Slide 1

Slide 1 text

既定環境について調べてみた ~ Microsoft 365ライセンスで既定環境を利用する場合の注意点~ おうじゃさんといっしょ#47 たな

Slide 2

Slide 2 text

注意事項 • 本資料の内容は、Microsoft公式情報、実機確認、サポートとの やりとりして得た情報です。 • Power Platformの導入・管理・運用を行う方向けの内容です。 (利用者の方も知っていて損はないと思います) • 最新でない可能性がありますのでご注意ください。 • 内容について間違っている点があればご指摘ください。 • 一部、社内の情報を載せていますので、一瞬で忘れてください。 2

Slide 3

Slide 3 text

自己紹介 • たな (dreams_panda) • 某IT企業勤め • 元開発者(ソフト開発してました) いまは市民開発者? • オンプレSharePoint、InfoPath、SharePointワークフロー • SharePoint Online、Power Apps、Power Automate おうじゃさんといっしょ 4月MVP おうじゃさんといっしょ 6月MVP 3

Slide 4

Slide 4 text

アジェンダ • 既定環境とは • ストレージ容量 • 試用版の制御 M365ライセンスでの作成可否とシステム制御 • セキュリティロール • Power Platform管理センター • (おまけ)各リソースの確認、削除方法 4

Slide 5

Slide 5 text

既定環境とは 5

Slide 6

Slide 6 text

既定環境 • テナントに必ず存在 • 削除できない・バックアップ不可・復元不可 • テナントすべてのユーザーがアクセス可能 [参考]環境の概要 - 既定の環境 https://docs.microsoft.com/ja-jp/power- platform/admin/environments-overview#the-default- environment [参考]環境の概要 -環境アクセス許可 https://docs.microsoft.com/ja-jp/power- platform/admin/environments- overview#environment-permissions 環境作成者(Environment Maker ) Basic ユーザー(Basic User) が割り当てられる ※「セキュリティロール」で説明します グローバルでテナントを使用している場合は、 保存される情報に注意 ※ GDRP (General Data Protection Regulation: EU一般データ保護規則) 6

Slide 7

Slide 7 text

Detaverse • Detaverseがある環境とない環境がある • 既定環境にもDetaverseを作成できる [参考]Power Platform 管理センターで環境の作成と管理をする - Power Platform 管理センターで環境を作成する https://docs.microsoft.com/ja-jp/power-platform/admin/create-environment#create-an-environment-in-the-power- platform-admin-center 自動で作成される既定環境もあとから Dataverseを作成することが可能 ※「承認」コネクタを利用する場合は、 Dataverseが必要 ※Dataverseがない状態で 承認コネクタを利用した フローを実行すると、 Dataverseが作成される。 プロビジョニングに時間が かかるので、テナントで最 初に承認コネクタを利用し た場合、承認できるように なるまで、10分ほどかかる 7

Slide 8

Slide 8 text

ストレージ容量 8

Slide 9

Slide 9 text

テナント全体に付与される容量 • 以下3種類の合計 • 組織(テナント)の既定値 • 既定環境に付与される容量:0GB • ただし、テナント内に有効なユーザーライセンスを所持している場合は、 最大32GBまで追加される • ユーザーライセンス • テナント内でのユーザーライセンスごとに追加される • 追加容量 • キャパシティアドオンごとに追加される 注意:容量は環境ごとに付与されるわけではない! 9

Slide 10

Slide 10 text

テナントに付与されている容量 • Power Platform管理センターで確認可能 ※[リソース]-[キャパシティ] の[概要]タブで表示される左側 <ユーザーライセンスを所持しているテナント> <ユーザーライセンスを所持していないテナント> 既定環境の最大32GB ※データベース、ログ、ファイル領域 それぞれに付与された合計 10

Slide 11

Slide 11 text

【参考】ライセンスガイド 組織(テナント)の既定値 ユーザーライセンス 旧 新 [参考]Microsoft Power Apps および Power Automate ライセンス ガイド [英語] https://go.microsoft.com/fwlink/?linkid=2085130 [日本語] https://go.microsoft.com/fwlink/?LinkId=2085130&clcid=0x411 ※ 日本語は古い可能性あり ライセンスのふらりさんが 以前に貼ってくれた画像を利用させて いただいております 組織(テナント)の既定値 → 既定環境に付与される容量 ※テナントで最初に購入したライセンスの 既定値が既定環境に付与されることに注意。 追加購入しても増えない。 (MS回答) ユーザーライセンス → テナントに付与される容量 11

Slide 12

Slide 12 text

【参考】ライセンスガイド • キャパシティアドオン 12

Slide 13

Slide 13 text

Power Platformの容量について • 容量(Dataverseの容量)は、テナント全体に付与され、 環境ごとに割り当てることはできない(テナント全体で分け合う形) • 使用量がテナント全体の容量を超えた場合は、ライセンス違反 • 既定の環境であっても、有効なライセンスを所有していない場合は、 デフォルトで付与される容量はない=0 GB ※32GB超えても使い続けてよい(ライセンス違反ではない) 13

Slide 14

Slide 14 text

テナントの容量を超過した場合の影響 • テナントの容量が超過しても、現状はPower Platform管理センターで警告 表示されるだけで、フロー、アプリの作成および実行は可能 • ただし、テナント容量が1GB未満の場合、以下の操作不可 • 環境作成 • 環境のコピー • 環境の復元 ※ 環境1つ作成するとデータベースを1GB使用するということ 別環境の管理者(利用者)への影響あり 警告は出るがテナント全体 の容量は超えていないため 利用可能 注意は出るがユーザーライセンス がないテナントのため そのまま利用可能 14

Slide 16

Slide 16 text

ライセンス容量の変更点 <2019 年 4 月以前> • データベース/ファイル/ログの合計が、付与されているストレージ容 量を超過した場合に容量超過となる <2019 年 4 月以降> • データベース/ファイル/ログのそれぞれのストレージ容量が、付与さ れているストレージ容量を超過した場合に容量超過となる ※ただし、データベース・ログに関してはお互いの空き容量を補完す ることが可能 データベース、ログは相互補完されるが ファイルは補完されないため 実質12GBが上限 16

Slide 17

Slide 17 text

既定環境利用に関するMicrosoft社の見解 • 既定の環境はテナント内の全ユーザーがアクセス可能なため、既定の環境を中 心に活発に開発を行われることは推奨できかねるという理由から、32 GB を超 える場合は、新たに環境をご作成いただくようお願いいたしております。 [参考]既定の環境 https://docs.microsoft.com/ja-jp/power-platform/admin/environments-overview#the-default-environment [参考]金融機関でも採用される Power Apps と Power Automate の環境構成(吉田の備忘録) https://memo.tyoshida.me/power-platform/powerapps/finance-sector-power-apps-configuration/ 17

Slide 18

Slide 18 text

Dataverseに格納されるデータ種別 データベース領域 ファイル領域 ログ領域 ・Power Platformで利用する内 部データ ・承認に関する情報 ・Dataverse にてカスタムエン ティティを作成し格納したデー タ ・各種リソース作成時に格納さ れる情報 ・承認依頼に添付したファイル ・Dataverse にてカスタムエン ティティを作成し、エンティ ティ内にファイル列を設定して 格納したファイル(「メモ」に 格納) ・プラグイントレースログ (Dynamics365で使用するアド オンのログ) ・監査ログ(Dataverseのアク セスログ) • Microsoft 365ライセンスで利用する場合は以下の情報が格納される • 承認に関する情報 • 各種リソースの情報(主に有償ライセンスが必要なリソース) (デスクトップフロー、ソリューション、モデル駆動型アプリ、ビジネスプロセスフロー、AI Builder、チャットボットなど) ※キャンバスアプリ、クラウドフローは、Dataverseではなく環境(Azure)に保存される ※デスクトップフロー(Win10)は、 Dataverseのデータベース領域に保存される(組織アカウントを利用する場合) • 監査ログ(Dynamics側のログ) ※Microsoft 365のセキュリティコンプライアンスセンターの監査ログとは別のログ ※有償ライセンスで既定環境を利用している場合は除く 18

Slide 19

Slide 19 text

【参考】テーブルの使用量 承認関連のテーブル [WorkflowBase] はワーク フローを定義するルールやワーク フローの実行ログを保存しているテーブル(デスクトップフローはここに保存されている可能性が高い) ふらりさんがおっしゃっていたように データベースからなくなっている デスクトップフローはここに保存されている可能性が高い。 そもそも承認関連のデータとリソースの情報しか保存されないんじゃないの???(MS確認予定) 19

Slide 20

Slide 20 text

【参考】 WorkflowBase ---//引用開始//---- DS組織で非同期ワークフローがトリガーされると、非同期ジョブの処理を追跡するためにAsyncOperationBase テーブルにレコードが作成されます。 ワークフロー実行のログを維持するために、WorkflowLogBaseテーブルにも追加のレコードが作成されます。 ビジネスプロセスフローは、BPFのBPFステージ遷移ログとアクションログもWorkflowLogBaseテーブルに格納 します。 組織でワークフローやビジネスプロセスフローを多用している場合、これらのテーブルは時間の経過とともに大 きくなり、最終的にはパフォーマンスの問題が発生するだけでなく、組織データベースの過剰なストレージを消 費するほど大きくなります。 システムの一括削除ジョブを利用して、これらのテーブルから不要なレコードを削除できます。 「設定」->「データ管理」->「一括レコード削除」に移動して、一括削除システムジョブを表示します。 すぐに使用できるシステムの一括削除ジョブの活用 一括レコード削除グリッドから、ビューセレクターを使用して、完了、進行中、保留中、および繰り返しの一括 削除システムジョブを表示できます。 次の画像では、[定期的な一括削除システムジョブ]ビューを選択しました。 このビューには、すぐに使用できる3つの一括削除システムジョブのジョブ定義が表示されます。 ---//引用終了//---- <[WorkflowBase] に関する参考情報> [参考]Cleaning up records from the AsyncOperationBase / WorkflowLogBase table - Microsoft Dynamics 365 Blog https://cloudblogs.microsoft.com/dynamics365/it/2018/06/21/cleaning-up-records-from-the-asyncoperationbase- workflowlogbase-table/ 20

Slide 21

Slide 21 text

【参考】承認に関するテーブル 削除可能 21

Slide 22

Slide 22 text

削除可能なデータ • 承認に関する情報 • [実施項目]-[承認]-[履歴]のレコード( Flow Apploval」テーブルのレコード) • 各種リソースの情報(主に有償ライセンスが必要なリソース) • モデル駆動型アプリ、ビジネスプロセスフロー、AI Builder、チャットボットなど • 監査ログ(Dynamics側のログ) • 3カ月ごとにパーティションが作成される • 古いパーティションしか削除できない ※上記の削除方法は、[(おまけ)各リソースの確認、削除方法]参照 22

Slide 23

Slide 23 text

【参考】Dataverse以外に保存されるもの • クラウドフロー、キャンバスアプリは、Dataverseではなく、 環境(Azure上)に保存される(無制限) • ユーザーごとに作成できるフローの上限は、600 ※共有アイテム(チームフロー)は無制限だったが、Docsの記載が変更になっ ているため、確認中 [参考]キャンバスアプリ、クラウドフローの格納場所記載されてたURLどこだっけ???? [参考]マイ フローの制限 https://docs.microsoft.com/ja-jp/power-automate/limits-and-config#my-flows-limit 23

Slide 24

Slide 24 text

M365ライセンスでの作成可否と システム制御 24

Slide 25

Slide 25 text

M365でのリソース作成可否(1/3) 種別 リソース M365ライセンスでの作成可否 システム制御方法 Power Automate デスクトップ フロー (旧 UI フロー) × ・ライセンス違反 ・無料のPower Automate Desktopではな く、有償ライセンスの方 ・試用版ライセンスで最大90日間利用可能 試用版ライセンスのサインアップ の無効化 ※1 Process Advisor × ・ライセンス違反 ・試用版ライセンスで最大90日間利用可能 試用版ライセンスのサインアップ の無効化 ※1 ビジネス プロセス フロー ○ ・既定環境での作成は、ライセンス違反とな らない。実行はライセンス違反 (既定環境でのみ利用可能かをMS確認中) エンティティに対するセキュリ ティロールの権限を変更 ※既定から変更した際の保証はない Power Apps モデル駆動型アプリ ○ ・既定環境でのみ利用可能。ライセンス違反 ではない! ※当初確認時は、既定環境での作成は、ライ センス違反ではないが、実行はライセンス違 反とのMS回答だった エンティティに対するセキュリ ティロールの権限を変更 ※既定から変更した際の保証はない データフロー ○ ・既定環境での作成は、ライセンス違反とな らない。実行はライセンス違反 (既定環境でのみ利用可能かをMS確認中) エンティティに対するセキュリ ティロールの権限を変更 ※既定から変更した際の保証はない 25

Slide 26

Slide 26 text

M365でのリソース作成可否(2/3) 種別 リソース M365ライセンスでの作成可否 システム制御方法 Power Apps ポータルアプリ × テナントでの無効化 あるいは、 Azure ADへのアプリ登録 ※2 テーブル × ・ライセンス違反ではないが、管理者でしか 作成不可 システム管理者またはシステム カスタマイザーのいずれかのセ キュリティ ロールが必要 ※3 選択肢 (複数) × ・ライセンス違反ではないが、管理者でしか 作成不可 システム管理者またはシステム カスタマイザーのいずれかのセ キュリティ ロールが必要 ※実機確認 カスタムコネクタ ○ ・1つのみ作成可能。2つ以上作成するとエ ラーとなる。実行はライセンス違反 ※4 以前カスタム コネクタを 1 つまで作成/使用できる 権利が昔はあり、その利用権に対して変更があり作 成可能な制限数がそのまま残ったと思われる(MS回 答) ※Dataverse上ではなくAzure上に保存される(クラウドフ ロー、キャンバスアプリと一緒) フローで呼び出そうとした際に、 DLPポリシーの既定値によって動 きが変わる模様。 既定値が「ブロック済み」であれ ば、DLPポリシーで利用不可とで きる。 カスタムコネクタのDLPポリシー 制御のPowerShellコマンドあり (どのような場合に利用するかは 確認中)※5 26

Slide 27

Slide 27 text

M365でのリソース作成可否(3/3) 種別 リソース M365ライセンスでの作成可否 システム制御方法 Power Apps ゲートウェイ ○ ※6 テナントでできるユーザーを限定 することが可能(インストールは 可能) チャットボット × ・ライセンス違反 ・試用版ライセンスで最大90日間利用可能 Azure Active Directory のセル フサービス サインアップの無効 化 ※7 AI Builder △ ・ライセンス違反 ・試用版ライセンスで最大90日間利用可能 ・システム制御なし ・試用版ライセンス無効化できない ・通常のユーザーライセンスとは異なり、 Power Apps や Power Automate ライセンスへのアドオンとし て提供されており、通常のユーザーライ センスとは仕組みが異なる 27

Slide 28

Slide 28 text

【参考】リソース作成制御方法(1/2) ※1 [参考]試用ライセンスのブロックコマンド https://docs.microsoft.com/ja-jp/power-platform/admin/powerapps-powershell#block-trial-licenses-commands Remove-AllowedConsentPlans -Types "Internal" Remove-AllowedConsentPlans -Types "Viral" ※7 [参考] Azure Active Directory のセルフサービス サインアップについて https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/directory-self-service-signup 「AllowAdHocSubscriptions」の設定値をfalse ※Virtual Agentsの試用版の無効化 ※2 [参考]ポータル管理に必要な役割 https://docs.microsoft.com/ja-jp/powerapps/maker/portals/admin/portal-admin-roles#read-write-access-mode [参考]テナントでのポータル作成の制御 https://docs.microsoft.com/ja-jp/powerapps/maker/portals/control-portal-creation Set-TenantSettings -RequestBody @{ "disablePortalsCreationByNonAdminUsers" = $true } ※3 [参考]カスタム テーブルの作成- 前提条件 https://docs.microsoft.com/ja-jp/powerapps/maker/data-platform/data-platform-create-entity#prerequisites ※4 [参考]Azure Logic Apps、Power Automate、Power Apps のカスタム コネクタに関するよくあるご質問 - 制限 https://docs.microsoft.com/ja-jp/connectors/custom-connectors/faq#limits ※6 [参考]プレビュー: オンプレミス データ ゲートウェイの管理 https://docs.microsoft.com/ja-jp/power-platform/admin/onpremises-data-gateway-management ※5 [参考]次ページ参照 28

Slide 29

Slide 29 text

【参考】リソース作成制御方法(2/2) ※5 カスタムコネクタのDLPポリシー制御コマンド 1.DLPの情報を確認します。 ・DLPのID(PolicyName)がわからない場合、以下のコマンドですべての情報を出力します $dlp = Get-DlpPolicy $dlp.value | fl displayName,name 2.カスタムコネクタの情報を取得します Get-AdminPowerAppConnector |Where-Object{$_.displayname -eq "<コネクタの名前>"} 例:Get-AdminPowerAppConnector |Where-Object{$_.displayname -eq "testCustomConnector"} 3.Add-CustomConnectorToPolicyコマンドでカスタムコネクタをDLPに追加します。 Add-CustomConnectorToPolicy -PolicyName < PolicyName > -ConnectorName -GroupName hbi -ConnectorId -ConnectorType "Custom" < PolicyName >は手順1の結果から確認可能です。 とは手順2の結果から確認可能です。 -GroupName hbi はビジネスグループへの追加のオプションです。非ビジネスへ追加する場合は代わりに -GroupName lbi をご指定ください。 コマンド例: Add-CustomConnectorToPolicy -PolicyName a5f4052e-17d9-4621-87e1-8000bfc9a625 -ConnectorName shared_yanoh-2dnatureremo- 5f98e19169295ebb74-5febd54940e56727d9 -GroupName hbi -ConnectorId /providers/Microsoft.PowerApps/scopes/admin/environments/Default-2a958990-4bfc-4838-a8c5-26ea68ff68a6/apis/shared_yanoh- 2dnatureremo-5f98e19169295ebb74-5febd54940e56727d9 -ConnectorType "Custom" 29

Slide 30

Slide 30 text

セキュリティロール 30

Slide 31

Slide 31 text

利用者に割り当てられるロール • 環境作成者(Enviroment Meker ) • Basicユーザー(Basic User) [参考]環境のリソースに対するユーザー セキュリティの構成 - Dataverse データベースを持つ環境 https://docs.microsoft.com/ja-jp/power-platform/admin/database- security#environments-with-a-dataverse-database 31

Slide 32

Slide 32 text

【参考】セキュリティロールとレコードレベル [参考]セキュリティ ロールおよび特権 -セキュリティ ロール https://docs.microsoft.com/ja-jp/dynamics365/customerengagement/on-premises/admin/security-roles-privileges?view=op-9-1#security-roles [参考]セキュリティ ロールおよび特権 - レコード レベルの特権 https://docs.microsoft.com/ja-jp/dynamics365/customerengagement/on-premises/admin/security-roles-privileges?view=op-9-1#record-level- privileges レコード レベル アクセスのレベル 32

Slide 33

Slide 33 text

モデル駆動型アプリ • 作成、編集可能。削除不可。権限はテナント全体 • システム制御はセキュリティロールのみ → ライセンスがなくても作成、実行ができる 作成するとテナント全体で編集できるが、 自分で作成したものを削除できない ※ アプリ一覧がとんでもないことになります 33

Slide 34

Slide 34 text

ソリューション • すべて可能。権限はテナント全体 • システム制御はセキュリティロールのみ 作成するとテナントのユーザーが誰でも編集・ 削除できる 34

Slide 35

Slide 35 text

ビジネスプロセスフロー • すべて可能。権限は本人のみ • システム制御はセキュリティロールのみ 本人のみ編集・削除できる 35

Slide 36

Slide 36 text

デスクトップフロー • すべて可能。権限は本人のみ • システム制御は試用版無効 本人のみ編集・削除できる 36

Slide 37

Slide 37 text

Process Advisor (プレビュー) • 作成、読み書き。権限はテナント全体 • システム制御は試用版無効 テナント全体で編集できる? 削除は本人のみ? ※実機未確認 37

Slide 38

Slide 38 text

ポータルアプリ • 作成、読み。権限はテナント全体 • テナントで ポータル作成は無効化されていない場合、AzureADでアプリの 登録が必要 • テナントで ポータル作成が有効の場合、システム管理者ロールが必要 38

Slide 39

Slide 39 text

テーブル/選択肢(複数) • 作成、読み。権限はテナント全体 • システム管理者またはシステム カスタマイザーのいずれかのセキュリティ ロールが必要 39

Slide 40

Slide 40 text

カスタムコネクタ • 作成、読み書き、削除。権限は本人のみ v 40

Slide 41

Slide 41 text

AI Builder • 作成、読み書き、削除。権限は本人のみ • 試用版ライセンスの制御不可 ※通常のユーザーライセンスとは異なり、Power Apps や Power Automate ライセンスへのアドオンとして提供されており、通常のユー ザーライセンスとは仕組みが異なる • 試用版の延長2回まで計90日間利用可。 ※その後、有償ライセンス購入ボタンが表示されるが、セルフサインアップはできない。購入して、別途ライセンス付 与という手続きが必要 41

Slide 42

Slide 42 text

チャットボット • 作成、読み書き、削除。権限は本人のみ • システム制御は試用版の無効化 <公開情報> タイトル : エンティティの作成および使用 - Power Virtual Agents | Microsoft Docs URL : https://docs.microsoft.com/ja-jp/power-virtual-agents/advanced-entities-slot-filling 上記の公開情報に記載のとおり、Power Virtual Agentで使用するエンティティについては、以下の Power Virtual Agent 側の画面から確認 できますが、Dataverse 上からは表示できませんでした。 たぶん、違う ※未確認 42

Slide 43

Slide 43 text

【参考】セキュリティロールの確認方法(1/2) • Dynamicsの画面より確認 次へ 43

Slide 44

Slide 44 text

【参考】セキュリティロールの確認方法(2/2) [参考] Dataverse データベースが存在する環境のユーザーにセキュリティ ロールを割り当てる https://docs.microsoft.com/ja-jp/power-platform/admin/database-security#assign-security-roles-to-users-in-an-environment-that-has-a- dataverse-database [参考] Microsoft Dataverse のセキュリティ概念 -エンティティ/レコードの所有権 https://docs.microsoft.com/ja-jp/power-platform/admin/wp-security-cds#entityrecord-ownership 続き 44

Slide 45

Slide 45 text

Power Platform管理センター 45

Slide 46

Slide 46 text

テナント全体の管理 • Power Platform管理者(またはそれ以上の権限)で テナント全体を管理 • 環境の設定 • Power Platformの使用状況の確認 • ストレージ使用量の確認 • テナントリソースの確認 [参考] Microsoft Power Platform の管理 https://docs.microsoft.com/ja-jp/power-platform/admin/admin-documentation 46

Slide 47

Slide 47 text

環境 • 環境の作成・バックアップ・復元 • アクセス権の設定 • リソースの確認 47

Slide 48

Slide 48 text

環境の管理 セキュリティロールの変更やアクセス できるユーザーを設定 環境に作成されているアプリやフロー の確認・共有・削除 48

Slide 49

Slide 49 text

[参考]セキュリティロール セキュリティロールの編集は Dynamics側で設定 セキュリティロールが設定されている ユーザー確認・追加 49

Slide 50

Slide 50 text

[参考]環境の設定 50

Slide 51

Slide 51 text

[参考]環境の作成 Detaverseを作成するかの指定 [参考] Power Platform 管理センターで環境の作成と管理をする https://docs.microsoft.com/ja-jp/power-platform/admin/create-environment 51

Slide 52

Slide 52 text

[参考]環境の種類 [参考]環境の概要 - 環境の種類 https://docs.microsoft.com/ja-jp/power- platform/admin/environments-overview#types-of-environments 既定環境 52

Slide 53

Slide 53 text

[参考]ライセンスによる環境の作成可否 [参考] Power Platform 管理センターで環境の作成と管理をする - 誰が環境を作成できますか? https://docs.microsoft.com/ja-jp/power-platform/admin/create-environment#who-can-create-environments 53

Slide 54

Slide 54 text

[参考]環境を作成するユーザーの制御 [参考] Power Platform 管理センターで環境を作成、管理できるユーザーを制御する https://docs.microsoft.com/ja-jp/power-platform/admin/control-environment-creation 環境を作成できるライセンスを持って いると誰でも環境が作れる ※ 環境の管理の観点からいうと 「特定の管理者のみ」がお勧め 54

Slide 55

Slide 55 text

分析 • Dataverse、Power Apps、Power Automateの分析レ ポート表示 55

Slide 56

Slide 56 text

キャパシティ • テナント全体の容量 • テナント全体のDataverse使用量 • 環境ごとのDataverseの使用量詳細 • データベース、ファイル、ログ領域ごとの使用量 • テーブルごとの使用量 56

Slide 57

Slide 57 text

キャパシティ - テナント全体 テナント全体で使用できる容量 テナント全体の使用量 57

Slide 58

Slide 58 text

キャパシティ – 環境別使用量詳細 データベースはすべてのテーブルの使用量を CSVでダウンロード可能 ※ファイル、ログは不可 58

Slide 59

Slide 59 text

データポリシー • データ損失防止(DLP) • テナントで利用するコネクタの分類を設定する • 環境ごとに別々ポリシーを設定できる • ビジネス、非ビジネス、ブロック済みに分類できる [参考]データ損失防止 (DLP) ポリシーを作成する https://docs.microsoft.com/ja-jp/power-platform/admin/create-dlp-policy 59

Slide 60

Slide 60 text

データポリシーの作成 – ポリシー名 v 変更する場合は、ポリシーを選択して、[ポリシーの編集] 次へ 60

Slide 61

Slide 61 text

データポリシーの作成 – 既定グループの設定 v 続き 既定グループに新しく追加されたコネクタが分類される ビジネス:利用できる。非ビジネスのコネクタと一緒に利用することはできない 非ビジネス:利用できる。ビジネスのコネクタと一緒に利用することはできない ブロック済み:利用できない ビジネスと非ビジネスが混在した場合 ブロック済みの場合 次へ 61

Slide 62

Slide 62 text

データポリシーの作成 – コネクタ 続き コネクタを選択し、[ビジネスに移動]または [ブロック]をクリックすることで分類可能 ※ [非ビジネス]タブの場合 v [ブロック可能]が「いいえ」のコネクタを選択した 場合は、ブロックできないメッセージが表示される ■ブロックできないコネクタ(ちょっと前) • Cloud App Security • Microsoft Dataverse • Microsoft Dataverse(レガシー) • Microsoft Forms Pro • Microsoft Kaizala • Microsoft To-Do(仕事) • Office 365 Groups • Office 365 Groups Mail • OneDrive for Business • OneNote(Business) • Planner • Power Appsの通知 • Power Appsの通知V2 • Power BI • Shfts for Microsoft Teams • Skype for Business Online • Dynamics 365 Customer Voice 62

Slide 63

Slide 63 text

データポリシーの作成 - スコープ 続き 次へ すべて、複数の環境を追加、特定の環境を除外から 適用するパターンを選択する [複数の環境を追加]、または、[特定の環境を除外]の場合 を選択した場合、環境を選択し、[+ポリシーに追加する]を クリックする ※ Detaverse for Teams環境も選択可能 [ポリシーの編集]の場合は、 すでに追加されている環境は 表示されない 63

Slide 64

Slide 64 text

データポリシーの作成 – レビュー 続き 追加した環境は、移動する 64

Slide 65

Slide 65 text

PIMによるシステム管理者権限付与 • PIMにより権限付与されたアカウントでDataverse環境へ のアクセスはサポート対象外! 以下、いずれのアクセスもサポートされない • Power Platform管理センター (Dataverseを触るとき。DLPポリシーの設定はサポートされる) • Power Apps • Power Automate [参考]金融機関でも採用される Power Apps と Power Automate の環境構成 https://memo.tyoshida.me/power-platform/powerapps/finance-sector-power-apps-configuration/ [参考] Azure AD Privileged Identity Management とは https://docs.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-configure <対応策2> 特定の環境の確認にあたっては、Power Platform 管理者などのテナントの管理権限がなくとも、環境のシステム管理者のセキュリティロールにて確 認可能 <対応策1> Dataverse データベースが存在する環境のユーザーにセキュリティ ロールを割り当てる」の手順にて、確認したい環境ごとに、該当のユーザーに対 して「システム管理者」のセキュリティロールを付与し、その権限にて確認 [参考]セキュリティ ロールおよび特権 - セキュリティ ロールを割り当てています https://docs.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#assigning-security-roles 固定のアカウントに対して権限を割り当てる方法のみサポートされる 65

Slide 66

Slide 66 text

【参考】Dataver環境へのPIMの未サポート • Dataverse は Azure AD のロールではなく、 あくまでもセキュリティロールでアクセス制御を行うため、 Dataverse に対するアクセス許可に関しては、PIM の JIT アクセスをサポートしていない(MS回答) [参考]Privileged Identity Management で管理できないロール https://docs.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-roles ※ Azure AD の管理者ロールのうち、PIM をサポートしていない一覧 [参考]Use service admin roles to manage your tenant - Power Platform | Microsoft Docs https://docs.microsoft.com/en-us/power-platform/admin/use-service-admin-role-manage-tenant ※ PIMをサポートしていない旨が公開される予定の場所 66

Slide 67

Slide 67 text

[参考]Power Platform管理センターのアップデート予定 • テナント独立性機能(アイソレーション) • コネクタのエンドポイントフィルタリング機能 • データ損失ポリシーのさらなる細かな制御 • コネクタアクションコントロール • カスタムコネクタのガバナンス機能:URLフィルタリングとデー タ損失ポリシー • メール流出防止機能 [参考] Microsoft Power Platform: 2021 release wave 1 plan https://docs.microsoft.com/ja-jp/power-platform-release-plan/2021wave1/ [参考] Microsoft Ignite 2021 春 Power Platform 関連の発表内容 https://memo.tyoshida.me/others/microsoft-ignite-2021-spring-power-platform-updates/ [参考] Power Platform 向けに新しく搭載されたガバナンスと管理機能 https://memo.tyoshida.me/power-platform/powerapps/power-platform-new-governance-admin-capabilities/ 67

Slide 68

Slide 68 text

(おまけ)各リソースの確認、削除方法 68

Slide 69

Slide 69 text

テナント全体を確認するアカウント • 以下でアカウントで確認できる • Power Platform管理者などのシステム管理者 • ライセンスなし ※システム管理者であれば、ライセンスなしで問題ない • Power Platform管理センター • Power Apps ※システム管理者でもライセンスが必要 • Power Automate 69

Slide 70

Slide 70 text

承認履歴 • [実施項目]-[承認]-[履歴]のレコードは、永遠に残り続ける • 期間指定の削除設定などはない • 「Flow Apploval」テーブルのレコードのうち「completed」 [参考]Power Automate の GDPR データ対象者削除依頼に対応する - Power Automate から承認履歴を削除する https://docs.microsoft.com/ja-jp/power-automate/gdpr-dsr-delete#delete-approval-history-from-power-automate v v 70

Slide 71

Slide 71 text

承認履歴の削除 - Excel(1/3) v v 次へ 71

Slide 72

Slide 72 text

承認履歴の削除- Excel(2/3) v v 続き 72

Slide 73

Slide 73 text

承認履歴の削除- Excel(3/3) [参考]Microsoft PowerApps Officeアドイン https://appsource.microsoft.com/ja-jp/product/office/WA104380330?tab=Overview • ダウンロードしたファイルを開く [Status]が「completed 」が完了したもの Excel上で不要なレコードを削除し、 アドインにて、[Publish]することで反映できる 73

Slide 74

Slide 74 text

承認履歴の削除 - テーブル(1/2) 次へ 74

Slide 75

Slide 75 text

承認履歴の削除- テーブル(2/2) 続き 75

Slide 76

Slide 76 text

監査ログ • 3カ月ごとにパーティション分割される (4/1~,7/1~,10/1~,1/1~) • 古いパーティションからしか削除できない • 削除してから最大24時間後に使用量が反映される • エクスポート方法 • Microsoftではエクスポート手順は用意されていない • Dataverseコネクタを利用したフローで出力 • サードパーティXrmToolBoxで出力(MSからお勧めされた) →どちらの方法もすべての情報を取得できない [参考] Extract Audit Logs and Automated Backup/Delete ※UserVoice https://experience.dynamics.com/ideas/idea/?ideaid=e888ad9c-f29d-e911-80e7-0003ff68f1d6 [参考] XrmToolBox https://www.xrmtoolbox.com 76

Slide 77

Slide 77 text

監査ログの削除 - Dynamics 次へ <Power Platform管理センターから> 77

Slide 78

Slide 78 text

監査ログの削除 - Dynamics 続き 古いパーティションからしか削除できない <Power Appsから> 78

Slide 79

Slide 79 text

(おまけ)監査のレコード数を取得するフロー ① ② ③ 79

Slide 80

Slide 80 text

(おまけ)監査ログをエクスポートするフロー ① ② ③ あとでスキーマ書いときます… 80

Slide 81

Slide 81 text

すみません、あとで書いておきます (超おまけ)JSONの解析のスキーマ 81

Slide 82

Slide 82 text

モデル駆動型アプリ • Power Platform管理センターの[リソース]-[Power Apps]からテナ ント全体のモデル駆動型アプリが確認・削除可能 以下のセキュリティ ロールを有するユーザーは環境内のすべてのモデル駆動型アプリにアクセスすることが可能 ・環境の作成者 (Environment Maker) ・システム管理者 (System Administrator) ・システム カスタマイザー (System Customizer) [参考]Power Apps の管理 https://docs.microsoft.com/ja-jp/power-platform/admin/admin-manage-apps#manage-power-apps 所有者がSYSTEM以外がユーザーが作成したもの v 82

Slide 83

Slide 83 text

モデル駆動型アプリ – コマンド ■モデル駆動型アプリの取得 ・公開済みアプリの取得 公開済みアプリを取得するには、以下の要求を使用します。 GET [Organization URI]/api/data/v9.0/appmodules ・未公開のアプリの取得 未公開アプリを取得するには、RetrieveUnpublishedMultiple 関数を使用します。 GET [Organization URI]/api/data/v9.0/appmodules/Microsoft.Dynamics.CRM.RetrieveUnpublishedMultiple() ※ [Organization URI] は、例えば、orgxxxxxxxx のような、環境を指定する文字列となります。 ※ 「公開」は、参考情報に説明されますように、アプリケーションの状態です。 ユーザーがアプリケーションを実行できるようにするためには、アプリケーションを公開する必要があります。 上述では、公開済みアプリケーションと、未公開のアプリケーションの取得方法について例示しております。 ■モデル駆動型アプリの削除 DELETE 要求を使用してモデル駆動型アプリを削除します。 DELETE [Organization URI]/api/data/v9.0/appmodules(dd621d4a-d898-e711-80e7-00155db763be) 「dd621d4a-d898-e711-80e7-00155db763be」は、上述の「アプリの取得」により取得された、Appmoduleid になります。 [参考]コードを使用してモデル駆動型アプリを作成、管理、公開する https://docs.microsoft.com/ja-jp/powerapps/developer/model-driven-apps/create-manage-model-driven-apps-using-code [参考]RetrieveUnpublishedMultiple Function https://docs.microsoft.com/ja-jp/dynamics365/customer-engagement/web-api/retrieveunpublishedmultiple?view=dynamics-ce-odata-9 [参考]アプリ デザイナーを使用してモデル駆動型のアプリを検証および公開する - アプリ デザイナーを使用してアプリを公開する https://docs.microsoft.com/ja-jp/powerapps/maker/model-driven-apps/validate-app#publish-an-app-using-the-app-designer 83

Slide 84

Slide 84 text

ソリューション • Power Appsから確認・削除 マネージドソリューションの場合は、ソリューション内のコンポーネントについても削除される アンマネージドソリューションの場合は、ソリューション内のコンポーネントは削除されない [参考]ソリューションの概要 - Power Apps のソリューションで作業する https://docs.microsoft.com/ja-jp/powerapps/maker/data-platform/solutions-overview#work-with-solutions-in-power-apps [参考]モデル駆動型アプリを削除する - 管理ソリューションの削除 https://docs.microsoft.com/ja-jp/powerapps/maker/model-driven-apps/delete-model-driven-app#delete-a-managed-solution <ソリューションの作成者の確認方法> 84

Slide 85

Slide 85 text

ビジネスプロセスフロー • Dynamicsの画面から確認、削除 [Category]で「Business Process Flow」を選択して、[OK]をクリック クリックするとフィルタリングが可能になる 85

Slide 86

Slide 86 text

デスクトップフロー • テナント全体での確認、削除には、「有人 RPA を含む Power Automate per user プラン」が必要 86

Slide 87

Slide 87 text

(超おまけ)デスクトップフロー数(Win10無料) • システム管理者権限+RPAプランがないとテナント全体デ スクトップフローは管理できない • Detaverseコネクタを利用すれば、数は取得できる 87

Slide 88

Slide 88 text

(超おまけ)デスクトップフロー数取得フロー ① ② ③ 88

Slide 89

Slide 89 text

(超おまけ)JSONの解析のスキーマ { "type": "array", "items": { "type": "object", "properties": { "@@odata.type": { "type": "string" }, "@@odata.id": { "type": "string" }, "@@odata.etag": { "type": "string" }, "@@odata.editLink": { "type": "string" }, "name": { "type": "string" }, "[email protected]": { "type": "string" }, "workflowid": { "type": "string" }, "[email protected]": { "type": "string" }, "uiflowtype": { "type": "integer" }, "[email protected]": { "type": "string" }, "[email protected]": { "type": "string" }, "createdby": { "type": "object", "properties": { "@@odata.type": { "type": "string" }, "@@odata.id": { "type": "string" }, "@@odata.editLink": { "type": "string" }, "[email protected]": { "type": "string" }, "systemuserid": { "type": "string" }, "[email protected]": { "type": "string" }, "ownerid": { "type": "string" } } } }, "required": [ "@@odata.type", "@@odata.id", "@@odata.etag", "@@odata.editLink", "name", "[email protected]", "workflowid", "[email protected]", "uiflowtype", "[email protected]", "[email protected]", "createdby" ] } } 89

Slide 90

Slide 90 text

• Dynamicsの画面から確認、削除 Process Advisor (プレビュー) 以下のセキュリティ ロールを有するユーザーは環境内のすべての Process Advisorにアクセスすることが可能 ・システム管理者 (System Administrator) ・システム カスタマイザー (System Customizer) [参考]セキュリティとプライバシー https://docs.microsoft.com/ja-jp/power-automate/process-advisor-security Power Platform管理者、全体管理者 v 90

Slide 91

Slide 91 text

ポータルアプリ • すみません、調べてませんでした 91

Slide 92

Slide 92 text

テーブル/選択肢(複数) – ユーザー発行の接頭辞の確認 • Dynamicsの画面から確認 システムが作成するもの ユーザーが作成したものには 接頭辞としてつく 92

Slide 93

Slide 93 text

テーブル/選択肢(複数) • Dynamicsの画面から確認、削除 Nameがユーザー発行の接頭辞を 選択し、[Delete]する <テーブル> <選択肢(複数)> 93

Slide 94

Slide 94 text

カスタムコネクタ(確認) • カスタムコネクタの取得:Get-AdminPowerAppConnector • カスタムコネクタの取得の実行例 コネクタの表示名、実際のConnectorName、作成者、環境などが確認可能 [参考] Power Apps の PowerShell サポート – コマンドレット リスト – 作成者のコマンドレット https://docs.microsoft.com/ja-jp/power-platform/admin/powerapps-powershell#cmdlet-list---maker-cmdlets [参考] Power Apps の PowerShell サポート – インストール https://docs.microsoft.com/ja-jp/power-platform/admin/powerapps-powershell#installation ※ Power Appsの管理者コマンドを初めて実行する場合は、コマンドのモジュールのインストールが必要 94

Slide 95

Slide 95 text

カスタムコネクタ(削除) • カスタムコネクタの削除:Remove-AdminPowerAppConnector • カスタムコネクタの削除の実行例 取得コマンドで取得したConnectorNameとEnvironmentNameを指定して、コネクタを削除 下記のように指定して、1行のコマンドで実行することも可能(黄色マーカー部分を変更) <実行コマンド例> Remove-AdminPowerAppConnector -ConnectorName shared_testgenericoauth- 5fe1b90b4bd486fbb4-5fc48571636e5bca84 -EnvironmentName Default-2fc065c9-137a-440b- b6cd-54c808c30d0d 95

Slide 96

Slide 96 text

ゲートウェイ • ゲートウェイに関する情報はPower BIサービス内に格納される [参考]プレビュー: オンプレミスのデータ ゲートウェイの表示と管理 - Power Platform - データ ゲートウェイ https://docs.microsoft.com/ja-jp/power-platform/admin/onpremises-data-gateway-management#data-gateways 96

Slide 97

Slide 97 text

ゲートウェイ - コマンド PowerShellからゲートウェイを削除していただくことは可能でございます。 その際、“DataGateway” というPowerShellモジュールをインストールして頂く必要がございます。 このモジュールの詳細情報につきまして、以下の公開情報をご参考ください。 PowerShell Cmdlets for On-premises data gateway management | Microsoft Docs モジュールをインストールして頂いた後、以下のコマンドでゲートウェイを削除して頂けます。 <テナント内のゲートウェイ一覧を取得するコマンド> Get-DataGatewayCluster -Scope Organization <ゲートウェイを削除するコマンド> Remove-DataGatewayCluster -Scope Organization また、その他のコマンドにつきまして、以下の公開情報をご参考ください。 DataGateway Module | Microsoft Docs [参考]PowerShell Cmdlets for On-premises data gateway management | Microsoft Docs https://docs.microsoft.com/ja-jp/powershell/gateway/overview?view=datagateway-ps [参考] DataGateway Module | Microsoft Docs https://docs.microsoft.com/ja-jp/powershell/module/datagateway/?view=datagateway-ps 97

Slide 98

Slide 98 text

AI Builder • Power Appsの画面から確認、削除 98

Slide 99

Slide 99 text

• Dynamicsの画面から確認、削除 チャットボット 削除したいボットをダブルクリック 展開 全選択 最後にボット名の 部分をクリックして 削除 99

Slide 100

Slide 100 text

ありがとうございました! 100