この記事では、次の項目に必要な構成について説明します。
- インバウンド ファイアウォールの構成により、ネットワーク内のサービスに接続するための Power Automate
- アウトバウンド ファイアウォールの構成により、作成者とユーザーが Power Automate にアクセスし、エクスペリエンスを構築して使用することができます。
この記事の構成の詳細については、次の表のリンクを使用してください。
フローによるサービスの呼び出しを許可する
次の 2 つのセクションは、ネットワークのサービスに接続するために Power Automateに必要なネットワーク構成の一覧を示します。 この構成は、ネットワーク上のインバウンドまたはアウトバウンドの IP アドレスを制限する場合にのみ必要です (ファイアウォール経由など)。
サービスへのコネクタ呼び出しを許可する
Power Automate フローは複数のアクションで構成されます。 アクションでは コネクタ アクション と、'HTTP' や 'HTTP + Swagger' などのネイティブ アクションの両方を利用できます。 ネットワークでホストされているサービスを呼び出す コネクタ アクション を有効にするには、AzureConnectors サービス タグからネットワークへのトラフィックを許可します。
サービスへの「HTTP」および「HTTP + Swagger」呼び出しを許可リストに登録する
「HTTP」および「HTTP + Swagger」アクションを含むアクションで構成されるフローでは、以下のすべてのサービスタグからのトラフィックを許可します:
| サービス タグ | 必須? |
|---|---|
| LogicApps | yes |
| PowerPlatformPlex | yes |
ネットワーク上のユーザーが Power Automate を使用できるように設定する
このセクションには、作成者とユーザーに Power Automate 内のビルド エクスペリエンスと使用エクスペリエンスへのアクセスを提供するための情報が含まれています。
Power Automate Web ポータルを使用する
Power Automate Web ポータル、Maker Portal とも呼ばれます。
次の表に、Power Automate の接続先となるサービスの一覧を示します。 これらのサービスがネットワーク上でブロックされていないことを確認してください。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| login.microsoft.com login.windows.net login.microsoftonline.com login.live.com secure.aadcdn.microsoftonline-p.com |
https | 認証および承認エンドポイントへのアクセス。 |
| graph.microsoft.com | https | プロファイルの写真などのユーザー情報を取得するために、Microsoft Graph にアクセスします。 |
| *.azure-apim.net | https | コネクタのランタイムにアクセスします。 |
| *.azure-apihub.net | https | コネクタのランタイムにアクセスします。 |
| *.blob.core.windows.net | https | エクスポートされたフローの場所。 |
| *.flow.microsoft.com *.logic.azure.com |
https | Power Automate のサイトににアクセスする。 |
| *.powerautomate.com | https | Power Automate サイトへのアクセス。 |
| *.powerapps.com | https | Power Apps のサイトににアクセスする。 |
| *.azureedge.net | https | Power Automate CDN にアクセスします。 |
| *.azurefd.net | https | Power Automate CDN にアクセスします。 |
| *.microsoftcloud.com | https | NPS (Net Promoter Score) にアクセスします。 |
| webshell.suite.office.com | https | ヘッダーと検索のための Office にアクセスします。 詳細については、Office 365 URL と範囲 をご覧ください。 |
| *.dynamics.com | https | Dataverse テーブルにアクセスします。 |
| go.microsoft.com | https | 更新を確認するため、Power Automate にアクセスします。 |
| download.microsoft.com | https | 更新を確認するため、Power Automate にアクセスします。 |
| login.partner.microsoftonline.cn | https | デスクトップ クラウド検出のため、Power Automate にアクセスします。 |
| s2s.config.skype.com use.config.skype.com config.edge.skype.com |
https | フライトと構成エンドポイントを通じて管理されるプレビュー機能へのアクセス。 |
| s2s.config.ecs.infra.gov.teams.microsoft.us | https | 米国政府クラウド向け、フライトと構成エンドポイントを通じて管理されるプレビュー機能へのアクセス。 |
| *.api.powerplatform.com *.api.powerplatformusercontent.com *.api.bap.microsoft.com *.logic.azure.com |
https | いくつかの Power Platform API へのアクセス。 |
| *.api.gov.powerplatform.microsoft.us *.gov.api.bap.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCCのみ)。 |
| *.api.high.powerplatform.microsoft.us *.high.api.bap.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us *.api.bap.appsplatform.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - DoD のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn *.api.bap.partner.microsoftonline.cn *.logic.azure.cn |
https | 複数の Power Platform API へのアクセス (21Vianet - 中国のみ)。 |
ネットワーク上のユーザーに Power Automate モバイル アプリの使用を許可する
次の表に、Power Automate モバイル アプリを使用するときに必要な追加のエンドポイントを示します。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| *.events.data.microsoft.com | https | モバイル アプリからすべての運用リージョンとサポート対象の米国ソブリン クラウドのテレメトリを送信します。 |
| collector.azure.cn | https | モバイル アプリから Mooncake リージョンのテレメトリを送信します。 |
| officeapps.live.com | https | モバイル アプリの認証および承認エンドポイントにアクセスします。 |
ネットワーク上のユーザーに "HTTP 要求の受信時" トリガーの使用を許可する
Power Automate Web ポータルを使用する セクションで、ドメインの一覧を許可リストに登録して、作成者と管理者が Power Automate サービスを利用できるようにすることをお勧めします。 トリガーをサポートするためにネットワーク トラフィックを限定的に許可することを検討しているお客様は、ファイアウォールの送信構成で次のドメインWhen an HTTP request is receivedを許可リストに登録してください。
| ドメイン | プロトコル | 用途 |
|---|---|---|
| *.api.powerplatform.com *.logic.azure.com |
https | いくつかの Power Platform API へのアクセス。 |
| *.api.gov.powerplatform.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCCのみ)。 |
| *.api.high.powerplatform.microsoft.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us *.logic.azure.us |
https | いくつかの Power Platform API へのアクセス (米国政府 - DoD のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn *.logic.azure.cn |
https | 複数の Power Platform API へのアクセス (21Vianet - 中国のみ)。 |
ネットワーク上のコンピュータとユーザーが Power Automate デスクトップサービスにアクセスできるようにする
次の表に、デスクトップ フローを実行するためのユーザーのマシンからの接続に関するエンドポイント データ要件を示します。 グローバル エンドポイントとクラウドに対応するエンドポイントを確実に承認する必要があります。
デスクトップ フロー ランタイムのグローバル エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| server.events.data.microsoft.com | https | ヨーロッパ、中近東およびアフリカのクラウド、米国政府機関のクラウド、中国のクラウド以外のユーザーのテレメトリを処理します。 フォールバック テレメトリ エンドポイントとして機能します。 |
| msedgedriver.azureedge.net chromedriver.storage.googleapis.com |
https | デスクトップ フロー WebDriver ダウンローダーにアクセスします。 WebDriver は、ブラウザー (Microsoft Edge と Google Chrome) を自動化するために使用されます。 |
デスクトップ MSI インストーラー用 Power Automate のグローバル エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| *.builds.dotnet.microsoft.com | https | コンピュータにインストールされていない場合は、.NET 8 ランタイムをダウンロードします。 |
デスクトップ フロー ランタイムのパブリック エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| ocsp.digicert.com ocsp.msocsp.com mscrl.microsoft.com crl3.digicert.com crl4.digicert.com |
http | パブリック クラウドの CRL サーバーにアクセスします。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| *.servicebus.windows.net | https | TCP を介して Service Bus Relay をリスニングします。 マシンの接続に必要です。 |
| *.gateway.prod.island.powerapps.com | https | マシンの接続に必要です。 |
| emea.events.data.microsoft.com | https | EMEA ユーザーのテレメトリを処理します。 |
| *.api.powerplatform.com | https | いくつかの Power Platform API へのアクセス (デスクトップ フローでのクラウド コネクタの使用に必須)。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションには必須) (GCC にも有効)。 |
注意
公開エンドポイント *.servicebus.windows.net を許可しない場合は、名前空間のリストを個別に許可できます。 名前空間エンドポイントの詳細については、ランタイムに必要な名前空間エンドポイントの許可リストを参照してください。
デスクトップ フロー ランタイムの米国政府エンドポイント
| ドメイン | プロトコル | 用途 |
|---|---|---|
| ocsp.digicert.com crl3.digicert.com crl4.digicert.com |
http | 米国政府機関クラウドの CRL サーバーにアクセスします。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| *.servicebus.usgovcloudapi.net | https | 米国政府のクラウド向けの Service Bus Relay をリッスンします。 マシンの接続に必要です。 |
| *.gateway.gov.island.powerapps.us | https | 米国政府機関クラウド (GCC および GCCH) のコンピューターの接続に必要 |
| *.gateway.gov.island.appsplatform.us | https | 米国政府機関クラウド (DOD) のマシンの接続に必要です。 |
| tb.events.data.microsoft.com | https | 米国政府ユーザーのテレメトリを処理します。 |
| *.api.gov.powerplatform.microsoft.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - GCC のみ)。 |
| *.api.high.powerplatform.microsoft.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - GCC High のみ)。 |
| *.api.appsplatform.us | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - DoD のみ)。 |
| *.microsoftdynamics.us | https | 複数の Dataverse テーブルへのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - GCC High のみ)。 |
| *.crm.appsplatform.us | https | 複数の Dataverse テーブルへのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (米国政府 - DoD のみ)。 |
| *.dynamics.com | https | Dataverse テーブルへのアクセス (デスクトップ フローのカスタム アクションには必須) (パブリック クラウドにも有効)。 |
デスクトップ フロー ランタイムの 21Vianet エンドポイント (中国)
| ドメイン | プロトコル | 用途 |
|---|---|---|
| crl.digicert.cn ocsp.digicert.cn |
http | 21Vianet が運用するクラウドの CRL サーバーにアクセスする。 オンプレミスのデータ ゲートウェイを通じて接続している場合に必要です。 |
| apac.events.data.microsoft.com | https | 中国のユーザーのテレメトリを処理します。 |
| *.gateway.mooncake.island.powerapps.cn | https | コンピュータ接続に必要です (21Vianet - 中国のみ)。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | 複数の Power Platform API へのアクセス (デスクトップ フローのクラウド コネクタ アクションに必須) (21Vianet - 中国のみ)。 |
| *.dynamics.cn | https | Dataverse テーブルへのアクセス (DesktopFlow モジュール機能)(21Vianet - 中国のみ)。 |
| *.api.powerautomate.cn | https | Power Automate へのアクセス (21Vianet - 中国のみ)。 |
その他の IP アドレスの記事
承認メールの送信
Power Automate 承認メールのルーティングの詳細 の承認メールのルーティングの詳細について学びます。
Azure SQL データベース
Azure SQL データベース用に IP アドレスを承認する必要がある場合は、Power Platform アウトバウンド IP アドレス を使用します。
よくあるご質問
ここでは多くの詳細がありますが、IP アドレス構成に関するハイレベルな推奨事項は何でしょうか?
Power Automate クラウド フローが コネクタ を介して外部サービスを呼び出すことができるようにファイアウォールを構成する最も簡単なメカニズムは、Azure サービス タグ を使用することです。 Logic Apps コネクタのプライマリ サービス タグは、 AzureConnectors です ( Power Platform 送信 IP アドレスで説明されています)。
Azure Firewall を使用している場合、個々の IP アドレスを追跡する必要がありますか?
Azure サービス タグ を使用することをお勧めします。 ネットワーク セキュリティ グループのルールにサービス タグを使用することで、各サービスの IP 範囲を常に監視し、手動で更新する必要がなくなります。
オンプレミスのファイアウォールを使用している場合、個々の IP アドレスを追跡する必要がありますか?
オンプレミス ファイアウォールでサービス タグ を使用することで、IP 範囲の監視と手動更新の必要がなくなります。 サービス タグ検出 API は、各サービス タグに関連付けられた最新の IP アドレス範囲へのアクセスを提供し、変更に対応することができます。