Power Platform は、個人データ と 顧客データ の両方を処理します。 個人データと顧客データの詳細については、Microsoft トラスト センター を参照してください。
データ所在地
Microsoft Entra テナントは、組織とそのセキュリティに関連する情報を保存します。 Microsoft Entra テナントが Power Platform サービスにサインアップする際、テナントが選択した国または地域が、Power Platform展開が存在する最適な Azure 地域にマッピングされます。 組織が複数の地域にサービスを展開しない場合、Power Platform は、テナントの割り当てられた Azure 地域 (home geo) に顧客データを保存します。
一部の組織はグローバルに存在しています。 たとえば、企業が米国に本社を置いているが、オーストラリアで事業を行っている場合があります。 現地の規制に準拠するために、特定の Power Platform データをオーストラリアに保存する必要があるかもしれません。 Power Platform サービスが複数の Azure 地域に展開される場合、multi-geo展開と呼ばれます。 この場合、環境関連のメタデータのみがホーム ジオに保存されます。 その環境のすべてのメタデータと製品データは、リモート ジオに保存されます。
Power Platform サービスは、特定の Azure 地域で使用できます。 Power Platform サービスが使用できる場所、回復性のためにデータを格納および複製する場所、およびその使用方法の詳細については、Microsoft トラスト センター を参照してください。 顧客の保存データの場所に関するコミットメントは、Microsoft オンライン サービス条件 のデータ処理条件で指定されています。 Microsoft は、政府機関にもデータセンターを提供しています。
データの処理
このセクションでは、Power Platform で顧客データを保存、処理、および転送する方法の概要を説明します。
保存データ
ドキュメントに特に明記されていない限り、顧客データは元のソースのままです (たとえば、Dataverse または SharePoint)。 Power Platform アプリは、環境の一部として Azure Storage に保存されます。 モバイル アプリ データは、暗号化されて SQL Express に保存されます。 ほとんどの場合、アプリは Azure Storage を使用して Power Platform サービス データを、Azure SQL Database を使用してサービス メタデータを永続化します。 アプリ ユーザーが入力したデータは、サービス (Dataverse など) のそれぞれのデータ ソースに保存されます。
Power Platform では、すべての永続データは、既定で Microsoft ソフトが管理するキーを使用して暗号化されます。 Azure SQL Database に保存された顧客データは、Azure SQL の Transparent Data Encryption (TDE) テクノロジーを用いて完全に暗号化されます。 Azure Blob ストレージに格納されている顧客データは、Azure Storage Encryption を使用して暗号化されます。
処理中のデータ
インタラクティブなシナリオの一部として使用中、またはリフレッシュなどのバックグラウンド プロセスがこのデータに触れている場合、データは処理中です。 Power Platform は、処理中のデータを 1 つ以上のサービス ワークロードのメモリ空間にロードします。 ワークロードの機能を容易にするために、メモリに保存されているデータは暗号化されません。
転送中のデータ
Power Platform では、すべての着信 HTTP トラフィックを TLS1.2 以降を使用して暗号化します。 TLS1.1 以下を使用しようとする要求は拒否されます。
高度なセキュリティ機能
Power Platform の一部の高度なセキュリティ機能には、特定のライセンス要件がある場合があります。
サービス タグ
サービス タグは、特定の Azure サービスからの IP アドレスの接頭辞のグループです。 サービスタグを使用して、Network Security Groups や Azure Firewall でネットワークアクセス制御を定義することができます。
サービス タブは、ネットワークのセキュリティ ルールを頻繁に更新するわずらわしさを最小限に抑えるのに役立ちます。 たとえば、対応するサービスのトラフィックを許可または拒否するセキュリティ ルールを作成するときに、特定の IP アドレスの代わりにサービス タグを使用できます。
Microsoft は、サービス タグのアドレスの接頭辞を管理し、アドレスの変更に応じて自動的に更新します。 詳細については、Azure の IP 範囲とサービス タグ - パブリック クラウドを参照してください。
データ ポリシー
Power Platform には、データ セキュリティの管理に役立つ広範な データ ポリシー機能 が含まれています。
ストレージ共有アクセス署名 (SAS) IP制限
注意
これらの SAS 機能のいずれかをアクティブ化する前に、顧客はまず https://*.api.powerplatformusercontent.com ドメインへのアクセスを許可する必要があります。そうしないと、ほとんどの SAS 機能が動作しません。
この機能セットは、Storage Shared Access Signature (SAS) トークンを制限するテナント固有の機能であり、Power Platform 管理センター のメニューから制御されます。 この設定では、IP (IPv4 および IPv6) に基づいて、エンタープライズ SAS トークンを使用できるユーザーを制限します。
これらの設定は、管理センターにある環境の プライバシー + セキュリティ 設定にあります。 IP アドレス ベースの Storage Shared Access Signature (SAS) ルールを有効にする オプションをオンにする必要があります。
管理者は、この設定に対して次の 4 つのオプションのいずれかを選択できます。
| 回答内容 | 設定 | プロパティ |
|---|---|---|
| 6 | IP バインドのみ | これにより、SAS キーが要求者の IP に制限されます。 |
| 2 | IP ファイアウォールのみ | これにより、SAS キーの使用が管理者が指定した範囲内でのみ機能するように制限されます。 |
| 3 | IP バインドとファイアウォール | これにより、SAS キーの使用が管理者が指定した範囲内と要求者の IP に対してのみ機能するように制限されます。 |
| 4 | IP バインドまたはファイアウォール | 指定した範囲内で SAS キーを使用できるようにします。 範囲外からリクエストがあった場合は、IP バインディングが適用されます。 |
注意
IP ファイアウォール (上記の表にリストされているオプション 2、3、および 4) を許可することを選択した管理者は、ユーザーの適切なカバレッジを確保するために、ネットワークの IPv4 と IPv6 の範囲の 両方 を入力する必要があります。
警告
オプション 1 と 3 は IP バインドを使用しますが、顧客がネットワーク内で IP プール、リバース プロキシ、またはネットワーク アドレス変換 (NAT) 対応のゲートウェイを使用している場合は正しく機能しません。 この結果、ユーザーの IP アドレスが頻繁に変更され、リクエスターが SAS の読み取り/書き込み操作間で同じ IP を確実に持つことができなくなります。
オプション 2 と 4 は意図したとおりに機能します。
有効にすると IP バインドを適用する製品:
- Dataverse
- Power Automate
- カスタム コネクタ
- Power Apps
ユーザー体験への影響
環境の IP アドレス制限を満たさないユーザーがアプリを開くと: ユーザーには、一般的な IP の問題を指摘するエラー メッセージが表示されます。
IP アドレス制限を満たしているユーザーがアプリ を開くと、次のイベントが発生します。
- IP 設定が設定されたことをユーザーに知らせ、詳細については管理者に問い合わせるか、接続が失われたページを更新するように求めるバナーがすぐに消える場合があります。
- さらに重要なことに、このセキュリティ設定が使用する IP 検証により、一部の機能のパフォーマンスは、オフにした場合よりも低下する可能性があります。
プログラムによる設定の更新
管理者は自動化を使用して、IP バインドとファイアウォールの両方の設定、許可リストに登録されている IP 範囲、および ログ の切り替えを、設定および更新できます。 チュートリアル: 環境管理設定の作成、更新、一覧表示 を参照してください。
SAS 呼び出しのログ記録
この設定により、Power Platform 内のすべての SAS 呼び出しが Purview にログに記録されます。 このログには、すべての作成および使用イベントに関連するメタデータが表示され、上記の SAS IP 制限とは独立して有効にすることができます。 Power Platform 現在、サービスは 2024 年に SAS コールをオンボーディングしています。
| フィールド名 | フィールドの説明 |
|---|---|
| response.status_message | イベントが成功したかどうかを通知します: SASSuccess または SASAuthorizationError。 |
| response.status_code | イベントが成功したかどうかを通知します: 200、401、または 500。 |
| ip_binding_mode | テナント管理者によって設定された IP バインディング モード (オンになっている場合)。 SAS 作成イベントにのみ適用されます。 |
| admin_provided_ip_ranges | テナント管理者によって設定された IP 範囲 (存在する場合)。 SAS 作成イベントにのみ適用されます。 |
| computed_ip_filters | IP バインド モードとテナント管理者によって設定された範囲に基づいて SAS URI にバインドされた IP フィルターの最終セット。SAS 作成イベントと使用イベントの両方に適用されます。 |
| analytics.resource.sas.uri | アクセスまたは作成を試みていたデータ。 |
| enduser.ip_address | コーラーのパブリック IP。 |
| analytics.resource.sas.operation_id | 作成イベントからの一意識別子。 これを使用して検索すると、作成イベントからの SAS 呼び出しに関連するすべての使用イベントと作成イベントが表示されます。 “x-ms-sas-operation-id” 応答ヘッダーにマッピング済み。 |
| request.service_request_id | 要求または応答からの一意識別子であり、単一のレコードを検索するために使用できます。 “x-ms-service-request-id” 応答ヘッダーにマッピング済み。 |
| バージョン | このログ スキーマのバージョン。 |
| 型 | 汎用応答。 |
| analytics.activity.name | このイベントのアクティビティの種類: 作成または使用。 |
| analytics.activity.id | Purview におけるレコードの一意 ID です。 |
| analytics.resource.organization.id | 組織 ID |
| analytics.resource.environment.id | 環境 ID |
| analytics.resource.tenant.id | テナント ID |
| enduser.id | 作成イベントからの作成者の Microsoft Entra ID からの GUID。 |
| enduser.principal_name | 作成者の UPN/メール アドレス。 使用状況イベントの場合、これは汎用応答です: "system@powerplatform"。 |
| enduser.role | 汎用応答: 作成イベントの場合は Regular、使用イベントの場合は System です。 |
Purview 監査ログを有効にします
ログを Purview インスタンスに表示するには、まず、ログが必要な環境ごとにオプトインする必要があります。 この設定は、Power Platform 管理センターでテナント管理者によって更新できます。
- Power Platform 管理センター に移動し、テナント管理者の資格情報を使用してサインインします。
- 左側のナビゲーション ウィンドウで、環境を選択します。
- 管理ログを有効にする環境を選択します。
- コマンド バーで、設定 を選択します。
- 製品>プライバシーとセキュリティ を選択します。
- ストレージ Shared Access Signature (SAS) セキュリティ設定 (プレビュー) で、Purview で SAS ログを有効にする 機能をオンにします。
監査ログの検索
テナント管理者は、Purview を使用して、SAS 操作に対して出力された監査ログを表示し、IP 検証の問題で返される可能性のあるエラーを自己診断できます。 Purview ログは最も信頼性の高いソリューションです。
次の手順を使用して、問題を診断したり、テナント内の SAS の使用パターンをよりよく理解したりします。
環境に対して監査ログが有効になっていることを確認します。 Purview 監査ログの有効化を参照してください。
Microsoft Purview コンプライアンス ポータル に移動し、テナント管理者の資格情報でログインします。
左側のナビゲーション ウィンドウで、監査を選択します。 このオプションを使用できない場合は、ログインしているユーザーに監査ログをクエリするための管理者アクセス権がないことを意味します。
データと UTC の時間範囲を選択してログを検索します。 たとえば、403 Forbidden エラーと unauthorized_caller エラー コードが返された場合などです。
活動 - フレンドリ名 ドロップダウン リストから、Power Platform ストレージ 操作 検索し、作成された SAS URI および使用された SAS URI を選択します。
キーワード検索でキーワードを指定します。 このフィールドの詳細については、Purview ドキュメントの 検索の開始方法 を参照してください。 シナリオに応じて、上記の表で説明した任意のフィールドの値を使用できますが、検索に推奨されるフィールドを次に示します (優先順)。
- x-ms-service-request-id 応答ヘッダーの値。 これにより、ヘッダーの要求の種類に応じて、結果を 1 つの SAS URI 作成イベントまたは 1 つの SAS URI 使用イベントにフィルター処理します。 これは、ユーザーに返された 403 Forbidden エラーを調査するときに役立ちます。 また、powerplatform.analytics.resource.sas.operation_id 値を取得するためにも使用できます。
- x-ms-sas-operation-id 応答ヘッダーの値。 これにより、アクセスされた回数に応じて、結果を 1 つの SAS URI 作成イベントと、その SAS URI の 1 つ以上の使用状況イベントにフィルター処理します。 これは powerplatform.analytics.resource.sas.operation_id フィールドにマッピングされます。
- SAS URI の全部または一部から署名を除いたもの。 同じ URI の生成を必要に応じて何度でも要求する可能性があるため、これにより、多数の SAS URI 作成と多数の SAS URI 使用イベントが返される可能性があります。
- 通話者の IP アドレス。 その IP のすべての作成イベントと使用イベントを返します。
- 環境 ID。 これにより、Power Platform のさまざまなオファリングにまたがる大規模なデータ セットが返される可能性があるため、可能であれば回避するか、検索ウィンドウを絞り込むことを検討してください。
警告
ユーザー プリンシパル名またはオブジェクト ID の検索は、使用状況イベントではなく作成イベントにのみ反映されるため、お勧めしません。
検索 を選択し、結果が表示されるのを待ちます。
警告
Purview へのログ インジェストは最大 1 時間以上遅延する可能性があるため、最近のイベントを検索するときはその点に注意してください。
403 Forbidden/unauthorized_caller エラーのトラブルシューティング
作成ログと使用状況ログを使用して、呼び出しが 403 Forbidden エラーと unauthorized_caller エラー コードになる理由を特定できます。
- 前のセクションで説明したように、Purview でログを検索します。 応答ヘッダーの x-ms-service-request-id または x-ms-sas-operation-id を検索キーワードとして使用することを検討してください。
- 使用状況イベント Used SAS URI を開き、 PropertyCollection で powerplatform.analytics.resource.sas.computed_ip_filters フィールドを探します。 この IP 範囲は、SAS 呼び出しが要求の続行が許可されているかどうかを判別するために使用するものです。
- この値をログの IP アドレス フィールドと比較すれば、要求が失敗した理由が十分に判断できます。
- powerplatform.analytics.resource.sas.computed_ip_filters の値が正しくないと思われる場合は、次の手順に進みます。
- x-ms-sas-operation-id応答ヘッダー値 (または作成ログの値 powerplatform.analytics.resource.sas.operation_id フィールド) を使用して検索し、作成イベント Created SAS URI を開きます。
- powerplatform.analytics.resource.sas.ip_binding_mode フィールドの値を取得します。 存在しないか空の場合は、その特定の要求の時点でその環境で IP バインドが有効になっていなかったことを意味します。
- powerplatform.analytics.resource.sas.admin_provided_ip_ranges フィールドの値を取得します。 存在しないか空の場合は、その特定の要求の時点でその環境に対して IP ファイアウォール範囲が指定されていなかったことを意味します。
- 使用状況イベントと同じである必要があり、IP バインド モードと管理者が指定した IP ファイアウォール範囲に基づいて派生する powerplatform.analytics.resource.sas.computed_ip_filtersの値を取得します。 導出ロジックについては Power Platform のデータ ストレージ およびガバナンスを参照してください。
この情報は、テナント管理者が環境の IP バインド設定の構成ミスを修正するのに役立ちます。
警告
SAS IP バインドの環境設定の変更は、有効になるまでに少なくとも 30 分かかる場合があります。 パートナー チームが独自のキャッシュを持っている場合は、さらに多くなる可能性があります。
関連記事
セキュリティの概要
Power Platform サービスに認証する
データソースへの接続と認証
Power Platform のセキュリティに関するよくある質問