こんにちは。日本マイクロソフトの向井です。
今回はPower Platform でセキュリティグループを使用できる場面についてまとめたいと思います。
セキュリティグループと似た単語としてセキュリティロールがありますが、これらは全く別のものです。
セキュリティロールについての説明は以下の記事が参考になります。
Power Platformのセキュリティロールについて
セキュリティグループとは
セキュリティグループは、Power Platform 固有のものではなく、Microsoft のテナント内で共通で使用できるグループの一種で、リソースへのアクセス許可に使用されます。
そのため、作成や管理はMicrosoft 365 管理センターで行います。
その他のグループとの比較は以下をご確認ください。
Microsoft 365 のグループの種類を比較する
Power Platform 内でセキュリティグループを使用する場面
Power Platform でセキュリティグループを使用するのは主に以下の場面です。
①環境への設定
②アプリ等の共有に使用
③チームへの紐づけ
①環境への設定
Power Platform の各環境にはそれぞれ1つのセキュリティグループを設定できます。
環境にセキュリティグループを設定すると、そのセキュリティグループ外のユーザーの環境へのアクセスを制限します。
セキュリティグループ外のユーザーを環境に追加しようとすると、以下のように追加ができません。
環境にセキュリティグループを設定しない場合は、すべてのユーザーを環境に追加することができます。
セキュリティーグループ外のユーザーが直リンク等で環境にアクセスしようとすると、以下のように表示されアクセスできません。
環境に設定されているセキュリティグループはPower Platform 管理センターから確認できます。
②アプリ等の共有に使用
キャンバスアプリ、フロー、コネクタ、接続の共有にセキュリティグループを使用することができます。
環境に設定したセキュリティグループ以外のセキュリティグループも共有の候補として選択できますが、実際は環境に設定したセキュリティグループ外のユーザーはアプリを使用することはできません。
アプリを実行しようとすると以下のメッセージが表示されます。
③チームへの紐づけ
Power Platform にはチームという概念があります。
チームは大きく分けて、所有者チーム、アクセスチーム、Azure AD グループチームがあります。
(引用:Dataverse グループチームの活用方法&注意点)
このうち、Azure AD グループチームは、セキュリティグループまたはOffice グループと連携させることができます。
Azure AD は Azure Entra Identity に名称が変更されました。
これらは同じものを指します。
各チームの差異やチームの作成方法は表の引用元の記事に書かれていますので、こちらでは割愛し、要点だけをまとめておきたいと思います。
・Power Platform にはチームという概念があり、Azure AD グループチームはセキュリティグループに連動できる
・作成したAzure AD グループチームにセキュリティーロールを紐づけることで、グループチーム内のユーザーにそのセキュリティーロールを継承させることができる
留意事項 親子関係(入れ子)のセキュリティグループについて
環境にセキュリティグループを設定する際は、子のセキュリティグループ内のメンバーは環境には追加されません。
それに対して、グループチームにセキュリティグループを紐づける方法では、子のセキュリティグループのメンバーもグループチームに追加されます。
まとめ
セキュリティグループは、①環境への設定、②アプリ等の共有、③チームへの紐づけに使用することができます。
チームへの紐づけに利用すると、部署単位などのメンバーにセキュリティロールを一括で割り当て、管理することができ非常に便利です。組織のガバナンス管理にお役立てください。