DLP を理解してコネクタの特定のアクションだけを止める方法

Featured image

概要

Power Platform で DLP ポリシーは今までコネクタごとに「ビジネス」「非ビジネス」「ブロック」 の3種類が存在しました。

「ビジネス」は文字通りビジネスとして扱うコネクタを設定し「非ビジネス」に設定してあるコネクタと合わせてアプリケーションを作れなくすることで、データ損失対策を行う機能です。

「ブロック」は文字通り、コネクタそのものを使えなくするものになります。

この設定を行うことで、環境内で Office 365 のコネクタは使えるが、 Twitter にはつなげないアプリなどを作ることができ、ヒューマンエラーをなくし、自社のデータを守ることができます。

そんな中、今回プレビュー機能として新たに「アクション」レベルでのブロック機能とコネクタのエンドポイントの制限が追加されました。この機能が追加されたことで、今まで 「Twitter の情報の取得は許可するけど、それ以外はブロックしたい」といったことは不可能でしたが、実現が可能になります。

アクションのブロック

この機能は一部のコネクタのみ対応しています。 Power Platform 管理センターに移動し、データポリシーからポリシーの編集 or 追加を行います。

事前構築済みコネクタから画像では Twitter を選択し、コネクタの構成からアクションを選択しています。

環境編集方法

これを取得のみ許可し、新たに追加されたアクションをブロックする設定にするとこのようになります。

環境編集方法

保存→ポリシーの更新をすることで完了します。 このように設定することで、 Twitter の検索やデータ取得は許可したうえで、社内のデータを誤送信するといったことを防ぐことができます。

エンドポイントの制限

この機能も一部のコネクタにのみ対応しています。

こちらの機能を使うことで、例えば、 特定の SQL Server にのみ接続が可能になるといった設定が可能です。

環境編集方法

また、 HTTP コネクタ等にも設定が可能です

環境編集方法

この機能もアクションのブロックと併せて利用することで、より柔軟な DLPポリシーを作ることができます。

Q すでに追加されたコネクタのアクションを DLP で制限した場合の動き

テストとして、 RSS の一覧取得のアクション(ListFeedItems)を制限してみました。

私の場合は、10分前後で反映されました。 Power Apps のアプリを開けなくなり、新しく更新しようとするとエラーとなります。 ただし、あくまで利用できないだけで、Power Apps のアプリを作ることができ、また、公開をすることもできます。あくまで利用ができないだけです。

環境編集方法

環境編集方法

また、作成できるということは、当然編集画面ではそのアクションを呼び出すこともできる点には注意が必要です。 環境編集方法

Power Automate の場合は、自動的に Power Automate が停止状態になり、違反がある場合は、メールでのお知らせが届きます。

環境編集方法

停止されたアクションを修正しない限りはエラーとなりオンにすることはできません。

環境編集方法

また、Power Apps とは違い、 Power Automate ではフローチェッカーに引っ掛かるため、保存すらできなくなります。 このあたりの Power Apps との動作の違いには注意が必要です。

環境編集方法

まとめ

DLPがさらに柔軟に設定が可能になりました。 これによって今までよりもさらに自社に合ったポリシーを作ることで、止めるしかなかったアクションなども使うことができるのでアプリケーション等の幅がさらに広がることでしょう。

この情報はあくまで 2021-8-17 時点でのプレビュー版での情報となります。 動作は予期せず変更になる点にはご注意ください。

公式サイトはこちらにあります https://docs.microsoft.com/ja-jp/power-platform/admin/dlp-granular-controls

https://docs.microsoft.com/ja-jp/power-platform/admin/dlp-endpoint-input-formats-examples