Azure Key Vault 資格情報を作成する

  • [アーティクル]

Power Automate の 資格情報 ページは、Azure Key Vault を使用して、資格情報を作成、編集、ログインし、共有し、デスクトップフロー接続で使用できるようになります。

また、CyberArk® (プレビュー) で資格情報を作成 できます。

重要

  • 現在、この機能は米国政府機関のクラウドでは利用できません。

前提条件

資格情報には、Azure Key Vault に保存されているシークレットが使用されます。 資格情報を作成できるようにするには、最初に管理者が Azure Key Vault を構成する必要があります。

簡単に言うと、管理者は次のことを確認する必要があります。

  1. Microsoft Power Platform リソース プロバイダーを、Azure サブスクリプションで登録します。
  2. 資格情報で使用されるシークレットを格納する Azure Key Vault があります。
  3. Dataverse サービス プリンシパルにはシークレットを使用するアクセス許可があります。
  4. 環境変数を作成するユーザーには、Azure Key Vault リソースに対する適切なアクセス許可があります。
  5. Power Automate 環境と Azure サブスクリプションは同じテナント上に存在する必要があります。

Azure Key Vault を構成するには、Azure Key Vault を構成するで説明されている手順に従います。

資格情報を作成する

資格情報を作成するには:

  1. 資格情報 ページに移動します。
  2. 左側のナビゲーションでその他すべてを検出するの順に選択します。
  3. データ で、資格情報 を選択します。 左側のナビゲーションにページを固定すると、アクセスしやすくなります。

資格情報ページで、最初の資格情報を作成できるようになりました。

資格情報の名前を定義するスクリーンショット。

資格情報を作成するには、次の情報を指定する必要があります。

  • 資格情報名: 資格情報の名前を入力する
  • 説明 (オプション)

次へ を選択後、Azure Key Vault を資格情報ストアとして選択する必要があります。

ウィザードの最後の手順で、ユーザー名とパスワードを選択するか、新しいユーザー名とパスワードを作成します。

  • ユーザー名: ユーザー名を選択するには、ドロップダウンを使用できます。 環境変数がない場合は、新規 を選択します。

    • 表示名。 環境の変数の名称を入力してください。

    • 名前: 一意の名前は 表示名称 から自動的に生成されますが、変更することもできます。

    • 。 ユーザー名を入力します。 ローカルユーザーの場合は、ユーザー名を指定します。 ドメインユーザーの場合は、<DOMAIN\username> または <username@domain.com> を提供します。

      資格情報のユーザー名を定義するスクリーンショット。

注意

資格情報のユーザー名はテキスト 環境 変数です。 また、ソリューションページからテキスト変数を作成 し、ユーザー名として選択します。

  • パスワード: パスワードを選択するには、ドロップダウンを使用できます。 秘密の環境変数がない場合は、新規 を選択します。
    • 表示名。 環境の変数の名称を入力してください。
    • 名前: 一意の名前は 表示名称 から自動的に生成されますが、変更することもできます。
    • サブスクリプション ID: キー コンテナーに関連付けられている Azure サブスクリプション ID。
    • リソース グループ名。 シークレットを含むキー コンテナーが配置された Azure リソース グループ。
    • Azure Key Vault 名。 シークレットを含むキー コンテナーの名前。
    • シークレット名。 Azure Key Vault に配置されたシークレットの名前。

資格情報のパスワードを定義するスクリーンショット。

注意

サブスクリプション ID、リソース グループ名、およびキー ボールト名は、キー ボールトの Azure ポータルの概要ページに表示されています。 シークレット名は、設定の下でシークレットを選択することにより、Azure ポータルのキー ボールト ページに確認できます。 シークレットのユーザー アクセス検証はバックグラウンドで実行されます。 ユーザーに少なくとも読み取り権限がない場合、次の検証エラーが表示されます: 「この変数は正しく保存されませんでした。 ユーザーには、'Azure Key Vault パス' からシークレットを読み取る権限がありません。パスワードには 秘密の環境変数 が使用されます。 また、ソリューションページから秘密の変数を作成 し、パスワードとして選択します。

資格情報を使用してデスクトップ フロー接続を作成する

注: 資格情報は、現時点では デスクトップ フロー 接続でのみサポートされています。

デスクトップ フロー接続 で資格情報が使えるようになりました

シークレットが使用されている場所を表示する

ソリューション ページから、シークレット環境変数のすべての依存関係を取得できます。 これは、Azure Key Vault シークレットを編集する前に、そのシークレットがどこで使用されているかを理解するのに役立ちます。

  • 1 つの環境変数の使用を選択します。
  • 詳細オプション、 依存関係の表示の順に選択します。
  • 以下が表示されます。
    • この環境変数を使用する資格情報。
    • この環境変数を使用する資格情報。

資格情報を共有する

資格情報を組織内の他のユーザーと共有し、そのユーザーに資格情報の特定のアクセス許可を付与することができます。

  1. Power Automate にサインインして、資格情報 に移動します。
  2. 使用可能な資格情報のリストから資格情報を選択します。
  3. コマンド バーで 共有 を選択します。
  4. 人を追加する を選択し、資格情報フローを共有する組織内の人物の名前を入力して、このユーザーに付与する役割を選択します。
    • 共同所有者 (編集可能)。 このアクセス レベルは、その資格情報に完全なアクセス許可を与えます。 共同所有者は、資格情報を使用したり、他のユーザーと共有したり、詳細を編集したり、削除したりできます。
    • ユーザー (表示のみ可能)。 このアクセス レベルは、その資格情報を使用するアクセス許可のみを与えます。 このアクセス権では、編集、共有、または削除のアクセス許可は使用できません。
    • ユーザー (表示と共有が可能)。 このアクセス レベルは表示のみのオプションと同じですが、共有 に権限が与えられます。
  5. 保存 を選びます。

注意

資格情報を共有すると、その資格情報で使用されるすべての環境変数も共有されます。 資格情報のアクセス許可を削除しても、環境変数のアクセス許可は削除されません。

資格情報を削除する

  1. Power Automate にサインインして、資格情報 に移動します。
  2. リストから、削除する資格情報を選択して、コマンド バーで マシンの削除 を選択します。

注意

資格情報を削除しても、関連する環境変数は削除されません。

資格情報を使用してデスクトップ フロー接続をエクスポートする

注意

最初に、デスクトップ フロー向け ALM に関する記事を読む必要があります。

認証情報を使用して、デスクトップ フロー接続でクラウド フローをエクスポートできます。 まず、資格情報と関連する環境変数を含むソリューションをインポートしてから、クラウド フローとデスクトップ フローを含むソリューションをインポートする必要があります。

制限

  • 現在、この機能はデスクトップ フロー接続でのみ使用できます。
  • 新しいデザイナーでの認証情報の作成はまだ利用できません。
  • 既存の資格情報で選択した環境変数を編集することはできません。 ユーザー名とパスワードの値を変更する場合は、環境 変数または Azure Key Vault シークレットを更新する必要があります。
  • 資格情報を使用した接続の更新は非同期です。 シークレットが更新された後、デスクトップ フロー接続で新しい資格情報が使用されるまでに最大 1 分かかる場合があります。

シークレットの更新 (パスワードローテーション) - 非推奨

注意

このアクションは非推奨になりました。 資格情報を使用するすべての接続は、フロー実行中にシークレットを取得するようになりました。 接続を更新するためにこのカスタム フローを作成する必要はなくなりました。 自動更新のメリットを享受するには、2024 年 4 月より前に作成された資格情報を使用する接続を更新する必要があります。

シークレットを更新するための前提条件 (パスワードローテーション)

  • Event Grid が Azure のリソース プロバイダーとして登録されていることを確認します。 リソース プロバイダーに関する詳細
  • Power Automate で Event Grid トリガーを使用するユーザーが Event Grid 共同作成者の権限を持っていることを確認します。 詳細

注意

このセクションでは、組織のシステム管理者などの特定の権限が必要であり、それ以外の場合は、自分のデスクトップ フロー接続のみが更新されます。

イベント グリッド トリガーを使用してクラウド フローを作成します

Azure Key Vault でシークレットを編集するときは、自動化が中断されないように、これらのシークレットを使用する資格情報と接続が常に最新であることを確認する必要があります。 Power Automate では、Azure Key Vault でシークレットが変更されたときに資格情報を更新する クラウド フロー を作成する必要があります。

このクラウド フローには、1 つのトリガーと 1 つのアクションが含まれています。

  1. トリガー: リソース イベントの発生時 (Event Grid)
    • リソースタイプ: Microsoft.KeyVault.vaults
    • リソース名: Key vault の名前を入力します。
    • サブスクリプション: サブスクリプションの名前を入力します。
    • イベントの種類: Microsoft.KeyVault.SecretNewVersionCreated
  2. アクション: バインドされていないアクションを実行する (Dataverse)
    • アクション名: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: トピック
    • シークレット名: 件名

Dataverse アクションのスクリーンショット。

すべてのシークレットに 1 つの Key Vault を使用する場合、必要なクラウド フローは 1 つだけです。 複数の Key Vault がある場合は、クラウド フローを複製し、リソース名を更新する必要があります。

クラウド フローが Azure Key Vault で正しく動作していることを確認するには、次の手順を実行します。

  1. Key Vault に移動します。
  2. イベントを選択します。
  3. イベント サブスクリプションで、LogicApps Webhook が表示されるかどうかを確認します。

Azure Key Vault のイベント サブスクリプションのスクリーンショット。