はじめに
皆さん、こんにちは。
本日はPower Platformの管理機能である、マネージド環境の機能・ベネフィットについてご紹介します。
以前より提供していた機能(正しくは環境の種別)ですが、プレビュー機能も含めて、パワーアップしているので、このタイミングでご紹介とさせていただきます。
マネージド環境は日々進化しているので、機能のアップデート&リタイアがございます。
あくまで執筆時点の情報として参考ください。
マネージド環境とは
マネージド環境とは、エンタープライズレベルのガバナンスを実現するため管理機能群の総称(正しくはそれらを提供している環境の種別)です。以下のような特徴がございます。
- Power Platform の強化されたガバナンス機能を提供する新しい環境の種別
- ローコード開発をエンタープライズスケールでの活用を可能にするガバナンスの機能群をカスタムではなく標準サポート機能として提供
- Power Platform の各環境単位でマネージド環境の有効化の設定により利用可能
- Power Apps・Power Automate のスタンドアロンライセンスにより提供がされる
- マネージド環境内のすべてのアプリ、フロー、ボット、サイトといったリソースにアクセスするためのスタンドアロンのライセンスが必要
マネージド環境を利用するメリットや目的は下記のようなものが挙げられます。
- Power Platform環境のリソースを効率的に把握できる
- 全社利用に耐えうる環境戦略を実現できる
- 開発者にALMのガードレールを提供
- 更なるのセキュリティ機能
and more...
このように、エンタープライズレベルのセキュリティ・ガバナンスを簡単に実現することが可能となります。
これまで、管理を効率化、リソースを見える化するツールとしては、マイクロソフトから無償で提供させていただいているCoE Starter kitが筆頭となっておりますが、徐々にマネージド環境側に機能が集約され、標準機能として提供されています。
マネージド環境には、標準で様々な機能が提供されているため、本記事ではそれらの機能を網羅的にご紹介したいと思います(Learnのマネージド環境の機能一覧に記されていないプレビュー機能等もご紹介いたします。)
マネージド環境を有効化するには
まずはじめに、マネージド環境の有効化についてご案内します。
Power Platform管理センターで有効化する場合、[Power Platform管理センター]-[環境]より該当の環境を選択し、マネージド環境を有効にするを選択してください
※環境の管理モードとは別ですので、ご注意ください
また、PowerShellを通じて設定することも可能です。詳しくはLearnの情報を参照ください。
マネージド環境の各機能について
さて、ここからはマネージド環境の主要機能についてご紹介していきます。マネージド環境はいくつかのカテゴリに分かれます。
そのため、これらのカテゴリごとに機能を紹介していきたいと思います。
| カテゴリ | 機能 |
|---|---|
| 可視性の向上 | 使用状況のインサイト |
| ライセンスレポート | |
| DLPポリシービュー | |
| Azure Application Insightsへのデータ出力 | |
| AIによるアプリの説明自動生成 | |
| 更なる制御 | 共有制限 |
| Power Automate for desktop 向けDLPポリシー | |
| ソリューションチェッカー | |
| 開発者へのウェルカムコンテンツ | |
| IP Firewall | |
| IP Cookie binding | |
| Customer Managed Keys | |
| Customer Lockbox | |
| バックアップの延長 | |
| データの長期保持 | |
| 少ない労力 | ライセンス割り当ての簡易化 |
| Power Platform Pipelines | |
| アドバイザー | |
| カタログ | |
| 環境ルーティング | |
| 環境グループとルール |
可視性の向上
使用状況のインサイト
週次のダイジェストメールをPower Platformの管理者向けに配信し、管理者はマネージド環境の各リソースの状況を確認することができます。メールを受け取るユーザーはPower Platform管理者および任意で設定したユーザーとなります。
-
過去 1 か月のアクティブな アプリ/フロー/ユーザー
-
しばらく起動されていないアプリとフロー
-
過去1か月間で人気のアプリやフロー
【利用メリット】
・環境のリソースを最適な状態に維持することが可能
・Power Platformの管理者はアクティブで人気なアプリを特定し、専用環境にエクスポートが可能
・不要なリソースを削除することができる
また、こちらの機能はマネージド環境毎にダイジェストメールの対象にするか否かを設定することが可能となります。
ライセンスレポート
こちらの機能そのものはマネージド環境でなくても利用可能なのですが、マネージド環境で活動するユーザーごとにスタンドアロンライセンスが必要な点やのちほどご紹介するライセンス関連の機能と少し関連があるので、ここで紹介します。
Power Platformの管理者は管理センターより、[請求] - [ライセンス]より、組織のライセンスの使用状況を監視し、ライセンスに問題がある可能性のある環境を特定することが可能です。
ここではテナント内のPower Platformのライセンスの数量や割り当て状況について確認することが可能です。
また、インテリジェントレコメンデーションのタブでは、組織においてPower Apps スタンドアロンライセンスを持つことで組織内の誰がメリットを受けるかを測定し、レコメンデーションをする機能もございます。
【利用メリット】
・Power Platform管理センター内でPower Platformのライセンスの利用状況を確認し、割り当てアクションを実施できる
・スタンドアロンライセンスを必要としているユーザーを特定することができる
DLPポリシービュー
マネージド環境に適用されているすべてのデータ ポリシーを確認することができます。
通常のDLPポリシーの設定の場合、環境ごとに適用されているポリシーの一覧を確認することはできませんが、マネージド環境の場合、環境ごとに適用されているポリシーを確認することが可能となります。
【利用メリット】
・作成したDLPポリシーが適切に環境に適応されているか確認ができる
Azure Application Insightsへのデータ出力
環境にDataverseがあり、マネージド環境に設定されている場合、
Azure Monitor の機能である Application Insights内にデータをエクスポートすることで、
Dataverseで取得されたエラーとパフォーマンスに関連する問題の診断とトラブルシューティングに使用できる情報を取得することが可能となります。
【利用メリット】
・Application InsightsにDataverseからデータを簡単にエクスポートし、Dataverseに関連するパフォーマンスを確認することができる
AIによるアプリの説明自動生成
マネージド環境下にあるアプリを公開する際に、Copilotが自動的にアプリの内容を生成する機能です。
【利用メリット】
・開発者によるアプリの説明漏れを防止することができる
・開発者が1からアプリの説明を記載する必要がなくなる
以上が、可視性の向上に関連するマネージド環境の機能でした。
より多くの制御
ここからは2つめのカテゴリである、より多くの制御についての機能をご紹介していきます。
共有制限
マネージド環境では、管理者がキャンバス アプリを共有できる範囲を制限することができます。
セキュリティグループとの共有を制限したり、ユーザー単位で共有する場合の上限人数を設定することができます。例えば、開発環境やテスト環境など環境の特性上であまり広範囲に利用させたくない事情がある場合に共有制限の機能を利用して、上限値を設定することが可能となります。
【利用メリット】
・環境戦略に則って、特定の環境以外でアプリが広く利用されることを防止できる
・管理者がレビューしていないアプリが全社向けに共有されることを防止できる
Power Automate for desktop 向けDLPポリシー(デスクトップフローアクション)
Power Automate for desktop(PAD)のデータ損失防止 (DLP) ポリシーはマネージド環境下でのみ有効となります。既定では、新しい DLP ポリシーを作成するときに、デスクトップ フロー アクションは表示されないため、DLP ポリシーにデスクトップ フロー アクションを表示する 設定をオンにする必要があります。
デスクトップ フロー アクションを表示する 設定を有効にすると、DLPポリシーの作成画面でデスクトップ フロー アクションが表示されます。
Power Automate for desktop 向けDLPポリシー(デスクトップフローアクション)はマネージド環境下でのみ有効となるため、より細かい制御が必要となる場合に、こちらの設定が必要となります。
【利用メリット】
・Power Automate for desktopにおいて、アクション単位でより細かい制御が可能となる
ソリューションチェッカーの強制
ソリューションチェッカー自体はマネージド環境でなくても利用可能ですが、ソリューションをインポートするタイミングでソリューションチェッカーを強制にすることができます。
そうすることで、マネージド環境にインポートされるソリューションを静的分析し、問題を特定して通知またはインポートをブロックし、環境下に適切でないソリューションのインポートを防止することができます。
ソリューション チェッカーの強制には3つのレベルがあり、なし→警告→ブロックの順に厳しくなります。
警告とブロックはどちらもインポート時にソリューションをチェックすることは同一ですが、警告の場合、問題が見つかった場合でもソリューションのインポートをブロックしません。
また、ベストプラクティスを元にルールと推奨アクションが定義されています。管理者は環境の要件に合わせてガードレールを設定します。環境ごとに、特定のルールを除外することも可能です。詳しくはLearnをご確認ください。
【利用メリット】
・ソリューションチェッカーを強制実行することで、ベストプラクティスに基づいていないソリューションを発見・ブロックすることができる
開発者へのウェルカムコンテンツ
作成者(開発者)が初めて Power Apps にアクセスした際、環境の用途に合わせたオンボーディング メッセージを表示することができる機能です。
【利用メリット】
・Power Platformのオンボーディングサイトなどに開発者を誘導することができる
IP Firewall
Dataverse へのユーザー アクセスを許可した IP の範囲からに制限し、組織のデータを保護することができる機能です。
※Power Platform全体等はEntra IDの条件付きアクセスで従来よりサポート
Dataverse にリクエストがあった場合、リクエストの IP アドレスは Power Platform のマネージド環境に設定された IP の範囲とリアルタイムで評価されます。
IP アドレスが許可された範囲内にある場合、リクエストは許可されます。
一方で、IP アドレスが環境に対して構成された IP 範囲外にある場合、IP ファイアウォールはエラー メッセージを表示してリクエストを拒否します。
Power Platform 管理センターにて、対象のマネージド環境を選択後、[設定]>[製品]>[プライバシーとセキュリティ]にて、設定することが可能です。
【利用メリット】
・許可していない IP の場所(例えば社外ネットワーク等)から Dataverse のデータを利用しようとする悪意のあるユーザーをリアルタイムでブロックすることが可能
・環境毎に設定する事が可能なため、テナント全体に影響を与えず柔軟な対応可能
IP Cookie binding
こちらの機能もDataverse 不正アクセスをブロックする機能となります。
IP アドレス ベースの Cookie バインドにより、Dataverse におけるセッションを第三者が盗むことによる不正アクセスを防止する機能です。
悪意のあるユーザーが、Cookie の IP バインドが有効になっている承認済みのコンピューターから有効なセッション Cookie をコピーしたとします。
その後、ユーザーは別のコンピューターで Cookie を使用して、Dataverse への不正アクセスを試みます。 Dataverse は、リアルタイムで Cookie の発信元の IP アドレスを、要求を行ったコンピューターの IP アドレスと比較します。 2 つが異なる場合、試行はブロックされ、エラー メッセージが表示されます。
Power Platform 管理センターにて、対象のマネージド環境を選択後、[設定]>[製品]>[プライバシーとセキュリティ]にて、設定することが可能です。
Customer Managed Keys
Power Platform に保存されているすべてのデータは、既定で Microsoft が管理する強力な暗号化キーを使用して保存時に暗号化されています。
一方で、暗号化キーを自己管理し、Dataverseの重要なデータを保護する目的でこの顧客管理の暗号化キー (CMK) を提供しています。
Azureで作成したエンタープライズポリシーを選択し、マネージド環境を追加することで、機密情報を含むデータを独自のキーで暗号化し、暗号化キーを持たないユーザーのアクセスを制限する機能です。
【利用メリット】
・データの暗号化キーを自社で管理できるため、セキュリティコントロール(企業のガバナンス基準や規制遵守の要件に対応しやすくなる)が向上
・データアクセスをより厳しく制御し、データプライバシーを高いレベルで保つことが可能
Customer Lockbox
Microsoft が顧客情報にアクセスして調査する必要がある場合にアクセス要求の通知/承認の一連のワークフローを提供する機能です。
通常は顧客データに直接アクセスすることはありませんが、顧客データへのデータ アクセスが必要な場合に、顧客がデータ アクセス要求を確認および承認 (または拒否) するインターフェースを提供します。
Microsoftは、トラブルシューティングに顧客データへのアクセスが必要な場合、顧客データにアクセスするための内部承認プロセスをトリガーし、
管理者より承認が得られた場合に、マネージド環境にアクセスが可能となります。
要求一覧はPower Platform管理センターの[Customerロックボックス]より一覧で確認可能です。
【利用メリット】
・Microsoftのカスタマーサポートが顧客データへのデータ アクセスが必要な場合に、承認フローを回すことができる
バックアップの延長
サービスの可用性を目的としたバックアップの期間を延長することができる機能です。
マネージド環境はバックアップ保持期間を既定の 7 日間から 14、21、28 日に延長可能となります。
※Dynamics 365 アプリケーションがある場合は通常28日間となります。
https://learn.microsoft.com/ja-jp/power-platform/admin/backup-restore-environments
【利用メリット】
・Dynamics 365 アプリケーションが有効化されていない環境においても、最大28日間のバックアップ保持期間によってサービス可用性が向上
データの長期保持
Dataverse テーブルにアーカイブ ポリシーを設定し、コスト効率の良い方法データを安全に長期保存する機能です。
アイテム保持ポリシーを設定し、Dataverseテーブルごとにアーカイブする条件を設定します。フィルター条件を定義したポリシーに基づき、データを自動アーカイブします。
(例えば、作成日>5年 & レビュー状況 = 完了)
アーカイブされたすべてのレコードはコールド状態で格納がされ、Dataverseの消費容量を約50%程度節約することが可能となります。
節約された容量は、Power Platform管理センターの容量レポートより確認が可能です。
※テーブル名に「-Retained」という接尾辞が付いた保持データが反映される
【利用メリット】
・コンプライアンス、監査、法的証拠開示のために保持する必要があるデータをDataverseの容量を節約した状態で長期保管することができる
・従来あったCSVでの定期出力等によるデータの拡散リスクを低減させることが可能
少ない労力
それではここからは最後のカテゴリである少ない労力に関連する機能について紹介していきます。
Power Apps ライセンスの自動請求ポリシー
ここでは、Power Apps ライセンスの自動請求ポリシー機能について紹介します。
この機能は、管理者が従来の方法でユーザーやグループ単位にライセンスを割り当てしていた方法に代わって、
スタンドアロンの Power Apps ライセンスを持たないユーザがマネージド環境内でアプリを起動した場合、そのユーザにはスタンドアロンライセンスが自動割り当てされる機能です。
また、マネージド環境とは直接関係はございませんが、ライセンス要求の機能についても紹介します。
ライセンスの自動請求は、Power Apps ライセンスを持たないユーザがマネージド環境内でアプリを起動した場合、そのユーザにはスタンドアロンライセンスが自動割り当てされる機能ですが、アプリ利用者からライセンス要求のリクエストをして、管理者が承認/却下をしてライセンスの割り当てを判断する機能もございます。
【利用のメリット】
・ライセンス割り当てのコストが削減
・アプリ利用者からのライセンス要求のリクエストに都度応じる必要がなくなる
Power Platform Pipline
開発、テスト、本番へのリリースサイクルを自動化するパイプラインを設定する機能となります。ソリューションのバージョン管理や、リリース時の承認機能なども提供しています。
ソリューションをソース環境 (通常は 開発環境) からターゲット環境 (テスト/本番環境) に移動するためのカスタマイズ可能なデプロイ機能となります。
管理者は自動化された展開パイプラインを数分で簡単に構成することができ、
開発者は数回のクリックで開発環境からソリューションの展開が可能となります。
アップデートによって、個人の開発環境からインポート アクセス権のある他のターゲット環境への個人用パイプラインを作成することも可能となりました。
【利用のメリット】
・健全なALM環境を簡単に構築することが可能
・すべての管理者、開発者にとってより親しみやすい方法でALM 自動化、CI/CD を導入して、Power Platform ユーザー向けに ALM を普及
Power Platform Advisor
こちらもPower Platformの管理者がマネージド環境内のリソースを分析できる機能となります。Power Platform管理センターの[アドバイザー]タブよりアクセス可能となります。
- オーナーが不在のアプリ
- 60日間使用されていないアプリ
- 頻繁に利用されているがソリューションに含まれていないアプリ
- 組織の全員に共有されているアプリ
など、あまり適切ではない状況のリソースを特定することが可能となっています。
そして、それぞれのインサイトはアクションにつなげることが可能です。例えば、60日間使用されていないアプリなどは、隔離(アプリを利用不可にする)、削除など後続のアクションを選択することが可能となります。
【利用メリット】
・環境のリソースを最適な状態に維持することが可能
・マネージド環境下のリソースの状態を可視化し、すぐにアクションにつなげることができる
アプリカタログ
組織内で再利用可能なアプリやフロー、部品をカタログとして展開することができます。そのため、開発者はすぐにカタログに存在するリソースを利用可能となります。
(登録可能なリソース例:キャンバスアプリ、モデル駆動型アプリ、フロー、カスタムコネクタ、PCF、カスタムコントロール)
【利用メリット】
・効果の高いアプリをより手軽に横展開をすることができ、より広い範囲で改善効果の享受が可能
・ユーザー教育への活用や、活用可能なデータの認知向上にも利用可能
環境ルーティング
新規開発者がPower Appsに初回アクセス時、自動的に専用の個別開発者環境を作成し、ユーザーを誘導するルーティング機能です。既定環境(Default環境)でのアプリ乱立を低減し、健全なALMを醸成するのに役立つ機能となります。
SharePointで開発者が作業するのではなく、個人のOnedriveを用意して作業させる考え方と同様になります。
また、環境ルーティングで作成された環境はすべてマネージド環境として管理されます。
Power Platform管理センターのテナント設定より環境ルーティングの設定が可能となります。対象ユーザーをセキュリティグループで設定可能となるため、環境ルーティングの範囲も自由に設定することができます。
【利用メリット】
・既定環境(Default環境)にリソースを乱立させることなく、個人の開発環境にルーティングが可能
・テナントのDataverseの容量を消費せず、他者に影響を与えない独自の環境である開発環境を利用できる
環境グループ
環境の論理的なグループ化機能であり、マネージド環境を追加し、同一の環境ルールを設定することができる機能です。環境グループに対し、共通のガバナンスポリシーを適用することで、管理コストを低減することができます。
これまでマネージド環境の設定を個々環境ごとにしてきましたが、環境グループを利用することで一括で共通のポリシーを設定することができます。
また、この環境グループの機能は、環境ルーティングと併せて利用することを想定しております。
つまり、ユーザーがPower Appsに初回アクセス時、専用開発環境を指定のグループにプロビジョニングされると同時に環境ルールで設定したガバナンスルールを自動的に適用することができます。
【利用メリット】
・マネージド環境をグルーピングすることで増加する環境の管理効率を向上
・環境ルーティングと併せて利用することで環境展開と同時にガバナンスルールを自動的に適用
まとめ
いかがだったでしょうか?Power Platformのマネージド環境には、エンタープライズレベルのガバナンスを簡単に実現する機能を多く提供していることがお分かりいただけたかと思います。
マネージド環境自体、スタンドアロンライセンスがユーザーに必要となりますが、エンタープライズレベルのガバナンスを実現するために必要不可欠な機能が多くございますので、ぜひ利用を検討してみてください。