※本記事はPL-900の資格試験対策用に私が勉強した内容を備忘録として残したものです。想定問題を解いていて重要だ、ここは忘れそうだと感じた部分をまとめています。網羅的な解説記事ではありませんのでご容赦ください。
はじめに
さて今回は、PL-900(Microsoft Certified:Power Platform Fundamentals)の資格試験対策として、Power Platformのセキュリティとデータ管理についてまとめたいと思います。
資格試験に受かることだけを目標に、ポイントだけ抑えた記事となっていますので、詳しく知りたい方はMicrosoftの公式HPでしっかり学習してください。
それでは見ていきましょ~。
オススメ試験対策
オススメのUdemy講座やサイトも載せておきますね。
ひとまず網羅的に勉強し、後は過去問を解きまくりましょう!!
Microsoft Learn
Udemy
Power Platform のセキュリティとデータ管理
データ損失防止 (DLP) ポリシー
データ損失防止 (DLP) ポリシーとは、組織のデータが不適切に外部流出しないよう、Power Platform上でコネクタ使用を制御できるものです。
具体的には、コネクタを「ビジネス」「非ビジネス」「ブロック済み」の3カテゴリに分類し、機密データを扱うビジネス用コネクタとパブリックな非ビジネスコネクタが同一アプリ/フロー内で混在利用されるのを防止します。
| カテゴリ | 概要 |
|---|---|
| ビジネス | ビジネス用として安全に使用できるコネクタ。業務における機密データの取り扱いに適しており、同じアプリやフロー内で自由に連携しても問題がないと判断されている。すなわち、業務データ同士の共有は許容される設定。 |
| 非ビジネス | 主に業務以外の用途で使用されるコネクタ。機密性の高いデータを扱う場合、ビジネス用と非ビジネス用のコネクタを同じアプリやフローで混在させると、機密データが意図せず外部に流出するリスクがあるため、両者の混在利用を制限する仕組みとなっている。つまり、非ビジネスコネクタはビジネスデータと同時に使用できないように制御されます。 |
| ブロック済み | セキュリティやコンプライアンス上の理由から、業務データの取り扱いにおいて全く利用できないように設定される。アプリやフロー内で使用すると、データが外部に漏れるリスクが非常に高いと判断された場合に、このカテゴリに分類される。 |
例えば「社内の営業DB(ビジネス)とSNSのX(旧Twitter)(非ビジネス)を同じフローで繋ぐ」といったデータ流出リスクの高い組み合わせを禁止できます。
DLPポリシーは環境単位やテナント単位で管理者が設定可能です。
- コネクタの利用制限:
業務で使用する(機密データを扱う)コネクタと、一般的なデータを扱うコネクタを分類し、両者が同じアプリやフローで混在しないように制御。これにより、機密情報が不適切な場所に流出するリスクを低減。
- データ共有のルール:
どのデータがどのサービスを通じて共有されるか、外部へのデータ転送が許可される条件などを設定し、誤って重要な情報が外部に送信されないように管理。
- アクセス権と権限の制御:
ユーザーやアプリケーションがどのデータにアクセスできるかを制限し、情報の漏洩リスクを抑える。
- 監視とアラート:
データの取り扱いや共有状況を監視し、ポリシー違反があった場合にアラートを発生させることで、迅速な対処が可能となる。
Microsoft Entra ID (旧称:Azure AD)によるアクセス管理
Power Platformの各サービスへのユーザー認証・アクセス制御は、Microsoft Entra ID が基盤となります。
ユーザーはEntra IDに登録された資格情報でサインインし、アプリやデータへのアクセス権はそのユーザーに割り当てられたグループやロールによって決まります。加えて、Entra IDの条件付きアクセスを利用すれば「特定のネットワークからのみアクセス許可」「多要素認証を必須化」など高度なポリシーも適用可能です。
例えば「社外からのPower Apps接続時には承認済みデバイスからのみ許可する」といった設定で、場所やデバイスの要件を満たす場合にのみアプリ起動を許します。これにより、不正アクセスや認証情報漏洩時のリスクを低減します。
環境とガバナンス管理
環境ごとにリソースを分離・管理できるため、ガバナンスの単位として環境戦略を策定することが重要です。
環境には管理者(Environment Admin)ロールを割り当て、環境内のPower Appsやフロー、Dataverseデータの権限管理を行います。
必要に応じて「部門別の環境」や「開発用・本番用の環境」を設け、権限やDLPを適切に設定します。
環境はOffice 365セキュリティグループと連携してアクセス制御することも可能で、特定グループのメンバーだけがその環境内のリソースを操作できるようにできます。
また、プラットフォーム全体の利用状況を把握しガバナンスを効かせるために、CoEツールキットを活用すると効果的です。
Power Platform CoE (Center of Excellence) ツールキットとは、組織内のPower Platform活用状況を可視化し統制するための拡張ソリューションです。Power AppsやPower Automateの管理用テンプレート群で、各環境にインポートして使います。
CoEを導入すると、組織内で作成されている全アプリやフロー、接続されているコネクタの一覧と所有者が把握でき、利用状況や作成傾向の分析ダッシュボードが提供されます。
また、不要になったリソースのクリーンアップ、ガバナンス違反の検出(例: 許可されていないコネクタ使用のアプリ)やアプリのライフサイクル管理(開発~運用)を支援する機能も含まれます。
CoEはあくまで推奨ツールであり必須ではありませんが、企業規模でPower Platformを展開する際のベストプラクティスとして活用が推奨されています。
PL-900合格体験記
私がPL-900に合格した際の体験記についてもまとめています。勉強の仕方や感じた難易度等、参考になれば嬉しいです!
最後に
さて今回は、PL-900(Microsoft Certified:Power Platform Fundamentals)の資格試験対策として、Power Platformのセキュリティとデータ管理についてまとめました。
あくまでも私の備忘録ですが、このメモが皆さんのお役に立てればとても嬉しいです!是非この記事を読んで資格に合格できた!!等あれば励みになりますのでコメントください~。
前回まとめた記事はこちらです。
本ブログでは、PL-900以外の勉強記事もあげていますのでそちらも是非!!
コメント