はじめに
みなさんこんにちは、マイクロソフト佐々木です。
Power Platformは、企業のデジタルトランスフォーメーションをサポートする強力なツールであり、適切な環境戦略を採用することで、リスクを最小化しつつ生産性を最大化することが可能です。本記事では、Power Platformの環境戦略に関するベストプラクティスを紹介し、特に大規模なテナントでの展開を効果的に行うためのポイントを解説します。
個々の設定項目は割愛します。あくまで概念ベースでの紹介となります。
参考にした公式リンク
主に以下の公式情報を要約:
留意事項
環境戦略は企業の目的に応じてユニークなものであり、本ブログで紹介するのは独自の解釈を加えつつ、ブログ記事を要約したベストプラクティスとなります。
環境戦略:リスクを最小化しながら生産性を最大化するために必要なこと
Power Platformにおける環境戦略とは、組織がPower Platformを効果的かつ安全に活用するために、環境の設計、管理、ガバナンスを計画的に行う方針や手法を指します。
Power Platformは、アプリケーションの開発、プロセスの自動化、データ分析などを行うためのツール群であり、これらの機能を最大限に活用するためには、適切な環境戦略が不可欠です。
環境戦略におけるポイント、ここだけは抑えましょう!
-
目的別の環境を利用者に提供する
- 既定環境の利用方法を検討する(推奨:最小限の利用)
- 環境ルーティングを利用し、開発者には個別の環境を提供
- 利用者層、目的に合わせて環境を作成し、提供
-
テナント、環境のセキュリティを保護する
- DLP ポリシーを事前定義してそれぞれの環境に適用し、データを保護する
- 最小特権のセキュリティロールを利用者に割り当てる
- マネージド環境をはじめとするセキュリティ機能を活用する
-
エンタープライズ規模の環境戦略をサポートするマネージド環境の機能の活用
- より少ない労力で、より多くの制御、分類での分析を実現できる Power Platform の大規模な管理機能を提供
- 環境ルーティング、環境グループを利用し、既定環境を保護する
Power Platformのセキュリティ・ガバナンスのイメージ
5つのレイヤーで検討が必要です。後述の内容もこれらをイメージしていると理解しやすいと思います。
エンタープライズ規模の環境戦略のベストプラクティス
少し詳細です。
目指すべき姿と個々の検討タスクとしています。順々に説明します。
既定環境を正しく利用する
はい、永遠の課題からです。
こちら課題にされている企業様が多いのではないでしょうか?
既定環境の特徴
- 個人や小規模チームのために利用されることを推奨 → Power Platform 管理者によって適切に管理される
- テナントに必ず存在
- 削除、バックアップ不可
- すべての開発者で既定の環境で開発、活動可能(環境作成者のロールが割り当て)
- 既定環境には Dataverse 容量が割り当てされる(初期値:7GB / 最大:1TB)
- 既定の環境の Dataverse(データベース領域)に保存されるデータがある
既定環境のベストプラクティス
- 個人的な生産性のためにのみ使用され、重要または複雑なアプリケーション/ユースケースがない
- 利用者に既定環境の利用方針を通知する
- 既定環境の名称を適切に変更する(例:個人の開発環境)
- DLP ポリシーなどで制限する必要がある(Office365 コネクタのみ使用可能)
- 多くの人とアプリやフローを共有しない
- アプリやフローが多くのユーザーと共有されるようであれば、実装を検証するための定義されたプロセスが必要であり、より管理され監視された他の環境に移す必要がある
- Dataverse 容量を適切に管理する
【検討事項①】既定環境の利用を制御する方法を検討する
上述のとおり、自由に使えるという側面がありつつ、それが良い意味でも悪い意味でも働く側面があります。
そのため、本番的に稼働するリソースは作られないようにし、常にクリーンな状況を推奨しております。
Power Platform 管理者は、既定の環境を制御する方法を検討し、必要に応じて実装する必要があります。
考えられる検討タスクは下記のようなものが挙げられるかと思います。
| カテゴリ | アクション | 詳細 |
|---|---|---|
| 設定 | DLPポリシーの設定 | コアとなるコネクタ(ブロックできないコネクタ)の解放 |
| 設定 | 全員との共有を制限する | 組織全体への共有を制限する |
| 設定 | 既定の環境の名前を変更する | 環境名を個人用検証環境などに変更する |
| 運用 | 使われていない、孤立したコンポーネントの検出 | CoE Starter Kit をインストール済みの場合は利用する(孤立したオブジェクトのクリーンアップを設定する) |
| 設定/運用 | 利用頻度の高いアプリの特定、運用環境へ移動(ミッションクリティカルなアプリを運用しない) | Power Platform 管理センターもしくは CoE Starter Kit をインストール済みの場合は利用する(広範に共有されているアプリを特定する) |
| 設定/運用 | ソリューションを利用して、既定の環境からアプリケーションを移動する | マネージド環境を利用し、Power Platform パイプラインを設定する |
| 運用 | Dataverse容量の管理 | 既定環境のDataverse容量(初期値:7GB / 最大:1TB)を管理する |
| 運用 | 既定環境のDataverse容量を消費するデータ例: | - 無償版Power Automate Desktop - Microsoft Project - Teams から作成されたクラウドフロー - SharePoint フォーム(既定値) etc... |
【検討事項②】開発者環境を利用し、開発者個別の環境を用意する
マネージド環境の機能となりますが、環境ルーティングを利用することで、新規または既存の開発者に対して、自動的に個人開発環境に作成・誘導することが可能です。
既定環境の利用を回避するという意味では、マイクロソフトが推奨している機能となります。
目的に応じた環境を用意する
このあたりはイメージつく方が多いのではないでしょうか。
環境とは
おさらいですが、
環境とは、アプリ、フロー、 データ、接続、その他リソースを管理するために使用するコンテナです。
EntraIDのセキュリティグループやセキュリティロールを利用(後述)することでユーザーにリソースを使用させるためのアクセス権(認証・認可機能)を付与する側面もあります。
環境種別
ざっくりこんな感じです。
既定環境は上述のとおり、自由に使える(使えてしまう)環境ですので、利用目的に応じて適切に管理された
個別環境や開発者環境の利用が推奨されています。
【検討事項③】環境戦略を検討し、目的別の環境を用意する
図示された左手は検討事項①~②で説明した通りです。既定環境の利用を制御しつつ、開発者環境にルーティングさせましょうの内容となります。
環境を分ける基準は様々ありますが、下記のような基準で作成すると管理上適切かもしれまん。
- リソースやビジネスデータ(エンタープライズアプリ単位)
- アクセス制御
- ALMにおけるステージング(Prod→Test→Production)
- リソースの重要度(複雑さ、アプリの重要度、IT管理の関与)
- データ保護(DLP)
- ビジネスデータ(Dataverse)の保護やリソースの分類
- リソースの共有範囲、利用ユーザー数
- Dataverse容量の管理単位
- 開発者のレベル(ProDev / CitizenDev)
- チームや部署
- 地理的な分類(本社、支店、グローバル)
- 解放する機能単位
等を企業レベルで複合的に検討する
留意事項
環境作成時(開発者環境や試用版環境を除く)に1GB Dataverse容量を消費する点や管理工数を考慮し、原則必要最低限の環境を用意します。
その他、目的別の環境を用意する際の考慮事項
■マネージド環境の機能を利用し、管理コストを最小化する
- 環境ルーティングを利用し、開発者個別の開発者環境の利用を検討する
- 環境が多く存在する場合、環境グループを利用し、一貫したDLPポリシーやルールを一括管理する
- Power Platform Pipelineの機能を利用し、ソリューションのインポート、エクスポートを一元管理する
- 共有制限
■環境の数
- 開発者環境を積極的に利用する一方、開発者環境を作成できるユーザーを制御する
- 必要最低限の共有環境を用意する→プロジェクトや事業単位ごとに環境を分けることが重要であるが、セキュリティと管理工数、実現可能性、コストのバランスから判断
- 特に既定環境での重要なソリューションのアプリ開発を避ける
■環境リクエスト
- 環境へのアクセスや作成をリクエストするプロセスを確立(CoE Starter Kitや管理コネクタの利用を検討
環境のリソースやDataverse容量を管理する
個別の環境を用意したあと、環境にあるリソースや活動を適切に管理する必要があります。
この辺りの手段はここで紹介しきれないほどありますが、あくまで代表的な内容を紹介します。
【検討事項④】リソースと容量を管理する - リソース管理
大前提、すべてのリソースがクラウドに保存されるため、監査から利活用状況の把握まで、管理者が必要とするデータをいくつかの方法で取得可能です。
標準機能としては、Power Platform管理センターで管理者は環境のリソースを管理・監視することが可能です。
CoE Starter kitなどのツールもありますが、徐々にマネージド環境の各種機能がその内容を担っていく可能性があります。
新しい管理センター
Power Platform管理センターは刷新し、より統合的なインターフェースと機能を提供しています(予定を含む)
これらに横断するかたちでマネージド環境の機能が提供されています。
【検討事項④】リソースと容量を管理する - Dataverse容量
環境にDataverseを作成した場合、Dataverseの容量管理も適切におこなう必要があります。
テナントや環境のDataverse利用状況は従来よりPower Platform管理センター上で確認可能です。
一方、事業部負担などのケースで、テナントの容量から個別環境に割り当てをしたいケースをよく耳にしてきました。
こちら待望の機能ですが、Power Platform管理センター上で環境ごとにDataverse容量割り当て、消費状況の確認・管理が可能となっております。
アクセス権(認証・認可)が正しく設定されている
個別環境には、EntraIDのセキュリティグループが設定され(認証、アクセス許可)ており、最小特権の範囲で環境下のリソース・Dataverseテーブルにアクセスできるように設計が必要となります。
【検討事項⑤】環境に対するアクセス権を検討する
上述のとおり、
- 環境へのユーザー アクセスのコントロールはセキュリティグループで制御
- 特権、操作範囲をセキュリティロールで制御
していきます。セキュリティロールは語ると長くなりますが、イメージとしては↓の図を参考にしてください。
データ保護
Power Platformの管理者タスクとして、非常に重要なのが、DLPポリシーの検討および設定となります。
DLPポリシーを定義することで、環境戦略に応じて、コネクタの利用範囲を制御、定義することが可能となります。
【検討事項⑥】環境戦略に応じたDLPポリシーを検討する
DLPポリシーは先人たちがたくさん発信しているので、あくまで環境設定のイメージのみになります。
和集合的に設定していく&厳しいポリシーが採用されていきます。
環境グループとDLPポリシーについて
マネージド環境の機能である環境グループを利用することで環境グループ内でルールを大規模に管理することが可能となります。
Power Automate DesktopアクションのDLPポリシーについて
こちらもマネージド環境の機能でPower Automate Desktopのアクション単位でDLPポリシーを設定することが可能となります。
管理コスト最小化
Power Platformを大規模で展開するうえで重要なのが管理コストを最小化する策を検討することです。
CoE Starter kitや標準機能である管理センター、管理コネクタを活用いただくのも重要ですが、ここで紹介させていただきたいのが、マネージド環境の各種機能です。
【検討事項⑦】マネージド環境の機能の利用を検討する
環境戦略をサポートするマネージド環境の機能の一覧です。
大規模なガバナンスを簡素化および合理化する機能を提供(要プレミアムライセンス)します。
マネージド環境
マネージド環境に各種機能は追加、削除、改変されております。あくまで執筆時点の機能として解釈ください。
参考として、過去の記事となります。
一押しの機能をいくつか紹介していきます。
アドバイザリー
マネージド環境の有効化により環境における推奨事項を自動的に検出し提案する機能です。
- プロアクティブに行動でき、ベスト プラクティスの推奨事項を提示
- 所有者が不在、過去60日間起動されていないPower Appsアプリを表示
- Power Platform テナントの全体的な正常性を向上
共有制限
マネージド環境で活動するユーザー(主に開発者)キャンバス アプリ、フロー、エージェントを共有できる範囲を制限します。既定環境やトレーニング環境、開発者環境など小規模利用を想定した環境において、過度にリソースの共有がされないようにコントロールするために利用します。
おわりに
最後までお付き合いいただきありがとうございました。
ベストプラクティスを要約し独自の解釈を加えて共有させていただきました。
環境戦略は企業の目的ごとに検討し、最適な方法を選択いただくことが重要となりますので、あくまで検討の一助になれば幸いです。