Virtual Network のサポートの概要
Power Platform 向け Azure Virtual Network サポートを活用すると、リソースを公共のインターネットに曝さずに、Power Platform を仮想ネットワーク内のリソースに統合できます。 仮想ネットワーク サポートは、Azure サブネット委任 を使用して、実行時に Power Platform からの送信トラフィックを管理します。 Azure サブネット委任を使用すると、保護されたリソースをインターネット経由で利用して Power Platform と統合する必要がなくなります 。 仮想ネットワークのサポートにより、Power Platform コンポーネントは、Azure とオンプレミスのどちらでホストされているかどうかに関係なく、ネットワーク内で企業が所有するリソースを呼び出すことができ、プラグインとコネクタを使用して発信呼び出しを行うことができます。
Power Platform は通常、パブリック ネットワークを介してエンタープライズ リソースと統合します。 パブリック ネットワークでは、パブリック IP アドレスを記述する Azure IP 範囲またはサービス タグのリストからエンタープライズ リソースにアクセスできる必要があります。 ただし、Power Platform 向け Azure 仮想ネットワーク サポートを活用することで、プライベート ネットワークを使用することができますが、それでもクラウド サービスやエンタープライズ ネットワーク内でホストされているサービスと統合できます。
Azure サービスは、プライベート エンドポイント によって Virtual Network 内で保護されます。 エクスプレス ルート を使用して、オンプレミスのリソースを Virtual Network 内に取り込むことができます。
Power Platform は、委任された Virtual Network とサブネットを使用して、エンタープライズ プライベート ネットワーク経由でエンタープライズ リソースへ通話を発信することができます。 プライベート ネットワークを使用すると、企業リソースが公開される可能性があるパブリック インターネット経由でトラフィックを転送する必要がなくなります。
Virtual Network では、Power Platform からのアウトバウンド トラフィックを完全に制御できます。 トラフィックは、ネットワーク管理者によって適用されるネットワーク ポリシーの対象になります。 次の図は、ネットワーク内のリソースが Virtual Network とどのように対話するかを示しています。
Virtual Network のサポートのメリット
Virtual Network のサポートにより、Power Platform と Dataverse コンポーネントは、次のような Azure サブネット委任が提供する メリットを得ることができます。
データ保護: 仮想ネットワークでは、Power Platform サービスを使用して、プライベートな保護されたリソースをインターネットに公開せずに接続することができます。
不正アクセス禁止: Virtual Network は Power Platform IP 範囲または接続内サービス タグを必要とせずに、リソースと接続します。
サポートされているシナリオ
Power Platform は、Dataverse プラグインと コネクタ の両方に対する Virtual Network のサポートを有効にします。 このサポートにより、Power Platform から Virtual Network 内のリソースへの安全でプライベートなアウトバウンド接続を確立できます。 Dataverse プラグインとコネクタは、Power Apps、Power Automate、および Dynamics 365 アプリから外部データ ソースに接続することにより、データ統合のセキュリティを強化します。 たとえば、以下を実行できます。
- Dataverse プラグイン を使用して、Azure SQL、Azure Storage、BLOB ストレージ、Azure Key Vault などのクラウド データ ソースに接続します。 データ流出やその他のインシデントからデータを保護できます。
- Dataverse プラグイン を使用して、Web API などの Azure 内のプライベートなエンドポイントで保護されたリソースや、SQL や Web API などのプライベート ネットワーク内のリソースに安全に接続します。 データの侵害やその他の外部脅威からデータを保護できます。
- Virtual Network でサポートされているコネクタ (SQL Server など) を使用して、Azure SQL や SQL Server などのクラウドでホストされるデータ ソースインターネットに公開せずに安全に接続します。 同様に、Azure Queue コネクタを使用して、プライベートのエンドポイント対応 Azure Queue への安全な接続を確立できます。
- Azure Key Vault コネクタを使用して、プライベートでエンドポイント保護された Azure Key Vault に安全に接続します。
- カスタム コネクタ を使用して、Azure のプライベート エンドポイントで保護されているサービスや、プライベート ネットワーク内でホストされているサービスに安全に接続します。
- Azure ファイル ストレージ を使用して、プライベートでエンドポイント対応の Azure ファイル ストレージ に安全に接続します。
- HTTP with Microsoft Entra ID (事前認証済み)を使用して、Microsoft Entra ID またはオンプレミスの Web サービスによって認証された、さまざまな Web サービスからの仮想ネットワーク上のリソースをフェッチします。
制限
- コネクタを使用するDataverse ローコード プラグイン は、コネクタの種類がサブネット委任を使用するように更新されるまでサポートされません。
- 仮想ネットワーク対応の Power Platform 環境では、コピー、バックアップ、復元などの環境ライフサイクル操作を使用します。 復元操作は、同じ仮想ネットワーク内だけでなく、同じ仮想ネットワークに接続されている場合は異なる環境間でも実行できます。 さらに、仮想ネットワークをサポートしていない環境からサポートしている環境への復元操作も許可されます。
サポートされているリージョン
Power Platform 環境とエンタープライズ ポリシーが、サポートされている Power Platform リージョンと Azure リージョンにあることを確認します。 たとえば、Power Platform 環境が米国にある場合、Virtual Network およびサブネットは、 eastus と westus Azure リージョンに存在する必要があります。
Power Platform 地域 | Azure リージョン |
---|---|
アメリカ合衆国 | eastus、westus |
南アフリカ | eouthafricanorth、southafricawest |
英国 | uksouth、ukwest |
日本 | japaneast、japanwest |
インド | centralindia、southindia |
フランス | francecentral、francesouth |
欧州 | westeurope、northeurope |
ドイツ | germanynorth、germanywestcentral |
スイス | switzerlandnorth、switzerlandwest |
カナダ | canadacentral、canadaeast |
ブラジル | brazilsouth、southcentralus |
オーストラリア | australiasoutheast、australiaeast |
アジア | eastasia、southeastasia |
UAE | uaecentral、uaenorth |
韓国 | koreasouth、koreacentral |
ノルウェイ | norwaywest、norwayeast |
シンガポール | southeastasia |
スウェーデン | swedencentral |
サポートされているサービス
次のテーブルは、Power Platform の仮想ネットワーク サポートの Azure サブネット委任をサポートするサービスを示しています。
地域 | Power Platform サービス | Virtual Network のサポートの可用性 |
---|---|---|
Dataverse | Dataverse のプラグイン | 一般に入手可能 |
コネクタ | 一般に入手可能 | |
コネクタ | プレビュー |
Power Platform 環境で Virtual Network サポートを有効にするための考慮事項
Power Platform 環境で Virtual Network サポートを使用すると、Dataverse プラグインおよびコネクタなどのサポートされているすべてのサービスが、委任されたサブネットで実行時にリクエストを実行して、ネットワーク ポリシーに適用されます。 公開されているリソースへの呼び出しが中断され始めます。
重要
Power Platform 環境の仮想環境サポートを有効にする前に、プラグインとコネクタのコードを必ず確認してください。 プライベート接続で動作するには、URL と接続を更新する必要があります。
たとえば、プラグインが一般公開されているサービスに接続しようとしても、ネットワーク ポリシーにより Virtual Network 内でのパブリック インターネット アクセスが許可されない場合があります。 プラグインからの呼び出しは、ネットワーク ポリシーに従ってブロックされます。 呼び出しのブロックを回避するには、Virtual Network で一般に公開されたサービスをホストします。 また、サービスが Azure でホストされている場合、Power Platform 環境で Virtual Network サポートを有効にする前に、サービスでプライベート エンドポイントを使用することができます。
よくあるご質問
仮想ネットワーク データ ゲートウェイと Power Platform の Azure Virtual Network サポートの違いは何ですか?
仮想ネットワーク データ ゲートウェイは、オンプレミスのデータ ゲートウェイを設定せずに、仮想ネットワーク内から Azure および Power Platform サービスにアクセスできるようにするマネージド ゲートウェイです。 たとえば、ゲートウェイは Power BI および Power Platform データフローの ETL (抽出、変換、読み込み) ワークロード用に最適化されています。
Power Platform 用 Azure Virtual Network サポートでは、Power Platform 環境の Azure サブネット委任を使用します。 サブネットは Power Platform 環境内のワークロードによって使用されます。 Power Platform API は、リクエストの有効期間が短く、多数のリクエストに合わせて最適化されているため、Virtual Network サポートを使用します。
Power Platform と仮想ネットワーク データ ゲートウェイの Virtual Network サポートを使用する必要があるシナリオは何ですか?
Power Platform の Virtual Network サポートは、Power BI と Power Platform データフロー を除く Power Platform からのアウトバウンド接続のすべてのシナリオでサポートされている唯一のオプションです。
Power BI と Power Platform データフロー は、仮想ネットワーク (VNet) データ ゲートウェイ を引き続き使用します。
ある顧客の仮想ネットワーク サブネットやデータ ゲートウェイを Power Platform の別の顧客が使用していないことを確認するにはどうすればよいですか?
Power Platform 用 Virtual Network サポートは、Azure サブネット委任を使用します。
各 Power Platform 環境は 1 つの仮想ネットワーク サブネットにリンクされます。 その環境からの呼び出しのみが、その仮想ネットワークへのアクセスを許可されます。
委任することで、仮想ネットワークに注入する必要がある Azure のサービスとしてのプラットフォーム (PaaS) の特定のサブネットを指定できるようになります。
Virtual Network は Power Platform フェールオーバーをサポートしますか?
はい、自分の Power Platform リージョンに関連付けられている両方の Azure リージョン仮想ネットワークを委任する必要があります。 たとえば、カナダ の Power Platform 環境にある場合は、カナダ中部 と カナダ東部 で仮想ネットワークを作成、委任、構成する必要があります。
あるリージョンの Power Platform 環境は、別のリージョンでホストされているリソースにどのように接続できますか?
Power Platform 環境にリンクされた Virtual Network は、Power Platform 環境のリージョン に存在する必要があります。 仮想ネットワークが別のリージョンにある場合は、Power Platform 環境のリージョンに仮想ネットワークを作成し、Azure リージョンのサブネットで委任された仮想ネットワークの両方で 仮想ネットワーク ピアリング を使用して、別のリージョンの仮想ネットワークとのギャップを埋めます。
委任されたサブネットからのアウトバウンド トラフィックを監視できますか?
はい ネットワーク セキュリティ グループやファイアウォールを使用して、委任されたサブネットからのアウトバウンド トラフィックを監視できます。 詳細は、Azure Virtual Network の監視 を参照してください。
サブネットで委任するには、Power Platform でいくつの IP アドレスが必要ですか?
作成するサブネットには、少なくとも /24 Classless Inter-Domain Routing(CIDR)アドレス ブロック(5 つの予約済み IP アドレスを含む 251 個の IP アドレス)が必要です。 複数の環境で同じ委任されたサブネット Power Platform を使用する場合は、/24 よりも大きな IP アドレス ブロックが必要になることがあります。
環境がサブネット委任された後、プラグインまたはコネクタからインターネットへの呼び出しを行うことはできますか?
はい プラグインやコネクタからインターネットへの通話は可能ですが、サブネットは Azure NAT ゲートウェイと構成する必要があります。
サブネット IP アドレスの範囲を "Microsoft.PowerPlatform/enterprisePolicies" に委任した後に更新できますか?
いいえ、ご使用の環境でこの機能が使用されている間は使用できません。 "Microsoft.PowerPlatform/enterprisePolicies" に委任した後は、サブネットの IP アドレス範囲を変更することはできません。これを行うと、委任構成が壊れ、環境が機能しなくなります。 IP アドレス範囲を変更するには、環境から委任機能を削除し、必要な変更を行ってから、環境に合わせて機能を有効にする必要があります。
"Microsoft.PowerPlatform/enterprisePolicies" に委任した後、仮想ネットワークの DNS アドレスを更新できますか?
いいえ、ご使用の環境でこの機能が使用されている間は使用できません。 "Microsoft.PowerPlatform/enterprisePolicies" に委任した後は、仮想ネットワークの DNS アドレスを変更することはできません。これを行うと、変更が構成に反映されず、環境が機能しなくなる可能性があります。 DNS アドレスを変更するには、環境から委任機能を削除し、必要な変更を行った後、環境に合わせて委任機能を有効にする必要があります。
私の Virtual Network には、カスタム DNS が構成されています。 Power Platform は、カスタム DNS を使用しますか?
はい Power Platform は委任されたサブネットを保持する Virtual Network 内で構成されたカスタム DNS を使用して、すべてのエンドポイントを解決します。 環境が委任されたら、正しいエンドポイント を使用するようにプラグインを更新して、カスタム DNS が解決できるようにすることができます。
私の環境には ISV が提供するプラグインがあります。これらのプラグインは委任されたサブネットで実行されますか?
はい。 すべての顧客プラグインと ISV プラグインは、サブネットを使用して実行できます。 ISV プラグインに送信接続がある場合、それらの URL をファイアウォールにリストする必要がある場合があります。
私のオンプレミスのエンドポイント TLS 証明書は、有名なルート証明機関 (CA) によって署名されていません。 不明な証明書をサポートしていますか?
いいえ。 エンドポイントが完全なチェーンを含む TLS 証明書を提示していることを確認する必要があります。 カスタム ルート CA を既知の CA のリストに追加することはできません。
顧客テナント内の Virtual Network の推奨設定は何ですか?
特定のトポロジはお勧めしません。 ただし、弊社のお客様は Azure のハブスポーク ネットワークトポロジ を広く使用しています。
Virtual Network をアクティブ化するには、Azure サブスクリプションを Power Platform テナントにリンクする必要がありますか?
はい、Power Platform 環境で Virtual Network のサポートを有効にするには、Power Platform テナントに関連付けられた Azure サブスクリプションが必要です。
Power Platform は、Azure サブネット委任をどのように使用しますか?
Power Platform 環境に委任された Azure サブネットが割り当てられている場合、Azure Virtual Network インジェクションを使用して、実行時にコンテナーを委任されたサブネットに挿入します。 このプロセス中、コンテナーのネットワーク インターフェイス カード (NIC) に委任されたサブネットから IP アドレスが割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
Power Platform の既存の Virtual Network を使用できますか?
はい、Virtual Network 内の 1 つの新しいサブネットが Power Platform に特別に委任されている限り、Power Platform の既存の Virtual Network を使用できます。 委任されたサブネットは、サブネットの委任専用にする必要があり、他の目的に使用することはできません。
Dataverse プラグインとは何ですか?
Dataverse プラグインは、Power Platform 環境に展開できるカスタム コードです。 このプラグインは、イベント (データの変更など) 中に実行するように構成することも、カスタム API としてトリガーすることもできます。 詳細: Dataverse プラグイン
Dataverse プラグインはどのように実行されますか?
Dataverse プラグインはコンテナー内で動作します。 Power Platform 環境に委任されたサブネットが割り当てられると、そのサブネットのアドレス空間からの IP アドレスがコンテナーのネットワーク インターフェイス カード (NIC) に割り当てられます。 ホスト (Power Platform) とコンテナー間の通信は、コンテナーのローカル ポートを通じて行われ、トラフィックは Azure Fabric 経由でフローします。
同じコンテナー内で複数のプラグインを実行できますか?
はい 特定の Power Platform または Dataverse 環境では、複数のプラグインが同じコンテナー内で動作できます。 各コンテナーはサブネット アドレス空間から 1 つの IP アドレスを使用し、各コンテナーは複数のリクエストを実行できます。
インフラストラクチャは、プラグインの同時実行の増加にどのように対処しますか?
プラグインの同時実行の数が増えると、インフラストラクチャは負荷に対応するために自動的にスケール (アウトまたはイン) します。 Power Platform 環境に委任されたサブネットには、その Power Platform 環境でワークロードの実行のピーク ボリュームを処理するのに十分なアドレス空間が必要です。
Virtual Networkとそれに関連付けられたネットワーク ポリシーを管理するのは誰ですか?
顧客には、Virtual Network とそれに関連するネットワーク ポリシーに対する所有権と管理権があります。 一方、Power Platform は、その Virtual Network 内の委任されたサブネットから割り当てられた IP アドレスを利用します。
Azure 対応プラグインは仮想ネットワークをサポートしていますか?
いいえ、Azure 対応プラグインは仮想ネットワークをサポートしていません。