このテナント全体で項目に含まれる機密データのアクセス許可は、必ず承認されたユーザーのみに付与してください。
IP ファイアウォール
Microsoft Power Platform の IP ファイアウォール機能は、Dataverse 付きのマネージド環境にのみ適用されるセキュリティ制御です。 Power Platform 環境へのインバウンド トラフィックを制御することで、重要なセキュリティ レイヤーを提供します。 管理者は、この機能を使用して、IP ベースのアクセス制御を定義および適用できます。 この方法により、許可された IP アドレスのみが Power Platform 環境にアクセスできることを保証できます。 IP ファイア ウォールを使用することで、企業は不正アクセスやデータ漏洩に関連するリスクを軽減し、Power Platform 展開の全体的なセキュリティを強化することができます。 詳細については、Power Platform 環境の IP ファイアウォールを参照してください。
テナント分離
テナント分離により、Power Platform 管理者は Microsoft Entra で許可されたデータソースからテナントへの、またはテナントからのデータの移動を効果的に管理できます。 詳細については、クロステナントによるインバウンドとアウトバウンドの制限をご参照ください。
IP アドレスベースの Cookie バインド
IP アドレス ベースの Cookie バインド機能は、Dataverse のマネージド環境にのみ適用されます。 IP アドレス ベースの Cookie バインドを通じて、Dataverse におけるセッション ハイジャックの悪用を防ぎます。 詳細については、IP クッキー バインドによる Dataverse セッションの保護を参照してください。
環境セキュリティ グループ
セキュリティ グループは、ライセンスを取得したユーザーがアクセスできる環境を制御するのに役立ちます。 詳細については、セキュリティ グループとライセンスで環境へのユーザー アクセスを制御する を参照してください。
共有を管理する
この管理共有機能はマネージド環境にのみ適用されます。 共有を使用することで、管理者は作成者が共有できる内容や、共有先となる他の個人ユーザーやセキュリティ グループを制御できます。 (共有される可能性のあるもののたとえば、キャンバス アプリ、クラウド フロー、エージェントなど) この機能により、機密情報は許可されたユーザーのみが利用できるようになります。 したがって、データ侵害や誤用のリスクを軽減できます。 詳細については、制限の共有を参照してください。
アプリのアクセス制御 (プレビュー)
アプリのアクセス制御機能は、マネージド環境のみに適用されます。 これは各環境で許可されるアプリとブロックされるアプリを制御し、データの流出を防ぎます。 詳細については、環境で許可するアプリを制御するを参照してください。
ゲスト アクセス (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能には 追加使用条件が適用され、正式リリースより前に公開されます。そのため顧客は早期アクセスを利用し、フィードバックを提供できます。
Power Platform のエコシステムでデータ セキュリティとコンプライアンスを確保する上で、過剰共有のリスクを最小限に抑えることは非常に重要です。 そのため、すべての新しい Dataverse 環境では、既定でゲスト アクセスが禁止されます。 ただし、ビジネスの使用用途で必要であれば、環境に対してゲスト アクセスを許可することができます。 既存環境に対して、ゲスト アクセスをさかのぼって無効化 (制限) することも可能です。 この場合、ゲストが以前アクセスできたリソースへの接続をブロックします。
ゲスト アクセスを構成する
- システム管理者として、Power Platform 管理センター にサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ セクションで、ID とアクセスを選択します。
- ID およびアクセス管理 セクションで、ゲスト アクセスを選択します。
- ゲスト アクセス ウィンドウで、ゲストアクセスをオフにする環境を選択します。
- ゲスト アクセスの構成を選択します。
- ゲスト アクセスをオフにする オプションをオンにします。
- 保存 を選択します。 ゲスト アクセス ウィンドウが再度表示されます。
- 必要に応じて、他の環境に対して手順 5 から 8 を繰り返します。
- 完了したら、ゲスト アクセス ウィンドウを閉じます。
セキュリティ スコアを改善し、推奨事項に基づいて行動する
ゲスト アクセスの制限は、テナントのセキュリティ態勢を強化する重要な手段です。 また、メインのセキュリティ ページ、または Power Platform 管理センターのアクション ページでゲスト ユーザー アクセスの制限の推奨を選択することで、直接アクションを起こすこともできます。 ゲストアクセス制限を設定すると、構成されている環境数に基づいてテナントのセキュリティ スコアが向上します。
待機時間に関する考慮事項
ゲスト アクセスを効果的にブロックするために必要な時間は、環境の数およびそれらの環境内のリソースの量によって異なります。 最も極端なケースでは、完全な施行までの遅延は 24 時間です。
既知の制限
ゲスト アクセスはプレビュー機能です。 さらなる機能強化が計画されています。 これには、次の既知の制限があります:
- ゲスト アクセスをブロックすることで、ゲストがリソースを保存したり使用したりすることを防止します。 しかし、ゲストが Power Apps Maker Portal にアクセスすることを妨げない場合があります。
- Copilot Studio で作成された品目は、Microsoft Power Platform の外部からのナレッジ ソースとしてグラフ コネクタを使用することができます。 現在、ゲスト アクセスがブロックされている場合でも、それらの情報にゲストがアクセスできる可能性があります。
管理者特権 (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、追加の使用条件の対象となり、正式リリース前に利用可能です。お客様は早期にアクセスし、フィードバックを提供することができます。
管理者権限機能はマネージド環境のみに適用されます。 Microsoft Entra ID と Microsoft Power Platform において、高権限の管理者ロールを持つユーザー数を制限することで、テナントのセキュリティ スコアを向上させることができます。 この機能を使用して、これらの特権ロールを持つユーザーを確認したり、ユーザーリストを確認したり、特権アクセスを持つべきでないユーザーを削除したりすることができます。 詳細については、Power Platform 管理センターの概要 を参照してください。
管理者権限を持つユーザー
テナントに管理者特権を持つユーザーが多数いる場合、管理者特権 ウィンドウは、プロアクティブな推奨事項を提供します。 推奨事項を開くと、多くのユーザーがシステム管理者セキュリティ ロールを持っている環境の一覧を表示できます。 (現在、一覧には、20 を超えるユーザーがそのロールを持っている環境が表示されています。) 一覧にある任意の環境で、システム管理者 列のリンクを選択して セキュリティ ロール ページを開きます。 そこで、システム管理者 セキュリティ ロールを選択し、メンバーシップ を選択して メンバーシップ ページを開くことができます。 このページには、ロールが割り当てられているユーザーの一覧が表示されます。 ロールから削除するユーザーを一度に 1 人ずつ選択できます。
メモ
グローバル管理者ロールに割り当てられているユーザーのみが、グローバル管理者ロールから他のユーザーを削除できます。
既知の問題
この機能に関する次の既知の問題に注意してください。
- セキュリティ ロールの メンバーシップ ページには、既定の部署のセキュリティ ロールのみが表示されます。 すべての部署のすべてのセキュリティ ロールを一覧表示するには、親セキュリティ ロールのみを表示する オプションをオフにします。
- システム管理者ロールからユーザーを削除した後、更新された管理者数がページに反映されるまで約 24 時間かかります。
エージェントの認証 (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能には 追加使用条件が適用され、正式リリースより前に公開されます。そのため顧客は早期アクセスを利用し、フィードバックを提供できます。
この機能を使用すると、管理者は環境内のすべてのエージェント操作の認証を構成できます。 管理者は、次のいずれかのオプションを選択できます。
- Microsoft による認証または手動認証 を使用すると、Microsoft Entra ID を使用して認証を強制したり 、手動で認証を行ったりできます。 これは、作成者が認証なしでエージェントを作成または使用するのを防ぐのに役立ちます。
- 匿名アクセスを許可する認証はありません。
Copilot Studio の認証オプションの詳細については、「Copilot Studio でユーザー認証を構成する」を参照してください。
エージェントのオーテニケーション機能は、既存の仮想コネクタの最新化されたフレームワークであり、Microsoft Entra ID を使用しないチャットです。 これは、環境レベルの構成と規則を通じてスケーリングするのに役立ちます。 Power Platform 管理センターのセキュリティ領域で仮想コネクタとエージェントの認証設定の両方を使用している場合、実行時にアクセスを許可するには、両方の場所でアクセスを許可する必要があります。 いずれかの場所で匿名アクセスをブロックすると、実行時に最も制限の厳しい動作が適用され、ブロックされます。 たとえば、次の表の情報を考えてみましょう。
| 仮想コネクタでのアクセス | Power Platform 管理センターの [エージェントの認証 ] 設定でのアクセス | ランタイムの適用 |
|---|---|---|
| Blocked | Blocked | Blocked |
| 許可 | Blocked | Blocked |
| Blocked | 許可 | Blocked |
| 許可 | 許可 | 許可 |
すべてのお客様は、グループとルールの機能を活用するために、Power Platform 管理センターの [エージェントの認証 ] 設定を使用することをお勧めします。
エージェント アクセス ポイント (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能には 追加使用条件が適用され、正式リリースより前に公開されます。そのため顧客は早期アクセスを利用し、フィードバックを提供できます。
この機能により、管理者はエージェントを公開できる場所を制御でき、複数のプラットフォームにまたがる顧客エンゲージメントが可能になります。 管理者は、Microsoft Teams、Direct Line、Facebook、Dynamics 365 for Customer Service、SharePoint、WhatsApp など、複数の使用可能なチャネルを選択できます。
エージェント アクセス ポイント機能は、既存の仮想コネクタの最新化されたフレームワークです。 これは、環境レベルの構成と規則を通じてスケーリングするのに役立ちます。 Power Platform 管理センターのセキュリティ領域で仮想コネクタとエージェント アクセス ポイントの設定の両方を使用している場合は、実行時にアクセスを許可するには、両方の場所でアクセスを許可する必要があります。 いずれかの場所でチャネル アクセスをブロックすると、実行時に最も制限の厳しい動作が適用され、ブロックされます。 たとえば、次の表の情報を考えてみましょう。
| 仮想コネクタでのアクセス | Power Platform 管理センターの エージェント アクセス ポイント 設定でのアクセス | ランタイムの適用 |
|---|---|---|
| Blocked | Blocked | Blocked |
| 許可 | Blocked | Blocked |
| Blocked | 許可 | Blocked |
| 許可 | 許可 | 許可 |
すべてのお客様は、グループとルールの機能を活用するために、Power Platform 管理センターの エージェント アクセス ポイント 設定の使用に移行することをお勧めします。