Power Platform のガバナンスとセキュリティ概要～ローコード開発における「リスクの最小化と生産性の最大化」を実現～

Microsoft Power Platform が目指す世界観とは？

市民開発者 IT 管理者 プロ開発者

エンドユーザー コンピューティングの課題

Power Platform でのガバナンス＆セキュリティのポイント

Power Platform が目指す世界観は、「ローコード・ノーコード ツールによって、すべての人が開発者となり、組織全体でデジタル変革スピードを最大化する世界」です。

市民開発者、IT 管理者、プロ開発者が活用することでアプリケーションの提供速度を上げ、開発時間が大幅に短縮されます。また、本当に開発が必要な領域に対して時間・コストを割くことで、デジタル化スピードの最大化とリソース最適化を実現します。

ここで重要なのが「ガバナンス」と「セキュリティ」の観点です。エンドユーザーが安全に、安心して継続的なアプリ開発を行うためには、これらの基盤づくりが大切になります。

これら 2 つの課題について、ガバナン

スとセキュリティのトレードオフ関係を

見直し、リスク最小化とローコード ソリ

ューション価値の最大化を図ることが

ポイントとなります。Power Platform

は、クラウドを活かした「セキュリティ・

監視・自動化」の観点で管理、開放の

バランスを取り、高度なガバナンスとセ

キュリティを実現します。

自由にしすぎて管理できない

制限しすぎて IT 部門が疲弊

「情報のサイロ化」や「野良アプリ増加」により情報の把握・活用が困難に

エンドユーザーのニーズに応えるための管理コストが増大し、スピード感が低下

制限しすぎて IT 部門が疲弊自由にしすぎて管理できないこれまでの課題

目指す姿

実現手段 自動化監視

管理と解放のバランスを上手くとり、安全にローコード ソリューションの価値を最大化

セキュリティ

Power Platform のガバナンスとセキュリティ概要

このような課題の解決に役立つのが Power Platform の管理機能です。

従来のエンドユーザー コンピューティング (EUC) は、以下のような課題に直面しています。

2 3

1

ここでは、「テナント」「環境」「Dataverse」「コネクタ」について詳しく取り上げます。

Power Platform のセキュリティ全体像

テナント

Power Platformでは、各レイヤーに対して適切なセキュリティを設定することで、根本的な情報漏えいのリスクを回避します。

「テナント」は、クラウド上に作成される組織アカウントです。Power Platform のテナントは、Microsoft 365 と同様のプラットフォームを利用します。作成したアプリへのアクセスは必ず

Azure Active Directory の認証基盤を通るため、自動的にセキュアな基盤が作成可能です。また、Azure Active Directory 側で条件付きアクセス等のセキュリティ設定を追加し、一元的に管理できることで管理コストを削減できます。

セキュリティ

テナント

環境

アプリ、フロー、力スタム コネクタのリソース アクセス許可

Microsoft Dataverse

コネクタ

1

2

3

4

5

Power Apps Power Automate

Dataverse

シグナル

ユーザーと場所

アプリケーション

デバイス

アクセスを許可する

多要素認証（MFA）を必須にする

アクセスをブロックするリアルタイム リスク

すべてのアクセス施行を確認する アプリとデータ

例）コントソ株式会社

Power Platform のガバナンスとセキュリティ概要

2 3

また、ユーザーにセキュリティロールを追加することで環境内での権限を制限することができます。例えば、「環境管理者 /システム管理者」「環境メーカー」「システム カスタマイザー」「Dataverse ユーザー」といった権限を割り当てることができます。

セキュリティ

Power Apps Power Automate Power Apps Power

Automate Dataverse Power Apps Power Automate Dataverse

2環境

「環境」は Power Apps や Power Automate で作成したアプリ、ワークフロー、データを保管する場所です。Power Platform では 1 テナントに対して複数の環境を作成可能で、役割やセキュリティ要件、リージョン、ターゲット層が異なるアプリの環境を分けて管理できます。

3Dataverse

例）テーブルごとの詳細権限設定画面

なし

ユーザー

部署

部署配下

組織全体

（所有者＝アクセス者）

（所有者とアクセス者が同じ部署に所属）

（所有者がアクセス者の部署配下に所属）

（所有者がアクセス者の組織のどこにでも所属 ＝全 レコードに権限を持つ）

「Dataverse」は、Power Platform で利用できる共通のデータ ストア サービスで、ロール ベースのセキュリティにより柔軟な権限設定が可能です。環境内に Dataverse が作成されるとセキュリティ制御が Dataverse に引き継がれ、より細やかな権限管理が実現します。

テナント

環境

ユーザー

例）コントソ株式会社

環境管理者 /システム管理者

環境メーカー(Environment

Maker)

システムカスタマイザ

(SystemCustomizer)

Dataverseユーザー

コントソ株式会社 コントソ販売株式会社 コントソ アメリカ既定 運用 運用

テスト テスト

開発

4 5

詳しくはこちらhttps://docs.microsoft.com/ja-jp/power-platform/admin/database-security

環境戦略を考える

コネクタをグループ化 同じグループのコネクタのみ接続可

ビジネス

Dataverse SharePoint

Dropbox Twitter Facebook

ExcelOffice 365Outlook

非ビジネス ブロック

環境と DLP ポリシー設定例

SharePointOneDrive forBusiness

Dropbox Twitter

Facebook

ビジネス データの外部流出を防止

不用な外部サービスの利用を禁止

#2：さらに許可するコネクタを制限（例：Microsoft 365関連のみにするなど）

#1：全社的に利用を禁止するコネクタを設定

#3：特定の環境に対してのみ例外用のポリシーを設定する

トレーニング用#2

トレーニング用#1規定

IT 部門用環境

ContosoUSA

運用テスト開発

運用テスト開発

全社で利用を禁止する最小限のコネクタを「ブロック」もしくは「非ビジネス」として分類し、すべての環境に適用する。

既定環境（およびトレーニング環境など）は、広くアクセスを許可する一方、「ビジネス」として分類したコネクタのみ許可する。厳しいポリシーを設定することで、管理コストを削減する。

リスクを最小化しながら生産性を最大化させるためには、以下がポイントとなります。

目的やセキュリティ要件ごとに環境作成、DLP ポリシーの設定を行う

誰でもアプリ作成できる既定環境では利用可能コネクタを最小限にする（「個人の生産性向上用の環境」と位置付けて活用する）

環境の作成、運用プロセスを自社のポリシーに合わせて決定する

●

●

●

①

②

4コネクタ

Power Platform では、「コネクタ」を通してさまざまなアプリケーションと簡単にデータ連携ができます。安全にコネクタを利用するため、「データ損失防止ポリシー (DLP）」を作成することで、コネクタの利用範囲を制限することができます。DLP ポリシーは環境に対して設定します。コネクタを「ビジネス・非ビジネス・ブロック」に分類することで、重要なビジネス データが非ビジネスのコネクタを通して流出するリスクを回避します。（下図の例では、ビジネスデータが SNS に流出するリスクをブロックしています）

Power Platform のガバナンスとセキュリティ概要

4 5

Power Platform 監視ソリューションの全体像

Microsoft 365 アクティビティ ログ

Power Platform 管理センター

監視

Power Platform では、ユーザーが実際にどのようなアクション・アクティビティを行ったかについて「Microsoft 365 アクティビティ ログ」「Power Platform 管理センター」の 2 種類のデータから確認することが可能です。

「Microsoft 365 アクティビティ ログ」は、マイクロソフトのサービス全体で包括的なログ記録を行い、コンプライアンス センターの監査ログに記録されます。アプリやフローの作成や削除、実行等のログが収集可能です。API や Power Shell、Power Automate を利用して、管理の効率化や自動化が可能です。

「Power Platform 管理センター」では、サービス全体の導入、使用状況、および正常性の分析が可能です。

特徴Microsoft 365 セキュリティおよびコンプライアンス センターに保存Microsoft 365 管理アクティビティ API の使用によりカスタム監視ソリューションの作成が可能Power Automate で監査イベントを検知してアクションとアラートを自動化

特徴容量分析：ストレージ容量の使用状況を可視化Dataverse 分析：正常性やユーザーの利用状況の追跡Power Apps / Power Automate 分析：利用状況、エラーを可視化

●

●

●

●

●

●

6 7

Power Platform の自動化を支えるコンポーネント

Power Platform による管理の自動化

Power Platform 管理用コネクタ

Power Shell コマンドレット

自動化

企業独自のポリシーや運用・監査・ガバナンス プロセスに対応するためには、全体のセキュリティ・監視だけでは不足する部分が出てきます。このような課題に対して、管理を自動化できるのがローコード開発プラットフォーム Power Platform の特徴です。

Power Platform では、以下のコンポーネントを活用することで、独自のセキュリティ ポリシーの適用、運用や管理の自動化が可能となります。

Power Platform は、コネクタとして管理用機能を提供しています。このコネクタを Power Automate で活用すると、新規アプリ作成時に管理者に通知するフローや、野良アプリの自動削除フローなど、独自の管理フローを作成することが可能です。

Power Platform の設定情報、リソース情報の一括取得・一括処理をスクリプト形式で自動化します。従来の手法と変わらない感覚でリソースやテナント、環境の設定が可能です。

Power Platform 管理用コネクタPower Shellコマンドレットセンター・オブ・エクセレンス (CoE) スターター キット

Power Platform 管理用コネクタ Power Shellコマンドレット センター・オブ・エクセレンス (CoE) スターター キット

●

●

●

Power Platform のガバナンスとセキュリティ概要

6 7

自動化

〒108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー

Microsoft Power Platform に関する最新情報は、https://powerplatform.microsoft.com/ja-jp/ をご覧ください。

6389-IP1

※記載されている会社および、製品名は、各社の商標または登録商標です。※記載されている情報は、2021 年 2 月現在のものです。※製品の仕様は、予告なく変更する場合があります。あらかじめご了承ください。※本文書は情報提供のみを目的としており、2021 年 2 月時点でのマイクロソフトの見解を基に作成したものです。状況等の変化により、内容は変更される場合があります。マイクロソフトは、本文書の情報に対して明示的、黙示的または法的な、いかなる保証も行いません。

関連資料のダウンロードはこちら

https://aka.ms/power-platform

製品に関するお問い合わせは、次のインフォメーションをご利用ください。

電話番号のおかけ間違いにご注意ください。

■ インターネットホームページ https://dynamics.microsoft.com/ja-jp/contact-us/■ マイクロソフトカスタマーインフォメーションセンター 0120-167-400〈内線 : 3〉（9:00～ 17:30 土日祝日、弊社指定休業日を除きます）

センター・オブ・エクセレンス (CoE) スターター キット

リスクの最小化と生産性の最大化のために

もっと詳しく知りたい方は https://aka.ms/power-IT

組織内で Powe r Pl at f o r m の運用を開始する上で必要となるガバナンスのベスト プラクティスをテンプレートとして提供します。実際のお客様の事例をもとに作られており、管理用コネクタや A P I を活用し、ガバナンスに必要なコンポーネントがすべて Power Platform の機能で構成されています。

従来の EUC は「自由にしすぎて管理できない」「制限しすぎて IT 部門が疲弊」という課題を抱えていました。一見トレードオフのように見えるこの課題を解決するためには、管理と開放のバランスを取り、ローコード ソリューションの価値を安全に最大化することが求められます。

解決には「セキュリティ・監視・自動化」という 3 つの観点がポイントになります。これを可能にするのが Power Platform です。

CoE スターター キットは、セキュリティとガバナンスを支える「コア コンポーネント」「ガバナンス コンポーネント」、エンドユーザーへの展開を行う「育成コンポーネント」で構成されます。

コア コンポーネント ガバナンス コンポーネント 育成コンポーネントテナント内のリソース カタログテナント全体利用状況可視化DLPエディタアプリ所有者の変更

●

●

●

●

アプリ申請管理者によるアプリ審査特定アプリの監査未使用アプリ自動アーカイブ

●

●

●

●

アプリ カタログテンプレート カタログ社内トレーニング イベント管理Welcomeメール

●

●

●

●

セキュリティ 監視 自動化テナント環境

●

●

DataverseDLP

●

●

Microsoft 365 アクティビティ ログ分析情報Dataverse 監査ログ

●

●

●

Power Platform 管理用コネクタPower ShellCoE スターター キット

●

●

●

導入および展開におけるベスト プラクティス詳細はこちら

https://docs.microsoft.com/ja-jp/power-platform/guidance/