Power Apps 顧客データの削除に対するデータ主体の権利 (DSR) 要求への応答

組織の顧客情報から個人のデータを削除する権利は、欧州連合(EU)の一般データ保護規則(GDPR)における主要事項となっています。 個人データの削除には、システムによって生成されたログの削除が含まれますが、監査ログ情報は含まれません。

Power Apps を使用することで、ユーザーは組織の日常業務の重要な一部である基幹業務アプリケーションを構築できます。 ユーザーが組織から離職した場合、ユーザーが作成した特定のデータおよびリソースを削除するかどうかを手動で確認し、決定する必要があります。 ユーザー アカウントが Azure Active Directory から削除される際に、その他の個人データも自動的に削除されます。

以下は、どの個人データが自動的に削除されるか、どのデータが手動でのレビューと削除を必要とするかの詳細です。

手動での確認および削除が必要 ユーザーが Azure Active Directory から削除すると自動的に削除される
環境** ゲートウェイ
環境アクセス許可*** ゲートウェイのアクセス許可
キャンバス アプリ** Power Apps 通知
キャンバス アプリのアクセス許可 Power Apps ユーザー設定
Connection** Power Apps ユーザー アプリの設定
接続のアクセス許可
カスタム コネクタ**
カスタム コネクタのアクセス許可

** これらの各リソースには、個人データを含む「作成者」と「修正者」のレコードが含まれます。 セキュリティ上の理由から、これらのレコードはリソースが削除されるまで保持されます。

***Microsoft Dataverse データベースを含む環境の場合、環境アクセス許可 (つまり、どのユーザーが環境作成者および管理者ロールに割り当てられているか) は、そのデータベースにレコードとして保存されます。 Dataverse ユーザーの DSR に応答する方法のガイダンスについては、Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答を参照してください。

手動のレビューが必要なデータとリソースについて、Power Apps は、特定のユーザーの個人データを再割り当て (必要に応じて) または削除するために、次のエクスペリエンスを提供します。

個人データを含むことができる各タイプのリソースを削除するために利用できるエクスペリエンスの内訳は次のとおりです。

個人データを含むリソース Web サイト アクセス PowerShell アクセス
環境 Power Platform 管理センター Power Apps コマンドレット
環境アクセス許可** Power Platform 管理センター Power Apps コマンドレット
キャンバス アプリ Power Platform 管理センター
Power Apps
Power Apps コマンドレット
キャンバス アプリのアクセス許可 Power Platform 管理センター Power Apps コマンドレット
つながり アプリケーションの作成者: 使用可能
管理者: 使用可能
接続のアクセス許可 アプリケーションの作成者: 使用可能
管理者: 使用可能
カスタム コネクタ アプリケーションの作成者: 使用可能
管理者: 使用可能
カスタム コネクタのアクセス許可 アプリケーションの作成者: 使用可能
管理者: 使用可能

**Dataverse の導入により、環境内でデータベースが作成された場合、環境アクセス許可とモデル駆動型アプリのアクセス許可がそのデータベース環境内のレコードとして保存されます。 Dataverse ユーザーの DSR に応答する方法のガイダンスについては、Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答を参照してください。

前提条件

ユーザー向け

有効な Power Apps ライセンスを持つユーザーは誰でも、このドキュメントで説明されているユーザー操作を、 Power Apps または アプリ作成者のための PowerShell コマンドレットを使用して実行できます。

アンマネージド テナント

アンマネージド テナントのメンバーである場合、Azure AD テナントにはグローバル管理者がいないことを意味します。その場合、ここで説明されている手順に従って、自分の個人データを削除することができます。 ただし、テナントにグローバル管理者がいないため、下記のステップ 11: Azure Active Directory からユーザーを削除するに記載されている手順に従い、テナントから自分の個人データを削除する必要があります。

アンマネージド テナントのメンバーであるかどうかを確認するには、次の手順を実行します。

  1. ブラウザで次の URL を開き、URL で電子メール アドレスを必ず置き換えてください: https://login.microsoftonline.com/common/userrealm/name@contoso.com?api-version=2.1

  2. アンマネージド テナント のメンバーである場合、応答に "IsViral": true が表示されます。

{
  ...
  "Login": "name@unmanagedcontoso.com",
  "DomainName": "unmanagedcontoso.com",
  "IsViral": true,
  ...
}
  1. それ以外の場合、マネージド テナント に属します。

管理者向け

Power Platform 管理センター、Power Automate 管理センター、または Power Apps 管理者 PowerShell コマンドレット を使用してこのドキュメントで説明されている管理操作を実行するには、次のものが必要です。

  • 有料 Power Apps プランまたは Power Apps プランの試用版。 https://make.powerapps.com/trialから 30 日間の試用版にサインアップすることができます。 試用版のライセンスは、期限が切れた場合には更新できます。

  • 別のユーザーのリソースを検索する必要がある場合の、Microsoft 365 グローバル管理者 または Azure Active Directory グローバル管理者 のアクセス許可。 (環境管理者は、アクセス許可を持つ環境および環境リソースにのみアクセスできます。)

ステップ 1: ユーザーが作成したすべて環境を削除、または再割り当てします。

管理者は、ユーザーが作成した各環境の DSR の削除要求を処理するときに 2 つの決定を下す必要があります。

  1. 環境が組織内の他のユーザーによって使用されていないと判断した場合は、環境を削除することを選択できます。

  2. 環境がまだ必要であると判断した場合は、環境を削除せずに自分自身 (または組織内の別のユーザー) を環境管理者として追加することを選択できます。

重要

環境を削除すると、すべてのアプリ、フロー、接続など、環境内のすべてのリソースが完全に削除されます。そのため、削除する前に環境の内容を確認してください。

ユーザーの環境へのアクセスを許可

管理者は、次の手順に従って、環境への管理アクセスを許可できます。

  1. Power Platform 管理センター から環境を選択して、自分自身または組織内の別のユーザーに管理特権を付与します。

  2. アクセス環境管理 にある DSR リクエストからユーザーが環境を作成した場合は、すべて表示 を選択します。

環境管理を選択、すべて表示する。

ユーザーが作成した環境を削除する

管理者は、次の手順に従って特定のユーザーによって作成された環境を確認して削除できます。

  1. Power Platform 管理センター から、環境を選択します。

  2. ユーザーが DSR 要求から環境を作成した場合は、削除 を選択し、環境を削除する手順に進みます。

環境を削除します。

PowerShell を使用してユーザー環境へのアクセス権を付与する

管理者は Power Apps 管理者 PowerShell コマンドレットの関数 Set-AdminEnvironmentRoleAssignment を使用して、ユーザーが作成したすべて環境へのアクセスを自分 (または組織内の別のユーザー) に割り当てることができます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$myUserId = $global:currentSession.UserId

#Assign yourself as an admin to each environment created by the user
Get-AdminEnvironment -CreatedBy $deleteDsrUserId | Set-AdminEnvironmentRoleAssignment -RoleName EnvironmentAdmin -PrincipalType User -PrincipalObjectId $myUserId

#Retrieve the environment role assignments to confirm
Get-AdminEnvironment -CreatedBy $deleteDsrUserId | Get-AdminEnvironmentRoleAssignment

重要

この関数は、Dataverse にデータベースの環境がない環境でのみ機能します。

PowerShell を使用しているユーザーが作成した環境を削除する

管理者は、Power Apps 管理者 PowerShell コマンドレットの関数 Remove-AdminEnvironment を使用して、ユーザーが作成したすべて環境を削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

# Retrieve all environments created by the user and then delete them
Get-AdminEnvironment -CreatedBy $deleteDsrUserId | Remove-AdminEnvironment

ステップ 2:その他のすべて環境に対するユーザーのアクセス権を削除する

ユーザーに環境内のアクセス許可を割り当てることができます (環境管理者または環境作成者など)。これは、「 ロールの割り当て」として Power Apps に保存されます。 Dataverse の導入により、環境内でデータベースが作成された場合、これらの「ロール割り当て」は、当該データベースの環境内のレコードとして保存されます。

Dataverse データベースのない環境の場合

Power Platform 管理センター

管理者は、次の手順に従って、Power Platform 管理センターからユーザーの環境アクセス許可を削除できます。

  1. Power Platform 管理センター から、環境を選択します。

    組織内で作成されたすべての環境を確認できるようにするには、Microsoft 365 グローバル管理者 または Azure Active Directory グローバル管理者 である必要があります。

  2. ご使用中の環境に Dataverse データベースがない場合、アクセス セクションが表示されます。 アクセス から、環境管理者 または 環境メーカー のいずれかを選択してから すべて表示 を選択します。

    環境管理を選択、すべて表示する。

  3. ユーザーを選択し、削除 を選択してアクセス許可を削除してから、継続 を選択します。

PowerShell

管理者は、Power Apps 管理者 PowerShell コマンドレットの関数 Remove-AdminEnvironmentRoleAssignment を使用して、Dataverse データベースなしで、すべての環境においてユーザーのすべての環境ロール割り当てを削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all environment role assignments for the user for environments without a Dataverse environment and delete them
Get-AdminEnvironmentRoleAssignment -UserId $deleteDsrUserId | Remove-AdminEnvironmentRoleAssignment

重要

この関数は、Dataverse データベースの環境がない環境にのみ機能します。

Dataverse データベースのある環境の場合

Dataverse の導入により、環境内でデータベースが作成された際に、これらの 「ロールの割り当て」 は、当該データベースの環境内のレコードとして保存されます。 Dataverseのデータベースの環境から個人データを削除する方法については、Common Data Service ユーザーの個人データの削除に関するドキュメントをご覧ください

ステップ 3: ユーザーが所有するすべてのキャンバス アプリを削除または再割り当てする

Power Apps 管理者の PowerShell コマンドレットを使用して、ユーザーのキャンバス アプリの再割り当てをお行う

管理者がユーザーのキャンバス アプリを削除しない場合、Power Apps 管理者 PowerShell コマンドレット の関数 Set-AdminAppOwner を使用して、ユーザーが所有するアプリを再割り当てできます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$newAppOwnerUserId = "72c272b8-14c3-4f7a-95f7-a76f65c9ccd8"

#find all apps owned by the DSR user and assigns them a new owner
Get-AdminApp -Owner $deleteDsrUserId | Set-AdminAppOwner -AppOwner $newAppOwnerUserId

Power Apps サイトを使用してユーザーのキャンバス アプリを削除する

ユーザーはPower Apps サイトからアプリを削除できます。 アプリを削除する方法の詳細については、アプリの削除を参照してください。

Power Platform 管理センターを使用してユーザーのキャンバス アプリを削除する

管理者は、次の手順に従ってユーザーによって作成されたアプリを削除できます。

  1. Power Platform 管理センター から、環境を選択します。

    組織内で作成されたすべての環境を確認できるようにするには、Microsoft 365 グローバル管理者 または Azure Active Directory グローバル管理者 である必要があります。

  2. リソース から Power Apps を選択します.

  3. アプリを選択してから、削除 > クラウドから削除 を選択します。

Power Apps 管理者 PowerShell コマンドレットを使用して、ユーザーのキャンバス アプリを削除する

管理者がユーザーの所有するすべてのキャンバス アプリを削除する場合、Power Apps管理者 PowerShell コマンドレットの関数 Remove-AdminApp を使用して削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all apps owned by the DSR user and deletes them
Get-AdminApp -Owner "0ecb1fcc-6782-4e46-a4c4-738c1d3accea" | Remove-AdminApp

ステップ 4: キャンバス アプリのユーザーのアクセス許可を削除する

アプリがユーザーと共有されるたびに、Power Apps はアプリケーションに対するユーザーのアクセス許可 (編集可能または使用可能) を記述している 「ロールの割り当て」 という名称のレコードを保存します。 詳細については、アプリ共有についての記事を参照してください。

注意

アプリが削除されると、アプリ二対するロールの割り当てが削除されます。 アプリ所有者のロール割り当ては、アプリに新しい所有者を割り当てることによってのみ削除できます。

キャンバス アプリへのユーザー権限を削除するには、プレビュー: モデル駆動型アプリを共有するを参照してください。 手順 5 では、リストからロールを追加するのではなく削除します。

管理者用 PowerShell コマンドレット

管理者は、Power Apps 管理者 PowerShell コマンドレットの関数 Remove-AdminAppRoleAssignmnet を使用してユーザーのすべてのキャンバス アプリ ロール割り当てを削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all app role assignments for the DSR user and deletes them
Get-AdminAppRoleAssignment -UserId $deleteDsrUserId | Remove-AdminAppRoleAssignment

ステップ 5: ユーザーが作成した接続を削除する

接続は、他の API と SaaS システムとの接続を確立するときに、コネクタと組み合わせて使用されます。 接続には、それらを作成したユーザーへの参照が含まれているため、ユーザーへの参照を削除するために削除できます。

アプリ作成者用の PowerShell コマンドレット

ユーザーは、アプリ作成者用の PowerShell コマンドレットの Remove-Connection 関数を使用して、すべての接続を削除できます。

Add-PowerAppsAccount

#Retrieves all connections for the calling user and deletes them
Get-Connection | Remove-Connection

Power Apps 管理者用 PowerShell コマンドレット

管理者は、Power Apps 管理者 PowerShell コマンドレットRemove-AdminConnection 関数を使用して、ユーザーの接続をすべて削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all connections for the DSR user and deletes them
Get-AdminConnection -CreatedBy $deleteDsrUserId | Remove-AdminConnection

ステップ 6: 共有接続に対するユーザーのアクセス許可を削除する

アプリ作成者用の PowerShell コマンドレット

ユーザーは、アプリ作成者用の PowerShell コマンドレットの関数 Remove-ConnectionRoleAssignment を使用して、共有接続の接続ロール割り当てをすべて削除できます。

Add-PowerAppsAccount

#Retrieves all connection role assignments for the calling users and deletes them
Get-ConnectionRoleAssignment | Remove-ConnectionRoleAssignment

注意

接続リソースを削除しないと、所有者のロール割り当てを削除することはできません。

管理者用 PowerShell コマンドレット

管理者は、Power Apps 管理者 PowerShell コマンドレットの関数 Remove-AdminConnectionRoleAssignment を使用してユーザーのすべての接続ロール割り当てを削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all connection role assignments for the DSR user and deletes them
Get-AdminConnectionRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminConnectionRoleAssignment

ステップ 7: ユーザーが作成したカスタム コネクタを削除する

カスタム コネクタは、既存の標準コネクタを補完し、他の API、SaaS、およびカスタム開発システムへの接続を可能にします。 組織内の他のユーザーにカスタム コネクタの所有権を譲渡するか、カスタム コネクタを削除することができます。

アプリ作成者用の PowerShell コマンドレット

ユーザーは、アプリ作成者用の PowerShell コマンドレットの Remove-Connector 関数を使用して、すべてのカスタム コネクタを削除できます。

Add-PowerAppsAccount

#Retrieves all custom connectors for the calling user and deletes them
Get-Connector -FilterNonCustomConnectors | Remove-Connector

管理者用 PowerShell コマンドレット

管理者は、Power Apps 管理者 PowerShell コマンドレットRemove-AdminConnector 関数を使用して、ユーザーの作成したカスタム コネクタをすべて削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all custom connectors created by the DSR user and deletes them
Get-AdminConnector -CreatedBy $deleteDsrUserId | Remove-AdminConnector

ステップ 8: 共有カスタム コネクタに対するユーザーのアクセス許可を削除する

アプリ作成者用の PowerShell コマンドレット

ユーザーは、アプリ作成者用の PowerShell コマンドレットの関数 Remove-ConnectorRoleAssignment を使用して、共有カスタム コネクタのコネクタ ロール割り当てをすべて削除できます。

Add-PowerAppsAccount

#Retrieves all connector role assignments for the calling users and deletes them
Get-ConnectorRoleAssignment | Remove-ConnectorRoleAssignment

注意

接続リソースを削除しないと、所有者のロール割り当てを削除することはできません。

管理者用 PowerShell コマンドレット

管理者は、Power Apps 管理者 PowerShell コマンドレットの関数 Remove-AdminConnectorRoleAssignment を使用してユーザーのすべてのカスタム コネクタ ロール割り当てを削除できます。

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all custom connector role assignments for the DSR user and deletes them
Get-AdminConnectorRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminConnectorRoleAssignment

ステップ 9: Power Automate 内のユーザーの個人データを削除する

Power Apps ライセンスには、常に Power Automate 機能が含まれています。 Power Apps ライセンスに含まれていることに加えて、Power Automate はスタンドアロン サービスとしても使用できます。 Power Automate サービスを使用するユーザーの DSR への応答方法に関するガイダンスについては、Power Automate の GDPR データサブジェクト要求への応答を参照してください。

重要

Power Apps ユーザーの場合、管理者がこの手順を完了することをお勧めします。

ステップ 10: Dataverse の環境内のユーザーの個人データを削除する

特定の Power Apps 開発者プランを含む Power Apps ライセンスを使用すると、組織内のユーザーが Dataverse の環境を作成し、Dataverse でアプリを作成および構築できるようになります。 Power Apps 開発者プランは無料のライセンスで、ユーザーは個々の環境で Dataverse を試すことができます。 各 Power Apps ライセンスに含まれる機能については Power Apps 価格設定ページを参照してください。

Dataverse ユーザーの DSR に応答する方法のガイダンスについては、Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答を参照してください。

重要

Power Apps ユーザーの場合、管理者がこの手順を完了することをお勧めします。

ステップ 11: Azure Active Directory からユーザーを削除する

上記手順をすべて完了し、最後に Azure Active Directory のユーザー アカウントを削除します。

マネージド テナント

管理型 Azure AD テナントの管理者として、 Microsoft 365 サービス トラスト ポータル にある.Azure データ主体要求 GDPR のドキュメントに概説されている次の手順に従うことで、このユーザーのアカウントを削除できます。

アンマネージド テナント

アンマネージド テナントのメンバーである場合、Azure AD テナントからアカウントを削除するには、次の手順を実行します。

注意

アンマネージドまたはマネージド テナントのメンバーであるかどうかを確認する方法については、上記のアンマネージド テナント セクションを参照してください。

  1. Azure AD アカウントでサインインします。

  2. アカウントを閉じる を選択し、手順に従って Azure AD テナントからアカウントを削除します。

    閉じる取引先企業を選択します。