こんにちは、Power Platform サポートチームの網野です。
2024 年 10 月 に MC901932 / MC918447 にて通知された内容について、お客様への影響および対応方法についてご案内いたします。
MC901932 ・ MC918447 の内容
変更された内容
Http With Microsoft Entra ID コネクタを利用して API を実行する場合、管理者による API アクセス許可の承認が必要となります。
以下に詳細をご案内いたします。
変更前の状態では、API のアクセス許可方式が異なる 2 種類の有効なコネクタがあります。
| コネクタ ID | コネクタ表示名 | アクセス許可 |
|---|---|---|
| webcontents | Http With Microsoft Entra ID (事前承認済み) | マイクロソフトがアクセス許可 |
| webcontentsv2 | Http With Microsoft Entra ID | 管理者がアクセス許可 |
Note
コネクタ表示名は機能変更前後で変更となるため、本ブログではコネクタ ID を使ってご説明いたします。
機能変更前の webcontents コネクタは信頼するファーストパーティのアプリに対してマイクロソフトが任意に API アクセス許可を与えていました。
機能の変更が展開されますと、webcontents コネクタのアクセス許可を webcontentsv2 と同じ方式にし、webcontentsv2 コネクタを非推奨とします。
本機能変更によって管理者側で利用可能な API を必要最小限に制御し、お客様環境におけるセキュリティとデータプライバシーを強化することを目的としています。
変更後はコネクタ表示名とアクセス許可が以下のように変更になります。
| コネクタ ID | コネクタ表示名 | アクセス許可 |
|---|---|---|
| webcontents | Http With Microsoft Entra ID | 管理者がアクセス許可 |
| webcontentsv2 | Http With Microsoft Entra ID(deprecated) | 管理者がアクセス許可 |
影響範囲
機能の変更が展開された後に作成された接続から、変更後の動作になります。
対応方法
- webcontents コネクタを利用している
- 変更前に作成した接続 → 現時点では対応は必要ありません。
- 変更後に作成した接続
→ こちらの手順 に従い、 API 実行に必要なアクセス許可をアプリに付与し、webcontentsv2 コネクタで動作検証を行ってください。
- webcontentv2 コネクタを利用している
2024 年 10 月時点では対応は必要ありませんが、今後 webcontentsv2 コネクタは非推奨となっていく予定です。
Note
機能の変更が展開されると、webcontents コネクタと webcontentsv2 コネクタは内部的に同じアプリとなります。
一方にアクセス許可を与えると両方のコネクタに対してアクセスが許可されます。
メッセージセンター時系列
| 日付 | 番号 | タイトル | 内容 |
|---|---|---|---|
| 2024 年 10 月 2 日 | MC901932 | Power Platform - “Http With Microsoft Entra ID (事前承認済み)” コネクタのセキュリティ更新プログラム | 機能変更の内容詳細とスケジュール |
| 2024 年 10 月 25 日 | MC918447 | Power Platform – [更新] “HTTP With Microsoft Entra ID (preauthorized)” コネクタのセキュリティ更新プログラム | 適用延期 |
MC901932
Power Platform - “Http With Microsoft Entra ID (事前承認済み)” コネクタのセキュリティ更新プログラム
セキュリティを強化するための “Http With Microsoft Entra ID (preauthorized)” (“Webcontents” と呼ばれることもあります) コネクタの更新を発表します。この変更は 2024 年 10 月 25 日にロールアウトを開始し、2024 年 11 月 15 日に全世界でのロールアウトを完了します。この変更の一環として、アクセス許可がアタッチされていないファーストパーティアプリを使用する新しい接続タイプが追加されます。これは、セキュリティの露出を必要なものだけに制限することで、ベスト プラクティスが守られるようにするためです。この変更に伴い、コネクタの名前は “Http With Microsoft Entra ID” に更新され、名前から “(preauthorized)” が削除されます。
これにはどのような影響がありますか?
既存の接続は引き続き機能します。既存の接続を新しい接続タイプに移行する必要がある場合は、後日フォローアップします。
以下で推奨されるアクションを実行しない場合、2024 年 10 月 25 日以降に行われた新しい接続は失敗します。
準備するには何をする必要がありますか?
- この リンクされた記事 に記載されている手順に従って、2024 年 10 月 25 日より前にコネクタで使用されている最初の部分のアプリに必要なアクセス許可を追加してください。
- “Http With Microsoft Entra ID” (WebcontentsV2 とも呼ばれます) コネクタに接続を追加してテストを実行し、すべてが正常に動作することを確認します。
MC918447
Power Platform – [更新] “HTTP With Microsoft Entra ID (preauthorized)” コネクタのセキュリティ更新プログラム
この通信は、2024年10月1日に以前に伝達されたMC901932へのフォローアップメッセージです。以下の変更はまだ進行中ですが、当初2024年10月24日から2024年11月15日まで予定されていたロールアウト期間を延長します。 新しい推定タイムラインは、追加情報とともにできるだけ早く提供します。
セキュリティを強化するための “HTTP With Microsoft Entra ID (preauthorized)” (“Webcontents” と呼ばれることもあります) コネクタの更新を発表します。この変更の一環として、アクセス許可がアタッチされていないファーストパーティアプリを使用する新しい接続タイプが追加されます。これは、セキュリティの露出を必要なものだけに制限することで、ベストプラクティスが守られるようにするためです。この変更に合わせて、コネクタの名前は “HTTP With Microsoft Entra ID” に更新されます。
これにはどのような影響がありますか?
既存の接続は引き続き機能します。
既存の接続を新しい接続タイプに移行する必要がある場合は、後日フォローアップします。
準備するには何をする必要がありますか?
- 「サインインしているユーザーに代わって動作するようにコネクタを承認する」の記事に記載されている手順に従って、コネクタで使用されているファーストパーティ アプリに必要なアクセス許可を追加してください。
- “HTTP With Microsoft Entra ID” (WebcontentsV2 とも呼ばれます) コネクタに接続を追加してテストを実行し、すべてが正常に動作することを確認します。
よくあるご質問
両方のコネクタを利用していますが、影響はありますか。
ご利用中のフローやアプリ等につきましては、今のところ影響はありません。
しかしながら、コネクタに対して新しく接続を作成する場合は機能変更の影響を受けます。
意図しないフローやアプリの中断を防ぐため、こちらの手順 に従って、 API 実行に必要なアクセス許可をアプリに付与し、webcontentsv2 コネクタで動作検証を行ってください。
自分のテナントに機能の変更が展開される具体的な日にちはわかりますか。
恐れ入りますが、現時点で具体的な日にちはお伝えすることができません。
当初 2024 年 10 月 25 日 から 2024 年 11 月 15 日の間で適用される予定となっていましたが適用を延期しています。
適用予定日が決まり次第メッセージセンター等にて通知を行います。
webcontents コネクタを使っていますが、古い接続には影響が出ず、新しい接続にのみ影響が出るのはなぜですか
お客様のフローが意図せず停止することのないよう古い接続をそのまま利用できるような形で機能変更を行っているためです。
機能の変更が展開されますと、 webcontens コネクタに対して 2 種類の接続が存在するようになります。
| 作成時期 | アクセス許可 | |
|---|---|---|
| 接続A | 変更前に作成 | APIのアクセス許可がマイクロソフトにより設定されている |
| 接続B | 変更後に作成 | APIのアクセス許可をユーザーが設定する |
接続Aは引き続きご利用いただくことができますが、セキュリティの観点から管理者のアクセス許可を必要とする動作にしていく予定です。
接続Aの対応については検討を行っているため、お客様側での対応が必要となりましたら改めてメッセージセンターで通知を行います。
両方のコネクタをDLPポリシーでブロックしているのですが、影響ありますか。
ブロックしてコネクタ自体を利用していない場合は影響ありません。
本ブログの内容は MC901932 / MC918447 通達時点の情報となりますので、最新情報についてはコネクタ等各種公開情報を随時ご参照ください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。