Microsoft Power Platformは、ローコード開発のプラットフォームとしてビジネスのあらゆる側面をサポートしてくれるツールです。さまざまな企業に導入されている一方、セキュリティ面に不安を感じている企業担当者もいるでしょう。
今回は、Microsoft Power Platformのセキュリティ構成や導入時に行うべき設定について解説します。
Microsoft Power Platformはロールベースのセキュリティモデルを採用
Microsoft Power Platformは、ロールベースのセキュリティモデルをMicrosoft Dataverseに持たせる構造をとっています。Microsoft Dataverseでは、安全にアクセスができるようサポートしているほか、アプリで利用されるデータの保存・管理を徹底しています。
アクセスレベルとアクセス許可を設定することで、ユーザー側が表示できるアプリやデータ使用方法を制御することが可能です。また、Microsoft Dataverseは1つの環境に0か1つ設置できるところも特筆すべき点でしょう。環境には、求めるセキュリティに応じたアクセスレベルが定義されたセキュリティロールが用意されています。
Microsoft Power Platformで行うべきセキュリティ設定項目
Microsoft Power Platformはデフォルトですでに強固なセキュリティが用意されています。しかしそれだけでは十分とはいえません。ここでは、Microsoft Power Platform導入後に行うべきセキュリティの設定項目をご紹介します。
DLP(データ損失防止ポリシー)
Microsoft Power Platformを導入したら真っ先に行いたいのが、DLP(データ損失防止ポリシー)です。Microsoft Power Platformの初期設定では、400以上のコネクタから組織の重要な情報をソーシャルメディアなどに公開することができてしまいます。うっかりTwitterやFacebookに情報を流してしまったとなれば、責任重大です。DLPはそうした公開・流出を防ぐことができる設定といえます。
この設定は一度適用すると、Microsoft FlowやPowerAppsに反映され、自動的に無効化されます。設定には、Power Appsの管理センターから新しいポリシーを作成、コネクタを追加することが必要です。
テナント間アクセス制限
テナント間のアクセス制限を行うことも、セキュリティ上大変有効的です。Microsoft Power Platformでは、デフォルトで組織以外のテナントに接続できます。外部から接続されることも可能なため、セキュリティを徹底する上では十分に注意したいポイントでしょう。
テナント間アクセス制限を設定すれば、そうした接続を制限することができます。設定するためには、Power Platformの管理センターから新しいサポート要求をしましょう。また、対応しているコネクタは、Office 365 OutlookなどAzureAD ベースの認証を使用しているものに限られます。
外部へのメール送信制限
メールで会社の重要な情報が流出しまった…というのは避けたいものでしょう。不要な流出を避けるためにも、メール送信を制御する設定は重要です。DLPでもOutlookといったExchangeのコネクタを制限することができますが、この場合、社内へのメール通知もできなくなってしまいます。これでは本末転倒です。
メール送信については、Exchange Online のトランスポートルールを利用しましょう。設定のためには、SMTP ヘッダーの変更が必要です。通常、Power Platform から送られてきたメールのヘッダーには、「Microsoft Power AutomateもしくはMicrosoft Power Apps」「x-ms-mail-application:」が挿入されています。これらのヘッダーを使えば、Exchange Onlineの管理センターからルールを変更・設定することが可能です。
環境作成の制限
デフォルトの環境しか使わないという場合であれば、特に設定の必要はありません。しかし、今後Microsoft Dataverseの容量を拡張することになった場合に、誰でも環境を作成できる状況はあまり良いこととはいえません。気になる方は、管理者のみ環境を作成できるように設定しておきましょう。
設定には、Power Platform の管理センターからPower Platform の設定を選択します。環境作成の項目があるため、そこから[特定の管理者のみ]を指定してください。環境作成の制限については、これで完了です。
アプリやフローの作成制限
アプリやフローを簡単に作れるのが、Microsoft Power Platformの魅力ですが、むやみやたらに作成するのは望ましくありません。数が多いと、それだけ管理にも手間がかかります。
アプリやフローを削除するためには、Power Automateと管理者用のコネクタが必要です。Power Automateのトリガーから既定の環境を取り込み、環境下にあるアプリを取得します。指定したいアクションを設定し、アプリ IDを入力しましょう。既定の環境下にあるアプリIDと削除したくないアプリIDが一致している場合は、アクションの設定は必要ありません。一致しない場合は、削除のアクションを設定しましょう。
フローを設定して実行すると、アプリは完全に消えてしまいます。この設定を利用する場合は、大切なアプリを削除しないよう注意してください。
まとめ
Microsoft Power Platformを導入したら、DLPやテナント間アクセス制限、外部へのメール送信制限などセキュリティを強化する設定をしましょう。セキュリティが万全であれば、安心して利用できます。また、Microsoft Power Platformは、Office 365やDynamics 365などさまざまなツールと連携することで大きなビジネスソリューションを生み出します。ぜひ導入を検討してみてください。