こんにちは。ネオシステムの高橋です。
今回は、PowerPlatformにおけるデータ損失防止ポリシー (以下、DLPポリシー) のコアな設定についてまとめました。
コネクタ周りのセキュリティを強化したい方は参考にしてみてください。
目次
- ポリシーを作成する
- DLPポリシー設定の大まかな流れ
- 事前構築済みコネクタの割り当て
- 基本的なコネクタの割り当て
- コネクタを構成する
- コネクタ アクション コントロール
- コネクタ エンドポイント フィルター処理 (プレビュー)
- カスタムコネクタDLPポリシー
- メール通知
- 【おまけ】テナント間の送信受信制限
- 参考資料
ポリシーを作成する
DLPポリシーはPower Platform管理センターで設定することができます。
この画面にアクセスするためには、テナント管理者か環境管理者の権限が必要です。
画面左のメニューから「データポリシー」を選択すると、登録してあるポリシーの一覧が表示されます。
DLPポリシー設定の大まかな流れ
新しいポリシーを定義するには「+新しいポリシー」を選択してください。
ポリシーを作成するためには、5つのステップを踏む必要があります。
この記事では、2つ目の「事前構築済みコネクタ」と3つ目の「カスタムコネクタ」について詳しく見ていきます。
事前構築済みコネクタの割り当て
ここでは、標準で用意されているコネクタを設定します。
基本的なコネクタの割り当て
通常、コネクタは「ビジネス」「非ビジネス」「ブロック」の3つに割り当てることができます。
機密情報を扱うコネクタの場合は「ビジネス」、使用禁止にしたいコネクタは「ブロック」に割り当てましょう。
対象のコネクタを選ぶと「ビジネスに移動する」と「ブロック」のボタンが表示されるので、移動させたい方に選んでください。
コネクタを構成する
上の画面にある「コネクタを構成する」ボタンを押すとどうなるのか?
ここからがこの記事のメインです。
「コネクタを構成する」ボタンを押すと2つの選択肢が表示されます。
それぞれの機能について見ていきましょう。
コネクタ アクション コントロール
「コネクタのアクション」から利用できるアクションを制限することができます。
アクションの設定が有効でないコネクタがあることに注意してください。
詳細はこちら。
新規アクションが追加された場合、そのアクションを許可するかブロックするかも選ぶことができます。
この設定を入れた状態で、Power Automateを使ってみましょう。
アクションの追加時は、許可されていないアクションも選べるようです。
フローを保存しようとすると…
このようなエラーメッセージが表示され、フローを保存することができなくなります。
コネクタエンドポイントフィルター処理 (プレビュー)
コネクタエンドポイントを設定すると、上で紹介した基本的なコネクタの割り当てよりも細かなアクセス制限を設けることができます。
コネクタエンドポイントを設定できるコネクタは以下の6つです。
詳細はこちらをご確認ください。
- HTTP
- Azure Active Directory (AD) を使用した HTTP
- HTTP Webhook
- SQL サーバー
- Azure Blob Storage
- SMTP
実際にHTTPコネクタにエンドポイントの構成を設定してみました。
HTTPコネクタの割り当ては既定の非ビジネスのままにしています。
画像にある通り、1番にhttps://management.azure.com/*を拒否するように設定します。
この状態でポリシーを作成し、ポリシーを割り当てた環境でPower Automateのフローを作成してみましょう。
HTTPコネクタを使ったアクションを追加し、URIをhttps://management.azure.com/*に設定してフローを保存してみてください。
フローは保存できましたが警告が表示され、フローをオンにすることができなくなりました。
エンドポイントは「許可」と「拒否」の2種類が設定できるほかに、複数のエンドポイントを指定することもできます。その場合は並び順に注意しましょう。
カスタムコネクタDLPポリシー
次に、ポリシー作成のステップ3「カスタムコネクタ」について見ていきましょう。
ここでは、カスタムコネクタに対してのポリシーを設定することができます。
上で説明したコネクタエンドポイントフィルターとやり方はほぼ同じです。
少し違うのは、データグループを設定できる点です。
事前構築済みコネクタと同様に「ビジネス」「非ビジネス」「ブロック」の3つに割り当てることができます。
このようなポリシーを作成した後にカスタムコネクタを作成します。
今回は、ポリシーに違反した場合どのような動きになるかを見たいので、カスタムコネクタにわざとポリシーに引っかかるようなリクエストURLをセットしました。
Power Automateで作成したカスタムコネクタを使って保存しようとすると
エラーメッセージが表示され、フローを保存することができなくなります。
メール通知
あとからポリシーを作成/編集した場合、既存で作成していたフローが動かなくなることがあります。
そんな時はフロー所有者に対してメールが届くようです。
【おまけ】テナント間の送信受信制限
ポリシー設定の調査をしているときに見つけたので、おまけとして記載しました。
テナント間での制限を設けないと、間違って別のテナントの情報を取ってきてしまうことがあるらしいです。
この例で言うと、Power Automateで別テナントのメールアドレスを使って接続できてしまいます。
「テナント分離」から新しいテナントルールを設定することで、上のような予期せぬ接続を防ぐことができます。
通信方向は「受信」「送信」「受信と送信」の3つから選べます。
この設定をするには、別テナントのテナントIDが必要になるのであらかじめ用意しておきましょう。
テナントIDは、PowerAppsの「設定」にあるセッション詳細を選択すると表示されます。
テナント間の制限に引っかかるとこのようなエラーメッセージが表示されます。
まとめ
今回は、PowerPlatformのコネクタ周りの制御方法について紹介しました。
アプリ開発者が誤って情報漏えいを起こさないために、テナント管理者や環境管理者が守ってあげましょう。