Power Apps 顧客データの削除に対するデータ主体の権利 (DSR) 要求への応答
組織の顧客情報から個人のデータを削除する権利は、欧州連合(EU)の一般データ保護規則(GDPR)における主要事項となっています。 個人データの削除には、システムによって生成されたログの削除が含まれますが、監査ログ情報は含まれません。
Power Apps を使用することで、ユーザーは組織の日常業務の重要な一部である基幹業務アプリケーションを構築できます。 ユーザーが組織から離職した場合、ユーザーが作成した特定のデータおよびリソースを削除するかどうかを手動で確認し、決定する必要があります。 ユーザー アカウントが Microsoft Entra から削除される際に、その他の個人データも自動的に削除されます。
以下は、どの個人データが自動的に削除されるか、どのデータが手動でのレビューと削除を必要とするかの詳細です。
| 手動での確認および削除が必要 | ユーザーが Microsoft Entra から削除すると自動的に削除される |
|---|---|
| 環境** | ゲートウェイ |
| 環境アクセス許可*** | ゲートウェイのアクセス許可 |
| キャンバス アプリ / カスタム アプリ** | Power Apps 通知 |
| キャンバス アプリのアクセス許可 | Power Apps ユーザー設定 |
| 接続** | Power Apps ユーザー アプリの設定 |
| 接続のアクセス許可 | |
| カスタム コネクタ** | |
| カスタム コネクタのアクセス許可 |
** これらの各リソースには、個人データを含む "作成者" と "修正者" のレコードが含まれます。 セキュリティ上の理由から、これらのレコードはリソースが削除されるまで保持されます。
*** Microsoft Dataverse データベースを含む環境の場合、環境アクセス許可 (つまり、どのユーザーが環境作成者および管理者ロールに割り当てられているか) は、そのデータベースにレコードとして保存されます。 Dataverse ユーザーの DSR に応答する方法のガイダンスについては、Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答を参照してください。
手動のレビューが必要なデータとリソースについて、Power Apps は、特定のユーザーの個人データを再割り当て (必要に応じて) または削除するために、次のエクスペリエンスを提供します。
Web サイトのアクセス: Power Apps サイト、Power Platform 管理センター、および Microsoft 365 Service Trust Portal
PowerShell アクセス: アプリの作成者 と 管理者 向けの Power Apps コマンドレットおよび オンプレミス ゲートウェイ 向けのコマンドレット。
個人データを含むことができる各タイプのリソースを削除するために利用できるエクスペリエンスの内訳は次のとおりです。
| 個人データを含むリソース | Web サイト アクセス | PowerShell アクセス |
|---|---|---|
| 環境 | Power Platform 管理センター | Power Apps コマンドレット |
| 環境アクセス許可** | Power Platform 管理センター | Power Apps コマンドレット |
| キャンバス アプリ / カスタム アプリ | Power Platform 管理センター Power Apps |
Power Apps コマンドレット |
| キャンバス アプリのアクセス許可 | Power Platform 管理センター | Power Apps コマンドレット |
| 接続 | アプリ作成者: 使用可能 管理者: 使用可能 |
|
| 接続のアクセス許可 | アプリ作成者: 使用可能 管理者: 使用可能 |
|
| カスタム コネクタ | アプリ作成者: 使用可能 管理者: 使用可能 |
|
| カスタム コネクタのアクセス許可 | アプリ作成者: 使用可能 管理者: 使用可能 |
** Dataverse の導入により、環境内でデータベースが作成された場合、環境アクセス許可とモデル駆動型アプリのアクセス許可がそのデータベース環境内のレコードとして保存されます。 Dataverse ユーザーの DSR に応答する方法のガイダンスについては、Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答を参照してください。
前提条件
ユーザー向け
有効な Power Apps ライセンスを持つユーザーは誰でも、このドキュメントで説明されているユーザー操作を、 Power Apps または アプリ作成者のための PowerShell コマンドレットを使用して実行できます。
アンマネージド テナント
アンマネージド テナントのメンバーである場合、Microsoft Entra テナントにはグローバル管理者がいないことを意味します。その場合、ここで説明されている手順に従って、自分の個人データを削除することができます。 ただし、テナントにグローバル管理者がいないため、下記のステップ 12: Microsoft Entra からユーザーを削除するに記載されている手順に従い、テナントから自分の個人データを削除する必要があります。
アンマネージド テナントのメンバーであるかどうかを確認するには、次の手順を実行します。
ブラウザで次の URL を開き、URL で電子メール アドレスを必ず置き換えてください: https://login.microsoftonline.com/common/userrealm/name@contoso.com?api-version=2.1
アンマネージド テナント のメンバーである場合、応答に
"IsViral": trueが表示されます。
{
...
"Login": "name@unmanagedcontoso.com",
"DomainName": "unmanagedcontoso.com",
"IsViral": true,
...
}
- それ以外の場合、マネージド テナントに属します。
管理者向け
Power Platform 管理センター、Power Automate 管理センター、または Power Apps 管理者 PowerShell コマンドレット を使用してこのドキュメントで説明されている管理操作を実行するには、次のものが必要です。
有料 Power Apps プランまたは Power Apps プランの試用版。 https://make.powerapps.com/trialから 30 日間の試用版にサインアップすることができます。 試用版のライセンスは、期限が切れた場合には更新できます。
Microsoft 365 全体管理者 または Microsoft Entra 全体管理者 他のユーザーのリソースを検索する必要がある場合の権限。 (環境管理者は、アクセス許可を持つ環境および環境リソースにのみアクセスできます。)
ステップ 1: ユーザーが作成したすべて環境を削除、または再割り当てします。
管理者は、ユーザーが作成した各環境の DSR の削除要求を処理するときに 2 つの決定を下す必要があります。
環境が組織内の他のユーザーによって使用されていないと判断した場合は、環境を削除することを選択できます。
環境がまだ必要であると判断した場合は、環境を削除せずに自分自身 (または組織内の別のユーザー) を環境管理者として追加することを選択できます。
重要
環境を削除すると、すべてのアプリ、フロー、接続など、環境内のすべてのリソースが完全に削除されます。そのため、削除する前に環境の内容を確認してください。
ユーザーの環境へのアクセスを許可
管理者は、次の手順に従って、環境への管理アクセスを許可できます。
Power Platform 管理センター から環境を選択して、自分自身または組織内の別のユーザーに管理特権を付与します。
アクセス、環境管理にある DSR リクエストからユーザーが環境を作成した場合は、すべて表示 を選択します。
ユーザーが作成した環境を削除する
管理者は、次の手順に従って特定のユーザーによって作成された環境を確認して削除できます。
Power Platform 管理センター から、環境を選択します。
ユーザーが DSR 要求から環境を作成した場合は、削除 を選択し、環境を削除する手順に進みます。
PowerShell を使用してユーザー環境へのアクセス権を付与する
管理者は、Power Apps 管理者用の PowerShell コマンドレット の Set-AdminPowerAppEnvironmentRoleAssignment 関数を使用することで、ユーザーが作成したすべての環境へのアクセス権を自分自身 (または組織内の別のユーザー) に割り当てることができます:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$myUserId = $global:currentSession.UserId
#Assign yourself as an admin to each environment created by the user
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Set-AdminPowerAppEnvironmentRoleAssignment -RoleName EnvironmentAdmin -PrincipalType User -PrincipalObjectId $myUserId
#Retrieve the environment role assignments to confirm
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Get-AdminPowerAppEnvironmentRoleAssignment
重要
この関数は、Dataverse にデータベースの環境がない環境でのみ機能します。
PowerShell を使用しているユーザーが作成した環境を削除する
管理者は、Power Apps 管理者用の PowerShell コマンドレット の Remove-AdminPowerAppEnvironment 関数を使用して、ユーザーが作成したすべての環境を削除できます:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
# Retrieve all environments created by the user and then delete them
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppEnvironment
ステップ 2:その他のすべて環境に対するユーザーのアクセス権を削除する
環境内でユーザーにアクセス許可 (環境管理者や環境作成者など) を割り当てることができます。これらは Power Apps サービスに "ロールの割り当て" として保存されます。Dataverse を導入すると、環境内にデータベースを作成した場合に、これらの "ロールの割り当て" はそのデータベースの環境内にレコードとして保存されます。
Dataverse データベースのない環境の場合
Power Platform 管理センター
管理者は、次の手順に従って、Power Platform 管理センターからユーザーの環境アクセス許可を削除できます。
Power Platform 管理センター から、環境を選択します。
組織内で作成されたすべての環境を確認するには、Microsoft 365 グローバル管理者 または Microsoft Entra グローバル管理者 である必要があります。
ご使用中の環境に Dataverse データベースがない場合、アクセス セクションが表示されます。 アクセス から、環境管理者 または 環境メーカー のいずれかを選択してから すべて表示 を選択します。
ユーザーを選択し、削除 を選択してアクセス許可を削除してから、継続 を選択します。
PowerShell
管理者は、Power Apps 管理者向け PowerShell コマンドレット の Remove-AdminPowerAppEnvironmentRoleAssignment 関数を使用することで、Dataverse データベースのないすべての環境にわたるユーザーのすべての環境ロール割り当てを削除できます:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all environment role assignments for the user for environments without a Dataverse database and delete them
Get-AdminPowerAppEnvironmentRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppEnvironmentRoleAssignment
重要
この関数は、Dataverse データベースの環境がない環境にのみ機能します。
Dataverse データベースのある環境の場合
Dataverse の導入により、環境内でデータベースが作成された際に、これらの 「ロールの割り当て」 は、当該データベースの環境内のレコードとして保存されます。 Dataverse のデータベース環境から個人データを削除する方法については、次のドキュメントを参照してください: Common Data Service ユーザーの個人データの削除
ステップ 3: ユーザーが所有するすべてのキャンバス アプリを削除または再割り当てする
Power Apps 管理者の PowerShell コマンドレットを使用して、ユーザーのキャンバス アプリの再割り当てをお行う
管理者がユーザーのキャンバス アプリを削除しないと決定した場合、Power Apps Admin PowerShell コマンドレット の Set-AdminPowerAppOwner 関数を使用して、ユーザーが所有するアプリを再割り当てできます
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$newAppOwnerUserId = "72c272b8-14c3-4f7a-95f7-a76f65c9ccd8"
#find all apps owned by the DSR user and assigns them a new owner
Get-AdminPowerApp -Owner $deleteDsrUserId | Set-AdminPowerAppOwner -AppOwner $newAppOwnerUserId
Power Apps サイトを使用してユーザーのキャンバス アプリを削除する
ユーザーはPower Apps サイトからアプリを削除できます。 アプリを削除する方法の詳細については、アプリの削除を参照してください。
Power Platform 管理センターを使用してユーザーのキャンバス アプリを削除する
管理者は、次の手順に従ってユーザーによって作成されたアプリを削除できます:
Power Platform 管理センター から、環境を選択します。
組織内で作成されたすべての環境を確認するには、Microsoft 365 グローバル管理者 または Microsoft Entra グローバル管理者 である必要があります。
リソース から Power Appsを選択します.
アプリを選択してから、削除>クラウドから削除を選択します。
Power Apps 管理者 PowerShell コマンドレットを使用して、ユーザーのキャンバス アプリを削除する
管理者がユーザーの所有するすべてのキャンバス アプリを削除する場合、Power Apps管理者 PowerShell コマンドレットの関数 Remove-AdminApp を使用して削除できます。
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all apps owned by the DSR user and deletes them
Get-AdminPowerApp -Owner $deleteDsrUserId | Remove-AdminPowerApp
ステップ 4: キャンバス アプリのユーザーのアクセス許可を削除する
アプリがユーザーと共有されるたびに、Power Apps はアプリケーションに対するユーザーのアクセス許可 (編集可能または使用可能) を記述している 「ロールの割り当て」 という名称のレコードを保存します。 詳細については、アプリ共有についての記事を参照してください。
注意
アプリが削除されると、アプリ二対するロールの割り当てが削除されます。 アプリ所有者のロール割り当ては、アプリに新しい所有者を割り当てることによってのみ削除できます。
キャンバス アプリへのユーザー権限を削除するには、プレビュー: モデル駆動型アプリを共有するを参照してください。 手順 5 では、リストからロールを追加するのではなく削除します。
管理者用 PowerShell コマンドレット
管理者は、Power Apps Admin PowerShell コマンドレットの Remove-AdminPowerAppRoleAssignment 関数を使用して、ユーザーのキャンバス アプリロールの割り当てをすべて削除できます。
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all app role assignments for the DSR user and deletes them
Get-AdminPowerAppRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppRoleAssignment
ステップ 5: ユーザーが作成した接続を削除する
接続は、他の API と SaaS システムとの接続を確立するときに、コネクタと組み合わせて使用されます。 接続には、それらを作成したユーザーへの参照が含まれているため、ユーザーへの参照を削除するために削除できます。
アプリ作成者用の PowerShell コマンドレット
ユーザーは、アプリ作成者用 PowerShell コマンドレットの Remove-AdminPowerAppConnection 機能を使って、自分のすべての接続を削除できます:
Add-PowerAppsAccount
#Retrieves all connections for the calling user and deletes them
Get-AdminPowerAppConnection | Remove-AdminPowerAppConnection
Power Apps 管理者用 PowerShell コマンドレット
管理者は、Power Apps Admin PowerShell コマンドレット の Remove-AdminPowerAppConnection 関数を使用して、ユーザーのすべての接続を削除できます:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all connections for the DSR user and deletes them
Get-AdminPowerAppConnection -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnection
ステップ 6: 共有接続に対するユーザーのアクセス許可を削除する
アプリ作成者用の PowerShell コマンドレット
ユーザーは、 アプリ作成者用 PowerShell コマンドレットの Remove-AdminPowerAppConnectionRoleAssignment 機能を使って、共有接続に対する自分のすべての接続ロール割り当てを削除できます:
Add-PowerAppsAccount
#Retrieves all connection role assignments for the calling users and deletes them
Get-AdminPowerAppConnectionRoleAssignment | Remove-AdminPowerAppConnectionRoleAssignment
注意
接続リソースを削除しないと、所有者のロール割り当てを削除することはできません。
管理者用 PowerShell コマンドレット
管理者は、Power Apps Admin PowerShell コマンドレットの Remove-AdminPowerAppConnectionRoleAssignment 関数を使用して、ユーザーの接続ロールの割り当てをすべて削除できます。
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all connection role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectionRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectionRoleAssignment
ステップ 7: ユーザーが作成したカスタム コネクタを削除する
カスタム コネクタは、既存の標準コネクタを補完し、他の API、SaaS、およびカスタム開発システムへの接続を可能にします。 組織内の他のユーザーにカスタム コネクタの所有権を譲渡するか、カスタム コネクタを削除することができます。
アプリ作成者用の PowerShell コマンドレット
ユーザーは、アプリ作成者用の PowerShell コマンドレット で Remove-AdminPowerAppConnector 関数を使用することで、すべてのカスタム コネクタを削除できます:
Add-PowerAppsAccount
#Retrieves all custom connectors for the calling user and deletes them
Get-AdminPowerAppConnector | Remove-AdminPowerAppConnector
管理者用 PowerShell コマンドレット
管理者は、Power Apps Admin PowerShell コマンドレット の Remove-AdminPowerAppConnector 関数を使用して、ユーザーが作成したすべてのカスタム コネクタを削除できます:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all custom connectors created by the DSR user and deletes them
Get-AdminPowerAppConnector -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnector
ステップ 8: 共有カスタム コネクタに対するユーザーのアクセス許可を削除する
アプリ作成者用の PowerShell コマンドレット
ユーザーは、アプリ作成者用の PowerShell コマンドレット の Remove-AdminPowerAppConnectorRoleAssignment 関数で、共有カスタム コネクタのコネクタ ロール割り当てをすべて削除できます:
Add-PowerAppsAccount
#Retrieves all connector role assignments for the calling users and deletes them
Get-AdminPowerAppConnectorRoleAssignment | Remove-AdminPowerAppConnectorRoleAssignment
注意
接続リソースを削除しないと、所有者のロール割り当てを削除することはできません。
管理者用 PowerShell コマンドレット
管理者は、Power Apps Admin PowerShell コマンドレット の Remove-AdminPowerAppConnectorRoleAssignment 関数を使用して、ユーザーのカスタム コネクタ ロールの割り当てをすべて削除できます。
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all custom connector role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectorRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectorRoleAssignment
ステップ 9: Power Automate 内のユーザーの個人データを削除する
Power Apps ライセンスには、常に Power Automate 機能が含まれています。 Power Apps ライセンスに含まれていることに加えて、Power Automate はスタンドアロン サービスとしても使用できます。 Power Automate サービスを使用するユーザーの DSR への応答方法に関するガイダンスについては、Power Automate の GDPR データサブジェクト要求への応答を参照してください。
重要
Power Apps ユーザーの場合、管理者がこの手順を完了することをお勧めします。
ステップ 10: Microsoft Copilot Studio 内のユーザーの個人データを削除する
Microsoft Copilot Studio に構築された Power Apps 機能。 Microsoft Copilot Studio は、スタンドアロン サービスとしても利用できます。 Microsoft Copilot Studio サービス データを使用する DSR 要求への応答方法に関するガイダンスについては、Microsoft Copilot Studio のデータ サブジェクト要求への応答 を参照してください。
重要
管理者が Power Apps ユーザーに対してこのステップを完了することをお勧めします。
ステップ 11: Dataverse の環境内のユーザーの個人データを削除する
特定の Power Apps 開発者プランを含む Power Apps ライセンスを使用すると、組織内のユーザーが Dataverse の環境を作成し、Dataverse でアプリを作成および構築できるようになります。 Power Apps 開発者プランは無料のライセンスで、ユーザーは個々の環境で Dataverse を試すことができます。 各 Power Apps ライセンスに含まれる機能については Power Apps 価格設定ページを参照してください。
Dataverse ユーザーの DSR に応答する方法のガイダンスについては、Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答を参照してください。
重要
Power Apps ユーザーの場合、管理者がこの手順を完了することをお勧めします。
ステップ 12: Microsoft Entra からユーザーを削除する
上記手順をすべて完了し、最後に Microsoft Entra のユーザー アカウントを削除します。
マネージド テナント
マネージド Microsoft Entra テナントの管理者は、Microsoft 365 Service Trust Portal にある Azure データ サブジェクト要求 GDPR のドキュメントに記載されている手順に従って、ユーザーのアカウントを削除できます。
アンマネージド テナント
アンマネージド テナントのメンバーである場合、Microsoft Entra テナントからアカウントを削除するには、次の手順を実行します。
注意
アンマネージドまたはマネージド テナントのメンバーであるかどうかを確認する方法については、上記のアンマネージド テナント セクションを参照してください。
Microsoft Entra アカウントでサインインします。
アカウントを閉じるを選択し、手順に従って Microsoft Entra テナントからアカウントを削除します。
