目次
📌 なぜセキュリティ管理が重要なの?
Power Automateでは、ユーザーやチームごとに「どこまで何ができるか」を細かく制御できます。
これはMicrosoftの**「Dataverse(データバース)」**と呼ばれるデータ基盤を使って実現されており、デスクトップフローの実行や管理にもこの仕組みが深く関わっています。
データバースを通して、
- 誰がどのフローを実行できるのか
- フローやマシンの管理権限を持つのは誰か
をロール(役割)単位で明確に定義できます。
⚙ セキュリティロールの基本構造
Power Automate Desktopのセキュリティでは、以下のような構成要素が組み合わさって制御されます。
| 構成要素 | 説明 |
|---|---|
| セキュリティロール | 権限のセット(例:実行はOKだが削除はNG) |
| チーム | ロールを共有するユーザーのグループ |
| 部署(Business Unit) | 組織内の論理的な単位 |
| 特権(Privilege) | テーブルやレコードに対する具体的な操作許可 |
| アクセスレベル | ユーザー/チームがどの範囲までアクセス可能か(ユーザー単位〜組織全体まで) |
| 共有 | 一時的に他のユーザーへアクセスを許可する仕組み |
この仕組みを使って、「フローは見れるけど変更はできない」といった柔軟なアクセス制御が可能になります。
🧾 各種アクセス権限の種類(例)
| 特権 | できること |
|---|---|
| 作成 | 新しいフローやマシン情報の登録 |
| 読み取り | 内容の閲覧 |
| 書き込み | 内容の編集 |
| 削除 | レコードの完全削除 |
| 割り当て | 所有者を別ユーザーに変更 |
| 共有 | 他ユーザーに一時的なアクセスを許可 |
🏢 アクセスレベルの種類
アクセス範囲の広さによって、以下のようなレベルが存在します:
- 組織レベル:全ユーザーや全リソースにアクセス可(管理者向け)
- 親部署レベル:自部署とその下部組織のデータにアクセス可
- 部署レベル:自部署のみアクセス可
- ユーザーレベル:自分自身のリソースのみアクセス可
- なし:アクセス権なし
🛡️ 管理者権限は強力なので、割り当ては慎重に!
🖥 Power Automate Desktop のセキュリティロール例
PAD専用のセキュリティロールもいくつか用意されています。
| ロール名 | 内容 |
|---|---|
| 環境作成者(Environment Maker) | フローやアプリなどのリソース作成・管理が可能 |
| コンピューター構成管理者 | VMイメージやネットワーク構成など、IT管理者向けのロール |
| コンピューター所有者 | 自分が所有するマシンやグループを管理可能 |
| コンピューターユーザー | フローの実行は可能だが、マシン構成は不可 |
| 共有可能ユーザー | 自分に共有されたマシンを他の人と再共有できる |
| ランタイムアプリケーション | Power Automate クラウドとデータバースを繋ぐ技術用ロール(編集不可) |
🧠 デスクトップフロー実行に必要な最小限の権限とは?
PADのフロー実行には、以下のテーブルへの権限が必要です。
| テーブル名 | 必要な権限 |
|---|---|
| フローセッション | 作成・書き込み・アペンド |
| ワークフローバイナリー | 作成・書き込み・アペンド |
| ワークフロー | 読み取り |
| デスクトップフローバイナリー | 読み取り |
📌 特権が不足しているとフローがエラーになります。
実行できないときは、まずセキュリティロールを確認!
🤔 よくある質問(FAQ)
Q1. データバースって何?PADだけ使ってたら関係あるの?
A. 関係あります!
Power Automate Desktopの多くの情報(フロー実行ログ、構成データなど)はDataverse上で管理されています。
PADの「クラウド連携」や「共有実行」には必須の知識です。
Q2. セキュリティロールは自分で作らないといけない?
A. 基本的なロールは「組み込み」で用意されています。
ただし、細かい制御をしたい場合はカスタムロールの作成が必要です。
Q3. フローの実行だけできるユーザーにしたい。どのロールがいい?
A. 「コンピューターユーザー」ロールが適しています。
マシンや構成の変更はできず、実行のみ可能です。
