次の方法で共有

Azure リソースへのセキュアな Power Platform アクセス

Power Platform では Azure Virtual Network の使用をサポートし、パブリック インターネットに公開することなく仮想ネットワーク内のリソースにアクセスできます。

チップ

この記事では、Azure Virtual Network を使用して Azure リソースへの Power Platform のアクセスを保護する方法について、シナリオ例と一般的なアーキテクチャ例を示します。 アーキテクチャの例は、さまざまなシナリオや業界に合わせて変更できます。

アーキテクチャ ダイアグラム

Azure リソースへのセキュアな Power Platform のアクセスを示すアーキテクチャ図。

Workflow

次の手順では、アーキテクチャ図の例に示されているワークフローについて説明します。

  1. サポート案件管理アプリケーション: Power Apps キャンバスまたはモデル駆動型アプリは、Power Platform カスタム コネクター使用して、Azure でホストされているバックエンド データベースまたはサービスにアクセスします。 構成は環境レベルで、必要に応じて特定の Azure 仮想ネットワークに接続します。 たとえば、開発環境では仮想ネットワークを使用する必要がないが、テストと運用環境では使用する場合があります。

  2. 検索要求: アプリからの検索要求では、Power Platform カスタム コネクタを使用して、Azureでホストされているバックエンド API にアクセスします。

  3. 承認の要求: バックエンド API は Microsoft Entra ID によって保護され、Microsoft Entra ID はアプリに対するユーザーを認証します。 コネクタは、OAuth を使用して、バックエンド API へのユーザーのアクセスを承認します。 コネクタは、Power Platform 環境変数を使用して Azure Key Vault からクライアント ID とシークレットを取得します。

  4. ネットワーク アクセス: バックエンド API は Azure 仮想ネットワークでホストされ、パブリック ネットワークへのアクセスは許可されません。 仮想ネットワークは Power Platform 環境のサブネットを委譲し、Azure のパブリック ネットワークを使用せずに API リクエストと応答がネットワークを通過できるようにします。

  5. バックエンド API 検索: バックエンド API は検索要求を受信し、要求を行ったユーザーのコンテキストでデータベース検索を実行します。

コンポーネント

Power Platform 環境: Power Platform リソースが含まれます。 環境は、データ アクセスとセキュリティの境界です。 Power Platform 環境は、Power Platform リソースが仮想ネットワーク内の Azure リソースと通信できる Azure 仮想ネットワーク統合を使用するように構成できます。

Power Apps: ソリューションのユーザー エクスペリエンスを実装します。 ユーザーは Microsoft Entra ID を使用してキャンバスまたはモデル駆動型アプリにサインインします。

Power Platform カスタム コネクタ: Power Platform アプリケーションが接続するサービスから利用可能な操作を定義します。

Azure Virtual Network: オンプレミスやその他の Azure ネットワーク機能とのハイブリッド接続をサポートし、クラウド内の仮想ネットワークを提供します。 仮想ネットワークは、Power Platform リソースにサブネットワークを委譲することができ、Power Platform リソースと Azure リソースがパブリック ネットワーク経由でトラフィックを送信することなく、プライベート ネットワーク上でやり取りできるようにします。

Azure Key Vault: OAuth を使用してバックエンド API に接続するために必要な資格情報を格納します。 バックエンド API と同様に、Power Platform リソースは仮想ネットワーク経由で Azure Key Vault にアクセスします。

シナリオの詳細

セキュリティ ニーズの高い組織は、内部システムとクラウド サービス間の安全な通信を確保する必要があります。 利用可能なセキュリティ制御を使用し、ソリューション アーキテクチャの一部として Power Platform と Azure リソース間の仮想ネットワークを統合します。

アプリケーションコンポーネント間にネットワークセキュリティ制御を実装することは、特にテクノロジーの抽象化レベルが異なる場合、多くの場合、課題が生じます。 Azure Virtual Network を使用すると、一般的なマルチネットワーク ソリューションのような複雑さを伴うことなく、 Power Platform および Azure コンポーネントを使用してソリューションを構築できます。 このアーキテクチャの例では、仮想ネットワーク サブネットの委譲を使用して、Power Platform と Azure のリソースを、シンプルさとセキュリティを犠牲にすることなく、両製品の強みを活かしたソリューションで連携させています。

考慮事項

これらの考慮事項は、ワークロードの品質を向上させる一連の基本原則である Power Platform Well-Architected の柱を実行します。 詳細については、Microsoft Power Platform Well-Architected を参照してください。

信頼性

冗長性: Power Platform インフラストラクチャは、顧客が明示的に操作しなくても、プライマリおよびフェイルオーバーのリージョンを使用するように構築されています。 たとえば、Power Platform 環境が米国西部にある場合、フェールオーバー リージョンは米国東部になります。 最高の回復性を実現するには、ペアになっている両方の Azure リージョンに仮想ネットワークを設定し、それらの間にピアリング接続を確立します。 このセットアップにより、災害発生時に Azure リソースのシームレスな フェールオーバー が可能になります。 詳細情報については、事業継続とディザスター リカバリー仮想ネットワークのセットアップと構成のサンプル シナリオを参照してください。

セキュリティ

データ アクセス制御: ソリューションの API、データストア、その他の Azure リソースは隔離され、仮想ネットワークに接続された Power Platform 環境で実行されているアプリケーションからのみアクセス可能です。

意図的なセグメンテーションと境界: Azure Virtual Network の統合は Power Platform と Azure のリソースが他のクラウド ネットワークの干渉から分離され、安全に通信できるようにします。 このセットアップにより、開発環境などの下位レベルの環境が誤ってテストまたは運用 Azure リソースに接続するのを防ぎ、安全な開発ライフ サイクルを維持するのに役立ちます。 仮想ネットワークを Power Platform 環境に構成すると、Power Platform から送信トラフィックを制御します。 詳細情報については、Power Platform サービスからのアウトバウンド接続を保護するためのベストプラクティスを参照してください。

暗号化: Power Platform から仮想ネットワーク内の Azure サービスに移動するデータは、パブリック インターネットを横断しません。

オペレーショナル エクセレンス

アプリケーション ライフサイクル管理 (ALM): 統合は Power Platform 環境レベルで構成されます。 対応する Azure 仮想ネットワークは、ソリューション全体の完全なランディング ゾーンを構成し、開発、テスト、運用、または組織の ALM プロセス内の特定のライフ サイクル ステージを分離できます。

パフォーマンス効率

パフォーマンス データの収集: Azure Monitor サービスは、システムのあらゆるコンポーネントからメトリクスとログを収集して集約し、可用性、パフォーマンス、回復力のビューを提供します。 詳細は、Azure Virtual Network の監視 を参照してください。

投稿者

Microsoft がこの記事を管理しています。 この記事を書いたのは、以下の寄稿者です。

作者代表:

次の手順

次の大まかな手順に従って、エンドツーエンドのソリューションを構築します。

  1. Power Platform 用 Virtual Network サポートを設定する

  2. 任意の手法を使用して、Azure でホストされる REST API を作成します。 API を Microsoft Entra ID で保護します。 詳細情報については、App Service または Azure Functions アプリを構成して Microsoft Entra のサインインを使用するを参照してください。

  3. Azure Key Vault からのクライアント ID とシークレットを保持する Power Platform 環境変数を作成します。 詳細情報は、Azure Key Vault シークレットの環境変数を使用するを参照してください。

  4. Web API 用のカスタム コネクタを作成します。 チュートリアルを開始します。

  5. カスタム コネクターを Azure Active Directory (Microsoft Entra ID) で OAuth 2.0 を使用するように定義し、サービス プリンシパルのサポートをオンにします。

    OAuth 2.0 の使用を示すカスタム コネクタのセキュリティ認証設定のスクリーンショット。

  6. 手順 2 で作成した環境変数の値を使用するようにクライアント ID とクライアント シークレットを構成します。

    [クライアント ID] フィールドが環境変数に設定されているカスタム コネクタのセキュリティ設定のスクリーンショット。

  7. Power Apps でキャンバス アプリを作成して、検索インターフェイスを提供します。