この記事では、以下のために必要な構成について説明します:
- インバウンド ファイアウォールの構成により、ネットワーク内のサービスに接続するための Power Automate
- アウトバウンド ファイアウォールの構成により、エクスペリエンスを構築および使用するために Power Automate にアクセスする作成者とユーザー。
IP アドレスの構成に関する高レベルの推奨事項
Power Automate クラウド フローが コネクタ を介して外部サービスを呼び出すことができるようにファイアウォールを構成する最も簡単なメカニズムは、Azure サービス タグ を使用することです。 Logic Apps コネクタのプライマリ サービス タグは、Power Platform アウトバウンド IP アドレス で説明されているように、 AzureConnectors です。
IP 範囲の監視
使用しているファイアウォールによっては、IP 範囲を監視して手動で更新する必要はありません。次の表では、ファイアウォールの種類ごとに推奨される追跡方法について説明します。
| ファイアウォール | 追跡の方法 |
|---|---|
| Azure | Azure サービス タグ を使用します。 ネットワーク セキュリティ グループのルールにサービス タグを使用することで、各サービスの IP 範囲を常に監視し、手動で更新する必要がなくなります。 |
| オンプレミス | サービス タグをオンプレミスのファイアウォール と共に使用することで、IP 範囲を監視して手動で更新する必要がなくなります。 サービス タグ検出 API は、各サービス タグに関連付けられた最新の IP アドレス範囲へのアクセスを提供し、変更に対応することができます。 |
構成の詳細
構成の詳細については、次の表のリンクを使用してください。
フローによるサービスの呼び出しを許可する
次の 2 つのセクションでは、Power Automate がネットワーク内のサービスに接続するために必要なネットワーク構成の一覧を示します。 この構成は、ネットワーク上のインバウンドまたはアウトバウンドの IP アドレスを制限する場合にのみ必要です (ファイアウォール経由など)。
サービスへのコネクタ呼び出しを許可する
Power Automate フローはアクションで構成されます。 アクションでは コネクタ アクション と、'HTTP' や 'HTTP + Swagger' などのネイティブ アクションの両方を利用できます。 ネットワークでホストされているサービスを呼び出す コネクタ アクション を有効にするには、AzureConnectors サービス タグからネットワークへのトラフィックを許可します。
サービスへの 'HTTP' および 'HTTP + Swagger' 呼び出しを許可リストに載せる
'HTTP' および 'HTTP + Swagger' アクションを含むアクションで構成されるフローでは、以下の すべて のサービス タグからのトラフィックを許可します:
| サービス タグ | 必須? |
|---|---|
| LogicApps | yes |
| PowerPlatformPlex | yes |
| PowerPlatformInfra | yes |
ネットワーク上のユーザーに Power Automate の使用を許可する
このセクションには、作成者とユーザーに Power Automate 内のビルド エクスペリエンスと使用エクスペリエンスへのアクセスを提供するための情報が含まれています。
Power Automate Web ポータルを使用する
Power Automate Web ポータルは、maker portal とも呼ばれます。
次の表に、Power Automate の接続先となるサービスの一覧を示します。 これらのサービスがネットワーク上でブロックされていないことを確認してください。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| login.microsoft.com login.windows.net login.microsoftonline.com login.live.com secure.aadcdn.microsoftonline-p.com |
https | 認証および承認エンドポイントへのアクセス。 |
| graph.microsoft.com | https | プロファイルの写真などのユーザー情報を取得するために、Microsoft Graph にアクセスします。 |
| *.azure-apim.net | https | コネクタのランタイムにアクセスします。 |
| *.azure-apihub.net | https | コネクタのランタイムにアクセスします。 |
| *.blob.core.windows.net | https | エクスポートされたフローの場所。 |
| *.flow.microsoft.com *.logic.azure.com |
https | Power Automate のサイトににアクセスする。 |
| *.powerautomate.com | https | Power Automate サイトへのアクセス。 |
| *.powerapps.com | https | Power Apps のサイトににアクセスする。 |
| *.azureedge.net | https | Power Automate CDN (コンテンツ配信ネットワーク) へのアクセス。 |
| *.azurefd.net | https | Power Automate CDN (コンテンツ配信ネットワーク) へのアクセス。 |
| *.microsoftcloud.com | https | NPS (net promoter score) へのアクセス。 |
| *.ces.microsoftcloud.com config.centro.core.microsoft admin.microsoft.com petrol.office.microsoft.com oness.microsoft.com |
https | NPS (net promoter score) とアンケートへのアクセス。 |
| config.edge.skype.com | https | Power Automate に対する機能フラグの取得。 |
| res.cdn.office.net | https | アプリで使うストック画像の提供。 |
| webshell.suite.office.com | https | ヘッダーと検索のため、Office にアクセスします。 詳細については、Office 365 の URL と範囲 を参照してください。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス。 |
| go.microsoft.com | https | 更新を確認するための Power Automate へのアクセス。 |
| download.microsoft.com | https | 更新を確認するための Power Automate へのアクセス。 |
| login.partner.microsoftonline.cn | https | デスクトップ用 Power Automate cloud discovery へのアクセス。 |
| s2s.config.skype.com use.config.skype.com config.edge.skype.com |
https | フライトと構成エンドポイントを通じて管理されるプレビュー機能へのアクセス。 |
| s2s.config.ecs.infra.gov.teams.microsoft.us | https | 米国政府機関クラウドのフライト エンドポイントと構成エンドポイントを通じて管理されるプレビュー機能にアクセスします。 |
| *.api.powerplatform.com *.api.powerplatformusercontent.com *.api.bap.microsoft.com *.logic.azure.com |
https | いくつかの Power Platform API へのアクセス。 |
| *.api.gov.powerplatform.microsoft.us *.gov.api.bap.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCCのみ)。 |
| *.api.high.powerplatform.microsoft.us *.high.api.bap.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us *.api.bap.appsplatform.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - DoD のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn *.api.bap.partner.microsoftonline.cn *.logic.azure.cn |
https | 複数の Power Platform API へのアクセス (21Vianet - 中国のみ)。 |
| *.safelink.emails.azure.net | https | Power Automate からのメール内のリンク。 |
ネットワーク上のユーザーに Power Automate モバイル アプリの使用を許可する
次の表に、Power Automate モバイル アプリを使用するときに必要な追加のエンドポイントを示します。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| *.events.data.microsoft.com | https | モバイル アプリからすべての運用リージョンとサポート対象の米国ソブリン クラウドのテレメトリを送信します。 |
| collector.azure.cn | https | モバイル アプリから Mooncake リージョンのテレメトリを送信します。 |
| officeapps.live.com | https | モバイル アプリの認証および承認エンドポイントにアクセスします。 |
ネットワーク上のユーザーが "HTTP 要求の受信時" トリガーの使用を許可する
作成者と管理者が Power Automate サービスを利用できるように、Power Automate Web ポータルを使用する セクションでドメインのリストを許可リストにすることをお勧めします。
When an HTTP request is received トリガーをサポートするためにネットワーク トラフィックを限定的に許可することを検討しているお客様は、ファイアウォールのアウトバウンド構成で次のドメインを許可リストに載せます。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| *.api.powerplatform.com *.logic.azure.com |
https | いくつかの Power Platform API へのアクセス。 |
| *.api.gov.powerplatform.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCCのみ)。 |
| *.api.high.powerplatform.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - DoD のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn *.logic.azure.cn |
https | 複数の Power Platform API へのアクセス (21Vianet - 中国のみ)。 |
ネットワーク上のコンピューター & ユーザーに Power Automate デスクトップ サービスへのアクセスを許可する
次の表に、デスクトップ フローを実行するために必要な、ユーザーのコンピューターからの接続性に関するエンドポイント データ要件を示します。 グローバル エンドポイントとクラウドに対応するエンドポイントを確実に承認する必要があります。
デスクトップ フロー ランタイムのグローバル エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| server.events.data.microsoft.com | https | ヨーロッパ、中近東およびアフリカのクラウド、米国政府機関のクラウド、中国のクラウド以外のユーザーのテレメトリを処理します。 フォールバック テレメトリ エンドポイントとして機能します。 |
| msedgedriver.azureedge.net chromedriver.storage.googleapis.com |
https | デスクトップ フロー WebDriver ダウンローダーにアクセスします。 WebDriver は、ブラウザー (Microsoft Edge と Google Chrome) を自動化するために使用されます。 |
デスクトップ用 Power Automate MSI インストーラーのグローバル エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| aka.ms | https | .NET 8 インストーラーの最新バージョンを確認するために使用されます。 |
| builds.dotnet.microsoft.com | https | コンピュータにインストールされていない場合は、.NET 8 ランタイムをダウンロードします。 |
デスクトップ フロー ランタイムのパブリック エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| ocsp.digicert.com ocsp.msocsp.com mscrl.microsoft.com crl3.digicert.com crl4.digicert.com |
http | パブリック クラウドの CRL サーバーにアクセスします。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| *.servicebus.windows.net | https | TCP を介して Service Bus Relay をリスニングします。 マシンの接続に必要です。 |
| *.gateway.prod.island.powerapps.com | https | マシンの接続に必要です。 |
| emea.events.data.microsoft.com | https | EMEA ユーザーのテレメトリを処理します。 |
| *.api.powerplatform.com | https | いくつかの Power Platform API へのアクセス (デスクトップ フローでのクラウド コネクタの使用に必須)。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションには必須) (GCC にも有効)。 |
注意
公開エンドポイント *.servicebus.windows.net を許可しない場合は、名前空間のリストを個別に許可できます。 名前空間エンドポイントの詳細については、デスクトップ フロー ランタイムに必要な名前空間エンドポイントの許可リスト を参照してください。
ホスト型コンピューターとホスト型コンピューター グループのパブリック エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| go.microsoft.com | https | プロビジョニング中にデスクトップ用 Power Automate インストーラーをダウンロードするために必要です。 |
| enterpriseregistration.windows.net | https | コンピューターを Microsoft Entra に参加させるために必要です。 |
| device.login.microsoftonline.com | https | コンピューターを Microsoft Entra に参加させるために必要です。 |
| login.microsoftonline.com | https | コンピューターを Microsoft Entra に参加させるために必要です。 |
注意
これらのエンドポイントに加えて、デスクトップ フロー ランタイム および デスクトップ MSI インストーラー セクションに一覧表示されているすべてのエンドポイントを構成する必要もあります。
デスクトップ フロー ランタイムの米国政府エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| ocsp.digicert.com crl3.digicert.com crl4.digicert.com |
http | 米国政府機関クラウドの CRL サーバーにアクセスします。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| *.servicebus.usgovcloudapi.net | https | 米国政府のクラウド向けの Service Bus Relay をリッスンします。 マシンの接続に必要です。 |
| *.gateway.gov.island.powerapps.us | https | 米国政府機関クラウド (GCC および GCCH) のコンピューターの接続に必要 |
| *.gateway.gov.island.appsplatform.us | https | 米国政府機関クラウド (DOD) のマシンの接続に必要です。 |
| tb.events.data.microsoft.com | https | 米国政府ユーザーのテレメトリを処理します。 |
| *.api.gov.powerplatform.microsoft.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (US Government - GCC のみ)。 |
| *.api.high.powerplatform.microsoft.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (US Government - GCC High のみ)。 |
| *.api.appsplatform.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (US Government - DoD のみ)。 |
| *.microsoftdynamics.us | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションに必須) (US Government - GCC High のみ)。 |
| *.crm.appsplatform.us | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションに必須) (US Government - DoD のみ)。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションには必須) (パブリック クラウドにも有効)。 |
デスクトップ フロー ランタイムの 21Vianet エンドポイント (中国)
| ドメイン | プロトコル | 用途 |
|---|---|---|
| crl.digicert.cn ocsp.digicert.cn |
http | 21Vianet が運用するクラウドの CRL サーバーにアクセスする。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| apac.events.data.microsoft.com | https | 中国のユーザーのテレメトリを処理します。 |
| *.gateway.mooncake.island.powerapps.cn | https | コンピュータ接続に必要です (21Vianet - 中国のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (21Vianet - 中国のみ)。 |
| *.dynamics.cn | https | Dataverse テーブルへのアクセス (DesktopFlow モジュール機能) (21Vianet - 中国のみ)。 |
| *.api.powerautomate.cn | https | Power Automate へのアクセス (21Vianet - 中国のみ)。 |
その他の IP アドレスの記事
承認メールの送信
承認メールのルーティングの詳細については、Power Automate の承認メール配信に関する情報 を参照してください。
Azure SQL Database
Azure SQL Database の IP アドレスを承認する必要がある場合は、Power Platform アウトバウンド IP アドレス を使用します。