承認されたユーザーのみがテナント全体のアイテムの機密データにアクセスできることを確認します。
IP ファイアウォール
Microsoft Power Platformの IP ファイアウォール機能は、Dataverse を使用するマネージド環境にのみ適用されるセキュリティ制御です。 Power Platform 環境へのインバウンド トラフィックを制御することで、重要なセキュリティ レイヤーを提供します。 管理者は、この機能を使用して、IP ベースのアクセス制御を定義および適用できます。 この方法により、許可された IP アドレスのみが Power Platform 環境にアクセスできることを保証できます。 IP ファイア ウォールを使用することで、企業は不正アクセスやデータ漏洩に関連するリスクを軽減し、Power Platform 展開の全体的なセキュリティを強化することができます。 詳細については、 Power Platform 環境での IP ファイアウォールに関するページを参照してください。
テナント分離
Power Platform 管理者は、テナントの分離を使用して、Microsoft Entra承認されたデータ ソースからテナントとの間のテナント データの移動を管理できます。 詳細については、 テナント間の受信と送信の制限に関するページを参照してください。
IP アドレスベースの Cookie バインド
IP アドレス ベースの Cookie バインド機能は、Dataverse のマネージド環境にのみ適用されます。 IP アドレス ベースの Cookie バインドを通じて、Dataverse におけるセッション ハイジャックの悪用を防ぎます。 詳細については、 IP Cookie バインディングを使用した Dataverse セッションの保護に関するページを参照してください。
環境セキュリティ グループ
セキュリティ グループを使用して、環境にアクセスできるライセンスユーザーを制御できます。 詳細については、「 セキュリティ グループとライセンスを使用して環境へのユーザー アクセスを制御する」を参照してください。
共有を管理する
この管理共有機能はマネージド環境にのみ適用されます。 共有を使用することで、管理者は作成者が共有できる内容や、共有先となる他の個人ユーザーやセキュリティ グループを制御できます。 作成者が共有する可能性がある内容の例としては、キャンバス アプリ、クラウド フロー、エージェントなどがあります。 この機能により、機密情報は承認されたユーザーのみが使用できるようになります。 したがって、データ侵害や誤用のリスクを軽減できます。 詳細については、「共有の 制限」を参照してください。
アプリのアクセス制御 (プレビュー)
アプリのアクセス制御機能は、マネージド環境のみに適用されます。 これは各環境で許可されるアプリとブロックされるアプリを制御し、データの流出を防ぎます。 詳細については、「 環境内で許可されるアプリを制御する」を参照してください。
ゲスト アクセス
Power Platform エコシステムでデータのセキュリティとコンプライアンスを確保するには、過剰な共有のリスクを最小限に抑えます。 そのため、Dataverse に基づくすべての新しい環境では、Dataverse データへのゲスト アクセスが既定で禁止されています。 ただし、ビジネス ユース ケースで必要な場合は、環境内の Dataverse データへのゲスト アクセスを許可できます。 既存の環境で Dataverse のゲスト アクセスをさかのぼってオフ (制限) することもできます。 この場合、ゲストが以前アクセスできたリソースへの接続をブロックします。 詳細については、「 Microsoft Power Platform 環境でのゲスト アクセスの制御」を参照してください。
管理者特権 (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、追加使用条件の対象であり、公式リリース前にお客様が早期にアクセスし、フィードバックを提供できるよう利用可能になっています。
管理者権限機能はマネージド環境のみに適用されます。 Microsoft Entra IDおよびMicrosoft Power Platformで高い特権を持つ管理者ロールを持つユーザーの数を制限することで、テナントのセキュリティ スコアを向上させることができます。 この機能を使用して、これらの特権ロールを持つユーザーを確認し、ユーザー一覧を確認し、特権アクセス権を持たなくなったユーザーを削除します。 詳細については、「 Power Platform 管理センターの概要」を参照してください。
管理者権限を持つユーザー
テナントに管理者特権を持つユーザーが多数いる場合、管理者特権 ウィンドウは、プロアクティブな推奨事項を提供します。 推奨事項を開くと、多くのユーザーがシステム管理者セキュリティ ロールを持っている環境の一覧を表示できます。 (現在、一覧には、20 を超えるユーザーがそのロールを持っている環境が表示されています。) 一覧にある任意の環境で、システム管理者 列のリンクを選択して セキュリティ ロール ページを開きます。 そこで、システム管理者 セキュリティ ロールを選択し、メンバーシップ を選択して メンバーシップ ページを開くことができます。 このページには、ロールが割り当てられているユーザーの一覧が表示されます。 ロールから削除するユーザーを一度に 1 人ずつ選択できます。
メモ
特権管理者ロールから他のユーザーを削除できるのは、適切なアクセス許可を持つユーザーだけです。 詳細については、「 タスク別の最小特権ロール - Microsoft Entra ID」を参照してください。
既知の問題
この機能に関する次の既知の問題に注意してください。
- セキュリティ ロールの メンバーシップ ページには、既定の部署のセキュリティ ロールのみが表示されます。 すべての部署のすべてのセキュリティ ロールを一覧表示するには、親セキュリティ ロールのみを表示する オプションをオフにします。
- システム管理者ロールからユーザーを削除した後、更新された管理者数がページに反映されるまで約 24 時間かかります。
エージェントの認証 (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、追加使用条件の対象であり、公式リリース前にお客様が早期にアクセスし、フィードバックを提供できるよう利用可能になっています。
この機能を使用すると、管理者は環境内のすべてのエージェント操作の認証を設定できます。 管理者は、次のオプションから選択できます。
- Microsoft による認証または手動認証: Microsoft Entra ID を使用して認証を強制するか 、手動で認証します。 このオプションは、作成者が認証なしでエージェントを作成または使用するのを防ぐのに役立ちます。
- 認証なし: 匿名アクセスを許可します。
Copilot Studio の認証オプションの詳細については、「Copilot Studio でユーザー認証を構成する」を参照してください。
エージェントの認証機能は、既存の仮想コネクタの最新化されたフレームワークであり、Microsoft Entra ID のないチャットです。 これは、環境レベルの構成と規則を通じてスケーリングするのに役立ちます。 Power Platform 管理センターのセキュリティ領域で仮想コネクタとエージェントの認証設定の両方を使用する場合は、実行時に許可されるように、両方の場所でアクセスを許可する必要があります。 いずれかの場所で匿名アクセスをブロックすると、最も制限の厳しい動作が適用され、実行時にアクセスがブロックされます。 たとえば、次の表の情報を考えてみましょう。
| 仮想コネクタでのアクセス | Power Platform 管理センターの [エージェントの認証 ] 設定でのアクセス | 実行時の強制 |
|---|---|---|
| Blocked | Blocked | Blocked |
| 許可 | Blocked | Blocked |
| Blocked | 許可 | Blocked |
| 許可 | 許可 | 許可 |
すべてのお客様は、グループとルールの機能を活用するために、Power Platform 管理センターの [エージェントの認証 ] 設定を使用することをお勧めします。
エージェント アクセス チャネル (プレビュー)
[このセクションはプレリリース ドキュメントであり、変更されることがあります。]
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、追加使用条件の対象であり、公式リリース前にお客様が早期にアクセスし、フィードバックを提供できるよう利用可能になっています。
この機能を使用すると、管理者はエージェントを公開する場所を制御できるため、顧客は複数のプラットフォーム間で連携できます。 管理者は、Microsoft Teams、Direct Line、Facebook、Dynamics 365 for Customer Service、SharePoint、WhatsApp など、複数の使用可能なチャネルから選択できます。
エージェント アクセス チャネル機能は、既存の仮想コネクタの最新化されたフレームワークです。 これは、環境レベルの構成と規則を通じてスケーリングするのに役立ちます。 Power Platform 管理センターのセキュリティ領域で仮想コネクタとエージェント アクセス チャネルの両方の設定を使用する場合は、両方の場所でアクセスを許可する必要があります。 いずれかの場所でチャネル アクセスをブロックすると、最も制限の厳しい動作が適用され、アクセスがブロックされます。 たとえば、次の表の情報を考えてみましょう。
| 仮想コネクタでのアクセス | Power Platform 管理センターの エージェント アクセス チャネル 設定でのアクセス | ランタイムでの実行制御 |
|---|---|---|
| Blocked | Blocked | Blocked |
| 許可 | Blocked | Blocked |
| Blocked | 許可 | Blocked |
| 許可 | 許可 | 許可 |
すべてのお客様は、グループとルールの機能を活用するために、Power Platform 管理センターの エージェント アクセス チャネル 設定の使用に移行することをお勧めします。