Power Platform 向けに新しく搭載されたガバナンスと管理機能
デジタル ソリューションに対する需要の高まりに対応するために、企業はアプリのイノベーションを加速させる方法を探しています。Microsoft Power Platform のようなローコードプラットフォームは、IT管理者がビジネスとのコラボレーションを迅速に進められるようになり、効率性、セキュリティ、コンプライアンスを向上させて、より多くのソリューションを提供できます。
IT 管理者がセキュリティを管理し、顧客の期待をタイムリーに提供することは、「在宅勤務」新しいスタンダードであることを考えると、現在の市場の状況は困難です。Gartner社によると、「クラウドコンピューティングの出現と、より迅速なDevOpsスタイルのアプリケーション開発戦略への移行は、IT運用チームに大きなストレスを与えています。これを、情報技術(IT)の内製化や市民開発者向けの「ローコード」アプリケーションおよび自動化プラットフォームへの移行と組み合わせると、IT運用チームの役割と重要性が2021年に入るにあたり、これまで以上に重要になっています。
*Gartner, 2021 Planning Guide for IT Operations and Cloud Management, 9 October 2020, Douglas Toombs, Lydia Leong, Alan Waite, Marco Meinardi, Tony Iams, Steve White, Venkat Rayapudi, Brian Adler, Paul Delory, Gregg Siegfried, Gregory Murray, Simon Richard, Elias Khnaser.
この増加する需要に応えるために、従来のITガバナンスと管理をどのように拡張しますか? Microsoft Power Platform は、IT管理者、およびオペレータ向けに構築されたマネージド サービスを使用して、リッチなカスタマー エクスペリエンスを実現するための理想的なプラットフォームを提供します。Power Platform はプラットフォームとしてさらに一歩踏み込み、セキュリティと管理要件を損なうことなく、ローコードを効率的に活用できるようにします。
Power Platform のガバナンスと管理に関する主な課題を解決
ITガバナンスと管理が容易になると、企業はリリースに時間がかかる、コストが高いアプリケーションの開発と管理を加速させることができます。Power Platform の採用が需要に応じて拡大し続ける中で、企業信頼の概念は、最高情報セキュリティ責任者とIT部門が安心して利用できることを保証し、組織における市民開発の発展を促進する上で重要になります。2020 年の Microsoft Ignite に発表した、Power Platform のプロ開発者の勢いに基づいて、IT管理者がPower Platform のセキュリティを確保し、監視するための道筋を確保し、市民開発者とプロ開発者が成功できるようにするために、過去 6 か月間で大幅な改善を行いました。
Power Platform の利活用の可視化
管理者がローコード・ノーコードプラットフォームを安全に展開し、効果的にサポートするための重要な側面は、テナント全体の使用状況とビジネスへの影響を監視できることです。Power Platform の監視ツールにより、従業員が何を構築しているのか、作成したアプリやフローがどのように使用されているかを簡単に把握できます。これは、従来のIT主導の開発プロジェクトとは違います。ここ最近、ITガバナンスの推進を簡素化する多くの新しい監視機能と管理性機能を導入し、これからもこの分野でより深い洞察を提供し、新機能を追加し続けます。お楽しみに!
テナント内の分析機能を標準提供
Power Platform 管理センターを使用して、管理者は、標準搭載したレポートを使用して、すべての環境のアプリとフローに対しての使用状況と作成者のアクティビティを追跡できるようになりました。環境のプラットフォームの全体的な使用状況とビジネスへの影響を管理者が追跡し、作成者の傾向を特定し、主要な Power Platform リソースに関する共有の詳細を確認でき、アプリとフローに関するテナント全体の新しいレポートを発表します。
広範なフィルタリングサポートにより、管理者は深く掘り下げてデータを分析することができます。アプリとフローのインベントリリスト ビューを使用すると、より詳細な分析を行うための CSV ファイルとして管理者がレポートを簡単にダウンロードできます。
Power Apps と Power Automate 利活用レポート
Power Platform 管理センターでは、アクティブ ユーザーとセッション全体の傾向に関する洞察を提供するテナント全体のレポートを提供し、組織内で Power Platform アプリを使用しているユーザーの数と、すべての環境でのフローを 1 つのビューですばやく確認できます。
Microsoft Power Apps の使用状況レポートを使用すると、月間アクティブユーザー数の傾向を把握し、新しいユーザーを特定できます。使用状況によって計算された上位アプリケーションはインベントリ ビューに表示され、管理者チームは、環境名、一意のユーザー、合計セッション、各アプリまたはフローの最終起動時刻など、組織内で最も影響力のある Power Platform 資産に関する関連情報をさらに特定できます。
Power Apps と Power Automate 作成者のアクティビティレポート
このレポートには、アプリとフローの作成の傾向と、テナントの全体的な作成者の傾向が表示されます。
Power Apps Maker アクティビティ レポートを使用すると、毎月のアプリ作成と組織の作成者の傾向を分析できます。最新の作成は、管理部門が作成者や所有者の名前、環境名、共有の詳細、状態、または個々のアプリまたはフローの作成時間など、組織内の関連する詳細を詳細に識別できるように、インベントリテーブルビューにリストされます。
Power Apps と Power Automate の棚卸し
使用状況と作成者のアクティビティレポートとは別に、管理者は、関連する詳細と広範なフィルタリングサポートとともに、テナントに存在するアプリとフローの棚卸しをリストビューで視覚化して、企業に最も価値を付加しているリソースを特定することもできます。すべてのインベントリ リスト ビューは、組み込まれた Microsoft Power BI 機能を利用して管理者がエクスポートできます。
Power Platform 内の組織データを管理する
ローコードプラットフォームやノーコードプラットフォームが企業のデジタル革命を起こせるようにする前に、セキュリティアーキテクトや管理者は、データの安全性を確保する機能を求めます。Power Platform はMicrosoft Azure とMicrosoft Azure Active Directory(Azure AD)の強力なセキュリティおよびコンプライアンス機能を含むマイクロソフトのセキュリティ標準に基づいて構築されています。環境およびテナント全体のデータ流出に対するガバナンス、コネクタ アクションとエンドポイントのきめ細かいデータ損失防止ルール、カスタム コネクタのデータ損失防止のサポートを可能にする、多くの対象セキュリティおよびガバナンス機能をリリースしました。
テナント独立性機能(アイソレーション)
組織のデータは最も重要な資産であり、Power Platform の管理者は、強力なデータ流出制御を設定することで、市民開発を受け入れることを安全に実現できるようになりました。最近では、Office 365 Outlook や SharePoint などの Azure AD 認証を活用するPower Platformコネクタに対し、テナント間のデータ受信および送信の制限を強化しました。Power Platform 管理センターのテナント分離機能を使用して、Power Platform 専用の Azure AD ベースのコネクタのテナントを、組織が分離できるようになりました。
管理者は Power Platform のテナント分離を構成でき、外部テナントからのテナントへのインバウンド接続と、テナントから外部テナントへのアウトバウンド接続がすべての AAD ベースのコネクタに対してブロックされるようにすることができます。業務要件に基づいて、テナント管理者は、他のすべてのテナントを禁止しながら、特定のテナントで 1 つ以上のアウトバウンド接続とインバウンド接続を許可することもできます。
コネクタのエンドポイントフィルタリング機能
データ損失防止制御を使用すると、管理者は SQL、Microsoft Dataverse、HTTP、SMTP、BLOB ストレージなどの重要なコネクタで特定のエンドポイントを対象に接続を許可またはブロックするように構成できます。エンドポイント フィルタリングに、より多くのコネクタが今後追加される予定です。
アスタリスクベースのパターンマッチングに対応しており、順序付きリストとしてエンドポイント名を追加できるため、管理者にとって構成が容易になります。データ損失防止ポリシーの適用中に、アプリとフローは、一覧の最初に一致したエンドポイント エントリに対して指定された “許可または拒否” のアクションを適用します。
この機能により、特定のエンドポイントのみを使用する関連環境で、業務の利用シナリオに重要なコネクタを使用できるようになります。Power Platform コネクタを介してリスクの高いエンドポイントに到達できないようにブロックする機能により、管理者は、組織内の機密データを公開するリスクのあるデータに対し、サービスのリスクを発生させることなく、ビジネスユーザーに安全に権限を与えられます。たとえば、管理者は、SQL コネクタを介して他のインスタンスをブロックしながら、環境内で SQL サーバーの特定のインスタンスにのみ到達可能を許可するように選択できます。この構成により、ビジネス ユーザーは、特定の SQL サーバーをデータ ソースとして利用するアプリやフローを作成し、財務または 人事データが含まれるSQL サーバーの機密情報が作成者によって誤って公開されないようにすることができます。
また、この機能を使用すると、管理者は、コネクタを介して到達可能な新しいエンドポイントの既定の設定として、リストの最後に “Deny *” または “Allow *” ルールを挿入し、管理者が確認して適切に分類できるようになるまで、既定で許可またはブロックすることができます。
データ損失ポリシーのさらなる細かな制御
Power Platform は、最も人気のあるエンタープライズ アプリケーションを含む、 400種類以上のコネクタを提供しています。コネクタは、基盤となるサービスが Power Platform に接続できるようにする API のプロキシまたはラッパーです。これらのコネクタへのアクセスとアプリケーションに存在するデータの制御は、リスク回避のためのガバナンスとセキュリティの重要な側面です。データ損失防止ポリシー(DLP)は、ビジネス、非ビジネス、およびブロックに分類されたカテゴリ間でコネクタを効果的にグループ化します。また、最近では、管理者がビジネスの生産性とデータセキュリティのバランスを取ることができるように、コネクタアクションコントロールやエンドポイントフィルタリングなどのきめ細かいデータ損失防止制御も導入しました。
コネクタアクションコントロール
名前から察する通り、新しく登場したコネクタアクションコントロールにより、管理者は重要なコネクタを有効化させ、特定の環境で特定のアクションのみ有効になるように設定することができます。
コネクタアクションコントロールを使用すると、管理者は、特定のコネクタの特定のアクションに対し、許可またはブロックすることができます。危険なコネクタ操作を無効にすることにより、管理者は、基になるサービスへのアクセスリスクを発生させることなく、ビジネス ユーザーに安全に権限を与えられます。たとえば、管理者は、ツイートの投稿やリツイートなどの書き込み操作を無効にしながら、環境内の Twitter コネクタに対して読み取りアクションのみを許可するように選択できます。この設定により、マーケティング部門は、Twitterコネクタを使用して感情分析を行うアプリやフローを作成し、Power Platformをツイートの投稿に使用できないという安心感を管理者に提供することができます。
また、管理者は、既存のコネクタに追加される新しいアクションの既定の設定を選択し、管理者が確認して適切に分類できるようになるまで、既定で許可またはブロックされるように分類できます。標準ライセンスを持つ Office 365 コネクタなどのブロックできないコネクタでは、コネクタの操作制御はサポートされません。
カスタムコネクタのガバナンス機能:URLフィルタリングとデータ損失ポリシー
もう 1 つの新機能は、テナント レベルのデータ損失防止ポリシーを使用したカスタム コネクタ ガバナンスへの対応です。最近まで、カスタムコネクタは 環境レベルのデータ損失防止ポリシーにはPowerShellでしか追加できませんでした。カスタム コネクタの 画面からの操作や、テナント レベルのポリシーには対応してませんでした。
カスタムコネクタ自体は環境スコープのリソースですが、管理者のセキュリティ ポリシーとガバナンス ポリシーは、異なる環境で同じ基になる URL で作成された単一のカスタム コネクタに対して、単一のリスク プロファイルとして URL エンドポイントに適用する必要があります。
新しいカスタムコネクタ用のデータ損失ポリシー機能により、管理者は:
- テナントレベルのポリシーでカスタム コネクタのホスト URL パターン (アスタリスクベースのサポートを含む) の順序付きリストを指定し、PowerShell と同様に PowerShell のデータ ポリシーを通じて、それらを “ビジネス”、”非ビジネス”、または “ブロック” として分類することができます。さらに、カスタム コネクタ URL パターン リストの最後のルールを “ignore *” に設定して、管理者が環境レベルのポリシーを使用してカスタム コネクタの管理を必要に応じて延期できます。
- Power Platform 管理センターのデータ ポリシーから(コネクタの名前で)カスタム コネクタ分類を設定し、PowerShell と同様に設定します。
メール流出防止機能
Power Platformのテナント分離機能を活用して、接続の確立を拒否することで Azure AD ベースのコネクタのデータ流出と侵入を防ぐだけでなく、管理者は Office 365 メール コネクタの Power Platform メール流出制御を使用して、管理者の承認や監視なしに組織外に電子メールを配布できないようにすることもできます。
既定の環境、外部メール受信者の電子メールの流出、Azure AD ベースのコネクタを制御するためのテナントの分離など、共有環境のデータ流出のリスクに関する完全なカバレッジにより、管理者は、外部 ID プロバイダー (非 Azure AD) を使用するコネクタから保護できるようになりました。
コメントを残す