Microsoft Power Platform におけるセキュリティ
Power Platform は、プロではない開発者やプロの開発者に、エンド ツー エンドのソリューションを迅速かつ簡単に作成する力を与えてくれます。 これらのソリューションにはセキュリティが不可欠です。 Power Platform は、業界をリードする保護機能を提供するように構築されています。
組織は、運用とビジネスの意思決定に高度なテクノロジーを取り入れて、クラウドへの移行を加速しています。 より多くの従業員がリモートで働いています。 オンライン サービスに対する顧客の需要は急増しています。 従来のオンプレミス アプリケーションのセキュリティでは不十分です。 ビジネス インテリジェンス データ向けクラウド ネイティブで、複数階層で、多層防御なセキュリティ ソリューションを求めている組織は、Power Platform を採用しています。 国家安全保障機関、金融機関、医療機関が、最も機密性の高い情報に関して Power Platform を信頼しています。
Microsoft は、2000 年代半ば以降、セキュリティに大規模な投資を行ってきました。 3,500 人を超える Microsoft のエンジニアが、絶えず変化する脅威の状況に積極的に対処するために取り組んでいます。 Microsoft のセキュリティは、オンチップ BIOS カーネルから始まり、ユーザー エクスペリエンスにまで拡張されます。 現在、当社のセキュリティ スタックは業界で最も進んでいます。 Microsoft は、悪意のある攻撃者との戦いにおける世界的なリーダーとして広く認識されています。 数十億台のコンピューター、数兆回のログイン、数ゼタバイトのデータが Microsoft の保護に委ねられています。
Power Platform は、この強力な基盤の上に構築されています。 Azure が世界で最も機密性の高いデータの提供と保護の権利を獲得したのと同じセキュリティ スタックを使用し、Microsoft 365 の最先端の情報保護とコンプライアンス ツールと統合されています。 Power Platform は、クラウド時代におけるお客様の最も困難な懸念に対処するために設計されたエンドツーエンドの保護を提供します。
- 誰が接続できるか、どこから接続するか、どのように接続するかをどのように制御できますか? どうすれば接続を制御できますか?
- データの保存方法は? どのように暗号化されていますか? データにはどのようなコントロールがありますか?
- 機密データをどのように制御および保護することができますか? データが組織外に漏洩しないようにするにはどうすればよいですか?
- 誰が何をできるかをどのように監査できますか? 不審な活動を検出した場合、どうすれば迅速に対応できますか?
ガバナンス
Power Platform サービスには、Microsoft Online Services の使用条件、Microsoft Enterprise のプライバシーに関する声明 が適用されます。 データ処理の場所については、Microsoft Online Services の使用条件と データ保護補遺 を参照してください。
Microsoft セキュリティ センター は、Power Platform コンプライアンス情報の主要なリソースです。 詳細は、Microsoft コンプライアンス認証 を参照してください。
Power Platform サービスは、セキュリティ開発ライフサイクル (SDL) に従います。 SDL は、セキュリティ保証とコンプライアンス要件をサポートする一連の厳格なプラクティスです。 詳細については、Microsoft セキュリティ開発ライフサイクル プラクティス を参照してください。
共通の Power Platform セキュリティの概念
Power Platform には、いくつかのサービスが含まれています。 このシリーズで取り上げるセキュリティの概念のいくつかは、それらすべてに当てはまります。 その他の概念は、個々のサービスに固有のものです。 セキュリティの概念が異なる場合は、それらを呼び出します。
すべての Power Platform サービスに共通するセキュリティ概念には、次のものがあります:
- Power Platform サービス アーキテクチャ、あるいはシステム内の情報の流れ方
- Power Platform サービスへの認証、あるいはユーザーがサービスにアクセスする方法
- データ ソースへの接続と認証、あるいはサービスがデータ ソースに接続し、ユーザーがデータにアクセスする方法
- Power Platform のデータ ストレージ、あるいはシステムとサービス間で静止中または転送中のデータの保護方法
Power Platform サービス アーキテクチャ
Power Platformサービスは、Microsoft のクラウド コンピューティング プラットフォームである Azure 上に構築されています。 Power Platform サービス アーキテクチャは、次の 4 つのコンポーネントで構成されています:
- Web フロントエンド クラスター
- バックエンド クラスター
- Premium インフラストラクチャ
- モバイル プラットフォーム
Web フロントエンド クラスター
Web UI を表示する Power Platform サービスに適用されます。 Web フロントエンド クラスターは、アプリケーションまたはサービスのホーム ページをユーザーのブラウザーに提供します。 Microsoft Entra を使用して最初にクライアントを認証し、後続のクライアント接続用トークンを Power Platform バックエンド サービスに提供します。
Web フロントエンド クラスターは、Azure App Service Environment で実行される ASP.NET Web サイトで構成されます。 ユーザーが Power Platform サービスまたはアプリケーションにアクセスすると、クライアントの DNS サービスは、Azure Traffic Manager から最も適切な (通常は最も近い) データセンターを取得する可能性があります。 詳細については、Azure Traffic Manager のパフォーマンス トラフィック ルーティング方法 を参照してください。
Web フロントエンド クラスターは、ログインと認証のシーケンスを管理します。 ユーザーが認証されると、Microsoft Entra アクセス トークンを取得します。 ASP.NET コンポーネントはトークンを解析して、ユーザーが属する組織を判別します。 次に、コンポーネントは Power Platform グローバル バックエンド サービスに問い合わせて、組織のテナントを格納するバックエンド クラスターをブラウザーに指定します。 その後のクライアントとのやり取りは、Web フロントエンド の仲介を必要とせずに、バックエンド クラスターで直接行われます。
ブラウザーは、主に Azure Content Delivery Network (CDN) から、.js、.css、画像ファイルなどの静的リソースを取得します。 政府機関のクラスター展開は例外です。 コンプライアンス上の理由から、これらの展開では Azure CDN が省略されています。 代わりに、準拠領域の Web フロントエンド クラスターを使用して静的コンテンツをホストします。
Power Platform バックエンド クラスター
バックエンド クラスターは、Power Platform サービスで利用できるすべての機能のバックボーンとなります。 サービス エンドポイント、バックグラウンドで動作するサービス、データベース、キャッシュ、およびその他のコンポーネントで構成されています。
バックエンドは、ほとんどの Azure リージョンで利用でき、新しいリージョンが利用可能になると展開されます。 1 つのリージョンで複数のクラスターをホストできます。 この構成により、1 つのクラスターの垂直および水平スケーリング制限に達した後、Power Platform サービスは無制限に水平スケーリングを行うことができます。
バックエンド クラスターはステートフルです。 バックエンド クラスターは、それに割り当てられたすべてのテナントのすべてのデータをホストします。 特定のテナントのデータを含むクラスターは、テナントのホーム クラスターと呼ばれます。 認証されたユーザーのホーム クラスターに関する情報は、Power Platform グローバル バックエンド サービスによって Web フロントエンド クラスターに提供されます。 Web フロントエンドは、この情報を使用して、テナントのホーム バックエンド クラスターに要求をルーティングします。
テナントのメタデータとデータは、クラスターの制限内に保存されます。 例外は、同じ Azure geography のペア リージョンにあるセカンダリ バックエンド クラスターへのデータ レプリケーションです。 セカンダリー クラスターは、地域的な障害が発生した場合にフェールオーバーとして機能し、それ以外の場合はパッシブになります。 クラスターの仮想ネットワーク内のさまざまなマシンで実行されているマイクロサービスも、バックエンド機能を提供します。 これらのマイクロサービスのうち、パブリック インターネットからアクセスできるのは 2 つだけです:
- ゲートウェイ サービス
- Azure API Management
Power Platform Premium インフラストラクチャ
Power Platform Premiumは、有料サービスとして拡張されたコネクタ セットへのアクセスを提供します。 Power Platform の作成者はプレミアム コネクタの使用に制限はありませんが、アプリ ユーザーは制限があります。 これは、プレミアム コネクタを含むアプリのユーザーは、アクセスするために正しいライセンスを持っている必要があるということです。 Power Platform バックエンド サービスは、ユーザーがプレミアム コネクタにアクセスできるかどうかを判断します。
モバイル プラットフォーム
Power Platform は、Android、iOS、Windows (UWP) アプリケーションをサポートしています。 モバイル アプリのセキュリティ対策は、2 つのカテゴリーに分けられます:
- デバイスの通信
- デバイス上のアプリケーションとデータ
デバイスの通信
Power Platform モバイル アプリは、ブラウザーで使用されるのと同じ接続および認証シーケンスを使用します。 Android および iOS アプリは、アプリでブラウザー セッションを開きます。 Windows アプリは、ブローカーを使用して、サインイン プロセスのために Power Platform サービスとの通信チャネルを確立します。
次の表は、モバイル アプリに対する証明書ベースの認証 (CBA) のサポートを示しています。
| CBA サポート | iOS | Android | ウィンドウ |
|---|---|---|---|
| サービスにサインイン | サポート対象 | サポート対象 | サポートしていません |
| SSRS ADFS オンプレミス (SSRS サーバーに接続) | サポートしていません | サポート対象 | サポートしていません |
| SSRS アプリ プロキシ | サポート対象 | サポート対象 | サポートしていません |
モバイル アプリは、Power Platform サービスと積極的に通信します。 アプリの使用統計と同様のデータは、使用と活動を監視するサービスに送信されます。 顧客データは含まれません。
デバイス上のアプリケーションとデータ
モバイル アプリとそれに必要なデータは、デバイスに安全に保存されます。 Microsoft Entra と更新トークンは、業界標準のセキュリティ対策を使用して保存されます。
デバイスにキャッシュされるデータには、アプリ データ、ユーザー設定、以前のセッションでアクセスされたダッシュボードとレポートが含まれます。 キャッシュは内部ストレージのサンドボックスに保存されます。 キャッシュはアプリのみにアクセスでき、OS で暗号化できます。
- iOS: ユーザーがパスコードを設定すると、暗号化は自動で行われます。
- Android: 暗号化は設定で構成することができます。
- Windows: 暗号化は BitLocker によって処理されます。
Microsoft Intune ファイル レベルの暗号化を使用して、データの暗号化を強化できます。 Intune は、モバイル デバイスとアプリケーションの管理を提供するソフトウェア サービスです。 3 つのモバイル プラットフォームはすべて Intune をサポートしています。 Intune を有効にして構成すると、モバイル デバイス上のデータが暗号化され、Power Platform アプリは SD カードにインストールすることができません。
Windows アプリは、Windows 情報保護 (WIP) もサポートしています。
キャッシュされたデータは、ユーザーが次の場合に削除されます:
- アプリをアンインストールする
- Power Platform サービスからサインアウトする
- パスワードの変更後、またはトークンの有効期限が切れた後にサインインできない
位置情報は、ユーザーによって明示的に有効/無効化されます。 有効にすると、位置情報データはデバイスに保存されず、Microsoft とも共有されません。
通知は、ユーザーによって明示的に有効/無効化されます。 通知が有効になっている場合、Android および iOS は、地理データの所在地要件をサポートしません。
Power Platform モバイル サービスは、デバイス上の他のアプリケーション フォルダやファイルにアクセスしません。
一部のトークンベースの認証データは、Authenticator などの他の Microsoft アプリで利用でき、シングル サインオンを有効にします。 このデータは、Microsoft Entra Authentication Library SDK で管理されます。
関連記事
Power Platform サービスに認証する
データソースへの接続と認証
Power Platform のデータ ストレージ
Power Platform のセキュリティに関するよくある質問