flowstudio-power-automate-governance
FlowStudio MCPのキャッシュストアを活用し、Power AutomateフローとPower Appsをスケーラブルに統制管理するスキルです。ビジネスへの影響度によるフローの分類、孤立リソースの検出、コネクタ使用状況の監査、コンプライアンス基準の適用、通知ルールの管理、ガバナンススコアの算出など、DataverseやCoE Starter Kitなしに実現できます。フローのタグ付け・分類・オーナー割り当て・コンプライアンスレポート生成・メーカーのオフボーディングなど、ガバナンスメタデータの書き込みを伴う作業全般で有効であり、FlowStudio for TeamsまたはMCP Pro+サブスクリプションが必要です(詳細: https://mcp.flowstudio.app)。
description の原文を見る
>- Govern Power Automate flows and Power Apps at scale using the FlowStudio MCP cached store. Classify flows by business impact, detect orphaned resources, audit connector usage, enforce compliance standards, manage notification rules, and compute governance scores — all without Dataverse or the CoE Starter Kit. Load this skill when asked to: tag or classify flows, set business impact, assign ownership, detect orphans, audit connectors, check compliance, compute archive scores, manage notification rules, run a governance review, generate a compliance report, offboard a maker, or any task that involves writing governance metadata to flows. Requires a FlowStudio for Teams or MCP Pro+ subscription — see https://mcp.flowstudio.app
SKILL.md 本文
FlowStudio MCP を使用した Power Automate ガバナンス
FlowStudio MCP のキャッシュストアを通じて、Power Automate フローを大規模に分類、タグ付け、ガバナンスします。Dataverse、CoE Starter Kit、Power Automate ポータルは不要です。
本スキルは flowstudio-power-automate-monitoring と同じ store_* ツールファミリーを使用しますが、意図が異なります。ガバナンスではメタデータを書き込み (update_store_flow)、監査と分類の結果を読み取ります。監視では同じツールを読み込んで運用ヘルスの結果を得ます。どちらのスキルがどのツール「所有」しているかを暗記する必要はありません。ユーザーが実行していることに基づいて選択してください。ヘルスチェックと障害率ダッシュボードの場合は、代わりに flowstudio-power-automate-monitoring をロードしてください。
⚠️ Pro+ サブスクリプション必須。 本スキルは FlowStudio for Teams または MCP Pro+ サブスクライバーのみ動作する
store_*ツールを呼び出します。ユーザーが Pro+ アクセス権を持たない場合: 最初の
store_*ツール呼び出しは 403/404 エラーを返します。その場合:
- ストアツールの呼び出しを停止
- ガバナンス機能には Pro+ サブスクリプションが必要であることをユーザーに通知
- https://mcp.flowstudio.app/pricing にリンク
検出:
tools/listではなくメタツール経由でツールスキーマを読み込みます。query: "skill:governance"を使用してtool_searchを呼び出し、正規バンドルを取得するか、query: "select:update_store_flow"で単一ツールを取得します。本スキルはワークフローパターンとフィールドセマンティクスをカバーしています。tool_searchが伝えることができないことです。本ドキュメントが実際の API レスポンスと相違する場合、API が優先されます。
重要:フロー ID の抽出方法
list_store_flows は <environmentId>.<flowId> 形式で id を返します。最初の . で分割して、他のすべてのツールで environmentName と flowName を取得する必要があります:
id = "Default-<envGuid>.<flowGuid>"
environmentName = "Default-<envGuid>" (最初の"."より前のすべて)
flowName = "<flowGuid>" (最初の"."より後のすべて)
また、displayName がないエントリ、または state=Deleted のエントリはスキップしてください。これらはスパースレコード、または Power Automate に存在しなくなったフローです。削除されたフローに monitor=true がある場合は、監視を無効にすることをお勧めします(update_store_flow で monitor=false)。監視スロットを解放します(標準プランには 20 が含まれています)。
書き込みツール:update_store_flow
update_store_flow は、ガバナンスメタデータをFlow Studio キャッシュのみに書き込みます。Power Automate のフローは変更しません。これらのフィールドは get_live_flow または PA ポータル経由で表示されません。Flow Studio ストアにのみ存在し、Flow Studio のスキャンパイプラインと通知ルールによって使用されます。
つまり:
ownerTeam/supportEmail— Flow Studio がガバナンス連絡先と見なす者を設定します。実際の PA フロー所有者は変更されません。rule_notify_email— Flow Studio フェイル/欠落実行通知の受信者を設定します。Microsoft の組み込みフロー障害アラートは変更されません。monitor/critical/businessImpact— Flow Studio 分類のみ。Power Automate に同等のフィールドはありません。
マージセマンティクス:提供するフィールドのみが更新されます。完全な更新レコード(get_store_flow と同じ形状)を返します。
必須パラメーター:environmentName、flowName。他のすべてのフィールドは任意です。
設定可能なフィールド
| フィールド | 型 | 目的 |
|---|---|---|
monitor | bool | 実行レベルのスキャンを有効化(標準プラン:20 フロー含む) |
rule_notify_onfail | bool | 失敗した実行時にメール通知を送信 |
rule_notify_onmissingdays | number | フローが N 日間実行されていない場合に通知を送信(0 = 無効) |
rule_notify_email | string | カンマ区切りの通知受信者 |
description | string | フローの説明 |
tags | string | 分類タグ(説明から自動抽出された #hashtags も含む) |
businessImpact | string | Low / Medium / High / Critical |
businessJustification | string | フローが存在する理由、自動化するプロセス |
businessValue | string | ビジネス価値ステートメント |
ownerTeam | string | 責任チーム |
ownerBusinessUnit | string | ビジネスユニット |
supportGroup | string | サポートエスカレーショングループ |
supportEmail | string | サポート連絡先メール |
critical | bool | ビジネスクリティカルとして指定 |
tier | string | Standard または Premium |
security | string | セキュリティ分類またはメモ |
securityに注意:get_store_flowのsecurityフィールドには構造化 JSON が含まれています(例:{"triggerRequestAuthenticationType":"All"})。"reviewed"のようなプレーンテキストを書き込むと、これを上書きします。フローをセキュリティレビュー済みとしてマークするには、代わりにtagsを使用してください。
ガバナンスワークフロー
1. コンプライアンス詳細レビュー
必要なガバナンスメタデータが不足しているフローを特定します。
1. ユーザーに必要なコンプライアンスフィールドを確認
2. list_store_flows を実行
3. 各アクティブフロー:id を分割、get_store_flow を呼び出し、必須フィールドを確認
4. 不足フィールドを列挙して非準拠フローをレポート
5. 更新:ユーザーに値を要求、update_store_flow(...提供フィールド)
一般的なコンプライアンスフィールド:description、businessImpact、businessJustification、ownerTeam、supportEmail、monitor、rule_notify_onfail、critical。フラグを付ける前にユーザーのポリシーを確認してください。
2. 孤立リソース検出
削除または無効化された Azure AD アカウントによって所有されるフローを検索します。
1. list_store_makers を実行
2. deleted=true かつ ownerFlowCount > 0 でフィルタリング
3. list_store_flows → すべてのフローを収集
4. 各アクティブフロー:id を分割、get_store_flow、所有者 JSON を解析
5. 所有者 principalId を孤立メーカー id と照合
6. ガバナンス連絡先を再割り当てするか、廃棄用に停止/タグ付け
update_store_flow は実際の PA 所有権を転送しません。管理センターまたは PowerShell を使用してください。孤立しているように見えるフローの中には、システム生成のものもあります。必要に応じて再割り当てするのではなくタグ付けしてください。ストア対象範囲は最新スキャンと同等です。
3. アーカイブスコア計算
非アクティブスコア(0-7)をフロー単位で計算し、クリーンアップ候補を特定します。
1. list_store_flows を実行
2. 各アクティブフロー:id を分割、get_store_flow
3. ポイント追加:作成≈変更日、test/demo/temp/copy 名、12 か月以上前、
停止/中断、所有者なし、最近の実行なし、complexity.actions < 5
4. スコア 5-7:アーカイブを推奨、3-4:#archive-review タグ付け、0-2:アクティブ
5. 確認済みアーカイブ:set_live_flow_state(..., "Stopped") を設定、#archived を追記
MCP 経由のアーカイブはフローを停止し、タグ付けすることです。削除にはポータルまたは管理者 PowerShell が必要です。
4. コネクタ監査
監視中のフロー間でどのコネクタが使用されているかを監査します。DLP 影響分析とプレミアムライセンス計画に便利です。
1. list_store_flows(monitor=true) を実行
2. 各アクティブフロー:id を分割、get_store_flow、connections JSON を解析
3. apiName でグループ化、Premium tier、HTTP コネクタ、カスタムコネクタをフラグ
4. ユーザーにインベントリをレポート
可能な限り監視中のフローに範囲を限定してください。各 get_store_flow 呼び出しは時間がかかります。list_store_connections はコネクタインスタンスをリストアップしますが、フロー単位のコネクタ使用率ではありません。DLP ポリシーは公開されていません。ユーザーにコネクタ分類を要求してください。
5. 通知ルール管理
大規模なフロー向けの監視とアラートを設定します。
すべてのクリティカルフローで障害アラートを有効化:
1. list_store_flows(monitor=true) を実行
2. 各アクティブフロー:id を分割、get_store_flow
3. critical=true かつ rule_notify_onfail が false の場合、update_store_flow(...,
rule_notify_onfail=true, rule_notify_email="oncall@contoso.com")
スケジュール済みフロー向けの欠落実行検出を有効化:
1. list_store_flows(monitor=true) を実行
2. アクティブな Recurrence フロー:get_store_flow
3. rule_notify_onmissingdays が 0/欠落の場合、update_store_flow(...,
rule_notify_onmissingdays=2)
monitor=true をバルク有効化する前に監視制限を確認してください。critical=true に設定されたフローがない場合、アラートを設定する前にそれをガバナンスギャップとして報告してください。
6. 分類とタグ付け
コネクタタイプ、ビジネス機能、またはリスクレベル別にフローをバルク分類します。
コネクタ別の自動タグ付け:
1. list_store_flows を実行
2. 各アクティブフロー:id を分割、get_store_flow、connections JSON を解析
3. apiName 値をタグにマップ(#sharepoint、#teams、#email、#custom-connector)
4. 既存ストアタグを読み込み、新しいタグを追記、update_store_flow(tags=...)
ストアタグと説明ハッシュタグは別のシステムです。tags= はストアタグを上書きするため、読み込み/追記/書き込みしてください。ユーザーが要求しない限り計算された tier のオーバーライドを避けてください。
7. メーカー オフボーディング
従業員が退職した場合、フローとアプリを特定し、Flow Studio ガバナンス連絡先と通知受信者を再割り当てします。
1. get_store_maker(makerKey="<退職ユーザー-aad-oid>") を実行
→ ownerFlowCount、ownerAppCount、削除ステータスを確認
2. list_store_flows → すべてのフローを収集
3. 各アクティブフロー:id を分割、get_store_flow、所有者 JSON を解析
4. 所有者 principalId が退職ユーザーの OID と一致するフローにフラグ
5. list_store_power_apps → ownerId でフィルタリング
6. 保持フロー:ownerTeam/supportEmail/rule_notify_email を更新、
アカウント削除前に add_live_flow_to_solution を検討
7. 廃止フロー:set_live_flow_state(..., "Stopped") を設定、#decommissioned タグ付け
8. レポート:フロー再割り当て、フロー移行先ソリューション、停止フロー、
手動再割り当てが必要なアプリ
これは Flow Studio ガバナンス連絡先を変更し、実際の PA 所有権ではありません。Power Apps 所有権の変更は手動/管理センター作業です。
8. セキュリティレビュー
キャッシュストアデータを使用して、フローのセキュリティ上の潜在的な問題をレビューします。
1. list_store_flows(monitor=true) を実行
2. 各アクティブフロー:id を分割、get_store_flow
3. security/connections/referencedResources JSON を解析、トップレベル sharingType を読み込み
4. 検出結果をレポート、レビュー済みフロー #security-reviewed タグを追記
セキュリティシグナル:security.triggerRequestAuthenticationType、sharingType、connections、referencedResources、tier。構造化 security フィールドを上書きしないでください。代わりにレビュー済みフローにタグ付けしてください。
9. 環境ガバナンス
コンプライアンスと拡大についての環境を監査します。
1. list_store_environments を実行
displayName のないエントリをスキップ(テナントレベルメタデータ行)
2. フラグ:
- 開発者環境
- 管理されていない環境
- サービスアカウントが管理者アクセス権を持たない環境(isAdmin=false)
3. list_store_flows → environmentName でグループ化
4. list_store_connections → environmentName でグループ化
10. ガバナンスダッシュボード
テナント全体のガバナンスサマリーを生成します。
効率的なメトリクス(リスト呼び出しのみ):
1. total_flows = len(list_store_flows())
2. monitored = len(list_store_flows(monitor=true))
3. with_onfail = len(list_store_flows(rule_notify_onfail=true))
4. makers/apps/envs/conns = list_store_makers/list_store_power_apps/list_store_environments/list_store_connections
5. 監視%、通知%、孤立カウント、高障害率カウントを計算
詳細メトリクス(フロー単位で get_store_flow が必要 — 大規模テナントでは経費がかかる):
- コンプライアンス%:businessImpact が設定されているフロー / 合計アクティブフロー
- 未文書化カウント:説明なしのフロー
- Tier 分析:tier フィールド別にグループ化
フィールドリファレンス:ガバナンスで使用される get_store_flow フィールド
以下のすべてのフィールドは get_store_flow レスポンスに存在することが確認されています。
* でマークされたフィールドは list_store_flows でも利用可能です(より安価)。
| フィールド | 型 | ガバナンス用途 |
|---|---|---|
displayName * | string | アーカイブスコア(test/demo 名検出) |
state * | string | アーカイブスコア、ライフサイクル管理 |
tier | string | ライセンス監査(Standard vs Premium) |
monitor * | bool | このフローがアクティブに監視されているか? |
critical | bool | ビジネスクリティカル指定(update_store_flow 経由で設定可能) |
businessImpact | string | コンプライアンス分類 |
businessJustification | string | コンプライアンス認証 |
ownerTeam | string | 所有権説明責任 |
supportEmail | string | エスカレーション連絡先 |
rule_notify_onfail | bool | 障害アラートが設定されているか? |
rule_notify_onmissingdays | number | SLA 監視が設定されているか? |
rule_notify_email | string | アラート受信者 |
description | string | ドキュメント完全性 |
tags | string | 分類 — list_store_flows は説明抽出ハッシュタグのみ表示、update_store_flow によって書き込まれたストアタグは読み込みに get_store_flow が必要 |
runPeriodTotal * | number | アクティビティレベル |
runPeriodFailRate * | number | ヘルスステータス |
runLast | ISO string | 最後の実行タイムスタンプ |
scanned | ISO string | データ新鮮度 |
deleted | bool | ライフサイクル追跡 |
createdTime * | ISO string | アーカイブスコア(経過時間) |
lastModifiedTime * | ISO string | アーカイブスコア(陳腐化) |
owners | JSON string | 孤立検出、所有権監査 — json.loads() で解析 |
connections | JSON string | コネクタ監査、tier — json.loads() で解析 |
complexity | JSON string | アーカイブスコア(単純性) — json.loads() で解析 |
security | JSON string | 認証タイプ監査 — json.loads() で解析、triggerRequestAuthenticationType を含む |
sharingType | string | 過度な共有検出(トップレベル、security 内ではない) |
referencedResources | JSON string | URL 監査 — json.loads() で解析 |
関連スキル
flowstudio-power-automate-monitoring— ヘルスチェック、障害率、インベントリ(読み取り専用)flowstudio-power-automate-mcp— 基盤スキル:接続設定、MCP ヘルパー、ツール検出flowstudio-power-automate-debug— アクションレベル入出力による詳細診断flowstudio-power-automate-build— フロー定義のビルドとデプロイ
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- github
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/github/awesome-copilot / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。