データ損失防止 (DLP) ポリシーを作成する
組織内のデータを保護するには、Power Apps を使い、特定のビジネス データを共有できるコンシューマー コネクタを定義するポリシーを作成して適用することができます。 これらのポリシーは、データ損失防止 (DLP) ポリシーと呼ばれます。 DLP ポリシーは組織全体でデータが均一に管理されるようにし、重要なビジネス データがソーシャル メディア サイトなどのコネクタに誤って公開されるのを防ぎます。
DLP ポリシーはテナント レベルまたは環境レベルで作成でき、Power Platform 管理センターから管理されます。
前提条件
テナント レベル
テナント レベルのポリシーを定義して、特定の環境を含めたり除外したりできます。 テナント レベルのポリシー向けのこの記事に記載されている手順に従うには、次の権限 1 が必要です。
- Microsoft Power Platform 管理者のアクセス許可
- Microsoft 365 Global 管理者のアクセス許可
この記事全体でテナント管理者として、これらのロールを参照します。 詳細: サービス管理者ロールを使用してテナントを管理する
環境レベル
環境レベルのポリシーの手順に従うには、Power Apps 環境管理者の権限が必要です。 Dataverse データベースのある環境の場合では、代わりにシステム管理者ロールを割り当てる必要があります。
Note
PowerShell を使用して DLP ポリシーを作成する際に SingleEnvironment EnvironmentType パラメーターを使用している場合、ポリシーの作成に使用されるユーザー アカウントは、上記の通り、環境レベルでなければならず、テナントレベルアクティビティ許可があってはなりません。そうしないと、Bad Request エラーが返され、ポリシーは作成されません。
DLP ポリシーの検索と表示
DLP ポリシーを見つけて表示するには、DLP ポリシーの検索と表示 を参照してください。
DLP ポリシーのプロセス
DLP ポリシーを作成する手順は次のとおりです。
- ポリシーに名前を割り当てます。
- コネクタを分類します。
- ポリシーのスコープを定義します。 この手順は、環境レベルのポリシーに適用されません。
- 環境を選択します。
- 設定をレビューします。
これらについては、次のセクションで説明します。
チュートリアル: DLP ポリシーを作成する
このチュートリアルの例では、テナント レベルの DLP ポリシーを作成します。 DLP ポリシーのビジネスデータ グループに、SharePoint および Salesforce を追加します。 また、ブロック済みデータ グループに、Facebook および Twitter も追加します。 非ビジネスデータ グループに、残りのコネクタを残します。 次に、このポリシーのスコープからテスト環境を除外し、テナントのデフォルト環境および運用環境など、残りの環境にポリシーを適用します。
このポリシーが保存された後、DLP ポリシーの環境の一部である Power Apps または Power Automate メーカーは、SharePoint または Salesforce 間で共有するアプリやフローを作成できます。 非ビジネスデータ グループのコネクタで既存の接続を含む Power Apps または Power Automate は、SharePoint または Salesforce コネクタでの接続は許可されません。その逆も同様です。 また、これらのメーカーは Facebook または Twitter コネクタを Power Apps または Power Automate リソースに追加できません。
Power Platform 管理センターで、ポリシー>データ ポリシー>新しいポリシー の順に選択します。
テナントにポリシーが存在しない場合は、次のページが表示されます。
ポリシー名を入力し、次へを選びます。
コネクタを割り当てページで、作成可能なさまざまな属性および設定をレビューします。
属性
Attribute Description 件名 コネクタの名前。 ブロック可能 ブロックできるコネクタ。 ブロックできないコネクタの一覧については、ブロックできないコネクタの一覧を参照してください。 種類 コネクタの使用が Premium ライセンスを必要とするか、または、Microsoft Power Platform の基本/標準ライセンスに含まれるか。 公開元 コネクタを公開する会社。 この値は、サービス所有者とは異なる場合があります。 たとえば、Microsoft は Salesforce コネクタの発行元になることができますが、基盤となるサービスは Microsoft ではなく、Salesforce が所有しています。 バージョン情報 コネクタの詳細については、URL を選択してください。 リスト
ピボット 内容 ビジネス (n) ビジネス機密データのコネクタ。 このグループのコネクタは、他のグループのコネクタとデータを共有できません。 非ビジネス/
既定 (n)個人使用データなどの非ビジネス データのコネクタ。 このグループのコネクタは、他のグループのコネクタとデータを共有できません。 ブロック済み (n) ブロックされたコネクタをこのポリシーが適用された場所では使用できません。 操作
操作 内容 既定のグループの設定 DLP ポリシーの後に、Microsoft Power Platform が追加した新しいコネクタをマップするグループが作成されます。 詳細: 新しいコネクタの既定データ グループ コネクタの検索 コネクタの長い一覧を検索して、分類する特定のコネクタを見つけます。 名前、ブロック可能、タイプ、または出版社などのコネクタの一覧ビューにおける任意のフィールドで検索できます。 次のアクションを実行できます。
Description 1 コネクタ分類グループ全体で 1 つ以上のコネクタを割り当てる 2 コネクタ分類グループのピボット テーブル 3 検索バーで、名前、ブロック可能、タイプ、または出版社などのプロパティ全体のコネクタを検索します 4 DLP ポリシーの後に、Microsoft Power Platform が追加した新しいコネクタをマップするコネクタ分類グループが作成されます。 5 コネクタを選択、複数選択、または一括選択してグループ間を移動 6 個々の列にわたるアルファベット順のソート機能 7 コネクタ分類グループ全体の個々のコネクタを割り当てるアクション ボタン 1 つ以上のコネクタを選択してください。 このチュートリアルでは、SalesForce および SharePoint コネクタを選び、トップ メニュー バーからビジネスに移動を選択します。 また、省略記号 (
) をコネクタ名の右側に使用することもできます。
コネクタは、ビジネスデータ グループに表示されます。
コネクタは、一度に 1 つのデータ グループにのみ存在できます。 SharePoint および Salesforce コネクタをビジネスデータ グループに移動し、ユーザーが非ビジネスまたはブロック済みグループのコネクタでこらら 2 つのコネクタを組み合わせるフローとアプリを作成できないようにします。
ブロックできない SharePoint などのコネクタに対して、ブロックアクションはグレーに表示され、警告が表示されます。
必要に応じて、新しいコネクタに対して既定のグループ設定を確認して変更します。 既定の設定非ビジネスのままにして、既定で Microsoft Power Platform に追加した新しいコネクタをマップすることを推奨します。 コネクタを確認して割り当てる機会を得た後に、非ビジネスコネクタは DLP ポリシーを編集することで、ビジネスまたはブロック済みに手動で割り当てることができます。 新しいコネクタ設定がブロック済みの場合、ブロック可能なすべての新しいコネクタが予想通りにブロック済みにマップされます。 ただし、ブロックできない新しいコネクタはブロックされない設計のため、非ビジネスにマップされます。
右上隅で、既定グループの設定を選択します。
ビジネス/非ビジネス/ブロック済みグループ全体のコネクタの割り当てを全て終え、新しいコネクタの既定のグループを設定した後、次へを選択します。
DLP ポリシーのスコープを選択します。 この手順は、常に単一の環境を対象としているため、環境レベル ポリシーでは使用できません。
このチュートリアルでは、ポリシーからテスト環境を除外します。 特定の環境を除外するを選び、環境を追加するページで次へを選択します。
環境を追加するページで、さまざまな属性および設定をレビューします。 テナント レベルのポリシーの場合、このリストには、テナント レベルの管理者がテナント内のすべての環境を表示します。 環境レベルのポリシーの場合、このリストには、Dataverse データベースのある環境の環境管理者またはシステム管理者としてサインインしたユーザーによって管理されるテナント内の環境のサブセットのみが表示されます。
属性
Attribute Description 件名 環境の名前。 種類 環境のタイプ: トライアル、運用、サンドボックス、既定 地域 環境に関連付けられた領域。 作成者 環境トを作成したユーザー。 作成日 環境が作成された日付。 リスト
ピボット 内容 使用可能 (n) ポリシーのスコープに明示的に含まれてる、または含まれていない環境。 スコープが複数の環境を追加するのように定義されている環境レベルのポリシーおよびテナント レベルのポリシーの場合、この一覧では、ポリシー スコープに含まれていない環境のサブセットを表しています。 スコープが特定の環境を除外するのように定義されているテナント レベルの場合、このピボットでは、ポリシー スコープ内に含まれている環境セットを表しています。 ポリシーに追加 (n) スコープが複数の環境を追加するのように定義されている環境レベルのポリシーおよびテナント レベルのポリシーの場合、このピボットでは、ポリシー スコープ内にある環境のサブセットを表しています。 スコープが特定の環境を除外するのように定義されているテナント レベルの場合、このピボットでは、ポリシー スコープから除外されている環境のサブセットを表しています。 操作
操作 内容 ポリシーに追加 使用可能カテゴリの環境では、このアクションを使いポリシーに追加カテゴリーに移動できます。 ポリシーから削除 ポリシーに追加カテゴリの環境では、このアクションを使い使用可能カテゴリーに移動できます。 1 つ以上の環境を選択してください。 検索バーを使い、関心のある環境をすばやく検索できます。 このチュートリアルでは、テスト環境を検索します - サンドボックスと入力。 サンドボックス環境を選択したら、トップメニューバーからポリシーに追加を使い、ポリシー スコープに割り当てます。
ポリシー スコープは当初特定の環境を除外するとして選択されたため、これらのテスト環境はポリシー スコープから除外され、DLP ポリシーの設定が残りの (使用可能) 環境すべてに適用されます。 環境レベルのポリシーの場合、使用可能な環境一覧から単一の環境のみを選択できます。
環境を選択した後、次へを選びます。
ポリシー設定を確認し、次にポリシーを作成を選択します。
ポリシーが作成され、DLP ポリシーの一覧に表示されます。 このポリシーの結果、SharePoint および Salesforce アプリではデータを運用環境 などの非テスト環境 で共有できます。それは、両方が同じビジネスデータ グループの一部だからです。 ただし、Outlook.com などの非ビジネスデータ グループにあるコネクタは、SharePoint または Salesforce コネクタを使いアプリとフローでデータを共有しません。 Facebook および Twitter のコネクタは、運用またはデフォルト環境などの非テスト環境のアプリやフローでの使用を完全にブロックされます。
管理者は DLP ポリシーの一覧を組織と共有して、ユーザーがアプリを作成する前にポリシーを認識できるようにすることをお勧めします。
この表は、作成した DLP ポリシーがアプリとフローのデータ接続にどのように影響するかを示しています。
| コネクタ マトリックス | SharePoint (Business) | Salesforce (ビジネス) | Outlook.com (非ビジネス) | Facebook (ブロック済み) | Twitter (ブロック済み) |
|---|---|---|---|---|---|
| SharePoint (Business) | 許可する | 許可する | 拒否する | 拒否する | 拒否する |
| Salesforce (ビジネス) | 許可する | 許可する | 拒否する | 拒否する | 拒否する |
| Outlook.com (非ビジネス) | 拒否する | 拒否する | 許可する | 拒否する | 拒否する |
| Facebook (ブロック済み) | 拒否する | 拒否する | 拒否する | 拒否する | 拒否する |
| Twitter (ブロック済み) | 拒否する | 拒否する | 拒否する | 拒否する | 拒否する |
テスト環境に DLP ポリシーが適用されていないため、アプリとフローはこれらの環境で任意のコネクタのセットを一緒に使用できます。
DLP PowerShell コマンドを使用する
データ損失防止 (DLP) ポリシー コマンド を参照してください。
関連項目
データの消失防止ポリシー
データ消失防止 (DLP) ポリシーを管理する
データ損失防止 (DLP) ポリシー コマンド
Power Platform データ損失防止 (DLP) SDK