Power Automate のセキュリティを管理する
Power Automate のセキュリティを管理するためには、Power Platform のコンポーネントの基盤となるデータプラットフォームである Microsoft Dataverse のセキュリティ概念や用語を理解することが重要です。 Microsoft Dataverse は、セキュリティ ロール、チーム、部署を使用して、権限と行レベルのアクセス制御を使用してテーブル、フィールド、レコードへのアクセスを制御する強力なセキュリティ モデルを持っています。 詳細については、Dataverse セキュリティ ロールと特権 を参照してください。
この記事では、Power Automate デスクトップ フローで使用できる組み込みのセキュリティ ロールについて説明します。
注意
Dataverse データと構成は環境ベースです。 環境を使用することで、データ、セキュリティ設定、カスタマイズ、およびリソースを部門、プロジェクト、データ レジデンシーおよびデータ プライバシー要件、または組織ごとに分離できます。 たとえば、営業チーム用に 1 つの環境、マーケティング チーム用に別の環境、顧客サービス チーム用に 3 番目の環境を用意できます。 これにより、リソースとデータへのアクセスを詳細なレベルで制御でき、各チームが必要なリソースのみにアクセスできるようになります。
Dataverse アクセスの前提条件
環境にアクセスするには、ユーザーが次の基準を満たしている必要があります。
- Microsoft Entra ID でのサインインが有効である。
- Microsoft Power Platform または Dynamics 365 認定サービス プランのある有効なライセンスを持っている。
- 環境の Microsoft Entra グループのメンバーになる (環境に関連付けられている場合)。
- 少なくとも 1 つの Dataverse セキュリティ ロールを直接、またはメンバーであるグループ チームに割り当てる。
Dataverse に接続できない場合は、このトラブルシューティング ページで 一般的なユーザー アクセスの問題 を確認してください。
Dataverse セキュリティに関連した機能
Dataverse の主要なセキュリティ設定に関連するコンポーネントとして、以下のものがあります。
- セキュリティ ロール: セキュリティ ロール は、Dataverse 内のリソースに対してユーザーまたはチームが持つアクセス レベルを定義する特権のコレクションです。 セキュリティ ロールは、Dataverse のテーブル、列、およびその他のリソースへのアクセスを制御するために使用されます。
- 部署: 部署は、Dataverse 内のユーザー、チーム、およびその他のリソースの論理的なコンテナーです。 部署は、セキュリティ境界を定義し、Dataverse 内のリソースへのアクセスを制御するために使用されます。
- チーム: チームは Dataverse 内のユーザーのグループで、共通の権限セットを共有します。 Teams は、セキュリティ管理を簡素化し、Dataverse のリソースへのアクセスを制御するために使用されます。
- ユーザー: ユーザーは、Dataverse にアクセスできる個人です。 ユーザーにはセキュリティ ロールが割り当てられ、1 つ以上の部署のメンバーになります。
- 特権: 特権は、Dataverse 内のテーブル、列、およびその他のリソースへのアクセスを制御する権限です。 特権は、Dataverse 内の特定のリソースに対してユーザーまたはチームが持つアクセスのレベルを定義するために使用されます。
- アクセス レベル: アクセス レベルとは、ユーザーまたはチームが Dataverse の特定のリソースにアクセスするレベルを定義する権限の組み合わせです。 アクセス レベルは、セキュリティ管理を簡素化し、Dataverse のリソースへのアクセスを制御するために使用されます。
- 共有: 共有とは、Dataverse 内の行または他のリソースへのアクセスを別のユーザーまたはチームに許可するプロセスです。 共有は、Dataverse のリソースへの一時的または特別なアクセスを提供するために使用されます。
- レコード レベルのセキュリティ: レコード レベルのセキュリティは、Dataverse 内の個々の行 (レコード) へのアクセスを制御するプロセスです。 レコード レベルのセキュリティを使用して、ユーザーが表示または変更を許可されている行のみにアクセスできるようにします。
- フィールド レベルのセキュリティ: フィールド レベルのセキュリティは、Dataverse 内の個々の列へのアクセスを制御するプロセスです。 フィールド レベルのセキュリティは、ユーザーがアクセスを許可されたカラムのみを表示または変更できるようにするために使用されます。
全体として、これらの概念と用語は、Dataverse でセキュリティ モデルを定義するために使用され、きめ細かく柔軟な方法でリソースへのアクセスを制御するために使用されます。 これらの概念と用語を理解することで、Dataverse のセキュリティをより適切に管理し、ユーザーがリソースに適切なレベルでアクセスできるようにすることができます。
Dataverse の特権
次の表に、特定の各テーブル権限の詳細を示します。
| 権限 | 内容 |
|---|---|
| 作成 | 新しい行を作成するために必要です。 作成できる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
| 読み取り | 行を開いて内容を表示するために必要です。 読み取ることができる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
| 書き込み | 行を変更するために必要です。 変更できる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
| Delete | 行を完全に削除するために必要です。 削除できる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
| 追加 | 現在の行を別の行に関連付けるために必要です。 たとえば、ユーザーが注に対する追加権限を持っている場合、営業案件に注を追加することができます。 追加できる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 多対多の関係がある場合は、関連付けまたは関連付け解除の対象となる両方のテーブルに対する追加権限を持っている必要があります。 |
| 追加先 | 行を現在の行に関連付けるために必要です。 たとえば、ユーザーが営業案件に対する追加権限を持っている場合、そのユーザーは営業案件に注を追加することができます。 追加できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
| 割り当て | 行の所有権を別のユーザーに与えるために必要です。 割り当てることができる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
| 共有 | 自分のアクセス権を保持したまま、行へのアクセス権を別のユーザーに与えるために必要です。 共有できる行は、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
特定の権限ごとに、アクセス レベルを定義できるドロップダウン メニューがあります。 アクセス レベルによって、ユーザーが組織内で指定された特権を実行できる組織の事業単位階層の深さまたは高さが決まります。
次の表では、テーブルでのアクセスのレベルを、ユーザーに最も多くのアクセスが与えられるレベルから順に示します。 組織が所有するテーブル、その他の権限、およびプライバシー関連の権限には、組織 または なし の種類のみです。
| 型 | 内容 |
|---|---|
| 組織全体 | このアクセス レベルでは、ユーザーは、環境やユーザーが属する部署階層レベルに関係なく、組織のすべての行にアクセスできます。 組織のアクセス権を持つユーザーには、他の種類のアクセス権も自動的に付与されます。 このアクセス レベルでは、組織全体の情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に合わせて制限する必要があります。 通常、このアクセス レベルは、組織に対する権限を持つ管理者のために予約されています。 |
| 親: 下位の部署 | このアクセス レベルでは、ユーザーは自分のビジネス ユニットとその下のすべてのビジネス ユニットの行にアクセスできます。 このアクセス レベルを持つユーザーは、自動的に部署とユーザーへのアクセス権を持ちます。 このアクセス レベルでは、事業単位と従属事業単位全体の情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に合わせて制限する必要があります。 通常、このアクセス レベルは、事業単位に対する権限を持つ管理者のために予約されています。 |
| 部署 | このアクセス レベルでは、ユーザーは、ユーザーの事業単位の行にアクセスできます。 部署アクセス権を持つユーザーは、自動的にユーザーのアクセス権も持つようになります。 このアクセス レベルでは、事業単位全体の情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に合わせて制限する必要があります。 通常、このアクセス レベルは、事業単位に対する権限を持つ管理者のために予約されています。 |
| ユーザー | このアクセス レベルでは、ユーザーは、自分が所有している行、組織と共有されているオブジェクト、ユーザーと共有されているオブジェクト、およびそのユーザーが所属するチームが共有されているオブジェクトへのアクセス許可を与えられます。 通常は、営業やサービスの担当者に対して使用されます。 |
| なし | アクセスは許可されません。 |
特権とそのアクセス レベルを組み合わせてセキュリティロールを作成し、Dataverse のリソースへのアクセスを制御するために使用されます。 Dataverse 内のリソースへのアクセス レベルを定義するために、セキュリティ ロールがユーザーとチームに割り当てられます。
たとえば、デスクトップ フローの作成、読み取り、および更新をユーザーに許可するが、削除は許可しないセキュリティ ロール を作成できます。 ユーザーが Dataverse のすべてのテーブルとフィールドにアクセスできるようにする セキュリティ ロールや、チームが所有するテーブルとフィールドのみにアクセスできるようにする セキュリティ ロール を作成することもできます。
全体的に、特権は Dataverse におけるセキュリティ モデルの重要な構成要素であり、リソースへのアクセスをきめ細かく柔軟に制御するために使用されます。
注意
デスクトップ フローを実行するには、次の最小限の権限が必要です。
flowsessionテーブルの Basic Append、AppendTo、Create および Write 権限。workflowbinaryテーブルの Basic Append、AppendTo、Create および Write 権限。workflowテーブルの Basic Read 権限。desktopflowbinaryテーブルの Basic Read 権限。
Power Automate 特定のセキュリティ ロール
Power Automate では、以下の既成のセキュリティ ロールを使用できます。
環境作成者
Dataverse の環境作成者ロールは組み込みの セキュリティ ロールであり、ユーザーは環境に関連付けられたリソースを作成および管理できます。 これには、アプリ、接続、カスタム API、ゲートウェイ、クラウド フロー、およびデスクトップ フローが含まれますが、ユーザーが目的の製品分野の適切なライセンスを持っている場合に限ります。
デスクトップ フロー コンピューター構成管理者
このロールは通常、VM イメージと仮想ネットワークを管理する CoE または IT 管理者に割り当てられます。 このロールを持つユーザーには、ホストされたマシンのシナリオで使用される VM イメージと VNet 固有のテーブルに対する完全な特権があります。 特に、このロールを持つユーザーは、自分の環境で作成されたホスト マシン シナリオに使用する VM イメージ、イメージ バージョン、共有/非共有 VM イメージを追加することができます。
デスクトップ フロー コンピューター所有者
この役割により、ユーザーは、マシンおよびマシン グループの作成、編集、共有、削除など、所有するマシンとマシン グループを管理できます。
デスクトップ フロー コンピューター ユーザー
この役割では、ユーザーはデスクトップ フローを実行できますが、コンピューターを構成することはできません。 CoE は、環境内の他のユーザーにこのロールを割り当てることができます。これにより、ユーザーは、CoE によって作成および共有されたマシンを使用できますが、編集または共有することはできません。
デスクトップ フロー コンピューター ユーザー共有可能
このロールは、デスクトップ フロー マシン ユーザー ユーザーは、自分と共有されているマシンを共有できます。
デスクトップ フロー ランタイム アプリケーション ユーザー
このロールは、Power Automate クラウドサービスが Dataverse 環境と対話する際に使用されます。
デスクトップ フロー コンピューター アプリケーション ユーザー
このロールは、Power Automate クラウドサービスが Dataverse 環境と対話する際に使用されます。
注意
デスクトップ フロー ランタイム アプリケーション ユーザーとデスクトップ フロー マシン アプリケーション ユーザーの役割は、Dataverse 環境と対話するときに Power Automate クラウド サービスによって使用されます。 これらの役割の権限と構成を変更すると、デスクトップ フロー機能が壊れる可能性があります。