データ損失防止ポリシーのレイヤー化

  • 10 分

「Microsoft Power Platform のセキュリティとガバナンスの概要」モジュールでは、データ損失防止 (DLP) ポリシーについて紹介しました。このポリシーにより、同じフローまたはアプリ内で同時に使用できるコネクタが制限されます。 また、このモジュールでは、DLP ポリシーが適用されるスコープについても紹介しました。 たとえば、環境にのみ適用される DLP ポリシーを作成できます。 さらに、テナント全体に適用される DLP ポリシーを作成することもできます。つまり、新しい環境を作成すると、その環境ではこのテナント全体の DLP ポリシーが自動的に継承されます。

次のセクションでは、DLP ポリシーのレイヤー化について説明します。 組織は、特定のシナリオを有効にする一方で他のシナリオをブロックするレイヤー アプローチの実装を選択する場合があります。 相反するポリシーが存在する場合、Microsoft では最も制限の厳しいポリシーを適用します。

シナリオ 1: Microsoft 365 Outlook と OneDrive for Business

このユース ケースでは、IT 部門が、電子メールの添付ファイルを Microsoft OneDrive for Business アカウントに自動的にコピーできるようにしたいと考えています。 そのため、環境の管理者は Office 365 Outlook コネクタと OneDrive for Business コネクタをビジネス データ グループに含める DLP ポリシーを作成し、残りのコネクタは非ビジネス データ グループのままにします。

データ損失防止ポリシーのスクリーンショット。

この DLP ポリシーを保存すると、アプリの作成者は自分のメールの添付ファイルを OneDrive にコピーできるフローを作成できるようになります。

Apply to each アクションを開いているフローの例のスクリーンショット。

作成者がフローを保存すると、DLP ポリシーが適用されます。 フローが有効になっている場合、またはオン状態の場合は、ポリシーに違反していないことがわかります。 DLP ポリシーに違反しているフローの動作については、このモジュールの後半で説明します。

Power Automate のフローが有効になっているスクリーンショット。

シナリオ 2: SharePoint と Teams

2 つ目のシナリオでは、Microsoft Lists のリストに新しい項目が作成されるたびに、Microsoft Teams のチャネルに通知を発行します。 このシナリオを有効にするには、別の DLP ポリシーを作成します。 このシナリオでは、ビジネス データ グループの SharePoint コネクタと Microsoft Teams コネクタのみが対象です。 他のすべてのコネクタは、非ビジネス データ グループになります。

データ損失防止ポリシーの設定のスクリーンショット。

この DLP ポリシーを保存すると、Microsoft Lists のリストに新しい項目が作成されるたびに Teams のチャネルにメッセージを投稿するなど、設計した機能を実装するフローを作成できます。

Power Automate のフローの例のスクリーンショット。

このフローを保存すると、フローが有効になっていることがわかります。これは、フローが DLP ポリシーを遵守していることを意味します。

Power Automate でのフローの有効化を示すスクリーンショット。

シナリオ 3: Microsoft 365 Outlook と SharePoint

このシナリオでは、相反する DLP ポリシーがある場合の動作について説明します。 このシナリオには、受信メールを Microsoft Lists に記録して、そのメールボックスから実施項目を追跡できるようにすることが含まれます。

現時点では、ビジネス データ グループにこれらのコネクタを含む独自の DLP ポリシーがあります。 ただし、これらのコネクタは 2 つの異なる DLP ポリシーに分散されています。 最初のシナリオでは、Office 365 Outlook コネクタと OneDrive for Business コネクタを含めたことを思い出してください。 2 番目のシナリオでは、同じポリシー内に SharePoint コネクタと Microsoft Teams コネクタを含めました。 現時点では、Office 365 Outlook コネクタと SharePoint コネクタの両方を同じフローまたはアプリに含めることができるポリシーは存在しません。

ビジネス データ グループの Office 365 Outlook コネクタと SharePoint コネクタを含む 3 つ目の DLP ポリシーを作成することができます。 他のすべてのコネクタは、非ビジネス データ グループ環境になります。

Power Automate のデータ ポリシー ページのスクリーンショット。

ここで、Office 365 Outlook トリガーと SharePoint アクションを含むフローを作成します。

SharePoint を含む Power Automate のフローの例のスクリーンショット。

このフローを保存すると、DLP ポリシーに違反しており、その結果フローが中断されたことを示す次のようなエラーが表示されます。

データ損失防止ポリシーのエラーのスクリーンショット。

Office 365 Outlook コネクタと SharePoint コネクタの両方を同じフローに含めることを明示的に許可する DLP ポリシーを作成したことを考えると、なぜこのエラーが発生したのか疑問に思われるかもしれません。 この DLP ポリシーを作成したとしても、Microsoft は最も制限の厳しいポリシーを適用します。 Microsoft では、新しいポリシーの導入により、以前の DLP ポリシーをバイパスすることを許可していません。 そうしないと、組織が新しい DLP ポリシーを含めたときに、意図しないデータ漏えいが発生する可能性があります。

そのため、Office 365 OutlookSharePoint と通信する機能をどのようにサポートできるのかという疑問が生じるかもしれません。 この場合は、既存のポリシーを更新して、これらのコネクタをビジネス データ グループに含める必要があります。 このタスクを完了した後、DLP ポリシーによって現在中断されているフローを明示的に有効にする必要があります。