Power Automate × Azure Key Vault

Power Automate × Azure Key Vault ふらり@ROBO BOY あなたのパスワード大丈夫？ クラウドフローやデスクトップフローで パスワードやkeyを安全に使おう！ 気ままに勉強会 #132 2025/12/20 X H D

• https://www.docswell.com/user/fworlddocs
• https://x.com/flali_world

ふらり @ ROBO BOY Business Applications Community : ふらっと純喫茶 、気ままに勉強会 X : https://x.com/flali_world Blog : https://flali.hatenablog.com/ Docswell : https://www.docswell.com/user/fworlddocs @flali_world 2

• https://flali.connpass.com/
• https://kimamani.connpass.com/
• https://x.com/flali_world
• https://flali.hatenablog.com/
• https://www.docswell.com/user/fworlddocs

はじめに 本資料に掲載されている内容は、 いつか人になりたいと思っている の空想上の出来事です。 内容間違っていたらごめんなさい。 @flali_world 3

Microsoft Power Platform Power BI Power Apps Power Automate Power Pages Copilot Studio Business analytics Application development Workflow automation Business website Intelligent Copilots • Canvas Apps • Model-driven Apps Power Fx Managed Environment • Cloud Flows & Teams Flows • Business Process Flows • Desktop Flows Microsoft Dataverse Data Connecters AI Builder @flali_world 4

Azure Key Vault とは Microsoft 365 Copilot に聞きました

Azure Key Vault とは Azure Key Vault は、Microsoft Azure が提供する クラウドベースのセキュリティサービスで、 アプリケーションやサービスで使用する 機密情報（シークレット）を安全に管理するための仕組 みです。 主な役割 • シークレット管理 APIキー、接続文字列、パスワードなどを安全に保存し、アクセス制御を行える。 • キー管理 暗号化や署名に使う暗号鍵を安全に生成・保管できる。 • 証明書管理 SSL/TLS証明書を安全に管理し、自動更新も可能。 特徴 • Microsoft Entra ID と統合 アクセス権限はロールベースで制御できる。 • 監査ログ対応 誰がいつアクセスしたかを記録できる。 • 高可用性・スケーラビリティ Azureのインフラ上で冗長化されているため、信頼性が高い。 Azure Key Vault とは | Microsoft Learn @flali_world

• https://learn.microsoft.com/ja-jp/azure/key-vault/general/basic-concepts?WT.mc_id=MVP_440901

Azure Key Vault をつかう 3つの方法 1 コネクタを利用 (クラウドフロー) 2 環境変数を利用 (クラウドフロー) 3 資格情報を利用 (デスクトップフロー) Azure Key Vault クラウドフロー デスクトップフロー Dataverse ソリューション シークレット 環境変数 資格情報 クラウドフロー Azure Key Vault - Connectors | Microsoft Learn Azure Key Vault シークレットの環境変数を使用する - Power Apps | Microsoft Learn Azure Key Vault 資格情報を作成する - Power Automate | Microsoft Learn @flali_world 7

• https://learn.microsoft.com/ja-jp/connectors/keyvault/?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-apps/maker/data-platform/environmentvariables-azure-key-vault-secrets?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-automate/desktop-flows/create-azurekeyvault-credential?WT.mc_id=MVP_440901

よくあるRPAシナリオ サイトA、B、Cに対してログインし、情報を定期的に収集します。 RPAは各サイトのID、パスワードはExcelに保存し、ローカルに保存しているリストを利用してい ます。 A B C パスワード @flali_world 8

よくある攻撃シナリオ 悪意のある攻撃者はBECやなりすましサイトを使って、RPA端末にランサムウェアを… ローカルにあった、パスワードを記録したExcelは流出し… さらに、サイトA、B、Cにもアクセスを受け… A B C パスワード @flali_world 9

Azure Key Vault を クラウドフローで利用する 1 Azure Key Vault アクション 10

Azure Key Vault をつかう 3つの方法 1 コネクタを利用 (クラウドフロー) 2 環境変数を利用 (クラウドフロー) 3 資格情報を利用 (デスクトップフロー) Azure Key Vault クラウドフロー デスクトップフロー Dataverse ソリューション シークレット 環境変数 資格情報 クラウドフロー Azure Key Vault - Connectors | Microsoft Learn Azure Key Vault シークレットの環境変数を使用する - Power Apps | Microsoft Learn Azure Key Vault 資格情報を作成する - Power Automate | Microsoft Learn @flali_world 11

• https://learn.microsoft.com/ja-jp/connectors/keyvault/?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-apps/maker/data-platform/environmentvariables-azure-key-vault-secrets?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-automate/desktop-flows/create-azurekeyvault-credential?WT.mc_id=MVP_440901

ハマりポイント: アクセス制御(IAM) キーを使う人 → キーコンテナシークレットユーザー キーを作成、管理する人 → キーコンテナー管理者 キーを使う人 キーを作成・管理する人 Azure Key Vault をデプロイする @flali_world 12

• https://zenn.dev/flali/articles/cac800713705e6

ハマりポイント: アクセス制御(IAM) Microsoft Learn に記載のあるロールと実際のロール名がちがう！ 実際のロール名 ドキュメントのロール名 キー コンテナー管理者 キーボールト管理者 キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、 シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キーボールトのリソースや役割の割り当てを管理することはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー ボールトでのみ機能します。(Microsoft Learnより抜粋) キー コンテナー シークレット ユーザー Key Vault シークレット ユーザー 秘密キーを使用し、証明書のシークレット部分を含むシークレットの内容を 読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデル を使用するキー ボールトでのみ機能します。(Microsoft Learnより抜粋) Azure Key Vault をデプロイする @flali_world 13

• https://zenn.dev/flali/articles/cac800713705e6

Azure Key Vault の設定 Azure Key Vault でシークレットを作成します。 Azure Key Vault をデプロイする @flali_world 14

• https://zenn.dev/flali/articles/cac800713705e6

クラウドフローの設定 クラウドフローで、シークレットの取得アクションを追加します。 認証の種類: Oauth用の既定のMicrosoft Entra アプリケーションを選択し、 Key Vault 名は、作成した Azure Key Vault の名前を追加します。 【Power Automate】クラウドフローで Azure Key Vault をつかう① - ふらりのメモ書き @flali_world 15

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault01

クラウドフローの設定 Azure Key Vault で作成したシークレットを選択します。 【Power Automate】クラウドフローで Azure Key Vault をつかう① - ふらりのメモ書き @flali_world 16

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault01

クラウドフローの設定 設定タブからセキュリティのセキュア入力/出力をオンに設定します。 オンに設定しない場合、平文でシークレットの内容が見えてしまいます。 【Power Automate】クラウドフローで Azure Key Vault をつかう① - ふらりのメモ書き @flali_world 17

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault01

Azure Key Vault を クラウドフローで利用する 2 環境変数で利用する。 18

Azure Key Vault をつかう 3つの方法 1 コネクタを利用 (クラウドフロー) 2 環境変数を利用 (クラウドフロー) 3 資格情報を利用 (デスクトップフロー) Azure Key Vault クラウドフロー デスクトップフロー Dataverse ソリューション シークレット 環境変数 資格情報 クラウドフロー Azure Key Vault - Connectors | Microsoft Learn Azure Key Vault シークレットの環境変数を使用する - Power Apps | Microsoft Learn Azure Key Vault 資格情報を作成する - Power Automate | Microsoft Learn @flali_world 19

• https://learn.microsoft.com/ja-jp/connectors/keyvault/?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-apps/maker/data-platform/environmentvariables-azure-key-vault-secrets?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-automate/desktop-flows/create-azurekeyvault-credential?WT.mc_id=MVP_440901

Azure Key Vault の設定 環境変数で使う場合は、Azure Key Vault のアクセス制御(IAM)のキーコンテナーシークレット ユーザーにDataverseを追加します。 キーを使う人 【Power Automate】クラウドフローで Azure Key Vault をつかう② - ふらりのメモ書き @flali_world 20

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault02

環境変数の設定 ソリューションを開いて、新規からその他を選択し、環境変数を選択します。 【Power Automate】クラウドフローで Azure Key Vault をつかう② - ふらりのメモ書き @flali_world 21

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault02

環境変数の設定 データ型をシークレットを選択し、Azure サブスクリプションの各項目を設定します。 作成したら、名前を確認します。 【Power Automate】クラウドフローで Azure Key Vault をつかう② - ふらりのメモ書き @flali_world 22

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault02

クラウドフローでの利用 クラウドフローでバインドしていないアクションを実行するを追加します。 アクション名、RetrieveEnvironmentVariableSecretValueを選択します。 item/EnvironmentVariableNameは、先ほど確認した環境変数の名前を設定します。 【Power Automate】クラウドフローで Azure Key Vault をつかう② - ふらりのメモ書き @flali_world 23

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault02

クラウドフローでの利用 設定タブを開き、セキュリティからセキュア入力/出力をオンに変更します。 【Power Automate】クラウドフローで Azure Key Vault をつかう② - ふらりのメモ書き @flali_world 24

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault02

Azure Key Vault を デスクトップフローで利用する 資格情報の利用 25

Azure Key Vault をつかう 3つの方法 1 コネクタを利用 (クラウドフロー) 2 環境変数を利用 (クラウドフロー) 3 資格情報を利用 (デスクトップフロー) Azure Key Vault クラウドフロー デスクトップフロー Dataverse ソリューション シークレット 環境変数 資格情報 クラウドフロー Azure Key Vault - Connectors | Microsoft Learn Azure Key Vault シークレットの環境変数を使用する - Power Apps | Microsoft Learn Azure Key Vault 資格情報を作成する - Power Automate | Microsoft Learn @flali_world 26

• https://learn.microsoft.com/ja-jp/connectors/keyvault/?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-apps/maker/data-platform/environmentvariables-azure-key-vault-secrets?WT.mc_id=MVP_440901
• https://learn.microsoft.com/ja-jp/power-automate/desktop-flows/create-azurekeyvault-credential?WT.mc_id=MVP_440901

Azure Key Vault の設定 環境変数で使う場合は、Azure Key Vault のアクセス制御(IAM)のキーコンテナーシークレット ユーザーにDataverseを追加します。 キーを使う人 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 27

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 Power Automate ポータルから、資格情報を設定します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 28

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 新規から、シングル資格情報を選択します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 29

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 資格情報の名前を定義します。わかりやすい名前に設定します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 30

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 資格情報を使用する場所は、デスクトップフローを選択します。 資格情報ストアの情報を選択は、Azure Key Vault を選択します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 31

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 資格情報ではユーザー名とパスワード（シークレット）を設定できます。 ユーザー名から、新規作成をクリックしてユーザー名を作成します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 32

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 パスワードも新規作成をクリックします。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 33

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

資格情報の設定 表示名と名前を設定し、Azure Key Vault を設定したAzure サブスクリプションに関連する情 報を設定します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 34

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

コンピューター登録 Azure Key Vault を使うコンピューターでコンピューター登録を実施します。 コンピューター登録しないとデスクトップフローでは利用できません。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 35

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

コンピューター登録 Power Automate ポータルでコンピューター登録されていることを確認します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 36

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

デスクトップフローでの設定 Power Automate シークレット変数の認証情報の取得アクションを追加します。 資格情報は、先ほど作成したものを選択します。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 37

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

デスクトップフローでの設定 認証情報の取得アクションで自動生成される変数は、機密情報としてマークが設定されているた め内容は確認できません 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 38

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

デスクトップフローでの設定 認証情報の取得アクションで自動生成される変数には認証情報で作成した、ユーザー名とパス ワード（シークレット）が含まれています。 【Power Automate】デスクトップフローで Azure Key Vault をつかう - ふらりのメモ書き @flali_world 39

• https://flali.hatenablog.com/entry/PowerAutomateAzureKeyVault03

さいごに

まとめ Azure Key Vault のロール名に注意 環境変数はDataverseの機能 シークレット(パスワード、key)は安全に使う @flali_world 41

Thank you !