Power Platform 向け Virtual Network のサポートの概要
Power Platform 向け Azure Virtual Network サポートを活用すると、リソースを公共のインターネットに曝さずに、Power Platform を仮想ネットワーク内のリソースに統合できます。 仮想ネットワーク サポートは、Azure サブネット委任 を使用して、実行時に Power Platform からの送信トラフィックを管理します。 Azure サブネット委任を使用すると、保護されたリソースをインターネット経由で利用して Power Platform と統合する必要がなくなります 。 仮想ネットワークのサポートにより、Power Platform コンポーネントは、Azure とオンプレミスのどちらでホストされているかどうかに関係なく、ネットワーク内で企業が所有するリソースを呼び出すことができ、プラグインとコネクタ (プレビュー) を使用して発信呼び出しを行うことができます。
Power Platform は通常、パブリック ネットワークを介してエンタープライズ リソースと統合します。 パブリック ネットワークでは、パブリック IP アドレスを記述する Azure IP 範囲またはサービス タグのリストからエンタープライズ リソースにアクセスできる必要があります。 ただし、Power Platform 向け Azure 仮想ネットワーク サポートを活用することで、プライベート ネットワークを使用することができますが、それでもクラウド サービスやエンタープライズ ネットワーク内でホストされているサービスと統合できます。
Azure サービスは、プライベート エンドポイント によって Virtual Network 内で保護されます。 エクスプレス ルート を使用して、オンプレミスのリソースを Virtual Network 内に取り込むことができます。
Power Platform は、委任された Virtual Network とサブネットを使用して、エンタープライズ プライベート ネットワーク経由でエンタープライズ リソースへ通話を発信することができます。 プライベート ネットワークを使用すると、企業リソースが公開される可能性があるパブリック インターネット経由でトラフィックを転送する必要がなくなります。
Virtual Network では、Power Platform からのアウトバウンド トラフィックを完全に制御できます。 トラフィックは、ネットワーク管理者によって適用されるネットワーク ポリシーの対象になります。 次の図は、ネットワーク内のリソースが Virtual Network とどのように対話するかを示しています。
Virtual Network のサポートのメリット
Virtual Network のサポートにより、Power Platform と Dataverse コンポーネントは、次のような Azure サブネット委任が提供する メリットを得ることができます。
データ保護: 仮想ネットワークでは、Power Platform サービスを使用して、プライベートな保護されたリソースをインターネットに公開せずに接続することができます。
不正アクセス禁止: Virtual Network は Power Platform IP 範囲または接続内サービス タグを必要とせずに、リソースと接続します。
サポートされているシナリオ
Power Platform は、Dataverse プラグインと コネクタ (プレビュー) の両方に対する Virtual Network のサポートを有効にします。 このサポートにより、Power Platform から Virtual Network 内のリソースへの安全でプライベートなアウトバウンド接続を確立できます。 Dataverse プラグインとコネクタ (プレビュー) は、Power Apps、Power Automate、および Dynamics 365 アプリから外部データ ソースに接続することにより、データ統合のセキュリティを強化します。 たとえば、以下を実行できます。
- Dataverse プラグイン を使用して、Azure SQL、Azure Storage、BLOB ストレージ、Azure Key Vault などのクラウド データ ソースに接続します。 データ流出やその他のインシデントからデータを保護できます。
- Dataverse プラグイン を使用して、Web API などの Azure 内のプライベートなエンドポイントで保護されたリソースや、SQL や Web API などのプライベート ネットワーク内のリソースに安全に接続します。 データの侵害やその他の外部脅威からデータを保護できます。
- Virtual Network 対応コネクタ (プレビュー) (SQL Server (プレビュー) など) を使用して、Azure SQL や SQL Server などのクラウドでホストされるデータ ソースに、インターネットに公開することなく安全に接続します。 同様に、Azure Queue (プレビュー) コネクタを使用して、プライベートのエンドポイント対応 Azure Queue への安全な接続を確立できます。
- Azure Key Vault (プレビュー) コネクタを使用して、プライベートでエンドポイント保護された Azure Key Vault に安全に接続します。
- HTTP With Microsoft Entra ID (プレビュー) を使用して、Microsoft Entra ID でサービス認証に安全に接続します。
- カスタム コネクタ (プレビュー) を使用して、Azure のプライベート エンドポイントで保護されているサービス、またはプライベート ネットワーク内でホストされているサービスに安全に接続します。
制限
- コネクタを使用するDataverse ローコード プラグイン は、コネクタの種類がサブネット委任を使用するように更新されるまでサポートされません。
- 仮想ネットワーク対応の Power Platform 環境では、コピー、バックアップ、復元などの環境ライフサイクル操作を使用します。 復元操作は、同じ仮想ネットワーク内だけでなく、同じ仮想ネットワークに接続されている場合は異なる環境間でも実行できます。 さらに、仮想ネットワークをサポートしていない環境からサポートしている環境への復元操作も許可されます。
サポートされているリージョン
Power Platform 環境とエンタープライズ ポリシーが、サポートされている Power Platform リージョンと Azure リージョンにあることを確認します。 たとえば、Power Platform 環境が米国にある場合、Virtual Network、サブネット、およびエンタープライズ ポリシーは、eastus または westus Azure リージョンに存在する必要があります。
| Power Platform 地域 | Azure リージョン |
|---|---|
| アメリカ合衆国 | eastus、westus |
| 南アフリカ | eouthafricanorth、southafricawest |
| 英国 | uksouth、ukwest |
| 日本 | japaneast、japanwest |
| インド | centralindia、southindia |
| フランス | francecentral、francesouth |
| 欧州 | westeurope、northeurope |
| ドイツ | germanynorth、germanywestcentral |
| スイス | switzerlandnorth、switzerlandwest |
| カナダ | canadacentral、canadaeast |
| ブラジル | brazilsouth、southcentralus |
| オーストラリア | australiasoutheast、australiaeast |
| アジア | eastasia、southeastasia |
| UAE | uaecentral、uaenorth |
| 韓国 | koreasouth、koreacentral |
| ノルウェイ | norwaywest、norwayeast |
| シンガポール | southeastasia |
| スウェーデン | swedencentral |
サポートされているサービス
次のテーブルは、Power Platform の仮想ネットワーク サポートの Azure サブネット委任をサポートするサービスを示しています。
| 地域 | Power Platform サービス | Virtual Network のサポートの可用性 |
|---|---|---|
| Dataverse | Dataverse プラグイン | 一般に入手可能 |
| コネクタ | プレビュー |
ライセンス要件
Power Platform 向け仮想ネットワークのサポートは、マネージド環境に対してアクティブ化された環境でのみ適用されます。 マネージド環境は、スタンドアロンの Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与する Dynamics 365 ライセンスに権利として含まれます。 管理された環境のライセンス の詳細は、Microsoft Power Platform のライセンスの概要 を参照してください。
さらに、Power Platform の仮想ネットワーク サポートを使用するには、仮想ネットワークが有効になっている環境のユーザーが次のいずれかのサブスクリプションを持っている必要があります。
- Microsoft 365 または Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 Compliance
- Microsoft 365 F5 Security & Compliance
- Microsoft 365 A5/E5/F5/G5 情報保護とガバナンス
- Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー
Power Platform 環境で Virtual Network サポートを有効にするための考慮事項
Power Platform 環境で Virtual Network サポートを使用すると、Dataverse プラグインおよびコネクタ (プレビュー) などのサポートされているすべてのサービスが、委任されたサブネットで実行時にリクエストを実行して、ネットワーク ポリシーに適用されます。 公開されているリソースへの呼び出しが中断され始めます。
重要
Power Platform 環境向けに仮想環境サポートを有効にする前に、プラグインとコネクタ (プレビュー) のコードを必ず確認してください。 プライベート接続で動作するには、URL と接続を更新する必要があります。
たとえば、プラグインが一般公開されているサービスに接続しようとしても、ネットワーク ポリシーにより Virtual Network 内でのパブリック インターネット アクセスが許可されない場合があります。 プラグインからの呼び出しは、ネットワーク ポリシーに従ってブロックされます。 呼び出しのブロックを回避するには、Virtual Network で一般に公開されたサービスをホストします。 また、サービスが Azure でホストされている場合、Power Platform 環境で Virtual Network サポートを有効にする前に、サービスでプライベート エンドポイントを使用することができます。
よくあるご質問
仮想ネットワーク データ ゲートウェイと Power Platform の Azure Virtual Network サポートの違いは何ですか?
仮想ネットワーク データ ゲートウェイは、オンプレミスのデータ ゲートウェイを設定せずに、仮想ネットワーク内から Azure および Power Platform サービスにアクセスできるようにするマネージド ゲートウェイです。 たとえば、ゲートウェイは Power BI および Power Platform データフローの ETL (抽出、変換、読み込み) ワークロード用に最適化されています。
Power Platform 用 Azure Virtual Network サポートでは、Power Platform 環境の Azure サブネット委任を使用します。 サブネットは Power Platform 環境内のワークロードによって使用されます。 Power Platform API は、リクエストの有効期間が短く、多数のリクエストに合わせて最適化されているため、Virtual Network サポートを使用します。
Power Platform と仮想ネットワーク データ ゲートウェイの Virtual Network サポートを使用する必要があるシナリオは何ですか?
Power Platform の Virtual Network サポートは、Power BI と Power Platform データフロー を除く Power Platform からのアウトバウンド接続のすべてのシナリオでサポートされている唯一のオプションです。
Power BI と Power Platform データフロー は、仮想ネットワーク (VNet) データ ゲートウェイ を引き続き使用します。
ある顧客の仮想ネットワーク サブネットやデータ ゲートウェイを Power Platform の別の顧客が使用していないことを確認するにはどうすればよいですか?
Power Platform 用 Virtual Network サポートは、Azure サブネット委任を使用します。
各 Power Platform 環境は 1 つの仮想ネットワーク サブネットにリンクされます。 その環境からの呼び出しのみが、その仮想ネットワークへのアクセスを許可されます。
委任することで、仮想ネットワークに注入する必要がある Azure のサービスとしてのプラットフォーム (PaaS) の特定のサブネットを指定できるようになります。
Power Platform の Virtual Network サポートは、フェイルオーバーをサポートしていますか?
はい、セットアップ中にプライマリおよびフェールオーバーの仮想ネットワークとサブネットを委任する必要があります。
あるリージョンの Power Platform 環境は、別のリージョンでホストされているリソースにどのように接続できますか?
Power Platform 環境にリンクされた Virtual Network は、Power Platform 環境のリージョン に存在する必要があります。 Virtual Network が別のリージョンにある場合は、Power Platform 環境のリージョンに Virtual Network を作成し、Virtual Network ピアリング を使用して 2 つのリージョンをブリッジします。
委任されたサブネットからのアウトバウンド トラフィックを監視できますか?
はい。 ネットワーク セキュリティ グループやファイアウォールを使用して、委任されたサブネットからのアウトバウンド トラフィックを監視できます。
サブネットで委任するには、Power Platform でいくつの IP アドレスが必要ですか?
少なくとも 24 のクラスレス ドメイン間ルーティング (CIDR) か、または 255 の IP をサブネットで委任する必要があります。 同じサブネットを複数の環境に委任する場合、そのサブネット内でさらに多くの IP アドレスが必要です。
環境がサブネット委任されたら、プラグインからインターネット バインドされた呼び出しを行うことができますか?
はい。 プラグインからインターネット経由の通話を行うことができますが、サブネットは、Azure NAT ゲートウェイで構成されている必要があります。
サブネット IP アドレスの範囲を "Microsoft.PowerPlatform/enterprisePolicies" に委任した後に更新できますか?
いいえ。 サブネットの IP アドレス範囲を "Microsoft.PowerPlatform/enterprisePolicies" に一度委任すると、変更できません。
私の Virtual Network には、カスタム DNS が構成されています。 Power Platform は、カスタム DNS を使用しますか?
はい Power Platform は委任されたサブネットを保持する Virtual Network 内で構成されたカスタム DNS を使用して、すべてのエンドポイントを解決します。 環境が委任されたら、正しいエンドポイント を使用するようにプラグインを更新して、カスタム DNS が解決できるようにすることができます。
私の環境には ISV が提供するプラグインがあります。これらのプラグインは委任されたサブネットで実行されますか?
はい。 すべての顧客プラグインと ISV プラグインは、サブネットを使用して実行できます。 ISV プラグインに送信接続がある場合、それらの URL をファイアウォールにリストする必要がある場合があります。
私のオンプレミスのエンドポイント TLS 証明書は、有名なルート証明機関 (CA) によって署名されていません。 不明な証明書をサポートしていますか?
いいえ。 エンドポイントが完全なチェーンを含む TLS 証明書を提示していることを確認する必要があります。 カスタム ルート CA を既知の CA のリストに追加することはできません。
顧客テナント内の Virtual Network の推奨設定は何ですか?
特定のトポロジはお勧めしません。 ただし、当社のお客様はハブアンドスポーク トポロジ ネットワーク モデルを広く使用しています。
Virtual Network をアクティブ化するには、Azure サブスクリプションを Power Platform テナントにリンクする必要がありますか?
はい、Power Platform 環境で Virtual Network のサポートを有効にするには、Power Platform テナントに関連付けられた Azure サブスクリプションが必要です。
Power Platform は、Azure サブネット委任をどのように使用しますか?
Power Platform 環境に委任された Azure サブネットが割り当てられている場合、Azure Virtual Network インジェクションを使用して、実行時にコンテナーを委任されたサブネットに挿入します。 このプロセス中、コンテナーのネットワーク インターフェイス カード (NIC) に委任されたサブネットから IP アドレスが割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
Power Platform の既存の Virtual Network を使用できますか?
はい、Virtual Network 内の 1 つの新しいサブネットが Power Platform に特別に委任されている限り、Power Platform の既存の Virtual Network を使用できます。 この委任されたサブネットは、他のサービスをホストしてはならないことに注意することが重要です。
カナダに Power Platform 環境がある場合、フェールオーバーとして米国東部 2 を使用できますか?
適切なフェールオーバーを確保するには、プライマリ サブネットとフェールオーバー サブネットをそれぞれ canadacentral と canadaeast にプロビジョニングする必要があります。 効果的なフェールオーバーには、プライマリ サブネットとフェールオーバー サブネットをそれぞれ canadacentral と canadaeast リージョンに作成します。 さらに、接続用の useast2 リージョン内の Virtual Network を含む、プライマリ Virtual Network とフェールオーバー Virtual Network の間に Virtual Network ピアリングを確立します。
Dataverse プラグインとは何ですか?
Dataverse プラグインは、Power Platform 環境に展開できるカスタム コードです。 このプラグインは、イベント (データの変更など) 中に実行するように構成することも、カスタム API としてトリガーすることもできます。 詳細: Dataverse プラグイン
Dataverse プラグインはどのように実行されますか?
Dataverse プラグインはコンテナー内で動作します。 Power Platform 環境に委任されたサブネットが割り当てられると、そのサブネットのアドレス空間からの IP アドレスがコンテナーのネットワーク インターフェイス カード (NIC) に割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
同じコンテナー内で複数のプラグインを実行できますか?
はい 特定の Power Platform または Dataverse 環境では、複数のプラグインが同じコンテナー内で動作できます。 各コンテナーはサブネット アドレス空間から 1 つの IP アドレスを使用し、各コンテナーは複数のリクエストを実行できます。
インフラストラクチャは、プラグインの同時実行の増加にどのように対処しますか?
プラグインの同時実行の数が増えると、インフラストラクチャは負荷に対応するために自動的にスケール (アウトまたはイン) します。 Power Platform 環境に委任されたサブネットには、その Power Platform 環境でワークロードの実行のピーク ボリュームを処理するのに十分なアドレス空間が必要です。
Virtual Networkとそれに関連付けられたネットワーク ポリシーを管理するのは誰ですか?
顧客には、Virtual Network とそれに関連するネットワーク ポリシーに対する所有権と管理権があります。 一方、Power Platform は、その Virtual Network 内の委任されたサブネットから割り当てられた IP アドレスを利用します。
異なる Azure リージョンで 2 つの個別の Virtual Network を使用せずに、Dev/Test 環境で Power Platform の Virtual Network サポートを構成するにはどうすればよいですか?
運用ワークロードで適切なフェールオーバーを確実に行うには、プライマリ Azure リージョンとセカンダリ Azure リージョンのそれぞれに 1 つの Virtual Network と 1 つの専用サブネットが必要です。 ただし、開発/テスト環境では、Power Platform 向けに単一の Virtual Network と 2 つの専用サブネットを組み合わせて使用することをお勧めします。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示