カテゴリー
Azure

Power Automate Desktopをインストールしてみた。

職場または学校アカウントのユーザでPower Automate Desktopをインストールしてみました。すると、Microsoft Dataverseデータベースが見つからないとのメッセージが。

画像

Power Platform管理センター上で環境に対してデータベースを追加してあげないといけないようです。

画像

会社や学校テナントのOffice 365管理者とかPower Platform管理者とかって、情報システム部門の奥底にいたりするので、もしもPower PlatformやDynamics 365を全然使っていない会社や学校でPower Automate Desktopをユーザが使いたくなったとしてもこの追加作業をしてもらうのには敷居があるかもしれないです。

管理者目線ではいろいろとセキュリティやアクセス出来るデータの範囲を設定することが出来そうです。

画像

管理者側でDataverseを追加してから10分くらい位待ってはじめてPower Automate Desktopでデスクトップフローが作成出来るようになりました。

画像

個人的に気になったAWSやAzure周りのアクションは画面キャプチャしたとおりです。そこまで多くないので、AWS CLIとかazコマンドを作った方が明らかに良いです。

画像

とりあえず、週1回やってる定型作業(Azure Portalからコスト一覧をダウンロードするタスク)を自動化してみました。

画像
カテゴリー
Network

Sophos XG Firewall+フレッツ網で家庭内からのIPv6 Reachabilityを確保する

普通のご家庭内でもIPv6アドレスをPCやスマホまで振らせておくと良いことが多い時代になってきました。Google系のサービス、YouTubeとかは大抵IPv6経由の方が快適にアクセス出来ますし。

IPv6アドレスをクライアント上で全て手動で構成するなんてのは普通じゃないので、だいたいのパターンは以下のどれかに当たると思います。

  • NTTからレンタルされるHGW直下でDHCPv6で受け取る
    一人暮らし+スマホがない+PCを有線接続するなら……
    NTTレンタル無線LANは遅くて高いから普通使わないだろ
  • IPv6ブリッジ機能を使う
    一昔前の家庭用ルーターで良く実装されてましたね。
    ファイアウォールは端末側で頑張れ。(HGWの簡易FWを除けばInternetと直結状態)
  • ND Proxy機能を使う
    最近の家庭用ルーターでは普通かな。
    簡易的ですがInbound通信のみOKっていうフィルタリングは出来ますね。
  • DHCPv6-Relayする
    あんまりこのパターンは見たことがない。やってることはIPv6ブリッジと同じですからね。
  • DHCPv6-PD (Prefix Delegation)する
    良く誤家庭ルータ=業務用ルータを使っている人たちが設定例を出してますね。ルーターがIPv6アドレスレンジ/64を管理して、RA+DHCPv6でLAN側に配るやつです。
  • DHCPv6 Serverを立てて管理する+WAN側にSoruce NATで出す
    Sophos XG Firewallはこの考え方です。

なお、現状のSophos XG FirewallではRA + DHCPv6の構成しかセットアップできないため、Android端末に対してはIPv6アドレスの配布しか出来ません。
※RDNSSによるIPv6 DNSサーバアドレスの通知が出来ない→DHCPを併用してIPv4 DNSサーバアドレスを通知することで実用上は無視できる

フレッツ網で割り当てられているIPv6プレフィックスを確認する

NTTから貸与されているHGW管理画面上でDHCPv6クライアント取得情報から自分の回線に割り当てられているIPv6プレフィックスが確認出来ます。

XG FirewallのPort 2にIPv6アドレスを付与する

始めは簡単のため、Port 2のIPv6設定でDHCP指定すると良いです。
そうするとIPv6アドレスとゲートウェイIPを拾ってきてくれます。
(画面は一度DHCPv6で拾ってきたIPアドレスを手動で入れています)

XG FirewallのPort 1にIPv6アドレスを付与する

HGWで確認したプレフィックスはひかり電話契約ありの場合は/56なのでLANに配布する/64との間の 8 octet分 (16進数表記だと2文字分) は自由に決めることが出来ます。うちではLAN側の第3オクテットと揃えて、IPv6アドレスをPort 1に付与しています。
このPort 1に付与したIPv6アドレスが、RAでデフォルトゲートウェイとして広告されます。

IPv6ルーターアドバタイズの指定をする

Port 1に指定したIPv6プレフィックス/64をLAN側に実際に広告していきます。

Mフラグは、DHCPv6でIPアドレスを管理する場合に立てておきます

Oフラグは、DHCPv6でDNSサーバーを配布するときに利用します。(Windows 10だとOフラグがあればIPv6 DNSサーバを受け取れます、AndroidはM/Oフラグを華麗に無視するけど)

DHCPv6の配布設定をする

ルールとポリシーでIPv6通信の許可をする

この辺はIPv4での設定の考え方と同じです。
LAN→WANの通信を全て許可、みたいな設定をします。

NATルールでSource NATを指定する

WAN側へ出て行くときにXG Firewallが持っているインターフェースIPv6アドレスにSource NATする設定を入れます。

IPv6ブリッジやND Proxy機能、DHCPv6-PD等に慣れていると、何でクライアントのIPv6アドレスのまま出していかないんだ?って不思議になるかもしれません。ただ、逆にIPv4な世界だとプライベートIPアドレスをWAN側グローバルIPアドレスにSource NATしていたのと同じことをIPv6でもやっているんだ、と考えてもらったほうが良いです。

実際にアクセス確認する

http://test-ipv6.com/ 等にアクセスしてIPv4/IPv6ともに通信出来ていることを確認します。このとき見えてくるアドレスは共にXG FirewallのWAN側ポートに持っているインターフェースIPアドレスになっていると思います。

カテゴリー
Network

Sophos XGのファイアウォール設定の考え方

上記のブログ記事の続きです。

XG Firewallにおけるゾーンの考え方

デフォルト状態ではXG Firewallには4つのゾーンが存在します。

各ゾーンには典型的に名前の通りの用途が想定されており、ゾーン内の端末からXG Firewallに対する通信は用途に合わせて制限されています。

例えば、WAN側からは基本的にSSL-VPNサービスへのアクセスのみ許可されており、Pingへの応答や管理用のWeb UIへのアクセスは許可されていません。

ファイアウォールルールの定義

ファイアウォールは前提として必要な通信は明示的に列挙する=列挙されていないものは許可しない (暗黙のDeny) が大前提です。
ルーターのような「とりあえずルーティングテーブルに載っていたらパケット転送しよう」「よく分からないやつはデフォルトルートに乗せてしまえ」とはちがいます。

ゾーンはXG Firewallからみた時の領域の割り振りみたいなものなので、現実で細かく設定するときはホストやグループを定義してそれらをルールで束ねるような形になると思います。

設定例) WANゾーンのIPホスト”LogonBox VM”から、LANゾーンのIPサブネット”WIREDNETネットワーク”に対する接続を許可する

NATルール

NATルールは通信パターンが合致したものに対してパケット先頭の送信先IPアドレスや送信元IPアドレス、ポート番号などを書き換える動作を指します。

よく使うのはInternetに対して、プライベートIPv4アドレス発のパケットをグローバルIPv4アドレスを送信元とするようにSource NATするとかでしょう。

ルーターやL3スイッチとかでACLでフィルタリストを頑張って定義してマッチしたものをSource NATすると言うよりは、セッションまで見ているファイアウォールなので分かりやすく設定出来ます。

ファイアウォールで通過させる通信の定義と、NATしたい通信の定義は往々にして同一なことが多いので、XG FirewallではファイアウォールとNATルールをリンクさせて管理することが出来ます。

複雑なことをやろうとすると下図のようなことも出来ます。おすすめはしませんが。