データ損失防止 (DLP) ポリシーData loss prevention (DLP) policies

このドキュメントでは、定義したコネクタ一覧で組織のデータを共有から保護するデータ損失防止ポリシーについて説明します。This document introduces you to data loss prevention policies, which help protect your organizational data from being shared with a list of connectors that you define.

データ損失防止ポリシーとはWhat's a data loss prevention policy?

組織のデータはその成功に不可欠です。An organization's data is critical to its success. 意思決定のためにデータをすぐに使用できる必要がありますが、アクセス権のないユーザーと共有されないように保護する必要があります。Its data needs to be readily available for decision-making, but it needs to be protected so that it isn't shared with audiences that shouldn't have access to it. このデータを保護するため、Microsoft Flow では、ビジネス データにアクセスして共有できるコンシューマー コネクタを定義するポリシーを作成して適用できます。To protect this data, Microsoft Flow provides you with the ability to create, and enforce policies that define which consumer connectors can access and share business data. データを共有する方法を定義するこれらのポリシーは、データ損失防止 (DLP) ポリシーと呼ばれます。These policies that define how data can be shared are referred to as data loss prevention (DLP) policies.

DLP ポリシーを作成する理由Why create a DLP policy?

DLP ポリシーを作成して、ビジネス データにアクセスして共有できるコンシューマー コネクタを明確に定義します。You create DLP policy to clearly define which consumer connectors may access and share your business data. たとえば、Microsoft Flow を使っている組織は、SharePoint のビジネス データが Twitter フィードに自動的に発行されるのを望まない場合があります。For example, an organization that uses Microsoft Flow may not want its business data in SharePoint to be automatically published to its Twitter feed. これを防ぐには、SharePoint データがツイートのソースとして使用されるのをブロックする DLP ポリシーを作成します。To prevent this, you create a DLP policy that blocks SharePoint data from being used as the source for tweets.

DLP ポリシーの利点Benefits of a DLP policy

  • 組織全体でデータが一貫した方法で管理されることを保証します。Ensures that data is managed in a uniform manner across the organization.
  • 重要なビジネス データが誤ってソーシャル メディア サイトなどのコネクタに発行されるのを防ぎます。Prevents important business data from being accidentally published to connectors such as social media sites.

DLP ポリシーの管理Managing DLP policies

DLP ポリシー管理の前提条件Prerequisites for managing DLP policies

DLP ポリシーを作成するCreate a DLP policy

DLP ポリシー作成の前提条件Prerequisites for creating DLP policies

DLP ポリシーを作成するには、少なくとも 1 つの環境へのアクセス許可が必要です。To create a DLP policy, you must have permissions to at least one environment.

会社の SharePoint サイトのデータが Twitter に発行されるのを防ぐ DLP ポリシーを作成するには、次の手順のようにします。Follow these steps to create a DLP policy that prevents data in your company’s SharePoint site from being published to Twitter:

  1. Microsoft Flow 管理センター (管理センター) にサインインします。Sign into the Microsoft Flow Admin center (Admin center).

  2. [データ ポリシー] タブを選び、[新しいポリシー] リンクを選びます。Select the Data Policies tab, and then select the New policy link:

    サインイン

  3. [データ グループ] タブを選びます。Select the Data groups tab.

  4. ページの上部にある [データ ポリシー名] ラベルに、DLP ポリシーの名前として「Secure Data Access for Contoso」と入力します。Enter the name of the DLP policy as Secure Data Access for Contoso in the Data Policy Name label at the top of the page:

    サインイン

  5. [環境] タブで環境を選びます。Select the environment on the Environments tab.

    注意

    環境管理者は、1 つの環境のみに適用されるポリシーを作成できます。As an environment admin, you can create policies that apply to only a single environment. テナント管理者は、環境の任意の組み合わせに適用されるポリシーを作成できます。As a tenant admin, you can create policies that apply to any combination of environments:

    環境の選択

  6. [Data groups] (データ グループ) タブを選びます。Select the Data groups tab:

    データ ソースの選択

  7. [Business data only](ビジネス データのみ) グループ ボックスの内部にある [追加] リンクを選びます。Select the Add link located inside the Business data only group box:

    追加の選択

  8. [コネクタの追加] ページで、[SharePoint] コネクタと [Salesforce] コネクタを選びます。Select the SharePoint and Salesforce connectors from the Add connectors page:

    コネクタの選択

  9. [コネクタの追加] ボタンを選んで、ビジネス データを共有できるコネクタを追加します。Select the Add connectors button to add the connectors that can share business data.

  10. 画面右上隅の [ポリシーの保存] を選びます。Select Save Policy in the top right corner of the screen.

  11. しばらくすると、新しい DLP ポリシーがデータ損失防止ポリシーの一覧に表示されます。After a few moments, your new DLP policy will be displayed in the data loss prevention policies list:

    DLP リスト

  12. 省略可能 新しい DLP ポリシーが使用できるようになったことを知らせる電子メールや他の通知をチームに送ります。Optional Send an email or other communication to your team, alerting them that a new DLP policy is now available.

以上で、SharePoint と Saleforce 間でのデータ共有をアプリに許可し、他のサービスとのデータ共有をブロックする DLP ポリシーが作成されました。Congratulations, you've now created a DLP policy that allows app to share data between SharePoint and Salesforce and blocks the sharing of data with any other services.

注意

1 つのデータ グループにサービスを追加すると、他のデータ グループからそのサービスが自動的に削除されます。Adding a service to one data group automatically removes it from the other data group. たとえば、Twitter が現在、ビジネス データのみデータ グループに読み込まれているとき、ビジネス データを Twitter と共有しない場合、Twitter サービスをビジネス データ禁止データ グループに追加します。For example, if Twitter is currently located in the business data only data group, and you don't want to allow business data to be shared with Twitter, simply add the Twitter service to the no business data allowed data group. ビジネス データのみデータ グループから Twitter が削除されます。This will remove Twitter from the business data only data group.

データ共有の違反Data sharing violations

これまでに説明したような DLP ポリシーを作成した場合、ユーザーが Salesforce (ビジネス データのみのデータ グループ) と Twitter (ビジネス データが許可されないデータ グループ) の間でデータを共有するフローを作成すると、データ損失防止ポリシーに一致しないためにフローが中断されることがユーザーに通知されます。Assuming you've created the DLP policy outlined above, if a user creates a flow that shares data between Salesforce (which is in the business data only data group) and Twitter (which is in the no business data allowed data group), the user will be informed that the flow is suspended due to a conflict with the data loss prevention policy you created.

フローの作成

ユーザーから中断されたフローについての問い合わせがあった場合は、次のことを検討します。If your users contact you about suspended flows, here a few things to consider:

  1. この例では、SharePoint と Twitter の間でビジネス データを共有するビジネス上の正当な理由がある場合は、DLP ポリシーを編集できます。In this example, if there's a valid business reason to share business data between SharePoint and Twitter, you can edit the DLP policy.

  2. DLP ポリシーに準拠するようにフローを編集するよう、ユーザーに依頼します。Ask the user to edit the flow to comply with the DLP policy.

  3. これら 2 つのエンティティ間でのデータ共有について決定が下されるまでフローを中断した状態のままにするよう、ユーザーに求めます。Ask the user to leave the flow in the suspended state until a decision is made regarding the sharing of data between these two entities.

DLP ポリシーを検索するFind a DLP policy

管理者Admins

管理者は、管理センターの検索機能を使って、特定の DLP ポリシーを検索できます。Admins can use the search feature from the Admin center to find specific DLP policies.

注意

管理者は、組織内のユーザーがフローを作成する前にポリシーを認識できるように、すべての DLP ポリシーを公開する必要があります。Admins should publish all DLP policies so that users in the organization are aware of the policies prior to creating flows.

作成者Makers

管理者権限がないユーザーが組織の DLP ポリシーについて詳しく知りたい場合は、管理者に問い合わせてください。If you don't have admin permissions and you wish to learn more about the DLP policies in your organization, contact your administrator. 詳細については、作成者環境に関する記事もご覧ください。You can also learn more from the maker environments article

注意

DLP ポリシーを編集または削除できるのは管理者だけです。Only admins can edit or delete DLP policies.

DLP ポリシーを編集するEdit a DLP policy

  1. 管理センターを起動します。Launch the Admin center.

  2. 管理センターの左側にある [Data polices] (データ ポリシー) リンクを選びます。In the Admin center that launches, select the Data polices link on the left side.

    データ ポリシーの選択

  3. 既存の DLP ポリシーの一覧を検索し、編集するポリシーの横にある編集ボタンを選びます。Search the list of existing DLP policies and select the edit button next to the policy you intend to edit.

  4. ポリシーに必要な変更を行います。Make the necessary changes to the policy. たとえば、環境や、データ グループのサービスを変更できます。You can modify the environment or the services in the data groups, for example.

  5. [ポリシーの保存] を選んで、変更を保存します。Select Save Policy to save your changes.

注意

環境管理者は、テナント管理者によって作成された DLP ポリシーを見ることはできますが、編集することはできません。DLP policies created by tenant admins can be viewed by environment admins but cannot be edited by environment admins.

DLP ポリシーを削除するDelete a DLP policy

  1. 管理センターを起動します。Launch the Admin center.

  2. 左側にある [Data polices](データ ポリシー) タブを選びます。Select the Data polices tab on the left side.

    データ ポリシー タブの選択

  3. 既存の DLP ポリシーの一覧を検索し、削除するポリシーの横にある削除ボタンを選びます。Search the list of existing DLP policies, and then select the delete button next to the policy you intend to delete:

    削除ボタンの選択

  4. [Delete] (削除) ボタンを選んで、ポリシーの削除を確定します。Confirm that you really want to delete the policy by selecting the Delete button:

    ポリシー削除の確認

DLP ポリシーのアクセス許可DLP policy permissions

DLP ポリシーを作成および変更できるのは、テナント管理者と環境管理者だけです。Only tenant and environment admins can create and modify DLP policies. アクセス許可の詳細については、環境に関する記事をご覧ください。Learn more about permissions in the environments article.

次のステップNext steps