Power Platform でのデータ ストレージとガバナンス
まず、個人データと顧客データを区別することが重要です。
個人データは、人々を識別するために使用できる人々に関する情報です。
顧客データには、個人情報だけでなく、URL、メタデータ、DNS 名などの従業員の認証情報など、他の顧客データも含まれます。
データの所在地
Microsoft Entra テナントは、組織とそのセキュリティに関連する情報を格納します。 Microsoft Entra テナントが Power Platform サービスにサインアップする際、テナントが選択した国または地域が、Power Platform展開が存在する最適な Azure 地域にマッピングされます。 Power Platform は、テナントの割り当てられた Azure 地域 (home geo) に顧客データを保存しますが、組織が複数の地域にサービスを展開する場合を除きます。
一部の組織はグローバルに存在しています。 たとえば、企業が米国に本社を置いているが、オーストラリアで事業を行っている場合があります。 現地の規制に準拠するために、特定の Power Platform データをオーストラリアに保存する必要があるかもしれません。 Power Platform サービスが複数の Azure 地域に展開される場合、multi-geo展開と呼ばれます。 この場合、環境関連のメタデータのみがホーム ジオに保存されます。 その環境のすべてのメタデータと製品データは、リモート ジオに保存されます。
Microsoft は、データの復元力のために、データを他のリージョンに複製する場合があります。 ただし、個人データを複製したり、地域外に移動したりすることはありません。 他の地域に複製されるデータには、従業員の認証情報などの非個人データが含まれる場合があります。
Power Platform サービスは、特定の Azure 地域で使用できます。 Power Platform サービスが使用できる場所、その使用方法の詳細については、Microsoft トラスト センターを参照してください。 保存時の顧客データの場所についてのコミットメントは、Microsoft Online Services 規約のデータ処理規約で指定されています。 Microsoft は、政府機関にもデータセンターを提供しています。
データの処理
このセクションでは、Power Platform で顧客データを保存、処理、および転送する方法の概要を説明します。
保存データ
ドキュメントに特に明記されていない限り、顧客データは元のソースのままです (たとえば、Dataverse または SharePoint)。 Power Platform アプリは、環境の一部として Azure Storage に保存されます。 モバイル アプリで使用されるデータは暗号化され、SQL Express に保存されます。 ほとんどの場合、アプリは Azure Storage を使用して Power Platform サービス データを、Azure SQL Database を使用してサービス メタデータを永続化します。 アプリ ユーザーが入力したデータは、サービス (Dataverse など) のそれぞれのデータ ソースに保存されます。
Power Platform で保存されるデータは、既定では会黒ソフトが管理するキーを使って暗号化されます。 Azure SQL Database に保存された顧客データは、Azure SQL の Transparent Data Encryption (TDE) テクノロジーを用いて完全に暗号化されます。 Azure Blob ストレージに格納されている顧客データは、Azure Storage Encryption を使用して暗号化されます。
処理中のデータ
インタラクティブなシナリオの一部として使用中、またはリフレッシュなどのバックグラウンド プロセスがこのデータに触れている場合、データは処理中です。 Power Platform は、処理中のデータを 1 つ以上のサービス ワークロードのメモリ空間にロードします。 ワークロードの機能を容易にするために、メモリに保存されているデータは暗号化されません。
転送中のデータ
Power Platform では、すべての着信 HTTP トラフィックを TLS1.2 以降を使用して暗号化する必要があります。 TLS1.1 以下を使用しようとする要求は拒否されます。
高度なセキュリティ機能
Power Platform の上級セキュリティ機能の一部には、特定のライセンス要件があります。
サービス タグ
サービス タグは、指定の Azure サービスからの IP アドレスの接頭辞のグループを表します。 サービスタグを使用して、Network Security Groups や Azure Firewall でネットワークアクセス制御を定義することができます。
サービス タブは、ネットワークのセキュリティ ルールを頻繁に更新するわずらわしさを最小限に抑えるのに役立ちます。 たとえば、対応するサービスのトラフィックを許可または拒否するセキュリティ ルールを作成するときに、特定の IP アドレスの代わりにサービス タグを使用できます。
マイクロソフトは、サービス タグに含まれるアドレスの接頭辞を管理し、アドレスの変更に応じてサービスタグを自動的に更新します。 詳細については、Azure の IP 範囲とサービス タグ - パブリック クラウドを参照してください。
データ損失防止
Power Platform には、データのセキュリティ管理に役立つ データの情報漏洩対策 (DLP) 機能が充実しています。
ストレージ共有アクセス署名 (SAS) IP制限
注意
これらの SAS 機能のいずれかをアクティブ化する前に、顧客はまず https://*.api.powerplatformusercontent.com ドメインへのアクセスを許可する必要があります。そうしないと、ほとんどの SAS 機能が動作しません。
この機能セットは、Storage Shared Access Signature (SAS) トークンを制限するテナント固有の機能であり、Power Platform 管理センター のメニューから制御されます。 この設定では、エンタープライズ SAS トークンを使用できるユーザーを IP に基づいて制限します。
この機能は、現在プライベート プレビューにあります。 パブリック プレビューは今春後半に予定されており、2024 年夏に一般提供される予定です。 詳細については、リリース プランナー を参照してください。
これらの設定は、管理センターの Dataverse 環境の プライバシーとセキュリティ 設定にあります。 IP アドレス ベースの Storage Shared Access Signature (SAS) ルールを有効にする オプションをオンにする必要があります。
管理者は、この設定に対して次の 4 つの構成のいずれかを有効にすることができます:
| 設定 | プロパティ |
|---|---|
| IP バインドのみ | これにより、SAS キーが要求者の IP に制限されます。 |
| IP ファイアウォールのみ | これにより、SAS キーの使用が管理者が指定した範囲内でのみ機能するように制限されます。 |
| IP バインドとファイアウォール | これにより、SAS キーの使用が管理者が指定した範囲内と要求者の IP に対してのみ機能するように制限されます。 |
| IP バインドまたはファイアウォール | 指定した範囲内で SAS キーを使用できるようにします。 範囲外からリクエストがあった場合は、IP バインディングが適用されます。 |
有効にすると IP バインドを適用する製品:
- Dataverse
- Power Automate
- カスタム コネクタ
- Power Apps
Power App エクスペリエンスへの影響
ユーザーに対する次の影響に注意してください:
環境の IP アドレス制限を満たしていないユーザーがアプリ を開くと、次のメッセージが表示されます: "このアプリは動作を停止しました。 ブラウザを更新してみてください。" このエクスペリエンスを更新して、アプリを起動できなかった理由に関するより多くのコンテキスト情報をユーザーに提供する予定です。
IP アドレス制限を満たしているユーザーがアプリ を開くと、次のイベントが発生します。
- 次のメッセージを含むバナーが表示されます: 組織は、Power Apps にアクセス可能な場所を制限する IP アドレス制限を構成しました。 別のネットワークを使用している場合、このアプリにアクセスできない場合があります。 詳細については、管理者にお問い合わせください。" このバナーは数秒間表示された後、消えます。
- IP アドレス制限がない場合よりも、アプリの読み込みが遅くなる場合があります。 IP アドレスの制限により、プラットフォームは読み込み時間を短縮する一部のパフォーマンス機能を使用できなくなります。
ユーザーが IP アドレス要件を満たしている間にアプリを開き、IP アドレス要件を満たしていない新しいネットワークに移動すると、画像、埋め込みメディア、リンクなどのアプリ コンテンツが読み込まれない、またはアクセスできないことがあります。
SAS 呼び出しのログ記録
この設定により、Power Platform 内のすべての SAS 呼び出しが Purview にログインできるようになります。 このログには、すべての作成および使用イベントに関連するメタデータが表示され、上記の SAS IP 制限とは独立して有効にすることができます。 Power Platform 現在、サービスは 2024 年に SAS コールをオンボーディングしています。
関連記事
Microsoft Power Platform でのセキュリティ
Power Platform サービスに認証する
データソースへの接続と認証
Power Platform のセキュリティに関するよくある質問