Power Platform の仮想ネットワーク サポートを設定する

Power Platform に対する Azure 仮想ネットワークのサポートにより、Power Platform と Dataverse コンポーネントを、パブリック インターネットに公開することなく、プライベート エンタープライズ ネットワーク内でホストされているクラウド サービスまたはサービスと統合できます。 この記事では、Power Platform 環境で仮想ネットワークのサポートを設定する方法について説明します。

前提条件

• Power Platform リソースを確認する: アプリ、フロー、プラグイン コードを確認して、それらが仮想ネットワーク経由で接続されていることを確認します。 パブリック インターネット経由でエンドポイントを呼び出さないでください。 コンポーネントがパブリック エンドポイントに接続する必要がある場合は、ファイアウォールまたはネットワーク構成でこのような呼び出しが許可されていることを確認します。 詳細については、「 Power Platform 環境の仮想ネットワークサポートを有効にする際の考慮事項 」および 「よく寄せられる質問」を参照してください。

• テナントを準備し、アクセス許可を設定します。

  • Azure サブスクリプション: 仮想ネットワーク、サブネット、エンタープライズ ポリシー リソースが作成される Azure サブスクリプションがあることを確認します。
  • ロールの割り当て: リソースとエンタープライズ ポリシーを作成するために必要なロールがあることを確認します。
    • Azure portal で、ネットワーク 共同作成者 ロールや同等のカスタム ロールなど、Azure ネットワーク管理者ロールを割り当てます。
    • Microsoft Entra 管理センターで、Power Platform 管理者ロールを割り当てます。

• PowerShell の使用を準備する:

  • Windows PowerShell を使用するか、 PowerShell Core をインストールします。
  • GitHub リポジトリを複製して、 エンタープライズ ポリシー用の PowerShell スクリプトを取得します。
  • "モジュールのインストールとサブスクリプションのセットアップ" スクリプトを実行します。

次の図は、Power Platform 環境での仮想ネットワーク サポートのセットアップ プロセスにおけるロールの機能を示しています。

Virtual Network のサポートを設定する

1. 仮想ネットワークとサブネットの設定。
2. 企業ポリシーの作成。
3. Power Platform 環境を構成する。

仮想ネットワークとサブネットの設定

1. Azure リージョンに関連付けられた Power Platform 環境の 仮想ネットワーク を作成します。 たとえば、Power Platform 環境リージョンが米国の場合は、仮想ネットワークを Eastus リージョンと westus Azure リージョンに作成する必要があります。 環境リージョンから Azure リージョンへのマッピングについては、サポートされているリージョンの一覧を確認してください。

   重要

   • 米国の eastus と westus など、geo に対してサポートされているリージョンが 2 つ以上ある場合は、ビジネス継続性とディザスター リカバリーまたはフェールオーバーシナリオのエンタープライズ ポリシーを作成するために 、異なる リージョンの 2 つの仮想ネットワークが必要です。
   • 作成するサブネットが、Power Platform 環境のサブネット サイズの見積もりに従って適切なサイズになっていることを確認してください。

   必要に応じて、 既存の仮想ネットワークを再利用できます。 複数の エンタープライズ ポリシーでサブネットを再利用することはできません。

2. 各仮想ネットワークにサブネットを作成します。 環境の負荷を考慮して、各サブネットに割り当てる IP 亜土レうsの数を見直してください。 両方のサブネットに、使用可能な IP アドレスの数が同じである必要があります。

   重要

   • 複数の Power Platform 環境で同じ委任されたサブネットを使用する予定の場合は、/24 より大きな IP アドレス ブロックが必要になる場合があります。 Power Platform 環境のサブネット サイズの見積もりで、サブネットのサイズ設定に関するガイダンスを確認します。
   • Power Platform コンポーネントにパブリック インターネット アクセスを許可するには、サブネットに Azure NAT ゲートウェイ を作成します。

3. SetupSubscriptionForPowerPlatform.ps1 スクリプトを実行して、Azure サブスクリプションが Microsoft.PowerPlatform リソース プロバイダーに登録されていることを確認します。

4. サブネットにリソースが接続されていないことを確認します。 サブネットごとに SetupVnetForSubnetDelegation.ps1 スクリプト を実行して、各サブネットを Microsoft.PowerPlatform/enterprisePolicies に委任します。 PowerShell を使用しない場合は、Azure portal で仮想ネットワークを作成するときに、サービス Microsoft.PowerPlatform/enterprisePolicies にサブネットを委任できます。

   詳細については、サブネットの委任を追加または削除するを参照してください。

5. ペアの仮想ネットワークを作成したら、次の図に示すように、Azure リソース グループでそれらを表示できます。

   

企業ポリシーを作成する

オプション 1: Azure ARM テンプレートを使用する

1. 作成した仮想ネットワークから、次の情報などの必要な詳細がキャプチャされていることを確認します。

   • VnetOneSubnetName
   • VnetOneResourceId
   • VnetTwoSubnetName
   • VnetTwoResourceId

2. Azure portal でカスタム テンプレートをデプロイします。 [エディター] リンクで [独自のテンプレートを作成する] を選択し、次の JSON スクリプトをコピーして貼り付けます。

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "policyName": {
               "type": "string",
               "metadata": {
                   "description": "The name of the Enterprise Policy."
               }
           },
           "powerplatformEnvironmentRegion": {
               "type": "string",
               "metadata": {
                   "description": "Geo of the PowerPlatform environment."
               }
           },
           "vNetOneSubnetName": {
               "type": "string"
           },
           "vNetOneResourceId": {
               "type": "string",
         			"metadata": {
                   "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
               }
           },
           "vNetTwoSubnetName": {
               "defaultValue": "",
               "type": "string"
           },
           "vNetTwoResourceId": {
               "defaultValue": "",
               "type": "string",
         			"metadata": {
                   "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
               }
           }
       },
       "variables": {
           "vNetOne": {
               "id": "[parameters('vNetOneResourceId')]",
               "subnet": {
                   "name": "[parameters('vNetOneSubnetName')]"
               }
           },
           "vNetTwo": {
               "id": "[parameters('vNetTwoResourceId')]",
               "subnet": {
                   "name": "[parameters('vNetTwoSubnetName')]"
               }
           },
           "vNetTwoSupplied": "[and(not(empty(parameters('vNetTwoSubnetName'))), not(empty(parameters('vNetTwoResourceId'))))]"
       },
       "resources": [
           {
               "type": "Microsoft.PowerPlatform/enterprisePolicies",
               "apiVersion": "2020-10-30-preview",
               "name": "[parameters('policyName')]",
               "___location": "[parameters('powerplatformEnvironmentRegion')]",
               "kind": "NetworkInjection",
               "properties": {
                   "networkInjection": {
                       "virtualNetworks": "[if(variables('vNetTwoSupplied'), concat(array(variables('vNetOne')), array(variables('vNetTwo'))), array(variables('vNetOne')))]"
                   }
               }
           }
       ]
   }
   

3. テンプレートを保存し、詳細を入力してエンタープライズ ポリシーを作成します。これには、次の情報が含まれます。

   • ポリシー名: Power Platform 管理センターに表示されるエンタープライズ ポリシーの名前。
   • 場所: Dataverse 環境のリージョンに対応するエンタープライズ ポリシーの場所を選択します。
     • アメリカ合衆国
     • southafrica
     • イギリス
     • 日本
     • インド
     • フランス
     • ヨーロッパ
     • ドイツ
     • スイス
     • カナダ
     • ブラジル
     • オーストラリア
     • アジア
     • uae
     • 韓国
     • ノルウェー
     • シンガポール
     • スウェーデン
   • VnetOneSubnetName: 最初の仮想ネットワークのサブネットの名前を入力します。
   • VnetOneResourceId: 最初の仮想ネットワークのリソース ID を入力します。
   • VnetTwoSubnetName: 2 番目の仮想ネットワークのサブネットの名前を入力します。
   • VnetTwoResourceId: 2 番目の仮想ネットワークのリソース ID を入力します。 Json スクリプトの文字列と一致する必要があります (例: vNetOneResourceId、vNetOneSubnetName)。

4. [ 確認と作成 ] を選択して、エンタープライズ ポリシーを完成させます。

   

オプション 2: PowerShell を使用する

1. 委任した仮想ネットワークとサブネットを使用して、CreateSubnetInjectionEnterprisePolicy.ps1 スクリプトを実行します。 2 つ以上のリージョンをサポートする geo には、異なるリージョンに 2 つの仮想ネットワークが必要であることに注意してください。

   重要

   仮想ネットワークまたはサブネットを削除する場合、または InUseSubnetCannotBeDeleted や SubnetMissingRequiredDelegation のようなエラーが表示される場合、エンタープライズ ポリシーが存在する場合は削除する必要があります。 エンタープライズ ポリシーは、次のコマンドで削除できます。

   Remove-AzResource -ResourceId $policyArmId -Force
   

   ARM リソース ID のさまざまな PowerShell スクリプトを使用してエンタープライズ ポリシーを取得できます。

2. Power Platform 管理者ロールを持つユーザーに、エンタープライズ ポリシーの読み取りアクセス権を付与します。

Power Platform 環境を構成する

前提条件

次の手順では、環境をエンタープライズ ポリシーに割り当てます。 環境は、エンタープライズ ポリシーを割り当てるための マネージド環境 である必要があります。

オプション 1: Power Platform 管理センターを使用する

1. Power Platform 管理センター にサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. [ セキュリティ ] ウィンドウで、[ データとプライバシー] を選択します。
4. [ データ保護とプライバシー ] ページで、[ Azure Virtual Network ポリシー] を選択します。 [仮想ネットワーク ポリシー] ウィンドウが表示されます。
5. エンタープライズ ポリシーに割り当てる環境を選択し、ポリシーを選択して 、[保存] を選択します。 これで、エンタープライズ ポリシーが環境にリンクされます。

オプション 2: PowerShell を使用する

1. NewSubnetInjection.ps1 スクリプトを実行して、エンタープライズ ポリシーを環境に適用します。
2. 環境からエンタープライズ ポリシーを削除する場合は、 RevertSubnetInjection.ps1 スクリプトを実行できます。

接続を検証する

ベスト プラクティス

要件に従ってサブネット サイズを選択してください。 サブネットが Power Platform に委任された後、後でサブネット範囲を変更する必要がある場合は、Microsoft サポートに更新されたサブネットの変更を反映させる必要があります。

関連するコンテンツ

• Microsoft.PowerPlatform/enterprisePolicies ARM テンプレートで企業ポリシーを展開します。
• クイックスタート: Azure ポータルを使用して仮想ネットワークを作成します
• プラグインを使用してビジネス プロセスを拡張する
• 仮想ネットワークに関する問題のトラブルシューティング