Power Automate for desktop の運用に必要なライセンス及びセキュリティ権限を利用者目線と管理者目線で整理してみたいと思います。
ここで言う利用者とはフローの実行を行うユーザーです。管理者は共有されていないデスクトップフローについても実行状況を見ることができるユーザーを指しています。
目次
まとめ
利用者と管理者での必要な権限やライセンスは以下の通りまとめることができます。
| ユーザー | 利用するポータル | Entra ID ロール | Dataverse セキュリティロール | リソース (デスクトップフローの共有) | ライセンス |
|---|---|---|---|---|---|
| 利用者 | Power Automate Maker ポータル | 権限なし | 環境作成者等 | 自分で作成した リソースまたは 他者からリソースの共有を 受けている事 | Power Automate Premium |
| 管理者 | Power Automate Maker ポータル | 権限なし | システム管理者 | Power Automate Premium | |
| Power Platform 管理センター | Power Platform 管理者 または グローバル管理者 | 不要 | 不要 | ライセンス不要 |
セキュリティロール
デスクトップフローの定義情報はDataverseテーブルのプロセス (Workflow) テーブルに保管されております。したがって、Maker ポータルからフローを実行したり、実行履歴を確認したりするには当該テーブルへのアクセス権が必要です。
ちなみに画像中のモダンフローと言うのはクラウドフローのことです。
業務ルールはビジネスルールのことです。このように、様々な定義情報がプロセステーブルには含まれております。
標準セキュリティロール
プロセス テーブルにアクセスできる標準のセキュリティロールをご紹介します。
App Opener アプリオープナー
利用者としてApp Opener には十分な権限が付与されております。
環境作成者 Environment Maker
一方で環境作成者の権限はApp Opener より弱く、読み取り権限とアペンド先がユーザーのみに制限されております。
デスクトップフロー コンピューター 所有者
Desktop Flows Machine Owner 。
そもそもプロセステーブルに権限が与えられておりません。
利用者に必要なセキュリティ権限
利用者は画面は一つで、Maker ポータルのみです。
デスクトップフローはプロセステーブルに作成しますので、利用にはPower Automate Premium ライセンスが必要です。
また、プロセステーブルへのCRUD権限が必要です。
環境作成者 が最低限の利用セキュリティロールとなると思います。
管理者に必要なセキュリティ権限・ライセンス
管理者は見る画面が2つあります。Power Platform 管理センターとPower Automate 作成者ポータルです。
Power Platform 管理センターはライセンス不要ですが、作成者ポータルはPower Automate Premium ライセンスが必要です。
さらに、作成者ポータルはPremium ライセンスの他に、他のユーザーのリソースも見たい場合はDataverse システム管理者のロールが必要です。
リソースの共有
Dataverse セキュリティロールがシステム管理者以外の場合、リソースの共有を行ってもらわないと他の人が作ったデスクトップフローを見ることはできません。
Environment Maker
共有を受けていないリソースを実行するには、App Opener のような組織全体のプロセスを読み取りできる権限が必要です。
環境作成者ロールでは最低限の権限が与えられているので、自分の作成したフローしか見えませんが、共有を受けるとフローが見えるようになります。
App Opener
App Opener では、共有を受けていなくてもフローを確認することができます。
ただし、更に共有することはできません。詳細を確認すること、名前をつけて保存することが可能です。
Power Automate デスクトップアプリからみるとアクセスは「なし」で実行等はすることができません。
実験: フローの共有を受けている状態でセキュリティロールを剥奪する
フローの共有を受けている状態でセキュリティロールを剥奪するとどのような動きになるかというと、アクセス許可が必要ですとして共有されたフローが見えなくなります。
実験: セキュリティロールのないユーザーにリソースの共有を行う
Dataverse セキュリティロールのないユーザーにリソースの共有を行うとどのような動きになるでしょうか。
エラーメッセージは同じです。
自動的にセキュリティロールが割り当てられることはありません。
実際にPower Platform 管理センターでDataverse セキュリティロールを確認してみても何も割り当てられておりません。
デスクトップフロー活動、実行
デスクトップフロー活動、実行は実行履歴等を見ることができるMaker ポータルの機能です。
こちらは、プロセステーブル及びプロセスセッション テーブル への読取り権限が必要です。
App Opener であってもデスクトップフロー活動は見ることができません。
自分以外のユーザの実行履歴を確認するには、Dataverse 環境管理者またはシステム管理者のロールが必要です。
デスクトップ フローの実行を監視する – Power Automate | Microsoft Learn
以上、ご参考になれば幸いです。
