マネージド環境をアクティブ化する
このホワイト ペーパーでは、マネージド環境の主な機能、および組織と管理者にとってのメリットについて説明します。
注意
ブラウザーで 印刷 を選択して PDF として保存 を選択することで、このホワイト ペーパーを保存または印刷できます。
マネージド環境の概要
マネージド環境は、プレミアム ガバナンス機能のスイートであり、IT 管理者がこれを利用すると、より多くの制御、より高い可視性、より少ない労力で、Power Platform を大規模に管理できます。 どんな種類の環境でも管理できます。 環境が管理されているときは、Power Platform 全体で追加機能を利用することができます。 マネージド環境を有効化する方法を説明します。
このホワイト ペーパーでは、マネージド環境をアクティブ化した組織に基づいた次のような機能を例を見ながら説明します。
- Power Platform のパイプラインは、アプリケーション ライフサイクル管理 (ALM) の自動化を導入し、労力を軽減して開発プロセスを合理化します。
- 作成者ウェルカム コンテンツ は、組織の作成者をカスタム メッセージで歓迎し、組織が Power Apps を開始するのをサポートします。
- 共有の制限 は、ユーザーがキャンバス アプリを共有できる範囲に対する保護策を追加します。
- 使用状況の分析情報は、管理者にアプリの使用状況とユーザーの活動に関する情報を報告する、毎週のダイジェスト メールです。
- データ ポリシー は、簡単に表示および識別できます。
- ソリューション チェッカーの適用 は、一連のベスト プラクティス ルールに照らしてソリューションをチェックし、問題のあるパターンを特定します。
- IP ファイアウォール は、ユーザーの Dataverse へのアクセスを許可された IP アドレスに制限することで、組織のデータを保護します。
- IP Cookie バインド は、IP アドレスに基づく Cookie バインドを使用することで、Dataverse でのセッション ハイジャック違反を防止します。
- カスタマー マネージド キー は、追加のデータ保護を提供し、独自の Key Vault の暗号化キーを使用してデータを暗号化します。
- カスタマー ロックボックス は、Microsoft サポートからデータ アクセス要求を承認できるインターフェイスを提供します。
- 拡張バックアップ を使用すると、バックアップ保持期間を 7 日間から最大 28 日間に延長できます。
- デスクトップ フローの DLP は、デスクトップ フロー モデルと Power Automate の個々のモデル アクションを管理します。
- Application Insights へのデータのエクスポートは、エラーとパフォーマンスに関連する問題の診断とトラブルシューティングに役立ちます。
- Power Platform のカタログ は、Power Platform の成果物を大規模に共有することでコラボレーションと生産性を促進します。
- 既定の環境ルーティング は、新しい作成者を自分専用の開発環境に自動で誘導します。
Power Platform のパイプライン
Power Platform のパイプライン は、ALM のベスト プラクティス、自動化、継続的インテグレーションと継続的デリバリー (CI/CD) 機能を Power Platform と Dynamics 365 の顧客に、より親しみやすい方法でもたらします。
組織では、IT 管理者やガバナンス チームのメンバーが、ソリューションを異なる環境に展開する方法についてのガイダンスを提供するのが一般的です。 一元的に管理および統括されたパイプラインは、作成者に直感的なユーザー エクスペリエンスを提供し、ソリューションを簡単に導入できるようにします。
パイプラインを使用して、ソリューションをある環境 (通常は ソース環境 と指定されている) からの他の環境 (通常は ターゲット環境 として指定されている) に展開するには、どの環境がパイプラインの一部かを識別する必要があります。 最も一般的なパイプラインは、開発/テスト/運用環境、または開発/検証/テスト/運用環境で構成されます。 ここに、パイプラインの例を示します。
パイプライン内のすべての環境をマネージド環境にすることをお勧めしますが、開発環境は管理されずにパイプラインで使用できます。
ベスト プラクティスとしては、個別の生産性向上ソリューションは個別の開発環境で開発し、パイプラインを使用してターゲット環境に展開する必要があります。 また、環境を作成する際にパイプラインの設定を検討することで、一般社員主導および開発者主導のプロジェクトで大規模な ALM を促進できます。
作成者を歓迎するコンテンツ
マネージド環境では、管理者は作成者が Power Apps を使い始めるのに役立つカスタマイズされたウェルカム コンテンツ を提供できます。 カスタム ウェルカム メッセージは、作成者が初めて Power Apps にアクセスしたときに、会社のルールと、各環境や環境グループで何ができるかを通知します。
ここでは、環境の種類ごとに組織がウェルカム メッセージを活用する方法について、いくつかの提案を示します。 環境のタイプや所有者を識別する画像を含めて、ユーザーの適応とエラーを防止します。
既定の環境
多くの場合、既定の環境は、データ損失防止ポリシー (DLP) と共有コントロールで最も厳しく制限されています。 制約と起こりえる制限に関する作成者への警告と、組織のポリシー Web サイトやドキュメントへのリンクが含まれたウェルカム メッセージを作成します。
たとえば、既定環境は Microsoft 365 アプリケーションに関連するソリューションのみに使用することを目的としており、既定環境で運用アプリケーションを使用しないことや、キャンバス アプリは限られた数の個人とのみ共有するべきことを、作成者に通知したい場合があります。 次の例は、マネージド環境設定でこのようなメッセージを作成する方法を示しています。
![Power Apps の [作成者ウェルカム コンテンツ設定] のスクリーンショット。](media/mae/image3.png)
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to Contoso Personal Productivity Environment
### Before you start, here are some considerations
Use this environment if you plan to build apps that integrate with Office 365.
Before you start, be aware of these limitations:
1. You can't share your apps with more than five users.
1. The data in Dataverse is shared with everyone in the organization.
1. You can only use Office 365 connectors.
If you're not sure you're in the right place, follow [this guidance**](#).
レンダリングされたウェルカム メッセージは次のとおりです。
運用環境
運用環境は通常、エンタープライズやチームの生産性の向上をサポートする、ソリューションの展開に使用されます。 アプリとデータが組織のポリシーに準拠していることが重要です。 運用環境にアクセスできるユーザーを制御する必要があるため、アクセス許可を更新するポリシーがある場合は、ユーザーに通知すると良いでしょう。 より多くのコネクタを許可し、運用環境で共有制限を増やすことができます。 また、ウェルカム メッセージを使用して、適切なチームの作成者に利用できるサポートに関して知らせることができます。 次の例は、このようなメッセージを作成する方法を示しています。
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to HR Europe Environment
### Before you start, here are some considerations
Use this environment if you're on the HR team and your data is located in Europe.
Before you start, be aware of these limitations:
1. You can only share apps with security groups. [Follow this process](#) to share your apps.
1. The data in Dataverse is stored in Europe.
1. You can only use social media connectors with read actions.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
開発環境
開発者がソリューションを構築するために最も頻繁に使用するのが開発環境です。 開発者はアプリケーションの開発に取り組んでいるため、これは運用環境ではなく、スケーラビリティが制限されています。 通常、このような作成者の性質上、開発環境の DLP はより柔軟です。 この開発環境を開発者が運用資産で使用しないようにするには、このタイプの環境で共有機能を制限し、特定の DLP を使用します。 以下は、開発環境のウェルカム メッセージの例です。
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Developer Environment
### Before you start, here are some considerations
Use this environment if you're a developer and you're building solutions.
Before you start, be aware of these limitations:
1. You can only share resources with up to two members of your team. If you need to share with more people, [submit a change request](#).
1. Use resources only while you're developing a solution.
1. Be mindful of the connectors and data you're using.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
サンドボックス環境
通常、サンドボックス環境はテスト ソリューションに使用されます。 一部のテストには多数のユーザーが関与するため、これらの環境は一定レベルまでスケーリングされ、開発環境よりも多くのキャパシティを備えています。 サンドボックス環境は一般的に開発環境として使用され、通常は複数の開発者によって共有されます。 以下は、そのような環境のウェルカム メッセージの例です。
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Test Environment
### Before you start, here are some considerations
Use this environment only if you're testing solutions.
Before you start, be aware of these limitations:
1. You can only share resources with your team. If you need to share with more people, [submit a change request](#).
1. You're not allowed to edit or import solutions directly in this environment.
1. Be mindful of the test data and compliance.
1. If you need help from a security export or IT support, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
共有制限
マネージド環境では、管理者が キャンバス アプリを共有できる範囲を制限できます。 ただし、制限は 将来の 共有にのみ適用されます。 すでに 20 人を超えるユーザーと共有されているアプリが既存の環境に存在し、これに共有制限 20 を適用しても、それらのアプリはアプリを共有していたすべてのユーザーに対して引き続き機能します。 アプリを共有するユーザー数を減らすために、新しい制限を超えて共有されるアプリの作成者に通知するプロセスを用意する必要があります。 場合によっては、ソリューションを別の環境に移動する場合があります。 共有制限はキャンバス アプリにのみ適用されます。
通常、管理者は次の場合に作成者がアプリを共有する方法を制御する必要があります。
アプリが、個別の生産性環境で共有されている。 自分の仕事用のアプリ、グローバルなビジネス価値のないアプリ、または IT 部門のサポート対象外のアプリを、ユーザーが作成できる環境が存在する場合、作成者が組織全体で共有できないようにすることが重要です。 アプリが個人用の生産性向上アプリとしてスタートした後、人気が出て広く使用されるようになった場合は、共有に設定する制限に注意してください。 一般的な制限は 5 ~ 50 ユーザーです。
アプリは、セキュリティ グループまたは全員と共有されます。 セキュリティ グループと共有されているアプリは、グループのすべてのメンバーが実行できます。 開発環境では、グループのメンバーシップに頼らず、開発者がアプリの共有方法を制御できるようにしたい場合があります。 他のシナリオでは、全員との共有を許可する場合があります。 組織のポリシーに、IT 部門が管理するアプリの実行を許可されているすべてのユーザーを含むセキュリティ グループとのアプリ共有が含まれている場合、作成者が他のセキュリティ グループと共有することを制限することができます。
各環境タイプの一般的な共有制限は次のとおりです。
既定: セキュリティ グループとの共有を除外する と 共有を許可する個人の合計数を制限する を順に選択し、値として20 を選択します。
開発者: セキュリティ グループとの共有を除外する と 共有を許可する個人の合計数を制限する を順に選択し、値として5 を選択します。
サンドボックス: セキュリティ グループとの共有を除外する を選択し、共有を許可する個人の合計数を制限する を未選択にします。 アプリケーションの実行を許可されているユーザーを含む IT が管理するセキュリティ グループとアプリケーションが共有されている場合は、このオプションを使用します。 作成者、ユーザー、またはチームが、ソリューションのテストを許可するユーザーを管理できる場合は、制限を設定しない (既定) を選択します。
運用: 制限を設定しない (既定) を選択します。 特定のセキュリティ グループに基づいて制御するには、セキュリティ グループとの共有を除外する を選択し、共有を許可する個人の合計数を制限する を未選択にします。
使用状況の分析情報
管理者と許可されているユーザーは、毎週のダイジェスト メールで配信される 使用状況の分析情報 と分析を活用して、マネージド環境で何が起こっているかを常に把握できます。 どのアプリとフローが最も人気があり、どれが非アクティブで安全にクリーンアップできるかを調べます。 メール内のリンクは、深い分析に必要なリソースに直接アクセスできます。
一般的に、分散型 IT チームは毎週のメールを使用して、マネージド環境で何が起こっているかを管理者に通知するので、受信者の管理は重要なタスクです。 受信者の数は限られているため、個人アドレスの代わりに、HR_Admins@contoso.com のようなメール配布リストを使用することをお勧めします。
データ ポリシー
綿密に計画された環境戦略には、しっかりした データ ポリシーが含まれます。 利用可能なコネクタや、相互に使用できるコネクタを、DLP で決定します。 同じ環境で複数の DLP をアクティブ化できますが、最も制限の厳しい DLP が優先されます。 ある DLP がコネクタ A の使用を許可し、別の DLP がコネクタ A の使用をブロックする場合、このコネクタはブロックされます。
同じ環境の地域、国、部門、またはチームごとに DLP が適用される場合、環境に複数の DLP が適用されることが頻繫に起こります。 環境に適用されるすべてのデータ ポリシーを明確に視覚化することが重要です。 それを達成する最も簡単な方法は、環境を管理することです。 マネージド環境では、管理者は適用されているすべての DLP を簡単に識別できます。
ソリューション チェッカー強制
一般的にセンター オブ エクセレンス (CoE) チームはガードレールを設定し、ユーザーが環境にコンプライアンス要件に準拠していないソリューションをインポートするリスクを軽減します。 管理者はマネージド環境で、一連のベスト プラクティス ルールに照らして ソリューションの豊富な静的分析確認 を簡単に適用し、問題のあるパターンを特定できます。 多くの場合、分散型 CoE を持つ組織はソリューションチェッカーをアクティブ化し、作成者に事前にメールで連絡してサポートを提供する必要があります。
ソリューション チェッカーを適用すると、"なし"、"警告:、"ブロック" の 3 つのレベルの制御が提供されます。 警告を表示してインポートを許可するか、インポートを完全にブロックするかなど、管理者は確認の影響を構成でき、同時にインポートの結果を作成者に提供できます。
この機能を使用する組織は、環境のタイプに応じて違う構成をします。 通常は例外が存在するため、このガイダンスは常にニーズに合わせて実施する必要があります。 ただし、各環境タイプでのソリューション チェッカーの適用における最も一般的な設定は次のとおりです。
既定値: ブロック と メールの送信を選択する。
開発者: 警告 を選択し、メールを送信 は未選択のままにしておく。
サンドボックス: 警告 を選択し、メールを送信 は未選択のままにしておく。
運用: ブロック と メールの送信を選択する。
Teams 環境: ブロック と メールの送信を選択する。
IP ファイアウォール
既定では、API を使用して任意の IP アドレスのすべての Dataverse データにアクセスでき、認証によって保護されます。 組織は一般的に、許可されたソースへのアクセスを制限し、データ流出など内部関係者の脅威を軽減します。 マネージド環境の IP ファイアウォール は、ユーザー アクセスを許可された IP アドレスからのみに限定することで、Dataverse にある組織のデータを保護します。 IP ファイアウォールは各要求の IP アドレスをリアルタイムで分析し、許可されていないアドレスからの要求を拒否します。
組織は、IP ファイアウォールを頻繁に構成してオフィス敷地内からの接続を許可し、外部からの接続を制限するように構成する傾向があります。 ベスト プラクティスは、条件付きアクセスと組み合わせて使用し、一貫性のないポリシーや依存関係を回避することです。
チップ
これらのポリシーの構成を誤った場合は、Microsoft サポートにサポートを依頼する必要がある場合があります。 許可された IP に含まれないユーザーによる Power Apps へのアクセスを制限したり、または以前に許可されていた Power Automate アクションを制限できます。
IP Cookie バインド (Cookie リプレイ攻撃をブロックする)
IP アドレスベースの Cookie バインド は、マネージド環境での Cookie リプレイ攻撃などのセッション Cookie の悪用を防ぎます。 IP Cookie バインドが有効になっている許可されたコンピューターから盗まれたセッション Cookie を使用して、許可されていないコンピューターの Dataverse にアクセスしようするとブロックされ、ユーザーは再認証を求められます。 ユーザーは次の場合に再認証する必要があります。
- すべての VPN クライアントがオンまたはオフである。
- ワイヤレス ホットスポットに接続している。
- 接続はインターネット サービス プロバイダーによってリセットされている。
- ルーターがリセットまたは再起動されている。
カスタマー マネージド キー
カスタマー マネージド キー (CMK) は、ストレージ ユニットに付けるロックのようなものです。 保管会社が行なう施設の警備体制に依存するのではなく、自分のキーをロックに保管し、誰が自分のユニットにアクセスできるかを決定します。 データ セキュリティと機密性に関する法律や規制を遵守する必要がある組織は、保存中のデータを独自のキーで暗号化することでデータを保護できます。 データのコピーが盗まれた場合、暗号化キーがなければ、そのコピーを別のサーバーに復元することはできません。
CMK を使用すると、情報を解読するためのキーにアクセスできるのは自分だけであることが保証されます。 マイクロソフトを含め、暗号化キーがなければ誰も暗号化されたデータにアクセスできません。
CMK には、Bring-Your-Own-Key (BYOK) モデルに比べてメリットがあります。 異なる暗号化キー、または複数の暗号化キーを個別の環境に使用でき、独自のキー コンテナーで暗号化キーをより適切に管理できます。 BYOK から CMK にアップグレードすると、顧客の分析情報や分析、規模の大きなファイル アップロード サイズ、監査リテンション期間のあるコスト効率の高い監査ストレージ、エラスティック テーブルサービス、Dataverse 検索、長期保有などの、非 SQL ストレージを使用する他のすべての Power Platform サービスにも環境が開放されます。 組織で BYOK を使用している場合は、CMK に移行することをお勧めします。
CMK を使用する組織には、顧客が管理する暗号化キーを保護および更新するための厳格な手順が必要です。
カスタマー ロックボックス
マイクロソフトのスタッフが実行する操作、サポート、およびトラブルシューティングの多くは、顧客データにアクセスする必要がありません。 ただし、マイクロソフトのスタッフは、調査を目的として制限付きで顧客データにアクセスする必要性が、まれに発生します。 マイクロソフトには、必要に応じて顧客データへのアクセスを許可するための多層的な内部承認プロセスがありますが、マイクロソフトが自社のデータにアクセスする方法に関するコントロールを強化する必要がある、または強化したいと感じている組織は数多くあります。 Power Platform カスタマー ロックボックス を使用すると、顧客はマイクロソフトのデータ アクセス要求を確認、承認、拒否することができます。
カスタマー ロックボックスがアクティブ化されており、サポート チケットでお客様のデータへのアクセスを制限する必要がある場合、組織の全体管理者と Power Platform 管理者が要求を受け取ります。 承認された場合、チケットを扱っているマイクロソフトのスタッフは、要求された環境内のデータのみに、一定期間だけアクセスできるようになります。 さらに、アクセス権は自動的に更新されません。 データ アクセスが必要になるたびに、管理者は新しいカスタマー ロックボックス要求を受け取ります。 すべての要求と更新は、監査ログに自動的に記録されます。
延長したバックアップ (7 ~ 28日間)
定期的かつ頻繁なバックアップにより、Power Platform および Dataverse のデータを有害事象のリスクから保護します。 Power Platform を使用して Dataverse データベースと Dynamics 365 アプリケーションがインストールされた運用環境を作成すると、それらの環境は 自動的にバックアップされ、最長で 28 日間保管されます。 運用環境に Dynamics 365 アプリケーションが展開されていない場合は、バックアップは 7 日間保管されます。 ただし、マネージド環境 の場合、管理者は PowerShell のコマンドに従ってバックアップ保持期間を 14 日、21 日、または 28 日間延長できます。
Set-AdminPowerAppEnvironmentBackupRetentionPeriod -EnvironmentName <YourEnvironmentID> -NewBackupRetentionPeriodInDays 28
デスクトップ フローの DLP
Power Automate では、デスクトップ フロー モジュールと個々のモジュールアクションを ビジネス、非ビジネス、または ブロック などに分類する データ損失防止ポリシー を作成することができます。 このように分類することで、メーカーは、異なるカテゴリのモジュールとアクションをデスクトップ フローに結合したり、クラウド フローとそれが使用するデスクトップ フローの間で結合したりすることができなくなり、マネージド環境でのみできるようになります。 アンマネージド環境でもデスクトップ フローの DLP ポリシーを作成できますが、それらのポリシーは適用されません。
既定では、DLP ポリシーの作成時にデスクトップ フローのアクション グループは表示されません。 管理者は Power Platform 管理センターで DLP ポリシーのデスクトップ フロー アクションを表示 テナント設定をオンにする必要があります。
組織内の誰でも、既定の環境で Windows デスクトップ フローを作成できます。 作成者が組織のポリシーに準拠していることを確認するには、クラウド フローと同様にデスクトップ フローに対して DLP 戦略を立てることが重要です。 たとえば、ポリシーがユーザーの PC でのスクリプトの実行をブロックしている場合、作成者が スクリプトの実行 アクションでデスクトップ フローを作成できないようにする必要があります。 同様に、ポリシーによってクラウド フローでの HTTP コネクタの使用が制限されている場合は、デスクトップ フローで同様のアクションをブロックすることをお勧めします。
DLP ポリシーが作成者のデスクトップ フローにどのような影響を与えるかわからない場合は、Automation Kit の DLP 影響分析ツール を使用してください。
Application Insights へのデータのエクスポート
Application Insights は、エラーとパフォーマンス問題を診断して解決する際に使用する Dataverse から診断データとパフォーマンス データを受信できます。 組織は、Azure Monitor の機能である Application Insights を使用すると、資産を制御できる範囲が広がります。
Dataverse 環境がある場合、データ ストリームを使用して Dataverse API の受信通話、Dataverse プラグイン実行呼び出し、および Dataverse SDK 呼び出しを使用して、プラグインの障害と Dataverse SDK の操作を監視することができます。 アプリを Application Insights に接続すると、ユーザーができることを理解することができ、より適切なビジネス上の意思決定に役立つ情報を収集し、およびアプリの品質を向上することができます。 たとえば、次のスクリーンショットは、モデル駆動型アプリの各操作の回数と平均時間を示しています。 この情報は、アプリのユーザーに最も影響を与える操作を特定する際に役立ちます。
Application Insights とフィルターを一緒に使用して、失敗しているフローを検出しアラートを作成します。 次の例は、カスタム アラートとの作成方法と、特定のクラウド フローの失敗をフィルター処理する方法を示しています。 その他の例については Power Automate で Application Insights を設定する を参照してください。
let myEnvironmentId = **'Insert your environment ID here**;
let myFlowId = **Insert your flow ID here** ';
requests
| where timestamp > ago(**1d**)
| where customDimensions ['resourceProvider'] == 'Cloud Flow'
| where customDimensions ['signalCategory'] == 'Cloud flow runs'
| where customDimensions ['environmentId'] == myEnvironmentId
| where customDimensions ['resourceId'] == myFlowId
| where success == false
Power Platform のカタログ
Power Platform のカタログ は、作成者や開発者がソリューション、テンプレート、コード コンポーネントを発見して共有し、組織全体で再利用できる中心的な場所です。 また、これは管理者が Power Platform のアーティファクトを保存および維持するための中心的な場所も提供し、規制や法律の要件への準拠を確保するための管理機能と承認ワークフローを備えています。
作成者や開発者は、ソリューション、テンプレート、コンポーネントを提出してカタログに送信し、同僚がビジネス上の問題を解決する際にサポートできます。 管理者と基幹業務承認者は、これらの送信を確認し、承認できます。 このカタログは、Power Platform アーティファクトの信頼できる唯一の情報源として機能し、これを厳選および制御することで、作成者や開発者にとっての価値を加速できます。 カタログは、ソリューションとテンプレートの検索、作成、共有のプロセスを合理化し、組織がアプリを適用し、ビジネス上の問題を解決して目標を達成するのを容易にします。
カタログのコンポーネントやテンプレートの構築および共有を、開発者や作成者に推奨している組織は、Power Platform で投資したものから多くの価値を引き出すことができます。 ただ構築するだけでは十分ではありません。 この成果物を大規模に共有することで、コミュニティとサポート グループを育成できるため、組織内の多様な人材から価値を引き出すことができます。 Power Platform で成功している組織はフュージョン チーム モデルを採用しており、ソリューション、テンプレート、コンポーネントを再利用することで、プロの開発者、作成者、管理者は協力して、同僚の従業員がプラットフォームから可能な限り最高の価値を引き出せるよう支援します。
既定の環境ルーティング
規定環境ルーティングはプレミアム ガバナンス機能で、Power Platform 管理者は、新しい作成者が初めて Power Appsにアクセスした際に、自動的に自分専用の開発者環境に誘導することができます。 規定の環境のルーティングは、新しい作成者に個人的な安全空間を提供し、アプリやデータへの他者からのアクセスを恐れることなく、安全な空間で Microsoft Dataverse を構築できます。
マネージド環境を利用する際の考慮事項
マネージド環境の使用を検討する際の注意点がいくつかあります。
ガバナンス: マネージド環境か CoE スターター キットか。あるいはその両方か。
マネージド環境は Power Platform のガバナンスを容易にするために設計された一連の機能であり、より多くの制御を提供して管理者の労力を軽減します。これは多くの組織が強く求めていたサービスです。 多くの組織のガバナンス プロセスは、CoE スターター キットの影響を受けています。 他の機能は、キットのすぐに使える機能に基づいており、組織の特定のニーズを満たすように拡張されています。 さらに、CoE スターター キットを使用してマネージド環境のガバナンス機能を拡張する組織もあります。
マネージド環境のエンジニアリング チームは、Power CAT (スターター キットを担当しているチーム) と緊密に連携し、キットで最も頻繁に使用される機能を特定し、それらをマネージド環境に追加しました。 その結果、一部の機能は両方の製品で利用できます。 マネージド環境を使用する場合、製品内の機能はマイクロソフトが管理、サポートします。 更新したり維持したりする必要はなく、Power Platform のリリース サイクルで自動的に更新されます。 組織が CoE スターター キットを使用している場合は、毎月更新する内部プロセスを確立して維持することが重要です。 CoE スターター キット オフィス アワーに表示されている提案に従ってください。
推奨されるアプローチは、マネージド環境で始めてスターター キットで溝を埋めて両方を使用することです。 CoE スターター キットでマネージド環境を使用するかどうかを決定するには。
このキットはコミュニティ主導型なので、ライセンス製品と同じサービス レベル アグリーメントの対象ではありません。 GitHub サイト にアクセスして、バグの報告、質問、新機能の要求を行ってください。
マネージド環境を非アクティブ化する予定がある場合
組織がマネージド環境の使用を停止した場合に何が起こるかを理解することが重要です。 次のテーブルは、作成者と管理者への影響を示しています。
| 特徴 | 作成者への影響 | 管理者への影響 |
|---|---|---|
| 作成者を歓迎する | 間接的: ユーザーが環境に入ったときにウェルカム メッセージを表示しません。 | 間接的: 環境内でカスタマイズされたウェルカム メッセージを定義できません。 |
| 共有制限 | 直接的: アプリを任意のセキュリティ グループおよびユーザーと共有できます。 | 間接的: 環境内のアプリがどのように共有されるかを制御できません。 |
| 使用状況の分析情報 | None | 直接的: ユーザーと他の受信者は、毎週のメール ダイジェストを受信しなくなります。 |
| データ ポリシー | なし | 間接的: DLP は適用されますが、管理者は複数の DLP を環境に適用できません。 |
| Power Platform のパイプライン | 直接的: パイプラインを使用してソリューションを展開することはできません。 | なし |
| ソリューション チェッカー強制 | 間接的: エラー、セキュリティ、非準拠の資産を確認することなく、あらゆるソリューションをインポートできます。 | なし |
| カスタマー マネージド キー | なし | 間接的: 機能は制限されています。 |
| IP ファイアウォール | なし | 間接的: 機能は制限されています。 |
| カスタマー ロックボックス | なし | 間接的: 機能は制限されています。 |
| 延長したバックアップ (7 ~ 28日間) | なし | 間接的: 機能は制限されています。 |
| デスクトップ フローの DLP | 直接的: 以前にブロックされたアクションを実行できます。 | なし |
| App Insights にエクスポートする | なし | 間接的: 機能は制限されています。 |
| Power Platform のカタログ | なし | 間接的: 機能は制限されています。 |
マネージド環境の一般的な設定
マネージド環境のアクティブ化を検討している場合、環境の種類ごとの設定例が役立ちます。
既定の環境
- 共有を制限: 合計 20 人に限定し、グループとの共有を除外する
- ソリューション チェッカーの適用: メールのブロックと送信
- 使用状況のインサイト: オン
- 作成者を歓迎するコンテンツ: カスタマイズ済み (詳細情報へのリンクを含む)
開発者環境
- 共有を制限: 制限を設定しない
- ソリューション チェッカーの適用: 警告してメールは送信しない
- 使用状況のインサイト: オフ
- 作成者を歓迎するコンテンツ: カスタマイズ済み (詳細情報へのリンクを含む)
サンドボックス環境
- 共有を制限: 制限を設定しない
- ソリューション チェッカーの適用: 警告してメールは送信しない
- 使用状況のインサイト: オン
- 作成者を歓迎するコンテンツ: カスタマイズ済み (詳細情報へのリンクを含む)
運用環境
- 共有を制限: 制限を設定しない
- ソリューション チェッカーの適用: メールのブロックと送信
- 使用状況のインサイト: オン
- 作成者を歓迎するコンテンツ: カスタマイズ済み (詳細情報へのリンクを含む)
Teams 環境
- 共有を制限: 制限を設定しない
- ソリューション チェッカーの適用: メールのブロックと送信
- 使用状況のインサイト: オン
- 作成者を歓迎するコンテンツ: コンテンツや "詳細情報" リンクを含まない
CoE スターター キットでマネージド環境を使用するかどうかを決定するには
CoE スターター キットは、Power Platform 導入を管理、ガバナンス、育成するための包括的な機能セットを提供します。 CoE スタート キットは、顧客のフィードバックに大いに影響を受けたオープンソースとロー コード モデルを使用した実験とイノベーションから生まれた製品です。 その機能の一部はマネージド環境の機能と重複しており、マネージド環境が最終的にキットの一部の機能と置き換えられる予定です。 マネージド環境が進化するにつれ、キットに新しい機能を追加し続けて関心を判断しています。 CoE スターター キットは、マネージド環境に存在する機能の複製が目的ではありません。 次に必要なものについてのフィードバックを評価しながら、イノベーションと満たされていない顧客の要求に対処することに重点を置いています。
マネージド環境のみを使用したり、CoE スタート キットと一緒にしたりして、Power Platform の導入を管理します。 どのオプションを選べばいいのでしょうか。
Power Platform 管理センターとマネージド環境の既定機能から始めることをお勧めします。 安定しており完全にサポートされています。 テナントを管理するためにより多くの機能が必要であることがわかった場合は、マネージド環境ですぐに使用できる機能を CoE スタート キットが補完できるかどうかを確認してください。 すべての組織は、要件に合った最適なハイブリッド モデルを見つける必要があります。
CoE スターター キットとマネージド環境の比較
CoE スターター キットとマネージド環境の間にある重要な違いを考慮する必要があります。
CoE スターター キットは、公開されている API とアクションを使用して、ガバナンスでガードレールを適用します。 ガバナンス プロセスは非同期であり、受動的に発生します。 たとえば、自分の組織がアプリの共有を 20 ユーザーに制限する必要があるとします。 CoE は制限を超えた後にのみ反応できるため、資産が非準拠になる可能性があります。 一方、マネージド環境では、製品に搭載されたプライベート API が使用され、共有制限が渡される前に適用されます。
マネージド環境は、顧客からのフィードバックと、CoE スターター キットを使用している顧客から得た情報に基づいて継続的に進化します。 一部の機能は完全または部分的に重複します。 逆に言うと、スターター キットには、組織がマネージド環境では実現できないこと実現できる機能があり、その逆も同様です。 センター オブ エクセレンス (CoE) の概要 を確認することを推奨します。
次のマネージド環境と CoE スターター キットの機能の比較は、決定する際の参考として活用できます。
マネージド環境機能: 作成者の歓迎 CoE スターター キットで利用可能: 部分的
- マネージド環境では、管理者は、カスタム ウェルカム コンテンツに使用開始方法に関する情報を含めて、作成者が初めて Power Apps にアクセスしたときに歓迎できます。 CoE スターター キットは、新しい作成者が最初のアプリ、フロー、ボットを作成した後 にのみ、ウェルカム メールを送信します。
- マネージド環境は、作成者スタジオで新しい作成者と直接通信します。 CoE スターター キットは、メールでのみ通信します。
- マネージド環境を使用すると、管理者は各環境でウェルカム メッセージをカスタマイズできます。 CoE スターター キットには、すべての環境で 1 つのウェルカム メッセージがあります。
マネージド環境機能: 共有の制限 CoE スターター キットで利用可能: リアルタイムではありません (リアクティブ)
管理者はスターター キットで共有制限を設定できますが、事前に強制はできません。 キットの共有制限は、作成者にコンプライアンス通知とリマインダーを送信するためだけに使用されます。
マネージド環境機能: 使用状況の分析情報 CoE スターター キットで利用可能: はい
- どちらのソリューションも、在庫と使用状況のインサイトを適切に視覚化できます。
- CoE スターター キットのレポートは、分析と Microsoft Entra ID からのテナントに関するデータを含む在庫データと組み合わせて、部門、都市、または国/地域ごとに最もアクティブな作成者を発見できる点です。
- スターター キットのレポートは Power BI を使用します。つまり、要件に基づいてデータを細かく分割し、Power BI 行レベルのセキュリティを使用してダッシュボードを他の管理グループと共有できます。 CoE Power BI ダッシュボードを使用して、ご利用の Power Platform の導入に関する深い分析情報を得る方法を説明します。
マネージド環境機能: データ ポリシー CoE スターター キットで利用可能: はい
CoE スターター キットには、特定の DLP をアクティブ化または非アクティブ化した場合の環境への影響を理解するのに役立つ DLP 影響ツールが含まれています。
マネージド環境機能: 週次ダイジェスト CoE スターター キットで利用可能: 部分的
- CoE スターター キットには、管理者向けの週次ダイジェストはありません。 代わりに、管理者は Power BI ダッシュボードから情報を取得します。
- マネージド環境では、非アクティブなアプリとフローは週次ダイジェスト メールで強調表示されます。 CoE スタート キットでは、非アクティブ通知プロセスがあり、作成者に非アクティブなリソースを通知し、それらを削除するための承認を求めます。
- マネージド環境と CoE スタート キットの両方の主な目標の 1 つは、より多くの分析情報を提供して、管理者がアクションを実行できるようにすることです。 CoE スターター キットにはメリットがあります。 リソース管理を作成者に委ねる機能があり、作成者が自分のリソースに対して責任を持つようになるため、管理者の負担が軽減されます。
マネージド環境機能: Power Platform のパイプラインCoE スターター キットで利用可能: 部分的
CoE スターター キットの一部には、ALM Accelerator for Power Platform と呼ばれる別のキットが含まれています。これには、両方のソリューションを統合する拡張性など、パイプラインと同様の機能が用意されています。
マネージド環境機能: ソリューション チェッカーの適用 CoE スターター キットで利用可能: いいえ
これらのソリューションは製品と緊密に統合されているため、CoE スターター キットが確認することはできません。
マネージド環境機能: IP ファイアウォール CoE スターター キットで利用可能: いいえ
マネージド環境機能: Cookie のリプレイ攻撃をブロック CoE スターター キットで利用可能: いいえ
マネージド環境機能: カスタマー マネージド キー CoE スターター キットで利用可能: いいえ
マネージド環境機能: カスタマー ロックボックス CoE スターター キットで利用可能: いいえ
結論
プレミアム ガバナンス機能を搭載したマネージド環境は、大規模な Power Platform 導入の管理とガバナンスを担当する IT 管理者にとって極めて重要なソリューションです。 ツールとコントロールの堅牢なスイートを提供し、ガバナンス チームの能力を高め、イノベーションとセキュリティの微妙なバランスを維持します。 細かいアクセス制御、合理化されたソリューションの導入、ポリシーの適用により、マネージド環境では、コンプライアンス、データの整合性、最適なパフォーマンスを確保しながら、同時に組織が自信を持って Power Platform の可能性を最大限に活用するための基盤を提供します。 データ ガバナンスを重要視する時代において、これらの機能はプ Power Platform を現代の企業 IT 戦略の基礎に押し上げ、管理者と関係者にとって効率性と安心感を促進します。