はじめに
まず、Power Apps のアプリや Power Automate のフロー等のリソースは、環境という場所に保存されます。
※こちらの記事から拝借したので、アイコンちょっと古いです
そして、Power Platform を利用者に開放するにあたって、特に、有償ライセンスまで開放する場合、利用者からの環境を利用したい、作成したいという申請の対応について検討が必要です。
あまりリクエストがない初期段階では、マニュアルでもいいと思いますが、ある程度浸透してくると、DLP ポリシーの対応含め、全て手作業で行うのは効率が悪く、工数も膨らんでくると思います。
その際の一つのアプローチとして、Power Platform の CoE スターターキットに存在する環境申請アプリやフローがございます。
良くできており、もちろんこちらがそのまま利用できれば良いのですが、データソースが Microsoft Dataverse のため、こちらを利用する、つまり申請する可能性があるユーザー全てに Power Apps の有償ライセンスが必要となるためハードルが高いかもしれません。
また、こちらのアプリをそのまま利用することについて、個人的に以下のような懸念もあると思っています。
-
環境で利用するコネクタについても細かく申請が可能なため、利用者が利用するコネクタを一つ一つ選択する必要があり面倒くさい
-
全てのコネクタが表示されているため、管理者が基本的に利用させることを想定していないコネクタに関する申請が沢山来てしまって煩わしい。環境を作成するたびに DLP ポリシーの作成も必要になり、ポリシーが乱雑する
そのため、今回は、Power Platform 環境払い出し申請業務を効率化するその他アプローチについて紹介します。
申請の流れ
個人的には、以下のような申請の流れで、ある程度の申請に対しては対応でき、また、効率化できると思っています。
個人的な経験上、Power Apps の有償ライセンスがあり、個別環境を申請したい場合、一旦は、Medium Low、または、Medium で利用できるコネクタ (どちらも Dataverse 含まれていますし) があれば問題ないというケースが多いと思います。
もちろん、例外的なリクエストはあると思いますが、そちらについては一旦は個別対応でもいいかと思います。いきなり 100 点を目指さないという感じです。
本アプリやフローを利用するメリットは以下の通りです。
- 申請アプリや自動化フローを利用することで、環境の申請、承認業務を全般的に効率化できる
- 環境申請時に必要な情報の入力を求めることが出来る (必要情報の洩れによる複数回のやり取りを削減できる)
- アプリ内で DLP ポリシーの内容を確認できるため、適切なポリシーを選んで申請することが出来る
- 環境申請の履歴を残すことが出来る
- 新規環境の作成を自動化できる
- 作成された新規環境に対する DLP ポリシーの適用を自動化できる (事前定義済みの DLP ポリシーを適用する)
- 作成された新規環境に対する環境管理者の権限付与を自動化できる (申請者が環境管理者になる。環境管理者の追加は申請者自身に行ってもらう)
環境払い出し申請アプリ
まず、データソースは SharePoint リストで作成しています。もちろん、全社的に Microsof Dataverse が使える場合は Dataverse でもいいですが。。
事前定義済みの DLP ポリシーについて、以下のようにデータを用意しておきます。
アプリの見た目は以下のような感じです。自動で作成されるアプリのデザインをちょっと変更しただけです。
いくつかポイントを説明します。
まず、DLP ポリシーは、以下のように、SharePoint リストから選ぶようにしています (名前で選択させ、GUID は裏で保存しています)。
そして、ボタンを押すと、既存のポリシーを確認できるようにしています。こちらにより、その環境で利用したいコネクタを踏まえ、最適なポリシーの適用も併せて申請することができます。
こちらの仕組み、組織にどのようなDLP ポリシーがあり、どのコネクタが利用できるかを把握できるため、利用者へのガイド等にも利用してもいいかもしれません。ポリシーを変更した際に自動で反映されるため、便利だと思います。
※こちらの仕組みについて、CoE スターターキットの DLP Editor (キャンバスアプリ) を活用しました。最新版だとモデル駆動型アプリとなっているため、以前のバージョンをインストールする必要があります
また、申請にあたって、何か読み物を読ませたい場合は、こんな感じでリンクに飛ばせ、確認したことをチェックする (つまり、何らかの同意をした) ようにしてもいいかもです。
環境払い出し申請フロー
環境払い出し申請がされたら SharePoint リストにデータが蓄積するため、こちらをトリガーに承認ワークフローを回しています。
適宜ステータスを更新しつつ、承認されたら環境の作成、ロールの割り当て、ポリシーの割り当て等を行っています。
こちらのフローも、CoE スターターキット内のフローを参考にしています。
少し癖がある箇所について補足します。
まず、ロールの割り当てについて、以下のような表記になります。
こちらにコネクタの情報ありますが、こちらからは上記のように記載することは推察できず、難しいです。。
[
{
"properties/principal/email": @{outputs('項目の更新')?['body/EnvironmentSystemAdministrator/Email']},
"properties/principal/tenantId": @{outputs('環境を管理者として取得する')?['body/properties/createdBy/tenantId']},
"properties/principal/id": @{outputs('ユーザー_プロフィールの取得_(V2)')?['body/id']},
"properties/principal/type": "User",
"properties/roleDefinition/id": "/providers/Microsoft.BusinessAppPlatform/scopes/admin/environments/@{outputs('環境を管理者として取得する')?['body/name']}/roleDefinitions/EnvironmentAdmin"
}
]
そして、DLP ポリシーの割り当ては以下のような感じです。
Low ポリシーは、以下のように、環境作成時点で適用されるポリシーとなっているため、申請時にこちらを選択した場合は何もしません。
それ以外を選んだ場合は、選んだポリシーへの追加と Low ポリシーからの除外を行っています。
通知等は省いていますが、こちらのフローにより、承認されたら、環境が作成され、事前定義済みのポリシーを割り当てるところまでの処理の自動化が可能です。
まとめ
今回は、Power Platform 環境払い出し申請業務を効率化するアプローチについて紹介しました。Power Platform を利用者に開放するにあたって、特に、有償ライセンスまで開放する場合、利用者からの環境を利用したい、作成したいという申請の対応が必要になるため、一つのアプローチとして参考になれば幸いです。