こちらの記事は2部構成です。
基本はばっちりなので設定方法を知りたいという方はDLPポリシー操作編 (設定・管理方法)から!
DLPポリシー基本編
そもそもDLPポリシーとは
DLPポリシーはPower Platformにおけるセキュリティのコアとなる機能で、正式名称はデータ損失保護ポリシー(data loss prevention policy)です。
一言で言うと、Power Platformのコネクタの利用範囲を制御するためのポリシー機能となっています。
DLPの基本的な考え方として、コネクタを3つのグループに仕分けるということがあります。
-
ビジネス
ビジネス機密データのコネクタ。 このグループのコネクタは、他のグループのコネクタと接続不可 -
非ビジネス
個人使用データなど非ビジネスデータのコネクタ。 このグループのコネクタは、他のグループのコネクタとデータと接続不可 -
ブロック
このグループに振り分けられたコネクタは環境内で使用不可
何も設定していないと、既定では非ビジネスに分類されます。
この仕様は「既定のグループの設定」で変えることができます。
挙動
別グループコネクタとの接続
Power Automateでビジネスコネクタと非ビジネスコネクタを接続しようとした際、保存はできますが、有効にできません。
ブロックされているコネクタの使用
ブロックされているコネクタのアクションを設定し接続しようとするとエラーが表示されます。
つまり、保存もできません。
注意点
次は、DLPポリシーを扱う際に注意・知っておくべきことについてです。
適用反映時間
設定を適用してから約 1 時間後に実際の環境で有効になります。
「ブロック」に分類できないコネクタ
コネクタの中には、一部「ブロック」に分類できないコネクタがあります。
→その場合は、「非ビジネス」に分類
ブロックできるコネクタをまとめてブロックする方法
ポリシー適用スコープ
DLPポリシーを適用する際、スコープを以下の3つの範囲に選択できます。
- すべての環境に対して
- 特定の環境に対して
- 特定の環境以外に対して
ポリシーの重複
環境に対してポリシーは重複でき、一番厳しい分類が適用されます。
例:
テナント全体に適用するポリシーではFacebookコネクタはブロックに分類、A環境用のポリシーではFacebookコネクタはビジネスに分類
→A環境ではFacebookコネクタはブロックに分類される
DLPポリシー操作編 (設定・管理方法)
実際に管理を行う際はPower Platform管理センター、CoE Starter Kitを使用します。
それぞれについて解説します。
DLPポリシーの設定や管理には、テナント内の権限が必要です。
テナント全体の環境に対して、基本的なコネクタの利用可否と環境への割り当て操作に関しては以下の権限が必要です。(テナントレベル)
- Power Platform管理者
- グローバル管理者
さらにコネクタのアクションごとの制御やカスタムコネクタの制御など、より細かい制御を可能にするためには以下の権限が必要です。
- 環境のシステム管理者ロール(その環境のみポリシー追加可能)
環境の環境作成者ロールでもコネクタの割り当ては可能ですが、カスタムコネクタやアクションの設定などはできません。
Power Platform管理センターでの管理方法
Power Platform管理センターでの基本的な管理方法についてご説明します。
基本操作①
次の操作はフル権限を持っているアカウントでの画面になります。
部分的な権限の場合、手順や画面が変わります為、ご注意ください。
Power Platform管理センター(https://aka.ms/ppac )にアクセスします。
左のメニューで[ポリシー]を開き、[データポリシー]をクリックすると、現在定義されているポリシーが表示されます。
[新しいポリシー]をクリックすると新規作成ができます。
ポリシーの名前を付け、[次へ]ボタンをクリックします。
コネクタのグループへの振り分けをします。
移動させたいコネクタを選択し、画面上部で[ビジネスに移動する]や[ブロック]を選択します。
ここで、以下、コネクタを選択する際のTipsです。
Tips1: コネクタを一括でまとめてブロックしたい場合
一括でブロック可能コネクタをブロックしたいような要件もあるかと思います。
その場合は、そのまま全選択にすると「選択できません」というメッセージが表示されます。
実はコネクタ一覧では、列ごとにフィルタリングが可能です。
ブロック可能なコネクタに絞り込みをしてから全選択を行います。
[ブロック可能]をクリックし、[列の値でフィルター]を[はい]に設定し、[適用]ボタンをクリックします。
列名の一番左横のチェックマークをクリックします。
全選択した状態で、[ブロック]をクリックします。
「ブロック済み」タブを開いて、移動できたことを確認します。
Tips2: 既定のグループの設定
新しいコネクタ(事前構築済みコネクタ・カスタムコネクタ同様)が追加された場合、既定では非ビジネスに分類されます。
変更したい場合はポリシー設定の[事前構築済みコネクタ]の画面右上[既定のグループの設定]をクリック
選択項目を変えて[適用]ボタンで完了
新しいコネクタ設定がブロック済みの場合、ブロック可能なすべての新しいコネクタがブロック済みにマップされます。
新しいコネクタ設定がブロック済みでも、ブロックできない新しいコネクタはブロックされない設計のため、非ビジネスに分類されます。
Tips3: コネクタのアクションごとの設定
コネクタのアクションごとにブロックするか許可するかを設定可能です。
ブロック不可のコネクタは適用外
構成したいコネクタを選択し、[コネクタを構成する]>[コネクタのアクション]
設定可能なアクションが表示される為、こちらでトグルをクリックし設定
[コネクタアクションの既定設定]では、新しいアクションができた際にデフォルトで許可するかブロックするかを設定可能
完了したら[保存]ボタンをクリック
Tips4: エンドポイントの制御(パブリックプレビュー)
SQL Server、Azure Blob Storage、HTTP、SMTP などの特定のコネクタコネクタの接続先を URL のパターンで制御が可能です。
対象コネクタを選択
[コネクタを構成する]>[コネクタエンドポイント]をクリック
並び替えの順序は優先順位です。1が1番優先されます。
基本操作②
振り分けが終わったら、[次へ]ボタンをクリックします。
次にカスタムコネクタの制御ができます。(テナント管理者権限が必要)
ここでは、カスタムコネクタの接続先URLのパターンに応じて、ビジネス、非ビジネス、ブロックの分類が可能です。
エンドポイントの制御と同じくカスタムコネクタの順序は優先順位です。
1が1番優先されます。
[次へ]ボタンをクリックします。
次にポリシーを適用するスコープ設定をします。
この中で、以下「特定の環境を除外する」を選択した際で続けて設定していきます。
スコープを「特定の環境を除外する」に設定した場合
利用可能タブに表示される環境にポリシーを適用する操作です。
新しい環境を作成した際はこちらに追加される。つまり、このポリシーを適用させることが基本で、一部環境のみ変えたい場合はこちらの「特定の環境を除外する」スコープを使用します。
除外したい環境を選択し、[ポリシーに追加する]をクリックします。
[ポリシーから除外]タブに選択した環境が追加されていることを確認します。
基本操作③
最後、[ポリシーの作成]ボタンで作成完了です。
CoE Starter Kit
次にCoE Starter Kitのアプリで管理できる内容をご紹介します。
(2023/10/24 アップデートに伴い編集)
(2024/02/15 アップデートに伴い編集)
CoE Starter Kitの中の DLP Editor V2というアプリがあります。
DLP Editor V2が廃止になり、同じ機能を持ったDLP Imapct Analysis toolに置き換えられました。
こちらのアプリを使用するには、アプリ自体の権限付与と、DLPポリシーを設定する為の権限が必要です。
DLPポリシーの設定をアプリ上で簡易に可能にするアプリで、次のような機能があります。
機能
-
基本的な設定
既存の DLP ポリシーを変更し、ポリシー内のコネクタ グループを更新
-
インパクト分析
DLPポリシー適用時に、影響の発生するアプリやフローを一覧化 -
ポリシーのコピー
DLPポリシーの設定をまるまるコピー可能。適用される環境も引き継がれる
-
既存のポリシーが影響を与えるテナント内のキャンバスアプリやクラウドフローの一覧
→ポリシー変更時の業務停止リスクを低減
csvファイルなどにエクスポート可能
-
通知機能
メーカーに連絡し、アプリやフローに最適な対応策を通知することで、リスクを軽減
