※ この記事は、Microsoft Power Automate Advent Calendar 2025 12月8日 担当分の記事です。
Power PlatformにおけるDLPポリシーは、コネクタの組み合わせ、および利用可否を制御するものです。
クラウドフローはもちろんですが、デスクトップフローでも「アクショングループ」単位での組み合わせや利用禁止とする制御が可能です。
デスクトップフローのDLPポリシー
キャンバスアプリやクラウドフローに関するDLPポリシーについては、特に前提条件はありませんでした。
しかし、デスクトップフローのDLPポリシーについては、「マネージド環境」の機能として提供されていました。
マネージド環境の概要 - Power Platform | Microsoft Learn
マネージド環境の機能ということは、その環境にアクセスすることができるすべてのユーザーは、Power Apps Premiumライセンス か、あるいは、 Power Automate Premiumライセンスを付与されている必要があります。
マネージド環境の機能として発表はされておりましたが、非マネージド環境にも適用できてしまうという状態が長らく続いておりました。しかし、Microsoft社からの発表で「2025年1月以降から非マネージド環境には適用されない」といったアナウンスがあったのを機にいよいよカウントダウンが始まりました。
・・・しかし、待てど暮らせど適用が開始されないのです。
そして、すべての環境へ
それはある日のことでした。
デスクトップフローのDLPポリシーの公式ドキュメントを見ると「デスクトップ フローの DLP ポリシーの適用は、すべての環境で利用できます。」と書いてあるではありませんか。
「すべての環境」ですよ。
いままで至る所で、「デスクトップフローのDLPポリシーはマネージド環境なんですよ(察して)」を発言しまくっていた私になんて仕打ちを・・・(そんなことはどうでもいい
データ損失防止 (DLP) ポリシーの作成 - Power Automate | Microsoft Learn
「いや、マネージド環境のページの機能一覧にはまだ掲載されているし、どっちが正解かわからないじゃないか」ということで、Microsoft社のサポートさんに確認を取りました。
(しかも6月、10月と2回も問い合わせしてます(笑)
結論『2025年7月頃から、デスクトップフローのDLPポリシーは、すべての環境で利用できるように仕様変更されました。』とのことです。
これはPower Automate for desktopを利用してデスクトップフローを活用されている企業においては、待ち望んでいた仕様変更ではないかと思います。(個人的には複雑な気持ちが湧くのですが・・・
こんなに重要な仕様変更は、ぜひとも、Power Automate Blogやメッセージセンターで通知が来てほしいところです。
あるいは、release wave planとかRelase Planner とかにあったのかな?
私が確認する限りにおいて、見つけることができなかったため、もしここでアナウンスされてたよってご存じの方がいらっしゃいましたら、ぜひ、教えてください。
この情報が半信半疑の方もいらっしゃると思います。その方々は、ぜひ、Microsoft社へ問い合わせをして確認してください。そしてその内容をこっそり共有していただけると嬉しいです。
DLPポリシーでデスクトップフローのアクショングループを設定する方法
DLPポリシーを設定する際、「クラス」列に「デスクトップフロー」がない場合は、アクショングループの制御はできません。
デスクトップフローのアクショングループをDLPポリシー作成画面上で表示させるには、Power Platform管理センターの[管理]-[テナント設定]で「DLP のデスクトップ フロー アクション」の設定を変更する必要があります。
「デスクトップフローアクションをDLPポリシーで表示する」のトグルを有効化してください。
この設定を一度有効化すると、無効化できないので、ご注意ください。
データ損失防止 (DLP) ポリシーの作成 - Power Automate | Microsoft Learn
エンドポイントフィルタリングの機能追加
関連するアップデートでいうと、2025年5月に発表された「MC107689」。
MC1076895 Power Automate – エンドポイント フィルタリングを有効にして、セキュリティで保護された UI 自動化を実現
※ ↑↑↑ 【Power Platform】メッセージセンター更新情報 2025年5月 - ふらりのメモ書き より。ふらりさん、Thanks!
「UIオートメーション」と「ブラウザー自動化」において、アプリケーションやWebサイトの許可リストや拒否リストを作成し、エンドポイントを制限することができるようになります。
たとえば、「ブラウザの自動化」のアクションで、社内の基幹システムにブラウザからアクセスするようなデスクトップフローを作成、実行できなくなります。つまり、デスクトップフローでの基幹システムの操作を禁止することが実現できるようになるわけです。
データの消失防止 (DLP) ポリシー - Power Automate | Microsoft Learn
エンドポイントフィルタリングの設定
「UIオートメーション」または「ブラウザー自動化」アクショングループの[・・・](コンテキストメニュー)から[コネクタを構成する]>[コネクタエンドポイント(プレビュー)]をクリックします。
下記の画面で制御したいエンドポイントの情報を記載します。
コネクタ エンドポイント フィルター処理 (プレビュー) - Power Platform | Microsoft Learn
DLPポリシー適用後の動き
たとえば、以下のような場合を考えてみます。
社内業務において、個人利用しているGmailアカウントの利用を禁止しています。
そのため、デスクトップフローで「ブラウザにアクセスして、Gmail からメール送信する操作を禁止したい」とします。
※ Gmail を利用すべきではないという意図ではございません。検証のために利用させていただいた設定です。
「新しい Microsoft Edge を起動」で「初期URL」を「https://mail.google.com/ 」に設定します。
■ Gmailにブラウザアクセスしているデスクトップフローがすでに存在している場合
実行すると以下のメッセージが表示され、ブラウザが起動しません。
■ Gmailにブラウザアクセスしているデスクトップフローを新規作成し保存する場合
保存すると以下のメッセージが表示されます。
赤枠の「>」をクリックするとDLPポリシーのどこに引っかかっているかが確認できます。
DLPポリシーの情報が出るので「エンドポイント フィルター処理」を見てみると「次のエンドポイントは、ブロックされているため使用できません。」と表示されています。
「エクスポート違反ファイル」をクリックすると以下の内容のテキストファイルがダウンロードされます。
====================================
現在のフロー: Gmailエラー
ポリシー名: PAD_DLP
業務 (0): 業務 のアクション グループはありません
非ビジネス (0): 非ビジネス のアクション グループはありません
ブロック済み (0): ブロック済み のアクション グループはありません
エンドポイント フィルター処理 (1): 次のエンドポイントは、ブロックされているため使用できません。
DesktopFlow.WebAutomation (1)
LaunchEdge (1) - Main: 行 1
====================================
作成したデスクトップフローは保存されますが、ステータスが「中止」となります。
データの消失防止 (DLP) ポリシー - Power Automate | Microsoft Learn
既知の問題
なんにでも既知の問題というものは存在するもので、エンドポイントフィルタリングについても例外ではないようです。
「ブラウザーの自動化」は、フォアグラウンドウィンドウにアタッチするように構成されている場合、エンドポイントフィルター処理は検証されないため、ブロックされません。
とのことですので、デスクトップフローの構成によっては、DLPポリシーの制御がかからない場合があるこという点については、管理者としては理解しておく必要があります。
ブラウザーの自動化 - コネクタ エンドポイント フィルター処理 (プレビュー) - Power Platform | Microsoft Learn
ちなみに 「UIオートメーション」は、関連する属性 (プロセス または 名前) がセレクターの一部でない場合、エンドポイントのフィルター処理は適用されません。また、デスクトップのアイコンやタスクバーのボタン、スタート メニュー内のコンポーネントなど、特定のWindowsのUI 要素ではサポートされていません。
ユーザーインターフェース自動化 - コネクタ エンドポイント フィルター処理 (プレビュー) - Power Platform | Microsoft Learn
そのほかの既知の制限事項については、以下を参照してください。
データ ポリシーに関する既知の制限事項 - Power Platform | Microsoft Learn
さいごに
デスクトップフローのDLPポリシーが、マネージド環境関係なく、すべての環境で利用できるようになったとのこと。喜ばしいことです。(半信半疑の方は、Microsoft社に確認してみてください。)
そして、DLPポリシーのエンドポイントフィルタリングの機能は、非常に有益な機能です。今回あらたに登場したデスクトップフローの「UIオートメーション」「ブラウザー自動化」への機能追加は、管理者視点でみると非常にうれしい機能です。いままでどうしてルールでしか縛れなかったため、実は守らない人がいてリスクが存在していた状態であった可能性があります。それがシステム的に制限することができるため、ガバナンスを効かせることができます。
ただし、エンドポイントフィルタリングの機能は、プレビューです。
最近登場したデスクトップフローだけでなく、HTTPやSQL Serverといった以前からずーーーっとあるコネクタのエンドポイントフィルタリングの機能もプレビューのままなのです。
そろそろ一般公開していただけると嬉しいですね。
プレビュー機能の本番運用への利用については、推奨されていないことから、自己責任で適用しなければならないんですよね。永遠のプレビューのようになっていては、せっかくの機能が使われないことになるので、早めの一般公開を切に願います。