Power Apps Portal 上で意図せずデータが外部から参照される

Published: feedback 共有

こんにちは。Power Platform サポート チームの 王 です。
先日公開された Power Apps Portal で意図せず外部からデータが参照されてしまう問題についてご案内させていただきます。

[!Note]
この記事は 2023/6/5 にアーカイブに移動しました

初めに

Power Apps Portal において、利用者によって正しく設定が行われていない場合に、意図せず内部の情報が匿名ユーザーから取得できてしまう問題が、外部セキュリティ機関の UpGuard により米国時間 2021 年 8 月 23 日に発表されました。
この問題について、自身がご利用されている環境がこの問題に該当しているか確認する方法および該当している場合の対処方法についてご案内いたします。

影響範囲について

この問題は Power Apps Portal のみ影響を受けるものです。
Power Apps Portal は既定で構成されないため、ご利用されていない場合は対象となる設定自体が存在せず、本件について対処の必要はございません。
同様に、その他の Power Apps における キャンバス アプリやモデル駆動型 アプリなども本件の対象外です。

発表された問題について

今回指摘された問題は以下 2 つの設定によって発生いたします。
・リストのアクセス制御有効化の設定 (リストをセキュリティで保護する)
 リストレコードの “全般” タブにて設定できる [エンティティのアクセス許可を有効にする] の設定は、対象のリストにアクセスするユーザーに対して Web ロールを使用した権限制御を有効化する設定です。こちらが無効の場合、匿名ユーザーがデータを表示することが可能となります。

・リストの OData フィードの有効化状態 (リストの OData フィード)
 リストレコードの “OData フィード” タブにて設定できる [有効] の設定は、リストを API サービスとして外部に公開しデータ連携などの用途で利用するための設定です。設定が有効な場合、ユーザーは API を使用してデータの取得を要求することが可能です。

[エンティティのアクセス許可を有効にする] の設定が無効化状態かつ、”OData フィード” タブの [有効] にチェックが入っている場合、匿名のユーザーが API を使用してポータルへアクセスすると、対象のリストのデータを取得することができてしまいます。

ご利用の環境が上記問題に該当するか確認する方法について

・メッセージセンターにおける通知
 上記条件に該当するリストの設定を行っているお客様に対し、Microsoft 365 管理センターのメッセージ ID MC277597 にて通知を行っています。

ポータルチェッカーの実行
 Power Apps Portal 管理センターよりポータルチェッカーを実行することで、対象のポータルに構成されているリストのうち、条件に該当するものが存在するか確認することができます。
 該当するリストが存在する場合、以下の様な警告とともに対象のリストの ID が表示されます。

・高度な検索を使用した手動確認
 手動で上記条件に該当するリストをご確認頂く場合、高度な検索を使用して以下の条件で検索いただくことで、該当のエンティティリストが存在しているかご確認いただくことが可能です。

対処方法について

意図せずリストのデータが公開状態になっていた場合、対処を行う必要がございます。
匿名ユーザーがアクセスできない様にするためには、以下いずれかの対処をご実施頂く必要がございます。

・「エンティティのアクセス許可を有効にする」にチェックを入れて Web ロールの設定を正しく構成する
 有効な権限を保持していない匿名ユーザーに対するデータ表示を制限することが可能です。
 Web ロールの設定内容についてはお客様運用に合わせてご検討ください。

・OData フィードタブの「有効」からチェックを外す
 API によるデータへのアクセスが不可能となります。

また、本件に対する製品側の対処として、リストのアクセス許可設定を無効化することとなりました。
これにより、今後は同様の事象が発生しなくなります。

基本/詳細フォームおよびリストへの匿名アクセス

終わりに

一般サイトで案内されている内容については一部不適切な表記がされていたり、具体的にご自身の環境が対象となっているか判断が難しいかと存じますので、こちらの記事がご確認の参考になりましたら幸いです。
その他ご不明点などがございましたら、弊社サポートまでお気軽にご相談ください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。