はじめに
これまで、作成した Power Apps のアプリや Power Automate フローに共同所有者を追加する方法等について書かれている記事もあるという認識ですが、部署異動の時期だと思うので、改めて情報を整理してみたいと思います。
方針決め
まず、部署異動の際、元々の作成者について、 Power Apps のアプリや Power Automate フローの所有権限を削除するのか、つまり、アクセス権をはく奪してアクセスできなくするのか、あくまで、引継ぎ先の人を共同所有者を追加するだけに留めるのか、方針を決める必要があると思います。
こちの方針により実際に行うことが変わってきます。特に決まっていない場合はこれから書く内容も踏まえ、どちらにするか判断するのでも良いかと思います。
個人的には、余程の事情がなければ、元々の作成者も所有者として残しておく方法の方がいいと思います。
これから記載する方法である程度のことは出来ますが、ミッションクリティカルなアプリやフロー、秘匿性の高いようなアプリやフローについては、出来るだけ人の異動や退職に左右されないアカウントで作成しておくことをお勧めします。
また、そうでない場合においても、異動や退職後も継続して使うことが想定される、引継ぎが発生する可能性のあるアプリやフローについては、出来るだけあらかじめ共同所有者を追加しておくルールにしておくことをお勧めします。
Power Apps アプリの引継ぎ
共同所有者を追加する (元々の作成者も所有者として残す)
こちらは簡単です。作成したアプリを利用者に共有するときと同じような操作で、[共同所有者] にチェックを入れるだけです。
こちらにより、共同所有者に追加されたユーザーは、[自分と共有] からアプリを探し、編集することが出来ます。
アプリで利用するコネクタ、データソースに対しても同等の権限が必要です。例えば、アプリで利用する SharePoint リストに対して、共同所有者に権限が付与されていない場合、アプリ編集時に以下のようなエラーが発生します。もちろん、アプリを実行した際にもデータソースに接続が出来ず、問題が発生します。
元々の作成者の所有者権限を削除する
共同所有者を追加すれば、アプリのメンテナンス等は問題なく行うことが出来、また、最悪、元々の作成者が退職をしてアカウントがなくなってしまっても問題なくアプリのメンテナンス等は可能です。
実は、私も、マイクロソフト退職時、自分が作成したアプリについて、共同所有者を沢山追加して、そのまま退職しました。私のアカウントは削除されたと思いますが、(今も業務上必要であれば) きっと今も稼働していると思います・・・
もし、部署異動に伴い、どうしても、元々の作成者のアプリのアクセス権を削除したい場合、残念ながら、市民開発者の方が簡単に行う方法はないという認識です。
個人的に考えられる方法は以下の 3 つです。
PowerShell コマンドレットを使用してアプリの所有者を変更する
以下のような PowerShell コマンドレットを使用することで、アプリの所有はを変更可能です。変更後、新しい所有者が、旧所有者のアクセス権を削除します。
Set-AdminPowerAppOwner -AppName "922308e9-2ead-4bc2-b89f-95bbc2f4589c" -EnvironmentName "594275cd-68f8-4b7c-8aa3-1dd7d13c6310" -AppOwner "2b55ff59-fa14-4a8e-9337-b1e4d4a52e9b"
見てわかる通り、全て GUID という、恐らく市民開発者の方からしたら暗号のような形式で指定する必要があり、この GUID をどうやって調べるのか含め、こちらを多くの市民開発者の方に、部署異動時にやってもらうことは、現実的ではないと思います。
CoE スターターキットを用いてアプリの所有者を変更する
いくつかの記事でも触れた CoE スターターキットという、Power Platform の管理業務等を効率化するアプリやフローの詰め合わせがあるのですが、こちらのアプリの中に、「Set App Permissions」というアプリがあり、アプリの所有者を変更することが可能です。
ただし、こちらは、組織に CoE スターターキットがインポートされていることや、その上で、管理者に依頼をする必要があります。
市民開発が浸透しており、多数のアプリがある場合、部署異動時期に、全てのアプリに対してこのような処理をするのは、市民開発者、管理者共に負担が大きいと考えます。そのため、個人的には、あくまで、どうしても元の所有者から権限を完全に削除したい場合の最終手段くらいに捉えておいた方がいいかなと思います。
アプリを複製して新しい所有者に割り当てる
こちらは、アプリ自体を複製して、つまり、別アプリとして作成するというアプローチです。当然、パッケージやソリューションという単位で、zip ファイルとしてアプリをエクスポートして、引継ぎ先の人にインポートしてもらい、エラー有無など諸々チェックをしてアプリを再リリースする必要があります。
もちろん、アプリの URL も変わります。広く利用されているアプリの場合、再周知が必要になるなど、正直、色々大変だと思います。
そのため、個人的には、あまり広く使われておらず、アプリの URL 等が変わっても特に問題ないアプリにおいて、どうしても元の作成者の権限をはく奪したい場合の手段くらいに捉えておくのが良いと思います。
Power Automate クラウドフローの引継ぎ
共同所有者を追加する (元々の作成者も所有者として残す)
Power Automate に共同所有者を追加する方法も以下のように共同所有者を追加する感じになります。
追加をすると、追加された側にて、[自分と共有] から、共有されたフローを編集可能です。
このままでも問題なく動作しますが、元の作成者が作成した接続情報でフローが色々と動作するのはあまりよろしくないため、引継ぎ先の人がフローを編集し、各コネクタのアクションの接続にて、[新しい接続参照] より、再度認証をしてあげた方が良いと思います。
元々の作成者の所有者権限を削除する
まず、ソリューション内に作成されたフローであれば、以下の方法で、所有者を変更できます。
しかし、ソリューションに含まれていないフローの場合、共同所有者として追加は出来ますが、元々の作成者の権限はく奪は出来ないです。
ソリューションについては以下の記事を参考にしてください。ただし、既定の環境と呼ばれるところでは、管理者以外のユーザーはソリューションに対する権限が不足しており、既定の環境で全ユーザーがソリューションを使って同じようなアプリやフローを作成するためにエクスポート、インポート利用すると、ソリューションが意図せず上書きされるなど、色々と混乱する恐れもあるため、上記方法は、個別の環境でソリューションを利用して開発する場合の選択肢の一つであり、部署異動時の引継ぎ時全てにおいて利用可能というわけではないと捉えておいた方がよいと個人的に思います。
今後、作成されるアプリやフローについて、既定でソリューションに含まれるような動きもあるため、この辺はちょっと難しいところですが、今回は、あくまで、部署異動の際の引継ぎという観点がメインのため、これ以上は深堀しないことにします。
なお、Power Apps と同じく、CoE スターターキットの「Set App Permissions」というアプリを使っても同じ結果となります。
以下の通り、所有者が置き換わり、元々の作成者の情報が消えました。つまり、権限がはく奪されました。
ソリューション外のフローで (上述の方法で所有者変更が出来ないフローで)、どうしても元々の作成者の権限を外したい場合、以下の記事に記載があるような方法で、引継ぎ先の人にフローを渡して、別のフローとして作成いただく必要があります。
Power Automate クラウドフローの場合、Power Apps のアプリと違い、利用者の方に URL などを広く共有しているわけではなく、スケジュールで動いている、手動で起動させる、または、Power Apps などでデータ登録をした後に自動で起動し、バックグラウンドで動いているものとなるため、引継ぎ先の人にフローを渡して、別のフローとして作成いただいたとしても、利用者の方への再周知などは不要と考えます。
個人的に、ソリューション外のフローについては、コピーをもらってインポートでも良いかもしれないと思っています。この場合、コネクタのアクションごとの接続参照の切り替えは不要になりますし、元の作成者が、異動した後、知らないうちに退職していたとしても心配はないためです。
Power Apps トリガーのフローの場合
引き継ぐものが、一つのアプリやフローではなく、例えば、アプリ一個とフロー複数のような場合、どちらについても、共同所有者を追加する、所有者を変更するなどの対応をする必要があります。
もちろん、以下のような Power Apps から Power Automate を直接呼び出している場合についても同様です。
アプリの共同所有者を追加し、フローについても共同所有者に追加します。
私の方でテストした限りでは問題なかったですが、もし、Power Apps を開いた際、Power Automate のフローを上手く読み込めない場合、一度アプリから削除して再度追加してみてください。それでも実行などにおいて問題がある場合は、上述の記事の方法で、引継ぎ先の人の方で Power Autoamte のフローを作成 (実質コピー) し、その上で、Power Apps からそちらのフローを追加してみます。流石に、そこまですれば問題なく動作するはずです。
データソース側のアクセス権を外す
アプリについて、所有権限は残しておいてもいいが、異動する人について、データにはできるだけアクセスさせたくない場合は、以下のような対応をすれば、アプリの編集は出来るものの、実質データにはアクセスできないため、十分なことが出来ないようにすることは可能です。
- Power Apps のアプリは共同管理者を追加する (共同管理者として残したまま)
- Power Automate はコピーして引継ぎ先の人が管理する
- アプリやフローのデータソース側のアクセス権を外す
※Power Automate に共同所有者権限を追加しただけの場合、引継ぎ先の人が、例えば SharePoint リストに対する接続情報を更新した場合、元々の作成者も、引継ぎ先の人の権限を使ってフローに接続することが出来てしまうかもしれないため、コピーして別のフローとした引き継いだ方がいいと思います
SharePoint リストの場合、以下のようにサイトからアクセス権を削除します。SharePoint サイトについて、Teams のチームと紐づいている場合は、Teams のチームから外す、SharePoint サイトに対して、グループ宛にアクセス権が付与されている場合は、グループのメンバーから外せばよいと思います。この辺は、場合によっては、部署異動時に IT の管理者の方で行われる場合もあると思います。
まとめ
改めてとなりますが、部署異動の際の Power Apps や Power Automate の引継ぎについて、情報を整理してみました。個人的に、実現手段はあるものの、中には難しいアプローチ、市民開発者の方全員が行うことについて、現実的ではないものもあると思います。
そちらも踏まえて、方針を決めた上で、上記いずれかの方法で引き継いでもらえたらと思います。もちろん、いずれの方法を採用するにせよ、引継ぎ後念のため動作確認はいただければと思います。
部署異動の際の Power Apps や Power Automate の引継ぎをする上で、本記事が少しでも参考になれば幸いです。