットまたはデータ ゲートウェイが別の顧客に使用されないようにするにはどうすればよいですか?
Power Platform のサポートVirtual Networkは、Azure サブネット委任を使用します。
各 Power Platform 環境は、1 つの仮想ネットワーク サブネットにリンクされています。 その環境からの呼び出しのみが、その仮想ネットワークへのアクセスを許可されます。
委任を使用すると、仮想ネットワークに挿入する必要があるサービスとしてのAzure プラットフォーム (PaaS) の特定のサブネットを指定できます。
Virtual Networkは Power Platform フェールオーバーをサポートしていますか?
はい。Power Platform リージョンに関連付けられている両方のAzureリージョンの仮想ネットワークを委任する必要があります。 たとえば、Power Platform 環境がカナダにある場合、CanadaCentral および CanadaEast に仮想ネットワークを作成、委任、構成する必要があります。
あるリージョンの Power Platform 環境は、別のリージョンでホストされているリソースにどのように接続できますか?
Power Platform 環境にリンクされているVirtual Networkは、Power Platform 環境のリージョンに存在する必要があります。 Virtual Networkが異なるリージョンにある場合は、Power Platform環境のリージョンにVirtual Networkを作成し、Azureリージョンにあるサブネットに委任された仮想ネットワークでVirtual Networkピアリングを使用し、異なるリージョンにあるVirtual Networkと橋渡しをします。
委任されたサブネットからのアウトバウンド トラフィックを監視できますか?
はい ネットワーク セキュリティ グループやファイアウォールを使用して、委任されたサブネットからのアウトバウンド トラフィックを監視できます。 詳細については、「Monitor Azure Virtual Network」を参照してください。
環境がサブネット委任された後、プラグインまたはコネクタからインターネットへの呼び出しを行うことはできますか?
はい インターネット にバインドされたアクセスは、既定では、サブネットに委任された環境のプラグインとコネクタから利用できます。 組織が送信アクセスを制御してセキュリティで保護できるように、Azure NAT ゲートウェイを委任されたサブネットにアタッチすることをお勧めします。 詳細については、「 Power Platform サービスからの送信接続をセキュリティで保護するためのベスト プラクティス」を参照してください。
サブネット IP アドレスの範囲を "Microsoft.PowerPlatform/enterprisePolicies" に委任した後に更新できますか?
いいえ、ご使用の環境でこの機能が使用されている間は使用できません。 サブネットの IP アドレス範囲は、「Microsoft.PowerPlatform/enterprisePolicies」に委任した後は変更できません。変更すると、委任構成が破損し、環境が動作しなくなります。 IP アドレス範囲を変更するには、 環境から委任機能を削除し、必要な変更を行い、環境の機能を有効にします。
"Microsoft.PowerPlatform/enterprisePolicies" に委任された後、Virtual Networkの DNS アドレスを更新できますか?
いいえ、ご使用の環境でこの機能が使用されている間は使用できません。 "Microsoft.PowerPlatform/enterprisePolicies" に委任された後、Virtual Networkの DNS アドレスを変更することはできません。これを行うと、構成で変更が取得されず、環境が動作しなくなる可能性があります。 DNS アドレスを変更するには、 環境から委任機能を削除し、必要な変更を行い、環境の機能を有効にします。
複数の Power Platform 環境で同じエンタープライズ ポリシーを使用できますか?
はい 同じエンタープライズ ポリシーを複数の Power Platform 環境で使用できます。 しかし、リリース サイクルの早い環境は、他の環境と同じエンタープライズ ポリシーで使用できないという制限があります。
Virtual Networkにカスタム DNS が構成されています。 Power Platform は、カスタム DNS を使用しますか?
はい Power Platform では、委任されたサブネットを保持するVirtual Networkで構成されたカスタム DNS を使用して、すべてのエンドポイントを解決します。 環境を委任したら、プラグインを更新して適切なエンドポイントを使用し、カスタム DNS で解決できるようにします。
私の環境には ISV が提供するプラグインがあります。これらのプラグインは委任されたサブネットで実行されますか?
はい すべての顧客プラグインと ISV プラグインは、サブネットを使用して実行できます。 ISV プラグインに送信接続がある場合、それらの URL をファイアウォールにリストする必要がある場合があります。
私のオンプレミスのエンドポイント TLS 証明書は、有名なルート証明機関 (CA) によって署名されていません。 不明な証明書をサポートしていますか?
いいえ。 エンドポイントが完全なチェーンを含む TLS 証明書を提示していることを確認する必要があります。 カスタム ルート CA を既知の CA のリストに追加することはできません。
顧客テナント内のVirtual Networkの推奨されるセットアップは何ですか?
特定のトポロジはお勧めしません。 ただし、お客様は、Azure で
Virtual Networkをアクティブ化するには、Azure サブスクリプションを Power Platform テナントにリンクする必要がありますか?
はい。Power Platform 環境Virtual Networkサポートを有効にするには、Azure サブスクリプションを Power Platform テナントに関連付ける必要があります。
Power Platform ではAzureサブネットの委任はどのように使用されますか?
Power Platform 環境に委任されたAzure サブネットが割り当てられている場合、Azure Virtual Networkインジェクションを使用して、実行時にコンテナーを委任されたサブネットに挿入します。 このプロセス中、コンテナーのネットワーク インターフェイス カード (NIC) に委任されたサブネットから IP アドレスが割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを介して行われ、トラフィックは Azure Fabric 経由で流れます。
Power Platform の既存のVirtual Networkを使用できますか?
はい。Virtual Network内の単一の新しいサブネットが特に Power Platform に委任されている場合は、Power Platform 用の既存のVirtual Networkを使用できます。 委任されたサブネットはサブネットの委任専用にする必要があり、他の目的には使用できません。
同じ委任サブネットを複数のエンタープライズ ポリシーで再利用できますか?
いいえ。 複数のエンタープライズ ポリシーで同じサブネットを再利用することはできません。 各 Power Platform のエンタープライズ ポリシーは、委任用に固有のサブネットを必ず持つ必要があります。
Dataverse プラグインとは何ですか?
Dataverse プラグインは、Power Platform 環境にデプロイできるカスタム コードの一部です。 このプラグインは、イベント (データの変更など) 中に実行されるように構成することも、カスタム API としてトリガーすることもできます。 詳細については、「 Dataverse プラグイン」を参照してください。
Dataverse プラグインはどのように実行されますか?
Dataverse プラグインはコンテナー内で実行されます。 委任されたサブネットを Power Platform 環境に割り当てると、コンテナーのネットワーク インターフェイス カード (NIC) はそのサブネットのアドレス空間から IP アドレスを取得します。 ホスト (Power Platform) とコンテナーはコンテナーのローカル ポートを介して通信し、トラフィックは Azure Fabric 経由で流れます。
同じコンテナー内で複数のプラグインを実行できますか?
はい 特定の Power Platform または Dataverse 環境では、同じコンテナー内で複数のプラグインを実行できます。 各コンテナーはサブネット アドレス空間から 1 つの IP アドレスを使用し、各コンテナーは複数の要求を実行できます。
インフラストラクチャは、プラグインの同時実行の増加にどのように対処しますか?
プラグインの同時実行の数が増えると、インフラストラクチャは負荷に対応するために自動的にスケール (アウトまたはイン) します。 Power Platform 環境に割り当てられたサブネットは、その Power Platform 環境内のワークロードの実行ピーク量を処理するのに十分なアドレス空間を備えている必要があります。
関連付けられているVirtual Networkとネットワーク ポリシーを制御するのはだれですか?
Virtual Networkとそれに関連付けられているネットワーク ポリシーに対する所有権と制御があります。 一方、Power Platform では、そのVirtual Network内の委任されたサブネットから割り当てられた IP アドレスが使用されます。
Azure対応プラグインはVirtual Networkをサポートしていますか?
いいえ。Azure 対応プラグインはVirtual Networkをサポートしていません。