Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2024.10.26_Power_Platform_Administrator勉強会#2

kobatch
October 26, 2024
160

 2024.10.26_Power_Platform_Administrator勉強会#2

Power Platformにおけるアプリやユーザーやセキュリティロールなどお片付けの「ベスプラ」について考えてみましたー

kobatch

October 26, 2024
Tweet

Transcript

  1. • Power Platformを使ったプロダクトPdMとテナント管理者 • ⾼専客員講師、ソーシャルセクターのデジタル化⽀援 • ITストラテジストであり、Node.js系エンジニアでもある • またの名「感謝と賞賛⼤量製造請負⼈」(ThanksCard活動主宰) •

    病的キレイ好き、ストレス解消は掃除機がけ(KPI:ホコリゼロ) ⾃⼰紹介 Japan Power Platform CONFERENCE メインイベント登壇(2023.12) Power Platform技術コミュニティで の事例紹介や記事投稿(2023.12〜)  コバッチ(kobatch)∕他⼒code tariki-code kobatch_tk tariki-code
  2. 例えば(アプリ) いわゆる「寿命」が来たにも関わらず放置されている。 開発 運⽤ アプリの 寿命 アプリB アプリA アプリC (削除)

    アプリD アプリE アプリの 「お⽚付け」 ※寿命=使⽤終了あるいは 実質使われていない。
  3. 例えば(ユーザー) 退職や異動に伴う変更の「放置」「失念」。 アカウント 払出し 権限付与 退職や異動 発⽣ アカウント 削除 環境へのせキュリティグループ

    アプリAセキュリティロール(更新) アプリBセキュリティロール(閲覧) 環境へのせキュリティグループ アプリAセキュリティロール(更新) ユーザーや権限の 「お⽚付け」
  4. 例えば(ロールの割り当て) アプリ セキュリティ ロール チーム チーム チーム チーム ア プ

    リ 仕 様 セキュリティ ロール 運 ⽤ 管 理 抜け漏れのない 「お⽚付け」 「チーム単位」で離脱させたはずなのに‧‧‧ ルール逸脱による「抜け⽳」。 たまたま個別に 権限を割り当ててしまった⼈
  5. 放置により潜むリスク テナントと利⽤者の規模が拡⼤するに伴いリスクも拡⼤。 セキュリティ • 管理の⾒落としによる抜け⽳の懸念。 • 設定漏れによる不正なアクセスや情報漏洩。 管理コスト • 余計や確認や調査に対する⼯数増。

    • イレギュラーに対する⼿動対応。 テナント有効利⽤ • 肥⼤化による容量逼迫やパフォーマンスへの懸念。 • そもそも有⽤に使うものにリソース集中したい。 Searched By Perplexity
  6. Microsoftはもちろん対応しているが... プラットフォーマー依存ではよくない。 ERMフレームワーク Microsoft Learn Power Platformは優秀 • ⼀定期間使⽤のないアプリはリコメンドに表⽰された り、クラウドフローも⾃動オフされる。

    • プラットフォーム全体に定期的にセキュリティパッチ も当たっている。 ⼀⽅で • ローカルルールやヒューマンエラーに対してはプラッ トフォーマーでもどうすることもできない。 セキュリティ事故に占める⼈為的ミスの割合は74%に上るという記事も... Searched By Perplexity
  7. 3つのポイント PPAC(管理センター)およびEntra、Azureの活⽤。 アプリとソリューション • アプリへのアクセス状況(PerApp)。 • ソリューションの削除。 ユーザー • ユーザーの種類。

    • PowerPlatform環境からの削除。 • Entra監査履歴のLogAnalytics連携。 セキュリティロール • ユーザーからの逆引き。 ※内容は主に独⾃調査(⼀部公式サポート確認含む)となります。 訂正、補⾜等、フィードバックいただければ幸いです。
  8. アプリへのアクセス状況 請求 > ライセンス > 環境 にて確認。 アプリごとのPerApps • アプリ使⽤あたりのライセンス。

    • Premiumを持たないユーザーが対象。 • 環境とアプリ数とアクセス数で積算。 Power Apps Premium • ユーザーライセンス。 • 全てのアプリにアクセスが可能。 • 厳密には使⽤アプリの識別は不可...? 環境名 数字 数字
  9. アプリごとのPerAppsのカウント条件 アプリID =アプリを識別 する内部番号 例) 90226cf6-a5f1-e a21-a845-000d3 a52d87a 数字 例)

    10 アクセスしたアプリ数、環境、ユーザーの積算となる。 ※サポートへの確認 • Premiumを持たないユーザーがアプリ にアクセスすれば「アクティブユー ザー」 1 カウント、30⽇間未アクセス であれば 1 カウント解除。 • 強制的にアクセス解除したい場合は権 限を外す(ただし、カウントは30⽇間 の経過を待つことが必要)。 数字 例) 10
  10. ユーザーやチームからの逆引き確認が可能。 セキュリティロールの割当状況確認 環境 > (環境名)> 設定 > ユーザーより • 任意のユーザーを右クリック。

    • セキュリティロールの管理を選択。 こちらにより、選択ユーザーが所属しているセキュ リティロールを確認することができる(チームでも 同じ確認が可能)。 ユーザー名 ユーザー名 部署名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名 セキュリティロール名
  11. これらを踏まえたお⽚付けの「ベスプラ」とは? このセクションまとめ アプリ • アプリ単位のアクセス(アクティブ)について確認することができる。 • マネージドソリューションでも削除は可能。 • アンマネージドソリューションはエクスポートしておくことも可能。 ユーザー

    • 無効ユーザーはPower Platformの該当環境に対するアクセス権限はない。 • ⼀括で削除することもできるが、レコードの再割り当てなどの対応が必要。 • Entraの監査履歴はLogAnalytics連携できるので、検知や通知の仕組みの実装が可能。 セキュリティロール • ソリューション単位で削除していくのがベター。 • ユーザーやチームから割り当て状況を確認することができる(いわゆる逆引き)。
  12. 「完璧」は不可能と⼼得る、状況に応じて「柔軟に対応」できる余地を作る。 ポイントの整理 やっておくべきこと • ❶⼀定のルール化と運⽤。 • ❷リスクやルール逸脱を検知できる仕組み(受動 > 能動)。 •

    ❸「お⽚付け」処理の⾃動化。 やらなくていいこと • ライフサイクル全体の「⾃動化」や「フロー化」。 • 管理をするための「アプリ開発」。 活⽤
  13. 個⼈的に机上含む調査の範囲であり、全てを検証済ではありません。 まず結論 アプリ • 使わなくなったものはアーカイブ+環境からはソリューション単位で削除。 ‧‧‧❶ • 負債が⾼いもの(依存関係が⼊り組んでいる)は残存管理。 ‧‧‧❶ ユーザー

    • ⼊り⼝となるEntraできちんとシャットアウト。 ‧‧‧❶❸ • および監査履歴の検知⾃動化などで最初の関⾨の管理を強化する。 ‧‧‧❷ セキュリティロール • 原則は全てチーム単位で割り当てを⾏う(運⽤でカバー)。 ‧‧‧❶ • 各アプリのセキュリティロール割り当て状況の横断チェック。 ‧‧‧❷❸
  14. 退職や異動に伴う変更の「放置」「失念」。 アカウント 払出し 権限付与 退職や異動 発⽣ アカウント 削除 環境へのせキュリティグループ アプリAセキュリティロール(更新)

    アプリBセキュリティロール(閲覧) 環境へのせキュリティグループ アプリAセキュリティロール(更新) RISK ユーザー(おさらい) ユーザーや権限の 「お⽚付け」
  15. ⼊り⼝(Entra ID)をしっかり塞いで、監視ができる仕組みを整える。 ユーザー(べスプラ案) アカウント 払出し 権限付与 退職や異動 発⽣ アカウント 削除

    ❶確実に環境のセキュリティグループから権限 剥奪、あるいは❸物理アカウント削除。 Power Platform側は確実に対象ユーザーが「無効」になって いることを確認すればよく、無理な削除は⾏わない。 ❷Log Analyticsを活⽤した監査履歴の監視や不正なログインなどの検知は常に⾏う。
  16.   グループのメンバーを取得 定期周期で実⾏し、発覚したらTeams通知をする「受動的な検知」を実装。 ざっくりフローの流れ  定期周期による起動 LogAnalytics検索 Teamsに通知 • 毎時‧毎⽇などの周期でトリガー。 •

    LogAnalytics検索で、監査履歴より指定回数ログインを したユーザーを検索。 • Entraにて対象となるユーザー情報の取得。 • (じゃないユーザーの検知時に)全ユーザーを取得。 • ⼀定期間未ログインなどのグループ除外、無効化など。 • 検知をしたユーザー情報やアラームを指定のチャネルな どに通知。
  17. 相談相⼿、兼‧先⽣=GPT4o。 たとえばこんな検知ができれば LogAnalyticsとPower Automate活⽤で検出できそうなこと。 • 何度もログイン試⾏を⾏ったユーザーの検出。 • 期間未ログイン状態のユーザーの検出。 • ⻑期間パスワード変更を⾏なっていないユーザーの検出。

    • 頻繁にパスワードリセットを⾏なっているユーザーの検出。 • 不審な場所からのログインの検出。 • 管理者権限の不正利⽤の検出 アクティブなセッション数の監視。 • 権限エスカレーションの試⾏の検出。 • 管理者アカウントでのログイン。
  18. セキュリティロール(おさらい) アプリ セキュリティ ロール チーム チーム チーム チーム ア プ

    リ 仕 様 セキュリティ ロール 運 ⽤ 管 理 「チーム単位」で離脱させたはずなのに‧‧‧ ルール逸脱による「抜け⽳」。 たまたま個別に 権限を割り当ててしまった⼈ RISK 抜け漏れのない 「お⽚付け」
  19. お⽚付けに実は「ベスプラ」はない? 全体のまとめ ⾊々ごちゃごちゃと話しましたが... • 会社や組織それぞれで求める要件が違う。 • Power Platformその他製品の購⼊状況で様々な ⼿段や制約がある。 •

    それ以外の外部環境にもそれぞれ違いがある。 各会社や組織に応じたテナント管理が必要であり、そ の前段階として「お⽚付け」という⽬線と必要性が共 有できればゴールと考える。 ※ご参考にしていただければ幸いです。また、うちではこんな事して いるよ‧‧‧ってことがあればぜひ教えてください!!