データ損失の防止に役立つポリシーを設定する

  • [アーティクル]

組織の成功にはデータが重要です。 そのデータは意思決定のためにすぐに利用できる必要があるが、同時に、アクセスすべきでない人々と共有されないように保護される必要があります。 ビジネス データを保護するために、Power Automate はどのコネクタがデータにアクセスし、共有できるかを定義するポリシーを作成し、実施する機能を提供します。 データを共有する方法を定義するポリシーは、データ損失防止 (DLP) ポリシーと呼ばれます。

管理者は DLP ポリシーを制御します。 DLP ポリシーがフローの実行をブロックしている場合は、管理者にお問い合わせください。

データ損失防止ポリシーによるデータの保護について詳しくは、こちらをご覧ください

デスクトップ フローのデータ損失防止

Power Automate では、デスクトップ フロー モジュールと個々のモジュールアクションを ビジネス非ビジネス、または ブロック として分類する DLP ポリシーを作成し、適用することができます。 この分類により、作成者は異なるカテゴリのモジュールとアクションをデスクトップ フローに結合したり、クラウド フローとそれが使用するデスクトップ フローの間で結合したりすることができなくなります。

重要

  • DLP ポリシーの適用は マネージド環境 のみで利用できます。 2024 年 9 月以降、管理対象環境にあるデスクトップ フローのみが DLP ポリシーによって評価されるようになります。
  • デスクトップ フローの DLP は、デスクトップ用 Power Automate の 2.14.173.21294 以降バージョンで利用できます。 古いバージョンを使用している場合は、アンインストールして最新バージョンに更新してください。

デスクトップ フロー アクション グループの表示

既定では、新しい DLP ポリシーを作成するときに、デスクトップ フロー アクション グループは表示されません。 テナント設定で、DLP ポリシーにデスクトップ フロー アクションを表示する 設定をオンにする必要があります。

パブリック プレビューを選択した場合、DLP のデスクトップフローのアクション 設定はすでに有効になっており、変更することはできません。

  1. Power Platform 管理センターにサインインします。

  2. 左側のサイド パネルで、設定 を選択します。

  3. テナント設定 ページで DLP のデスクトップ フロー アクション を選択します。

  4. DLP ポリシーでデスクトップ フロー アクションを表示 の切り替えをオンにし、保存 を選択します。

    Power Platform 管理センターのデスクトップ用 DLP フロー設定のスクリーンショット。

データ ポリシーの作成時にデスクトップ フロー アクション グループを分類できるようになりました。

デスクトップ フローを制限した DLP ポリシーを作成する

管理者がポリシーを編集または作成すると、デスクトップ フロー アクション グループが既定のグループに追加され、保存されるとポリシーが適用されます。 既定のグループが ブロック に設定され、デスクトップ フローがターゲット環境で実行されている場合、ポリシーは中断されます。

クラウド フローのコネクタとアクションを管理するのと同じ方法で、デスクトップ フローの DLP ポリシーを管理できます。 デスクトップ フロー モジュールは、Power Automate デスクトップ ユーザー インターフェイスに表示されるのと同様のアクションのグループです。 モジュールは、クラウド フローで使用されるコネクタに似ています。 デスクトップ フロー モジュールとクラウド フロー コネクタの両方を管理する DLP ポリシーを定義できます。 変数 などの一部の基本モジュールは、ほとんどすべてのデスクトップ フローで使用する必要があるため、DLP ポリシーの範囲内で管理できません。 DLP ポリシーの基礎と作成方法について詳しく説明します

テナントが Power Platform でユーザー エクスペリエンスにオプトインした場合、管理者には、作成または更新している DLP ポリシーのデフォルト データ グループにある新しいデスクトップ フロー モジュールが自動的に表示されます。

Power Platform 管理センターで構築中の DLP ポリシーのスクリーンショット。

警告

デスクトップ フロー モジュールが DLP ポリシーに追加されると、テナントのデスクトップ フローがそのモジュールに対して評価され、不適合であれば一時停止されます。 管理者が新しいモジュールに気付かずに DLP ポリシーを作成または更新すると、デスクトップ フローが予期せず中断される可能性があります。

DLP の外部でデスクトップ フローを管理する

前のセクションで説明した、すべてのマシンでのデスクトップ フローの使用に関するきめ細かな制御は、マネージド環境にのみ適用されます。 デスクトップ フローを管理するオプションは他にもあります。

  • デスクトップ フロー オーケストレーションを管理する機能: デスクトップ フロー コネクタは、すべての環境で他のコネクタと同様にポリシーで管理できます。

  • デスクトップ用 Power Automate の使用を管理する機能: GPO を通じてデスクトップ用 Power Automate フロー を管理できます。 このガバナンスにより、一連の環境または地域への制限、アカウント タイプの使用制限、手動更新の制限などのアクションについて、デスクトップ フローをオンまたはオフにすることができる。

Power Automate のガバナンスの詳細情報

DLP のデスクトップ フロー モジュール

DLP では次のデスクトップ フロー モジュールを使用できます:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation ブラウザー オートメーション
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD セッション
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard クリップボード
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression 圧縮
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography 暗号化
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database データベース
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email メール
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File ファイル
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder フォルダー
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google コグニティブ
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM コグニティブ
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display メッセージ ボックス
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft コグニティブ
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard マウスとキーボード
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow フローの実行
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting スクリプト
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System システム
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation ターミナル エミュレーション
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI オートメーション
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows サービス
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation ワークステーション
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

デスクトップ フロー モジュールの PowerShell サポート

DLP ポリシーでデスクトップ フロー アクションを表示する 設定をオンにしない場合は、次の PowerShell スクリプトを使用して、すべてのデスクトップ フロー モジュールを DLP ポリシーの ブロック グループに追加できます。 すでにこの設定を有効にしている場合は、このスクリプトを使用する必要はありません。

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

以下は、2 つの特定のデスクトップ フロー モジュールを DLP ポリシーの既定のデータ グループに追加するために使用できる PowerShell スクリプトです。

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

デスクトップ フローをオプトアウトする PowerShell スクリプト

デスクトップフロー用の DLP 機能を使用しない場合は、次の PowerShell スクリプトを使用してオプトアウトできます。

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

ポリシーを有効にした後

ユーザーがデスクトップ用の最新 Power Automate を持っていない場合、DLP ポリシーの適用は制限されます。 DLP ポリシーに違反するデスクトップ フローを実行、デバッグ、保存しようとしても、デザインタイムのエラーメッセージは表示されません。 バックグラウンド ジョブは、環境内のデスクトップ フローを定期的にスキャンし、DLP ポリシーに違反するものを自動的に一時停止します。 デスクトップ フローがデータ損失防止ポリシーに違反している場合、ユーザーはクラウド フローからデスクトップ フローを実行できません。

デスクトップ用の最新 Power Automate を搭載しているメーカーは、DLP ポリシーに違反するデスクトップ フローをデバッグ、実行、または保存できません。 また、DLP ポリシーに違反しているデスクトップ フローをクラウド フロー ステップから選択することもできません。

DLP の強制と停止

フローを作成または編集すると、Power Automate はそれを現在の DLP ポリシーのセットに対して評価します。 強制は非同期で、24 時間以内に行われます。

DLP ポリシーを作成または変更すると、バックグラウンド ジョブが環境内のすべてのアクティブ フローをスキャンおよび評価し、ポリシーに違反するフローを一時停止します。 強制は非同期で、24 時間以内に行われます。 以前の DLP ポリシーの評価中に DLP ポリシーが変更された場合、最新のポリシーが適用されるように評価が再開されます。

毎週、バックグラウンド ジョブが DLP ポリシーに対して環境内のすべてのアクティブ フローの整合性チェックを実行し、DLP ポリシー チェックに見落としがないことを確認します。

DLP の再アクティブ化

DLP 強制バックグラウンド ジョブが、DLP ポリシーに違反しなくなったデスクトップ フローを検出すると、バックグラウンド ジョブによって自動的に停止が解除されます。 ただし、DLP 強制バックグラウンド ジョブはクラウド フローの停止を自動的に解除しません。

DLP 強制変更プロセス

新しい DLP 機能やバグ修正が展開されたり、施行のギャップが埋められたりするため、DLP の施行は定期的に変更する必要があります。 変更が既存のフローに影響を与える可能性がある場合は、次の段階的な DLP 強制変更管理プロセスが使用されます:

  1. 調査中: DLP 強制を変更する必要性を確認し、変更の詳細を調査します。

  2. 学習: 変更を実装し、変更の影響の幅に関するデータを収集します。 DLP 強制の変更は、変更の範囲を説明するために文書化されます。 顧客が大きな影響を受けることをデータが示唆している場合は、顧客に変更が行われることを知らせる通知が送信される場合があります。 変更が既存のフローに広範な影響を与える場合、学習フェーズの後の段階で、バックグラウンド DLP 強制ジョブが既存のフローで違反を検出したときに、Power Automate はフローが中断されることをフローの所有者に通知し、応答するための時間を確保します。

  3. 通知のみ: DLP 違反の場合にのみメール通知をオンにして、既存のフローの所有者が今後の DLP 強制の変更について通知されるようにします。 バックグラウンドの DLP 強制ジョブが既存のフローで違反を見つけた場合は、フローの所有者にフローが一時停止されることを通知します。 このメカニズムは毎週実行されます。

  4. 設計時の強制: DLP 違反の設計時強制をオンにすることで、既存のフローの所有者は今後の DLP 強制の変更について通知されますが、変更されたフローは設計時に完全な DLP ポリシー評価を受けます。 ソフト強制 とも呼ばれます。

    • 設計時: フローを更新して保存すると、更新された DLP 強制が使用されます。必要に応じてフローが中断され、作成者は強制をすぐに認識できます。

    • バックグラウンド プロセス: バックグラウンド DLP 実施ジョブがフローで違反を発見した場合、フロー所有者にフローが一時停止されることを通知します。 このメカニズムには、DLP ポリシーの作成または変更と整合性チェックが含まれます。

  5. 完全強制: DLP 違反の完全強制をオンにして、既存および新規のすべてのフローに DLP ポリシーが完全に強制されるようにします。 DLP ポリシーは、DLP 強制のバックグラウンド ジョブ評価中にフローが保存されるときに完全に強制されます。 ハード強制 とも呼ばれます。

DLP 強制変更リスト

次の表は、DLP の実施に関する変更と、変更が有効になった日付の一覧です。

Description 変更理由 段階 設計時適用の可否* 完全な適用の可否*
2022 年 5 月 委任された承認のバックグラウンド ジョブの強制 DLP ポリシーは、フローが保存されている間、委任された認可を使用するフローに適用されますが、バックグラウンド ジョブの評価中には適用されません。 Full 2022 年 6 月 2 日 2022 年 7 月 21 日
2022 年 5 月 apiConnection トリガー強制を要求する 一部のトリガーでは、DLP ポリシーが正しく適用されませんでした。 影響を受けるトリガーには、type=Requestkind=apiConnection があります。 影響を受けるトリガーの多くは、インスタント (手動でトリガーされる) フローで使用されるインスタント トリガーです。 影響を受けるトリガーには、次のものが含まれます。
- Power BI: クリックされた Power BI ボタン
- Teams : 作成ボックスに由来(V2)
- OneDrive for Business: 選択したファイルの場合
- Dataverse: ビジネス プロセス フローからフロー ステップが実行された場合
- Dataverse (レガシ): レコードが選択された場合
- Excel Online (Business): 選択した行の場合
- SharePoint: 選択したアイテムの場合
- Microsoft Copilot Studio: Copilot Studio がフローを呼び出すとき (V2)		 Full 2022 年 6 月 2 日 2022 年 8 月 25 日
2022 年 7 月 子フローに DLP ポリシーを適用する 子フローを含めるために DLP ポリシーの強制を有効にします。 フロー ツリーのどこかに違反が見つかった場合、親フローは中断されます。 子フローを編集して保存し、違反を削除した後、親フローを再保存または再アクティブ化して、DLP ポリシー評価を再度実行できます。 子フローに対する DLP ポリシーの完全強制の適用とともに、HTTP コネクタがブロックされたときに子フローをブロックしないよう変更されます。 完全強制が利用可能になると、強制には子デスクトップ フローが含まれます。 完全 2023 年 2 月 14 日 2023 年 3 月
2023 年 1 月 子デスクトップ フローに DLP ポリシーを適用する 子デスクトップ フローを含めるために DLP ポリシーの強制を有効にします。 フロー ツリーのどこかに違反が見つかった場合、デスクトップ親フローは中断されます。 子デスクトップ フローを編集して保存し、違反を削除すると、親デスクトップ フローが自動的に再アクティブ化されます。 学習 - 2023 年 8 月

*利用可能なスケジュールは変更される可能性があり、ロールアウトによって異なります。

DLP 違反によるフローの中断

一時停止したフローは、Power Automate Maker Portal と Power Platform 管理センターでは一時停止として表示されます。 API、PowerShell、または 「管理アクション」としての Power Automate 管理コネクタ リスト フロー を通じてフローが返される場合、フローは 状態=中断 になり、適切な FlowSuspensionReason=CompanyDlpViolationFlowSuspensionTime の値を持ちます。

既知の制限

DLP の既知の問題について

参照

環境に関する詳細
Power Automate の詳細については、こちらをご覧ください
管理センターの詳細