[この記事はプレリリース ドキュメントであり、変更されることがあります。]
Microsoft Power Platform 管理センターのロールベースのアクセス制御 (RBAC) は、組織が自信と柔軟性を持って Power Platform リソース全体で 実行できるユーザー を管理できるように設計されたセキュリティ モデルです。 Power Platform RBAC では、アクセス管理に対する最新のアプローチが提供されるため、ユーザー、グループ、およびソフトウェアの自動化に対するアクセス許可の割り当てと適用が簡単になります。
Important
- これはプレビュー機能です。
- プレビュー機能は運用環境向けではなく、機能が制限されている可能性があります。 これらの機能は、追加使用条件の対象であり、公式リリース前にお客様が早期にアクセスし、フィードバックを提供できるよう利用可能になっています。
Power Platform RBAC を使用すると、管理者は次のことができます。
- 特定のリソースにアクセスできるユーザーを指定します。
- 作成、管理、表示など、ユーザーが実行できるアクションを決定します。
- 組織 (テナント)、環境グループ、個々の環境など、さまざまなレベルでアクセス許可を割り当てます。
RBAC はリソースの管理制御を表す Power Platform API レイヤーで動作し、Dataverse は環境内のビジネス データに対して独自の基本 RBAC を提供し続けます。
注
現在、RBAC は、Power Platform API とさまざまな管理 SDK 全体でサービス プリンシパルとマネージド ID のサポートを拡大することに重点を置いている。 Power Platform 管理センターのユーザー エクスペリエンスにおいて、テナント全体よりも小さなスコープで割り当てられた読み取り専用および読み取り/書き込みのアクセス許可は、ロードマップに含まれていますが、まだ完了していません。
Power Platform RBAC の利点
- きめ細かいアクセス: 正確な制御のために、テナント、環境グループ、または環境レベルでロールを割り当てます。
- 組み込みロール: 既定のロール (環境管理者や作成者など) を使用して、組織のアクセス ポリシーに合わせます。
- 柔軟なスコープ: 運用上のニーズに合わせて、幅広いレベルまたは狭いレベルでロールを適用できます。
- 継承: より高いスコープ (テナントなど) での割り当ては、環境グループや環境などの下位スコープによって継承されます。
主な概念
セキュリティ プリンシパル
セキュリティ プリンシパルは、RBAC ロールの割り当てを介してアクセス権を付与できるMicrosoft Entra IDのエンティティです。 サポートされているセキュリティ プリンシパルは次のとおりです。
- ユーザー プリンシパル: 電子メール アドレスを使用する Microsoft Entra ID の個人ユーザー。
- グループ: グループ ID を使用して Microsoft Entra ID のセキュリティが有効なグループ。
- サービス プリンシパル/マネージド ID: Microsoft Entra ID でのアプリの登録と、システムとユーザー定義のマネージド ID の両方。 それぞれのエンタープライズ オブジェクト ID を使用して割り当てられます。
Scope
これは、割り当てが行われる階層のレベルです。
- テナント: すべての環境グループと環境にわたる広範なアクセス許可。
- 環境グループ: 集合管理のための環境の論理グループ。 アクセス許可は、グループ内のすべての環境に適用されます。
- 環境: アプリ、エージェント、データ、自動化用の個々のワークスペース。 アクセス許可は、この特定の環境のすべてのリソースに適用されます。
より広範なスコープ レベルの割り当てでは、特にオーバーライドされない限り、下位レベルで継承済みアクセス許可が提供されます。
ロールの割り当て
ロールの割り当ては、セキュリティ プリンシパル、組み込みのロール定義、およびスコープ間のリンクです。 割り当ての例には、環境グループ全体の管理を別のユーザーまたはマネージド ID に委任し、中央 IT がテナントの残りの部分を管理するための時間を解放することが含まれます。
Power Platform での RBAC の管理
RBAC の割り当ては、Power Platform API と SDK を使用して管理できます。 これらの API と SDK には、大規模な組織での自動化と統合に適した、役割を管理するためのプログラムによるオプションが用意されています。 詳細なチュートリアルについては、「 チュートリアル: サービス プリンシパルにロールを割り当てる」を参照してください。
データストレージと信頼性
ロールの定義と割り当ては、信頼性の高い適用とグローバル アクセスを確保するために、テナント用に安全かつ一元的に保存され、リージョン間で同期されます。
ロールの定義
ロール定義は、許可されるアクションを記述するアクセス許可のコレクションです。 割り当て可能なスコープは、各組み込みロールによって決まります。 ロールは、顧客がカスタマイズまたは変更することはできません。
組み込みの Power Platform ロール
Power Platform RBAC のユーザー、グループ、およびサービス プリンシパルに割り当てるには、次の組み込みロールを使用できます。
| 役割名 | ロール ID | 割り当て可能なスコープ | Permissions |
|---|---|---|---|
| Power Platform のロールベースのアクセス制御管理者 | 95e94555-018c-447b-8691-bdac8e12211e | /テナント/{0} | .Read や Authorization.RoleAssignments.Write、Authorization.RoleAssignments.Delete で終わるすべてのアクセス許可。 |
| Power Platform リーダー | c886ad2e-27f7-4874-8381-5849b8d8a090 | /テナント/{0} | .Readで終わるすべてのアクセス許可 |
| Power Platform 貢献者 | ff954d61-a89a-4fbe-ace9-01c367b89f87 | /テナント/{0} | すべてのリソースを管理および読み取ることができますが、ロールの割り当てを行ったり変更したりすることはできません |
| Power Platform 所有者 | 0cb07c69-1631-4725-ab35-e59e001c51ea | /テナント/{0} | すべての権限 |
アクセス許可、ロール、統合の詳細については、 Power Platform API リファレンスを参照してください。 これらのロールをプログラムで割り当てる方法については、「 チュートリアル: サービス プリンシパルにロールを割り当てる」を参照してください。