既定環境について調べてみた

Transcript

1. 既定環境について調べてみた ～ Microsoft 365ライセンスで既定環境を利用する場合の注意点～ おうじゃさんといっしょ#47 たな

2. 注意事項 • 本資料の内容は、Microsoft公式情報、実機確認、サポートとの やりとりして得た情報です。 • Power Platformの導入・管理・運用を行う方向けの内容です。 （利用者の方も知っていて損はないと思います） • 最新でない可能性がありますのでご注意ください。

   • 内容について間違っている点があればご指摘ください。 • 一部、社内の情報を載せていますので、一瞬で忘れてください。 2

3. 自己紹介 • たな (dreams_panda) • 某IT企業勤め • 元開発者（ソフト開発してました） いまは市民開発者？ •

   オンプレSharePoint、InfoPath、SharePointワークフロー • SharePoint Online、Power Apps、Power Automate おうじゃさんといっしょ 4月MVP おうじゃさんといっしょ 6月MVP 3

4. アジェンダ • 既定環境とは • ストレージ容量 • 試用版の制御 M365ライセンスでの作成可否とシステム制御 • セキュリティロール

   • Power Platform管理センター • （おまけ）各リソースの確認、削除方法 4

5. 既定環境とは 5

6. 既定環境 • テナントに必ず存在 • 削除できない・バックアップ不可・復元不可 • テナントすべてのユーザーがアクセス可能 [参考]環境の概要 - 既定の環境

   https://docs.microsoft.com/ja-jp/power- platform/admin/environments-overview#the-default- environment [参考]環境の概要 -環境アクセス許可 https://docs.microsoft.com/ja-jp/power- platform/admin/environments- overview#environment-permissions 環境作成者（Environment Maker ） Basic ユーザー（Basic User） が割り当てられる ※「セキュリティロール」で説明します グローバルでテナントを使用している場合は、 保存される情報に注意 ※ GDRP （General Data Protection Regulation： EU一般データ保護規則） 6

7. Detaverse • Detaverseがある環境とない環境がある • 既定環境にもDetaverseを作成できる [参考]Power Platform 管理センターで環境の作成と管理をする - Power

   Platform 管理センターで環境を作成する https://docs.microsoft.com/ja-jp/power-platform/admin/create-environment#create-an-environment-in-the-power- platform-admin-center 自動で作成される既定環境もあとから Dataverseを作成することが可能 ※「承認」コネクタを利用する場合は、 Dataverseが必要 ※Dataverseがない状態で 承認コネクタを利用した フローを実行すると、 Dataverseが作成される。 プロビジョニングに時間が かかるので、テナントで最 初に承認コネクタを利用し た場合、承認できるように なるまで、10分ほどかかる 7

8. ストレージ容量 8

9. テナント全体に付与される容量 • 以下3種類の合計 • 組織(テナント)の既定値 • 既定環境に付与される容量：0GB • ただし、テナント内に有効なユーザーライセンスを所持している場合は、 最大32GBまで追加される

   • ユーザーライセンス • テナント内でのユーザーライセンスごとに追加される • 追加容量 • キャパシティアドオンごとに追加される 注意：容量は環境ごとに付与されるわけではない！ 9

10. テナントに付与されている容量 • Power Platform管理センターで確認可能 ※[リソース]-[キャパシティ] の[概要]タブで表示される左側 ＜ユーザーライセンスを所持しているテナント＞ ＜ユーザーライセンスを所持していないテナント＞ 既定環境の最大32GB ※データベース、ログ、ファイル領域

    それぞれに付与された合計 10

11. 【参考】ライセンスガイド 組織(テナント)の既定値 ユーザーライセンス 旧 新 [参考]Microsoft Power Apps および Power

    Automate ライセンス ガイド [英語] https://go.microsoft.com/fwlink/?linkid=2085130 [日本語] https://go.microsoft.com/fwlink/?LinkId=2085130&clcid=0x411 ※ 日本語は古い可能性あり ライセンスのふらりさんが 以前に貼ってくれた画像を利用させて いただいております 組織(テナント)の既定値 → 既定環境に付与される容量 ※テナントで最初に購入したライセンスの 既定値が既定環境に付与されることに注意。 追加購入しても増えない。 （MS回答） ユーザーライセンス → テナントに付与される容量 11

12. 【参考】ライセンスガイド • キャパシティアドオン 12

13. Power Platformの容量について • 容量（Dataverseの容量）は、テナント全体に付与され、 環境ごとに割り当てることはできない（テナント全体で分け合う形） • 使用量がテナント全体の容量を超えた場合は、ライセンス違反 • 既定の環境であっても、有効なライセンスを所有していない場合は、 デフォルトで付与される容量はない＝0

    GB ※32GB超えても使い続けてよい（ライセンス違反ではない） 13

14. テナントの容量を超過した場合の影響 • テナントの容量が超過しても、現状はPower Platform管理センターで警告 表示されるだけで、フロー、アプリの作成および実行は可能 • ただし、テナント容量が1GB未満の場合、以下の操作不可 • 環境作成 •

    環境のコピー • 環境の復元 ※ 環境１つ作成するとデータベースを1GB使用するということ 別環境の管理者（利用者）への影響あり 警告は出るがテナント全体 の容量は超えていないため 利用可能 注意は出るがユーザーライセンス がないテナントのため そのまま利用可能 14

15. ※それぞれの環境ごとに購入部門が異なる例 既定環境以外の使用量 <Aチームの場合> per user×5ライセンス ：データベース：250MB、ファイル：1GB、 ログ：0MB 使用量 ：データベース：1GB、 ファイル：723.9MB、ログ：0MB

    <Bチームの場合> per user×1ライセンス ：データベース：50MB、ファイル：2GB、ログ：0MB 使用量 ：データベース：1GB、 ファイル：0MB、ログ：0MB ※旧ライセンス体系時に購入 <Aチーム> <Bチーム> 購入ライセンス容量より 使用量が多い Dataverseのない環境だが データベース使用量は１GB 15

16. ライセンス容量の変更点 <2019 年 4 月以前> • データベース/ファイル/ログの合計が、付与されているストレージ容 量を超過した場合に容量超過となる <2019 年

    4 月以降> • データベース/ファイル/ログのそれぞれのストレージ容量が、付与さ れているストレージ容量を超過した場合に容量超過となる ※ただし、データベース・ログに関してはお互いの空き容量を補完す ることが可能 データベース、ログは相互補完されるが ファイルは補完されないため 実質12GBが上限 16

17. 既定環境利用に関するMicrosoft社の見解 • 既定の環境はテナント内の全ユーザーがアクセス可能なため、既定の環境を中 心に活発に開発を行われることは推奨できかねるという理由から、32 GB を超 える場合は、新たに環境をご作成いただくようお願いいたしております。 [参考]既定の環境 https://docs.microsoft.com/ja-jp/power-platform/admin/environments-overview#the-default-environment [参考]金融機関でも採用される

    Power Apps と Power Automate の環境構成（吉田の備忘録） https://memo.tyoshida.me/power-platform/powerapps/finance-sector-power-apps-configuration/ 17

18. Dataverseに格納されるデータ種別 データベース領域 ファイル領域 ログ領域 ・Power Platformで利用する内 部データ ・承認に関する情報 ・Dataverse にてカスタムエン

    ティティを作成し格納したデー タ ・各種リソース作成時に格納さ れる情報 ・承認依頼に添付したファイル ・Dataverse にてカスタムエン ティティを作成し、エンティ ティ内にファイル列を設定して 格納したファイル（「メモ」に 格納） ・プラグイントレースログ （Dynamics365で使用するアド オンのログ） ・監査ログ（Dataverseのアク セスログ） • Microsoft 365ライセンスで利用する場合は以下の情報が格納される • 承認に関する情報 • 各種リソースの情報（主に有償ライセンスが必要なリソース） （デスクトップフロー、ソリューション、モデル駆動型アプリ、ビジネスプロセスフロー、AI Builder、チャットボットなど） ※キャンバスアプリ、クラウドフローは、Dataverseではなく環境（Azure）に保存される ※デスクトップフロー（Win10）は、 Dataverseのデータベース領域に保存される（組織アカウントを利用する場合） • 監査ログ（Dynamics側のログ） ※Microsoft 365のセキュリティコンプライアンスセンターの監査ログとは別のログ ※有償ライセンスで既定環境を利用している場合は除く 18

19. 【参考】テーブルの使用量 承認関連のテーブル [WorkflowBase] はワーク フローを定義するルールやワーク フローの実行ログを保存しているテーブル（デスクトップフローはここに保存されている可能性が高い） ふらりさんがおっしゃっていたように データベースからなくなっている デスクトップフローはここに保存されている可能性が高い。 そもそも承認関連のデータとリソースの情報しか保存されないんじゃないの？？？（MS確認予定）

    19

20. 【参考】 WorkflowBase ---//引用開始//---- DS組織で非同期ワークフローがトリガーされると、非同期ジョブの処理を追跡するためにAsyncOperationBase テーブルにレコードが作成されます。 ワークフロー実行のログを維持するために、WorkflowLogBaseテーブルにも追加のレコードが作成されます。 ビジネスプロセスフローは、BPFのBPFステージ遷移ログとアクションログもWorkflowLogBaseテーブルに格納 します。 組織でワークフローやビジネスプロセスフローを多用している場合、これらのテーブルは時間の経過とともに大 きくなり、最終的にはパフォーマンスの問題が発生するだけでなく、組織データベースの過剰なストレージを消

    費するほど大きくなります。 システムの一括削除ジョブを利用して、これらのテーブルから不要なレコードを削除できます。 「設定」->「データ管理」->「一括レコード削除」に移動して、一括削除システムジョブを表示します。 すぐに使用できるシステムの一括削除ジョブの活用 一括レコード削除グリッドから、ビューセレクターを使用して、完了、進行中、保留中、および繰り返しの一括 削除システムジョブを表示できます。 次の画像では、[定期的な一括削除システムジョブ]ビューを選択しました。 このビューには、すぐに使用できる3つの一括削除システムジョブのジョブ定義が表示されます。 ---//引用終了//---- <[WorkflowBase] に関する参考情報> [参考]Cleaning up records from the AsyncOperationBase / WorkflowLogBase table - Microsoft Dynamics 365 Blog https://cloudblogs.microsoft.com/dynamics365/it/2018/06/21/cleaning-up-records-from-the-asyncoperationbase- workflowlogbase-table/ 20

21. 【参考】承認に関するテーブル 削除可能 21

22. 削除可能なデータ • 承認に関する情報 • [実施項目]-[承認]-[履歴]のレコード（ Flow Apploval」テーブルのレコード） • 各種リソースの情報（主に有償ライセンスが必要なリソース） •

    モデル駆動型アプリ、ビジネスプロセスフロー、AI Builder、チャットボットなど • 監査ログ（Dynamics側のログ） • 3カ月ごとにパーティションが作成される • 古いパーティションしか削除できない ※上記の削除方法は、[（おまけ）各リソースの確認、削除方法]参照 22

23. 【参考】Dataverse以外に保存されるもの • クラウドフロー、キャンバスアプリは、Dataverseではなく、 環境（Azure上）に保存される（無制限） • ユーザーごとに作成できるフローの上限は、600 ※共有アイテム（チームフロー）は無制限だったが、Docsの記載が変更になっ ているため、確認中 [参考]キャンバスアプリ、クラウドフローの格納場所記載されてたURLどこだっけ？？？？ [参考]マイ

    フローの制限 https://docs.microsoft.com/ja-jp/power-automate/limits-and-config#my-flows-limit 23

24. M365ライセンスでの作成可否と システム制御 24

25. M365でのリソース作成可否（1/3） 種別 リソース M365ライセンスでの作成可否 システム制御方法 Power Automate デスクトップ フロー (旧

    UI フロー) × ・ライセンス違反 ・無料のPower Automate Desktopではな く、有償ライセンスの方 ・試用版ライセンスで最大90日間利用可能 試用版ライセンスのサインアップ の無効化 ※１ Process Advisor × ・ライセンス違反 ・試用版ライセンスで最大90日間利用可能 試用版ライセンスのサインアップ の無効化 ※１ ビジネス プロセス フロー ◦ ・既定環境での作成は、ライセンス違反とな らない。実行はライセンス違反 （既定環境でのみ利用可能かをMS確認中） エンティティに対するセキュリ ティロールの権限を変更 ※既定から変更した際の保証はない Power Apps モデル駆動型アプリ ◦ ・既定環境でのみ利用可能。ライセンス違反 ではない！ ※当初確認時は、既定環境での作成は、ライ センス違反ではないが、実行はライセンス違 反とのMS回答だった エンティティに対するセキュリ ティロールの権限を変更 ※既定から変更した際の保証はない データフロー ◦ ・既定環境での作成は、ライセンス違反とな らない。実行はライセンス違反 （既定環境でのみ利用可能かをMS確認中） エンティティに対するセキュリ ティロールの権限を変更 ※既定から変更した際の保証はない 25

26. M365でのリソース作成可否（2/3） 種別 リソース M365ライセンスでの作成可否 システム制御方法 Power Apps ポータルアプリ × テナントでの無効化

    あるいは、 Azure ADへのアプリ登録 ※２ テーブル × ・ライセンス違反ではないが、管理者でしか 作成不可 システム管理者またはシステム カスタマイザーのいずれかのセ キュリティ ロールが必要 ※３ 選択肢 (複数) × ・ライセンス違反ではないが、管理者でしか 作成不可 システム管理者またはシステム カスタマイザーのいずれかのセ キュリティ ロールが必要 ※実機確認 カスタムコネクタ ◦ ・1つのみ作成可能。2つ以上作成するとエ ラーとなる。実行はライセンス違反 ※４ 以前カスタム コネクタを 1 つまで作成/使用できる 権利が昔はあり、その利用権に対して変更があり作 成可能な制限数がそのまま残ったと思われる（MS回 答） ※Dataverse上ではなくAzure上に保存される（クラウドフ ロー、キャンバスアプリと一緒） フローで呼び出そうとした際に、 DLPポリシーの既定値によって動 きが変わる模様。 既定値が「ブロック済み」であれ ば、DLPポリシーで利用不可とで きる。 カスタムコネクタのDLPポリシー 制御のPowerShellコマンドあり （どのような場合に利用するかは 確認中）※５ 26

27. M365でのリソース作成可否（3/3） 種別 リソース M365ライセンスでの作成可否 システム制御方法 Power Apps ゲートウェイ ◦ ※６

    テナントでできるユーザーを限定 することが可能（インストールは 可能） チャットボット × ・ライセンス違反 ・試用版ライセンスで最大90日間利用可能 Azure Active Directory のセル フサービス サインアップの無効 化 ※７ AI Builder △ ・ライセンス違反 ・試用版ライセンスで最大90日間利用可能 ・システム制御なし ・試用版ライセンス無効化できない ・通常のユーザーライセンスとは異なり、 Power Apps や Power Automate ライセンスへのアドオンとし て提供されており、通常のユーザーライ センスとは仕組みが異なる 27

28. 【参考】リソース作成制御方法（1/2） ※１ [参考]試用ライセンスのブロックコマンド https://docs.microsoft.com/ja-jp/power-platform/admin/powerapps-powershell#block-trial-licenses-commands Remove-AllowedConsentPlans -Types "Internal" Remove-AllowedConsentPlans -Types "Viral"

    ※７ [参考] Azure Active Directory のセルフサービス サインアップについて https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/directory-self-service-signup 「AllowAdHocSubscriptions」の設定値をfalse ※Virtual Agentsの試用版の無効化 ※２ [参考]ポータル管理に必要な役割 https://docs.microsoft.com/ja-jp/powerapps/maker/portals/admin/portal-admin-roles#read-write-access-mode [参考]テナントでのポータル作成の制御 https://docs.microsoft.com/ja-jp/powerapps/maker/portals/control-portal-creation Set-TenantSettings -RequestBody @{ "disablePortalsCreationByNonAdminUsers" = $true } ※３ [参考]カスタム テーブルの作成- 前提条件 https://docs.microsoft.com/ja-jp/powerapps/maker/data-platform/data-platform-create-entity#prerequisites ※４ [参考]Azure Logic Apps、Power Automate、Power Apps のカスタム コネクタに関するよくあるご質問 - 制限 https://docs.microsoft.com/ja-jp/connectors/custom-connectors/faq#limits ※６ [参考]プレビュー: オンプレミス データ ゲートウェイの管理 https://docs.microsoft.com/ja-jp/power-platform/admin/onpremises-data-gateway-management ※５ [参考]次ページ参照 28

29. 【参考】リソース作成制御方法（2/2） ※５ カスタムコネクタのDLPポリシー制御コマンド 1.DLPの情報を確認します。 ・DLPのID(PolicyName)がわからない場合、以下のコマンドですべての情報を出力します $dlp = Get-DlpPolicy $dlp.value |

    fl displayName,name 2.カスタムコネクタの情報を取得します Get-AdminPowerAppConnector |Where-Object{$_.displayname -eq "<コネクタの名前>"} 例：Get-AdminPowerAppConnector |Where-Object{$_.displayname -eq "testCustomConnector"} 3.Add-CustomConnectorToPolicyコマンドでカスタムコネクタをDLPに追加します。 Add-CustomConnectorToPolicy -PolicyName < PolicyName > -ConnectorName <ConnectorName> -GroupName hbi -ConnectorId <ConnectorId> -ConnectorType "Custom" < PolicyName >は手順1の結果から確認可能です。 <ConnectorName>と<ConnectorId>は手順2の結果から確認可能です。 -GroupName hbi はビジネスグループへの追加のオプションです。非ビジネスへ追加する場合は代わりに -GroupName lbi をご指定ください。 コマンド例： Add-CustomConnectorToPolicy -PolicyName a5f4052e-17d9-4621-87e1-8000bfc9a625 -ConnectorName shared_yanoh-2dnatureremo- 5f98e19169295ebb74-5febd54940e56727d9 -GroupName hbi -ConnectorId /providers/Microsoft.PowerApps/scopes/admin/environments/Default-2a958990-4bfc-4838-a8c5-26ea68ff68a6/apis/shared_yanoh- 2dnatureremo-5f98e19169295ebb74-5febd54940e56727d9 -ConnectorType "Custom" 29

30. セキュリティロール 30

31. 利用者に割り当てられるロール • 環境作成者（Enviroment Meker ） • Basicユーザー（Basic User） [参考]環境のリソースに対するユーザー セキュリティの構成

    - Dataverse データベースを持つ環境 https://docs.microsoft.com/ja-jp/power-platform/admin/database- security#environments-with-a-dataverse-database 31

32. 【参考】セキュリティロールとレコードレベル [参考]セキュリティ ロールおよび特権 -セキュリティ ロール https://docs.microsoft.com/ja-jp/dynamics365/customerengagement/on-premises/admin/security-roles-privileges?view=op-9-1#security-roles [参考]セキュリティ ロールおよび特権 - レコード

    レベルの特権 https://docs.microsoft.com/ja-jp/dynamics365/customerengagement/on-premises/admin/security-roles-privileges?view=op-9-1#record-level- privileges レコード レベル アクセスのレベル 32

33. モデル駆動型アプリ • 作成、編集可能。削除不可。権限はテナント全体 • システム制御はセキュリティロールのみ → ライセンスがなくても作成、実行ができる 作成するとテナント全体で編集できるが、 自分で作成したものを削除できない ※

    アプリ一覧がとんでもないことになります 33

34. ソリューション • すべて可能。権限はテナント全体 • システム制御はセキュリティロールのみ 作成するとテナントのユーザーが誰でも編集・ 削除できる 34

35. ビジネスプロセスフロー • すべて可能。権限は本人のみ • システム制御はセキュリティロールのみ 本人のみ編集・削除できる 35

36. デスクトップフロー • すべて可能。権限は本人のみ • システム制御は試用版無効 本人のみ編集・削除できる 36

37. Process Advisor (プレビュー) • 作成、読み書き。権限はテナント全体 • システム制御は試用版無効 テナント全体で編集できる？ 削除は本人のみ？ ※実機未確認

    37

38. ポータルアプリ • 作成、読み。権限はテナント全体 • テナントで ポータル作成は無効化されていない場合、AzureADでアプリの 登録が必要 • テナントで ポータル作成が有効の場合、システム管理者ロールが必要

    38

39. テーブル／選択肢(複数) • 作成、読み。権限はテナント全体 • システム管理者またはシステム カスタマイザーのいずれかのセキュリティ ロールが必要 39

40. カスタムコネクタ • 作成、読み書き、削除。権限は本人のみ ｖ 40

41. AI Builder • 作成、読み書き、削除。権限は本人のみ • 試用版ライセンスの制御不可 ※通常のユーザーライセンスとは異なり、Power Apps や Power

    Automate ライセンスへのアドオンとして提供されており、通常のユー ザーライセンスとは仕組みが異なる • 試用版の延長2回まで計90日間利用可。 ※その後、有償ライセンス購入ボタンが表示されるが、セルフサインアップはできない。購入して、別途ライセンス付 与という手続きが必要 41

42. チャットボット • 作成、読み書き、削除。権限は本人のみ • システム制御は試用版の無効化 <公開情報> タイトル : エンティティの作成および使用 -

    Power Virtual Agents | Microsoft Docs URL : https://docs.microsoft.com/ja-jp/power-virtual-agents/advanced-entities-slot-filling 上記の公開情報に記載のとおり、Power Virtual Agentで使用するエンティティについては、以下の Power Virtual Agent 側の画面から確認 できますが、Dataverse 上からは表示できませんでした。 たぶん、違う ※未確認 42

43. 【参考】セキュリティロールの確認方法（1/2） • Dynamicsの画面より確認 次へ 43

44. 【参考】セキュリティロールの確認方法（2/2） [参考] Dataverse データベースが存在する環境のユーザーにセキュリティ ロールを割り当てる https://docs.microsoft.com/ja-jp/power-platform/admin/database-security#assign-security-roles-to-users-in-an-environment-that-has-a- dataverse-database [参考] Microsoft Dataverse

    のセキュリティ概念 -エンティティ/レコードの所有権 https://docs.microsoft.com/ja-jp/power-platform/admin/wp-security-cds#entityrecord-ownership 続き 44

45. Power Platform管理センター 45

46. テナント全体の管理 • Power Platform管理者（またはそれ以上の権限）で テナント全体を管理 • 環境の設定 • Power Platformの使用状況の確認

    • ストレージ使用量の確認 • テナントリソースの確認 [参考] Microsoft Power Platform の管理 https://docs.microsoft.com/ja-jp/power-platform/admin/admin-documentation 46

47. 環境 • 環境の作成・バックアップ・復元 • アクセス権の設定 • リソースの確認 47

48. 環境の管理 セキュリティロールの変更やアクセス できるユーザーを設定 環境に作成されているアプリやフロー の確認・共有・削除 48

49. [参考]セキュリティロール セキュリティロールの編集は Dynamics側で設定 セキュリティロールが設定されている ユーザー確認・追加 49

50. [参考]環境の設定 50

51. [参考]環境の作成 Detaverseを作成するかの指定 [参考] Power Platform 管理センターで環境の作成と管理をする https://docs.microsoft.com/ja-jp/power-platform/admin/create-environment 51

52. [参考]環境の種類 [参考]環境の概要 - 環境の種類 https://docs.microsoft.com/ja-jp/power- platform/admin/environments-overview#types-of-environments 既定環境 52

53. [参考]ライセンスによる環境の作成可否 [参考] Power Platform 管理センターで環境の作成と管理をする - 誰が環境を作成できますか? https://docs.microsoft.com/ja-jp/power-platform/admin/create-environment#who-can-create-environments 53

54. [参考]環境を作成するユーザーの制御 [参考] Power Platform 管理センターで環境を作成、管理できるユーザーを制御する https://docs.microsoft.com/ja-jp/power-platform/admin/control-environment-creation 環境を作成できるライセンスを持って いると誰でも環境が作れる ※ 環境の管理の観点からいうと

    「特定の管理者のみ」がお勧め 54

55. 分析 • Dataverse、Power Apps、Power Automateの分析レ ポート表示 55

56. キャパシティ • テナント全体の容量 • テナント全体のDataverse使用量 • 環境ごとのDataverseの使用量詳細 • データベース、ファイル、ログ領域ごとの使用量 •

    テーブルごとの使用量 56

57. キャパシティ - テナント全体 テナント全体で使用できる容量 テナント全体の使用量 57

58. キャパシティ – 環境別使用量詳細 データベースはすべてのテーブルの使用量を CSVでダウンロード可能 ※ファイル、ログは不可 58

59. データポリシー • データ損失防止（DLP） • テナントで利用するコネクタの分類を設定する • 環境ごとに別々ポリシーを設定できる • ビジネス、非ビジネス、ブロック済みに分類できる [参考]データ損失防止

    (DLP) ポリシーを作成する https://docs.microsoft.com/ja-jp/power-platform/admin/create-dlp-policy 59

60. データポリシーの作成 – ポリシー名 ｖ 変更する場合は、ポリシーを選択して、[ポリシーの編集] 次へ 60

61. データポリシーの作成 – 既定グループの設定 ｖ 続き 既定グループに新しく追加されたコネクタが分類される ビジネス：利用できる。非ビジネスのコネクタと一緒に利用することはできない 非ビジネス：利用できる。ビジネスのコネクタと一緒に利用することはできない ブロック済み：利用できない ビジネスと非ビジネスが混在した場合

    ブロック済みの場合 次へ 61

62. データポリシーの作成 – コネクタ 続き コネクタを選択し、[ビジネスに移動]または [ブロック]をクリックすることで分類可能 ※ [非ビジネス]タブの場合 ｖ [ブロック可能]が「いいえ」のコネクタを選択した

    場合は、ブロックできないメッセージが表示される ▪ブロックできないコネクタ（ちょっと前） • Cloud App Security • Microsoft Dataverse • Microsoft Dataverse（レガシー） • Microsoft Forms Pro • Microsoft Kaizala • Microsoft To-Do（仕事） • Office 365 Groups • Office 365 Groups Mail • OneDrive for Business • OneNote（Business） • Planner • Power Appsの通知 • Power Appsの通知V2 • Power BI • Shfts for Microsoft Teams • Skype for Business Online • Dynamics 365 Customer Voice 62

63. データポリシーの作成 - スコープ 続き 次へ すべて、複数の環境を追加、特定の環境を除外から 適用するパターンを選択する [複数の環境を追加]、または、[特定の環境を除外]の場合 を選択した場合、環境を選択し、[＋ポリシーに追加する]を クリックする

    ※ Detaverse for Teams環境も選択可能 [ポリシーの編集]の場合は、 すでに追加されている環境は 表示されない 63

64. データポリシーの作成 – レビュー 続き 追加した環境は、移動する 64

65. PIMによるシステム管理者権限付与 • PIMにより権限付与されたアカウントでDataverse環境へ のアクセスはサポート対象外！ 以下、いずれのアクセスもサポートされない • Power Platform管理センター （Dataverseを触るとき。DLPポリシーの設定はサポートされる） •

    Power Apps • Power Automate [参考]金融機関でも採用される Power Apps と Power Automate の環境構成 https://memo.tyoshida.me/power-platform/powerapps/finance-sector-power-apps-configuration/ [参考] Azure AD Privileged Identity Management とは https://docs.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-configure ＜対応策２＞ 特定の環境の確認にあたっては、Power Platform 管理者などのテナントの管理権限がなくとも、環境のシステム管理者のセキュリティロールにて確 認可能 <対応策１> Dataverse データベースが存在する環境のユーザーにセキュリティ ロールを割り当てる」の手順にて、確認したい環境ごとに、該当のユーザーに対 して「システム管理者」のセキュリティロールを付与し、その権限にて確認 [参考]セキュリティ ロールおよび特権 - セキュリティ ロールを割り当てています https://docs.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#assigning-security-roles 固定のアカウントに対して権限を割り当てる方法のみサポートされる 65

66. 【参考】Dataver環境へのPIMの未サポート • Dataverse は Azure AD のロールではなく、 あくまでもセキュリティロールでアクセス制御を行うため、 Dataverse に対するアクセス許可に関しては、PIM

    の JIT アクセスをサポートしていない（MS回答） [参考]Privileged Identity Management で管理できないロール https://docs.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-roles ※ Azure AD の管理者ロールのうち、PIM をサポートしていない一覧 [参考]Use service admin roles to manage your tenant - Power Platform | Microsoft Docs https://docs.microsoft.com/en-us/power-platform/admin/use-service-admin-role-manage-tenant ※ PIMをサポートしていない旨が公開される予定の場所 66

67. [参考]Power Platform管理センターのアップデート予定 • テナント独立性機能（アイソレーション） • コネクタのエンドポイントフィルタリング機能 • データ損失ポリシーのさらなる細かな制御 • コネクタアクションコントロール

    • カスタムコネクタのガバナンス機能：URLフィルタリングとデー タ損失ポリシー • メール流出防止機能 [参考] Microsoft Power Platform: 2021 release wave 1 plan https://docs.microsoft.com/ja-jp/power-platform-release-plan/2021wave1/ [参考] Microsoft Ignite 2021 春 Power Platform 関連の発表内容 https://memo.tyoshida.me/others/microsoft-ignite-2021-spring-power-platform-updates/ [参考] Power Platform 向けに新しく搭載されたガバナンスと管理機能 https://memo.tyoshida.me/power-platform/powerapps/power-platform-new-governance-admin-capabilities/ 67

68. （おまけ）各リソースの確認、削除方法 68

69. テナント全体を確認するアカウント • 以下でアカウントで確認できる • Power Platform管理者などのシステム管理者 • ライセンスなし ※システム管理者であれば、ライセンスなしで問題ない •

    Power Platform管理センター • Power Apps ※システム管理者でもライセンスが必要 • Power Automate 69

70. 承認履歴 • [実施項目]-[承認]-[履歴]のレコードは、永遠に残り続ける • 期間指定の削除設定などはない • 「Flow Apploval」テーブルのレコードのうち「completed」 [参考]Power Automate

    の GDPR データ対象者削除依頼に対応する - Power Automate から承認履歴を削除する https://docs.microsoft.com/ja-jp/power-automate/gdpr-dsr-delete#delete-approval-history-from-power-automate ｖ ｖ 70

71. 承認履歴の削除 - Excel（1/3） ｖ ｖ 次へ 71

72. 承認履歴の削除- Excel（2/3） ｖ ｖ 続き 72

73. 承認履歴の削除- Excel（3/3） [参考]Microsoft PowerApps Officeアドイン https://appsource.microsoft.com/ja-jp/product/office/WA104380330?tab=Overview • ダウンロードしたファイルを開く [Status]が「completed 」が完了したもの

    Excel上で不要なレコードを削除し、 アドインにて、[Publish]することで反映できる 73

74. 承認履歴の削除 - テーブル（1/2） 次へ 74

75. 承認履歴の削除- テーブル（2/2） 続き 75

76. 監査ログ • ３カ月ごとにパーティション分割される （4/1～,7/1～,10/1～,1/1～） • 古いパーティションからしか削除できない • 削除してから最大24時間後に使用量が反映される • エクスポート方法

    • Microsoftではエクスポート手順は用意されていない • Dataverseコネクタを利用したフローで出力 • サードパーティXrmToolBoxで出力（MSからお勧めされた） →どちらの方法もすべての情報を取得できない [参考] Extract Audit Logs and Automated Backup/Delete ※UserVoice https://experience.dynamics.com/ideas/idea/?ideaid=e888ad9c-f29d-e911-80e7-0003ff68f1d6 [参考] XrmToolBox https://www.xrmtoolbox.com 76

77. 監査ログの削除 - Dynamics 次へ ＜Power Platform管理センターから＞ 77

78. 監査ログの削除 - Dynamics 続き 古いパーティションからしか削除できない ＜Power Appsから＞ 78

79. （おまけ）監査のレコード数を取得するフロー ① ② ③ 79

80. （おまけ）監査ログをエクスポートするフロー ① ② ③ あとでスキーマ書いときます… 80

81. すみません、あとで書いておきます （超おまけ）JSONの解析のスキーマ 81

82. モデル駆動型アプリ • Power Platform管理センターの[リソース]-[Power Apps]からテナ ント全体のモデル駆動型アプリが確認・削除可能 以下のセキュリティ ロールを有するユーザーは環境内のすべてのモデル駆動型アプリにアクセスすることが可能 ・環境の作成者 (Environment

    Maker) ・システム管理者 (System Administrator) ・システム カスタマイザー (System Customizer) [参考]Power Apps の管理 https://docs.microsoft.com/ja-jp/power-platform/admin/admin-manage-apps#manage-power-apps 所有者がSYSTEM以外がユーザーが作成したもの ｖ 82

83. モデル駆動型アプリ – コマンド ▪モデル駆動型アプリの取得 ・公開済みアプリの取得 公開済みアプリを取得するには、以下の要求を使用します。 GET [Organization URI]/api/data/v9.0/appmodules ・未公開のアプリの取得

    未公開アプリを取得するには、RetrieveUnpublishedMultiple 関数を使用します。 GET [Organization URI]/api/data/v9.0/appmodules/Microsoft.Dynamics.CRM.RetrieveUnpublishedMultiple() ※ [Organization URI] は、例えば、orgxxxxxxxx のような、環境を指定する文字列となります。 ※ 「公開」は、参考情報に説明されますように、アプリケーションの状態です。 ユーザーがアプリケーションを実行できるようにするためには、アプリケーションを公開する必要があります。 上述では、公開済みアプリケーションと、未公開のアプリケーションの取得方法について例示しております。 ▪モデル駆動型アプリの削除 DELETE 要求を使用してモデル駆動型アプリを削除します。 DELETE [Organization URI]/api/data/v9.0/appmodules(dd621d4a-d898-e711-80e7-00155db763be) 「dd621d4a-d898-e711-80e7-00155db763be」は、上述の「アプリの取得」により取得された、Appmoduleid になります。 [参考]コードを使用してモデル駆動型アプリを作成、管理、公開する https://docs.microsoft.com/ja-jp/powerapps/developer/model-driven-apps/create-manage-model-driven-apps-using-code [参考]RetrieveUnpublishedMultiple Function https://docs.microsoft.com/ja-jp/dynamics365/customer-engagement/web-api/retrieveunpublishedmultiple?view=dynamics-ce-odata-9 [参考]アプリ デザイナーを使用してモデル駆動型のアプリを検証および公開する - アプリ デザイナーを使用してアプリを公開する https://docs.microsoft.com/ja-jp/powerapps/maker/model-driven-apps/validate-app#publish-an-app-using-the-app-designer 83

84. ソリューション • Power Appsから確認・削除 マネージドソリューションの場合は、ソリューション内のコンポーネントについても削除される アンマネージドソリューションの場合は、ソリューション内のコンポーネントは削除されない [参考]ソリューションの概要 - Power Apps

    のソリューションで作業する https://docs.microsoft.com/ja-jp/powerapps/maker/data-platform/solutions-overview#work-with-solutions-in-power-apps [参考]モデル駆動型アプリを削除する - 管理ソリューションの削除 https://docs.microsoft.com/ja-jp/powerapps/maker/model-driven-apps/delete-model-driven-app#delete-a-managed-solution ＜ソリューションの作成者の確認方法＞ 84

85. ビジネスプロセスフロー • Dynamicsの画面から確認、削除 [Category]で「Business Process Flow」を選択して、[OK]をクリック クリックするとフィルタリングが可能になる 85

86. デスクトップフロー • テナント全体での確認、削除には、「有人 RPA を含む Power Automate per user プラン」が必要

    86

87. （超おまけ）デスクトップフロー数（Win10無料） • システム管理者権限＋RPAプランがないとテナント全体デ スクトップフローは管理できない • Detaverseコネクタを利用すれば、数は取得できる 87

88. （超おまけ）デスクトップフロー数取得フロー ① ② ③ 88

89. （超おまけ）JSONの解析のスキーマ { "type": "array", "items": { "type": "object", "properties": {

    "@@odata.type": { "type": "string" }, "@@odata.id": { "type": "string" }, "@@odata.etag": { "type": "string" }, "@@odata.editLink": { "type": "string" }, "name": { "type": "string" }, "[email protected]": { "type": "string" }, "workflowid": { "type": "string" }, "[email protected]": { "type": "string" }, "uiflowtype": { "type": "integer" }, "[email protected]": { "type": "string" }, "[email protected]": { "type": "string" }, "createdby": { "type": "object", "properties": { "@@odata.type": { "type": "string" }, "@@odata.id": { "type": "string" }, "@@odata.editLink": { "type": "string" }, "[email protected]": { "type": "string" }, "systemuserid": { "type": "string" }, "[email protected]": { "type": "string" }, "ownerid": { "type": "string" } } } }, "required": [ "@@odata.type", "@@odata.id", "@@odata.etag", "@@odata.editLink", "name", "[email protected]", "workflowid", "[email protected]", "uiflowtype", "[email protected]", "[email protected]", "createdby" ] } } 89

90. • Dynamicsの画面から確認、削除 Process Advisor (プレビュー) 以下のセキュリティ ロールを有するユーザーは環境内のすべての Process Advisorにアクセスすることが可能 ・システム管理者

    (System Administrator) ・システム カスタマイザー (System Customizer) [参考]セキュリティとプライバシー https://docs.microsoft.com/ja-jp/power-automate/process-advisor-security Power Platform管理者、全体管理者 ｖ 90

91. ポータルアプリ • すみません、調べてませんでした 91

92. テーブル／選択肢(複数) – ユーザー発行の接頭辞の確認 • Dynamicsの画面から確認 システムが作成するもの ユーザーが作成したものには 接頭辞としてつく 92

93. テーブル／選択肢(複数) • Dynamicsの画面から確認、削除 Nameがユーザー発行の接頭辞を 選択し、[Delete]する ＜テーブル＞ ＜選択肢(複数)＞ 93

94. カスタムコネクタ（確認） • カスタムコネクタの取得：Get-AdminPowerAppConnector • カスタムコネクタの取得の実行例 コネクタの表示名、実際のConnectorName、作成者、環境などが確認可能 [参考] Power Apps の

    PowerShell サポート – コマンドレット リスト – 作成者のコマンドレット https://docs.microsoft.com/ja-jp/power-platform/admin/powerapps-powershell#cmdlet-list---maker-cmdlets [参考] Power Apps の PowerShell サポート – インストール https://docs.microsoft.com/ja-jp/power-platform/admin/powerapps-powershell#installation ※ Power Appsの管理者コマンドを初めて実行する場合は、コマンドのモジュールのインストールが必要 94

95. カスタムコネクタ（削除） • カスタムコネクタの削除：Remove-AdminPowerAppConnector • カスタムコネクタの削除の実行例 取得コマンドで取得したConnectorNameとEnvironmentNameを指定して、コネクタを削除 下記のように指定して、1行のコマンドで実行することも可能（黄色マーカー部分を変更） ＜実行コマンド例＞ Remove-AdminPowerAppConnector -ConnectorName

    shared_testgenericoauth- 5fe1b90b4bd486fbb4-5fc48571636e5bca84 -EnvironmentName Default-2fc065c9-137a-440b- b6cd-54c808c30d0d 95

96. ゲートウェイ • ゲートウェイに関する情報はPower BIサービス内に格納される [参考]プレビュー: オンプレミスのデータ ゲートウェイの表示と管理 - Power Platform

    - データ ゲートウェイ https://docs.microsoft.com/ja-jp/power-platform/admin/onpremises-data-gateway-management#data-gateways 96

97. ゲートウェイ - コマンド PowerShellからゲートウェイを削除していただくことは可能でございます。 その際、“DataGateway” というPowerShellモジュールをインストールして頂く必要がございます。 このモジュールの詳細情報につきまして、以下の公開情報をご参考ください。 PowerShell Cmdlets for

    On-premises data gateway management | Microsoft Docs モジュールをインストールして頂いた後、以下のコマンドでゲートウェイを削除して頂けます。 ＜テナント内のゲートウェイ一覧を取得するコマンド＞ Get-DataGatewayCluster -Scope Organization ＜ゲートウェイを削除するコマンド＞ Remove-DataGatewayCluster -Scope Organization また、その他のコマンドにつきまして、以下の公開情報をご参考ください。 DataGateway Module | Microsoft Docs [参考]PowerShell Cmdlets for On-premises data gateway management | Microsoft Docs https://docs.microsoft.com/ja-jp/powershell/gateway/overview?view=datagateway-ps [参考] DataGateway Module | Microsoft Docs https://docs.microsoft.com/ja-jp/powershell/module/datagateway/?view=datagateway-ps 97

98. AI Builder • Power Appsの画面から確認、削除 98

99. • Dynamicsの画面から確認、削除 チャットボット 削除したいボットをダブルクリック 展開 全選択 最後にボット名の 部分をクリックして 削除 99

100. ありがとうございました！ 100