Power Platform の Azure Virtual Network サポートを使用すると、パブリック インターネット経由で公開することなく、仮想ネットワーク内のリソースと Power Platform を統合できます。 仮想ネットワーク サポートは、Azure サブネット委任 を使用して、実行時に Power Platform からの送信トラフィックを管理します。 Azure サブネットの委任を使用することで、保護されたリソースをインターネット経由で使用して Power Platform と統合する必要はありません。 仮想ネットワークのサポートを使用すると、Power Platform コンポーネントは、Azure またはオンプレミスのどちらでホストされているかにかかわらず、ネットワーク内の企業が所有するリソースを呼び出し、プラグインとコネクタを使用して送信呼び出しを行うことができます。
Power Platform は通常、パブリック ネットワークを介してエンタープライズ リソースと統合します。 パブリック ネットワークでは、パブリック IP アドレスを記述する Azure IP 範囲またはサービス タグのリストからエンタープライズ リソースにアクセスできる必要があります。 ただし、Azure Virtual Network の Power Platform サポートにより、プライベート ネットワークを使用しながらも、クラウドサービスや企業内ネットワークでホストされているサービスとの統合が可能になります。
Azure サービスは、プライベート エンドポイント によって Virtual Network 内で保護されます。 エクスプレス ルート を使用して、オンプレミスのリソースを Virtual Network 内に取り込むことができます。
Power Platform は、ユーザーが委任した仮想ネットワークとサブネットを使用して、企業プライベートネットワーク経由で企業リソースへのアウトバウンド呼び出しに使用します。 プライベート ネットワークを使用すると、トラフィックをパブリック インターネット経由でルーティングする必要がなく、エンタープライズ リソースが公開される可能性があります。
Virtual Network では、Power Platform からのアウトバウンド トラフィックを完全に制御できます。 トラフィックは、ネットワーク管理者によって適用されるネットワーク ポリシーの対象になります。 次の図は、ネットワーク内のリソースが Virtual Network とどのように対話するかを示しています。
Virtual Network のサポートのメリット
仮想ネットワークのサポートを使用すると、Power Platform と Dataverse コンポーネントには、次のような Azure サブネット委任によって提供されるすべての 利点 が得られます。
データ保護: 仮想ネットワークにより、Power Platform サービスは、プライベートで保護されたリソースをインターネットに公開することなく接続できます。
不正アクセス禁止: 仮想ネットワークは、接続に Power Platform の IP 範囲やサービス タグを必要とせずに、リソースと接続します。
Power Platform 環境のサブネット サイズの見積もり
過去 1 年間のテレメトリ データと観測結果は、運用環境では通常、25 ~ 30 個の IP アドレスが必要であり、ほとんどのユース ケースはこの範囲内に収まることを示しています。 この情報に基づいて、運用環境には 25 から 30 個の IP を割り当て、サンドボックスや開発者環境などの非運用環境には 6 から 10 個の IP を割り当てます。 仮想ネットワークに接続されているコンテナーは、主にサブネット内の IP アドレスを使用します。 環境の使用が開始されると、少なくとも 4 つのコンテナーが作成され、呼び出しボリュームに基づいて動的にスケーリングされますが、通常は 10 から 30 のコンテナー範囲内に残ります。 これらのコンテナーは、それぞれの環境のすべての要求を実行し、並列接続要求を効率的に処理します。
複数の環境の計画
複数の Power Platform 環境で同じ委任されたサブネットを使用する場合は、クラスレスドメイン間ルーティング (CIDR) IP アドレスのブロックが大きくなる可能性があります。 環境を 1 つのポリシーにリンクする場合は、運用環境と非運用環境で推奨される IP アドレスの数を検討してください。 各サブネットは 5 つの IP アドレスを予約するため、これらの予約済みアドレスを見積もりに含めます。
メモ
リソース使用率の可視性を高めるために、製品チームは、エンタープライズ ポリシーとサブネットの委任されたサブネット IP 使用量の公開に取り組んでいます。
IP 割り当ての例
2 つのエンタープライズ ポリシーを持つテナントについて検討します。 最初のポリシーは運用環境用で、2 番目のポリシーは非運用環境用です。
運用エンタープライズ ポリシー
エンタープライズ ポリシーに関連付けられている運用環境が 4 つあり、各環境に 30 個の IP アドレスが必要な場合、IP 割り当ての合計は次のようになります。
(4 つの環境 x 30 IP) + 5 つの予約済み IP = 125 IP
このシナリオでは、128 IP のキャパシティを持つ /25 の CIDR ブロックが必要です。
非稼働企業ポリシー
20 の開発者およびサンドボックス環境を持つ非運用環境のエンタープライズ ポリシーで、各環境に 10 個の IP アドレスが必要な場合、IP 割り当ての合計は次のようになります。
(20 個の環境 x 10 IP) + 5 つの予約済み IP = 205 IP
このシナリオでは、256 IP の容量を持ち、エンタープライズ ポリシーに環境を追加するのに十分な領域を持つ /24 の CIDR ブロックが必要です。
サポートされているシナリオ
Power Platform では、Dataverse プラグインとコネクタの両方に対して Virtual Network がサポート されています。 このサポートを使用すると、Power Platform から仮想ネットワーク内のリソースへの、セキュリティで保護されたプライベートな送信接続を作成できます。 Dataverse プラグインとコネクタは、Power Apps、Power Automate、Dynamics 365 アプリから外部データ ソースに接続することで、データ統合のセキュリティを向上させます。 たとえば、以下を実行できます。
- Dataverse プラグイン を使用して、Azure SQL、Azure Storage、BLOB ストレージ、Azure Key Vault などのクラウド データ ソースに接続します。 データ流出やその他のインシデントからデータを保護できます。
- Dataverse プラグイン を使用して、Web API などの Azure 内のプライベートなエンドポイントで保護されたリソースや、SQL や Web API などのプライベート ネットワーク内のリソースに安全に接続します。 データの侵害やその他の外部脅威からデータを保護できます。
- Virtual Network でサポートされているコネクタ (SQL Server など) を使用して、Azure SQL や SQL Server などのクラウドでホストされるデータ ソースインターネットに公開せずに安全に接続します。 同様に、Azure Queue コネクタを使用して、プライベートのエンドポイント対応 Azure Queue への安全な接続を確立できます。
- Azure Key Vault コネクタを使用して、プライベートでエンドポイント保護された Azure Key Vault に安全に接続します。
- カスタム コネクタ を使用して、Azure のプライベート エンドポイントで保護されているサービスや、プライベート ネットワーク内でホストされているサービスに安全に接続します。
- Azure ファイル ストレージ を使用して、プライベートでエンドポイント対応の Azure ファイル ストレージ に安全に接続します。
- HTTP with Microsoft Entra ID (事前認証済み)を使用して、Microsoft Entra ID またはオンプレミスの Web サービスによって認証された、さまざまな Web サービスからの仮想ネットワーク上のリソースをフェッチします。
制限事項
- コネクタを使用する Dataverse ローコード プラグインは、それらのコネクタ タイプがサブネット委任を使用するように更新されるまでサポートされません。
- 仮想ネットワーク対応の Power Platform 環境において、コピー、バックアップ、および復元といった環境ライフサイクル操作を使用します。 同じ仮想ネットワークに接続されていれば、同じ仮想ネットワーク内および異なる環境で復元操作を実行できます。 さらに、仮想ネットワークをサポートしていない環境からサポートしている環境への復元操作も許可されます。
サポートされているリージョン
仮想ネットワークとエンタープライズ ポリシーを作成する前に、Power Platform 環境のリージョンを検証して、サポートされているリージョンにあることを確認します。
Get-EnvironmentRegionの コマンドレットを使用して、環境のリージョン情報を取得できます。
環境のリージョンを確認したら、サポートされている対応する Azure リージョンでエンタープライズ ポリシーと Azure リソースが構成されていることを確認します。 たとえば、Power Platform 環境が英国にある場合、仮想ネットワークとサブネットは 、uksouth リージョンと ukwest Azure リージョンに存在する必要があります。 Power Platform リージョンに使用可能なリージョン ペアが 2 つ以上ある場合は、環境のリージョンに一致する特定のリージョン ペアを使用する必要があります。 たとえば、 Get-EnvironmentRegion が環境の westus を返す場合、仮想ネットワークとサブネットは eastus と westus である必要があります。
eastus2 が返される場合、仮想ネットワークとサブネットは centralus と eastus2 である必要があります。
| Power Platform リージョン | Azure リージョン |
|---|---|
| 米国 |
|
| 南アフリカ | southafricanorth、southafricawest |
| 英国 | uksouth、ukwest |
| 日本 | japaneast、japanwest |
| インド | centralindia、southindia |
| フランス | francecentral、francesouth |
| ヨーロッパ | westeurope、northeurope |
| ドイツ | germanynorth、germanywestcentral |
| スイス | switzerlandnorth、switzerlandwest |
| カナダ | canadacentral、canadaeast |
| ブラジル | brazilsouth |
| オーストラリア | australiasoutheast、australiaeast |
| アジア | eastasia、southeastasia |
| UAE | uaenorth |
| 韓国 | koreasouth、koreacentral |
| ノルウェイ | norwaywest、norwayeast |
| シンガポール | southeastasia |
| スウェーデン | swedencentral |
| イタリア | italynorth |
| 米国政府 | usgovtexas, usgovvirginia |
メモ
現在、米国政府コミュニティ クラウド (GCC) でのサポートは、GCC High にデプロイされている環境でのみ利用できます。 国防総省 (DoD) と GCC 環境のサポートは利用できません。
サポートされているサービス
以下の表は、Power Platform 向け仮想ネットワークの Azure サブネット委任をサポートするサービスの一覧です。
| 領域 | Power Platform サービス | Virtual Network のサポートの可用性 |
|---|---|---|
| Dataverse | Dataverse プラグイン | 一般に入手可能 |
| コネクタ | 一般に入手可能 | |
| コネクタ | 一般に入手可能 |
サポートされる環境
Power Platform の Virtual Network サポートは、すべての Power Platform 環境で利用できるわけではありません。 次の表に、仮想ネットワークをサポートする環境の種類を示します。
| 環境の種類 | サポートされています |
|---|---|
| 生産 | イエス |
| 既定値 | イエス |
| サンドボックス | イエス |
| Developer | イエス |
| Trial | いいえ |
| Microsoft Dataverse for Teams | いいえ |
Power Platform 環境における仮想ネットワーク サポートを実現するための考慮事項
Power Platform 環境で仮想ネットワークサポートを使用する場合、Dataverse プラグインやコネクタなど、サポート対象のすべてのサービスは、実行時に委任サブネット内でリクエストを実行し、ネットワークポリシーの対象となります。 一般公開されているリソースへの呼び出しが中断し始めます。
重要
Power Platform 環境で仮想環境サポートを有効化する前に、プラグインとコネクタのコードを確認してください。 プライベート接続を使用するには、URL と接続を更新する必要があります。
たとえば、プラグインが一般公開されているサービスに接続しようとしても、ネットワーク ポリシーにより Virtual Network 内でのパブリック インターネット アクセスが許可されない場合があります。 ネットワーク ポリシーは、プラグインからの呼び出しをブロックします。 呼び出しのブロックを回避するには、Virtual Network で一般に公開されたサービスをホストします。 あるいは、サービスが Azure でホストされている場合、Power Platform 環境で仮想ネットワークのサポートを有効化する前に、サービス上のプライベート エンドポイントを使用できます。
よく寄せられる質問
Power Platform の Virtual Network データ ゲートウェイと Azure Virtual Network サポートの違いは何ですか?
Virtual Network データ ゲートウェイは、オンプレミスのデータ ゲートウェイを設定しなくても、仮想ネットワーク内から Azure および Power Platform サービスにアクセスするために使用するマネージド ゲートウェイです。 たとえば、ゲートウェイは Power BI および Power Platform データフローの ETL (抽出、変換、読み込み) ワークロード用に最適化されています。
Power Platform 向けの Azure Virtual Network サポートは、Power Platform 環境向けに Azure サブネットの委任を使用します。 サブネットは、Power Platform 環境内のワークロードが使用します。 Power Platform API ワークロードは、リクエストの有効期間が短く大量のリクエストに最適化されているため、仮想ネットワークサポートを使用します。
Power Platform の仮想ネットワークサポートと仮想ネットワーク データ ゲートウェイを使用すべきシナリオはどのようなものですか?
Power Platform の仮想ネットワークサポートは、Power BI と Power Platform データフローを除く、Power Platform からのアウトバウンド接続に関するすべてのシナリオにおいて、唯一のサポート対象オプションです。
Power BI と Power Platform データフロー は、仮想ネットワーク (vNet) データ ゲートウェイを引き続き使用します。
Power Platform において、ある顧客の仮想ネットワークサブネットまたはデータ ゲートウェイが別の顧客に使用されないようにするにはどうすればよいですか?
Power Platform 用 Virtual Network サポートは、Azure サブネット委任を使用します。
各 Power Platform 環境は、1 つの仮想ネットワーク サブネットにリンクされています。 その環境からの呼び出しのみが、その仮想ネットワークへのアクセスを許可されます。
委任することで、仮想ネットワークに注入する必要がある Azure のサービスとしてのプラットフォーム (PaaS) の特定のサブネットを指定できるようになります。
仮想ネットワークは Power Platform のフェイル オーバーをサポートしますか?
はい、Power Platform リージョンに関連付けられている両方の Azure リージョンの仮想ネットワークを委任する必要があります。 たとえば、Power Platform 環境がカナダにある場合、CanadaCentral および CanadaEast に仮想ネットワークを作成、委任、構成する必要があります。
あるリージョンの Power Platform 環境は、別のリージョンでホストされているリソースにどのように接続できますか?
Power Platform 環境にリンクされた仮想ネットワークは、その Power Platform 環境のリージョン内に存在する必要があります。 仮想ネットワークが別のリージョンにある場合、Power Platform 環境のリージョンに仮想ネットワークを作成し、両方の Azure リージョンのサブネット委任仮想ネットワーク間で仮想ネットワーク ピアリングを使用して、別のリージョンにある仮想ネットワークとの接続を確立します。
委任されたサブネットからのアウトバウンド トラフィックを監視できますか?
はい ネットワーク セキュリティ グループやファイアウォールを使用して、委任されたサブネットからのアウトバウンド トラフィックを監視できます。 詳細については、「 Azure Virtual Network の監視」を参照してください。
環境がサブネット委任された後、プラグインまたはコネクタからインターネットへの呼び出しを行うことはできますか?
はい プラグインまたはコネクタからインターネット接続コールを発信できますが、委任されたサブネットには Azure NAT ゲートウェイが構成されている必要があります。
サブネット IP アドレスの範囲を "Microsoft.PowerPlatform/enterprisePolicies" に委任した後に更新できますか?
いいえ、ご使用の環境でこの機能が使用されている間は使用できません。 サブネットの IP アドレス範囲は、「Microsoft.PowerPlatform/enterprisePolicies」に委任した後は変更できません。変更すると、委任構成が破損し、環境が動作しなくなります。 IP アドレス範囲を変更するには、 環境から委任機能を削除し、必要な変更を行い、環境の機能を有効にします。
仮想ネットワークが「Microsoft.PowerPlatform/enterprisePolicies」に委任された後、その DNS アドレスを更新することはできますか?
いいえ、ご使用の環境でこの機能が使用されている間は使用できません。 "Microsoft.PowerPlatform/enterprisePolicies" に委任された後、仮想ネットワークの DNS アドレスを変更することはできません。これを行うと、構成で変更が取得されず、環境が動作しなくなる可能性があります。 DNS アドレスを変更するには、 環境から委任機能を削除し、必要な変更を行い、環境の機能を有効にします。
複数の Power Platform 環境で同じエンタープライズ ポリシーを使用できますか?
はい 同じエンタープライズ ポリシーを複数の Power Platform 環境で使用できます。 しかし、リリース サイクルの早い環境は、他の環境と同じエンタープライズ ポリシーで使用できないという制限があります。
私の Virtual Network には、カスタム DNS が構成されています。 Power Platform は、カスタム DNS を使用しますか?
はい Power Platform は、委任されたサブネットを保持する仮想ネットワークで構成されたカスタム DNS を使用して、すべてのエンドポイントを解決します。 環境を委任したら、プラグインを更新して適切なエンドポイントを使用し、カスタム DNS で解決できるようにします。
私の環境には ISV が提供するプラグインがあります。これらのプラグインは委任されたサブネットで実行されますか?
はい すべての顧客プラグインと ISV プラグインは、サブネットを使用して実行できます。 ISV プラグインに送信接続がある場合、それらの URL をファイアウォールにリストする必要がある場合があります。
私のオンプレミスのエンドポイント TLS 証明書は、有名なルート証明機関 (CA) によって署名されていません。 不明な証明書をサポートしていますか?
いいえ。 エンドポイントが完全なチェーンを含む TLS 証明書を提示していることを確認する必要があります。 カスタム ルート CA を既知の CA のリストに追加することはできません。
顧客テナント内の Virtual Network の推奨設定は何ですか?
特定のトポロジはお勧めしません。 ただし、弊社のお客様は Azure のハブスポーク ネットワークトポロジ を広く使用しています。
Azure サブスクリプションを Power Platform テナントにリンクすることは、仮想ネットワークを有効化するために必要となりますか?
はい、Power Platform 環境で仮想ネットワークのサポートを有効にするには、Power Platform テナントに関連付けられた Azure サブスクリプションが必須です。
Power Platform は、Azure サブネット委任をどのように使用しますか?
Power Platform 環境に委任された Azure サブネットが割り当てられている場合、Azure Virtual Network インジェクションを使用して、コンテナを実行時に委任されたサブネットに注入する目的で使用されます。 このプロセス中、コンテナーのネットワーク インターフェイス カード (NIC) に委任されたサブネットから IP アドレスが割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
Power Platform の既存の Virtual Network を使用できますか?
はい、既存の仮想ネットワークを Power Platform で使用できます。ただし、その仮想ネットワーク内に Power Platform 専用に割り当てられた新規サブネットが 1 つ存在する場合に限ります。 委任されたサブネットはサブネットの委任専用にする必要があり、他の目的には使用できません。
同じ委任サブネットを複数のエンタープライズ ポリシーで再利用できますか?
いいえ。 複数のエンタープライズ ポリシーで同じサブネットを再利用することはできません。 各 Power Platform のエンタープライズ ポリシーは、委任用に固有のサブネットを必ず持つ必要があります。
Dataverse プラグインとは何ですか?
Dataverse プラグインは、Power Platform 環境にデプロイできるカスタム コードの一部です。 このプラグインは、イベント (データの変更など) 中に実行されるように構成することも、カスタム API としてトリガーすることもできます。 詳細については、「 Dataverse プラグイン」を参照してください。
Dataverse プラグインはどのように実行されますか?
Dataverse プラグインはコンテナー内で実行されます。 委任されたサブネットを Power Platform 環境に割り当てると、コンテナーのネットワーク インターフェイス カード (NIC) はそのサブネットのアドレス空間から IP アドレスを取得します。 ホスト (Power Platform) とコンテナーは、コンテナー上のローカル ポートを介して通信し、トラフィックは Azure Fabric 経由で流れます。
同じコンテナー内で複数のプラグインを実行できますか?
はい 特定の Power Platform または Dataverse 環境では、同じコンテナー内で複数のプラグインを実行できます。 各コンテナーはサブネット アドレス空間から 1 つの IP アドレスを使用し、各コンテナーは複数の要求を実行できます。
インフラストラクチャは、プラグインの同時実行の増加にどのように対処しますか?
プラグインの同時実行の数が増えると、インフラストラクチャは負荷に対応するために自動的にスケール (アウトまたはイン) します。 Power Platform 環境に割り当てられたサブネットは、その Power Platform 環境内のワークロードの実行ピーク量を処理するのに十分なアドレス空間を備えている必要があります。
Virtual Networkとそれに関連付けられたネットワーク ポリシーを管理するのは誰ですか?
仮想ネットワークとそれに関連付けられているネットワーク ポリシーに対する所有権と制御があります。 一方、Power Platform は、その仮想ネットワーク内の委任されたサブネットから割り当てられた IP アドレスを使用します。
Azure 対応プラグインは仮想ネットワークをサポートしていますか?
いいえ、Azure 対応プラグインは仮想ネットワークをサポートしていません。