きめ細かい DLP コントロール

コネクタ分類機能は、Microsoft Power Platform コネクタの管理に非常に役立ちますが、特定のコネクタ アクションや接続エンドポイント — をブロックする機能などのきめ細かい制御 — は、生産性と保護のバランスを取るのに役立ちます。

コネクタ アクション コントロール

コネクタ アクション コントロールを使用して、特定のコネクタ内の個々のアクションを許可またはブロックできます。 コネクタ ページで、コネクタを右クリックし、コネクタの構成 > コネクタ アクション を選択します。

コネクタの構成 > コネクタ アクションを選択します。

これにより、特定のアクションを許可または拒否できるサイド パネルが開きます。 将来コネクタに追加される新しいコネクタ アクションの既定値 (許可または拒否) を設定することもできます。

コネクタ アクションの許可または拒否を設定します。

可用性

コネクタのアクションの構成は、すべての ブロック可能 コネクタで使用できますが、ブロックできないコネクタ では使用できません。

コネクタ アクション コントロールの PowerShell サポート

コネクタで使用可能なアクションのリストを取得

Get-AdminPowerAppConnectorAction

Get-AdminPowerAppConnectorAction -ConnectorName shared_msnweather
Id タイプ プロパティ​​
TodaysForecast Microsoft.ProcessSimple/apis/apiOperations @{概要 = 今日の予報を取得します; 説明 = 指定された場所で当日の予報を取得します。; visib...
OnCurrentWeatherChange Microsoft.ProcessSimple/apis/apiOperations @{概要 = 現在の天気が変わったとき; 説明 = 指定された気象測定が変更するときに新しいフローをトリガーします...
CurrentWeather Microsoft.ProcessSimple/apis/apiOperations @{概要 =現在の天気を取得します; 説明 = 場所の現在の天気を取得します。 ;可視性 = 高度; pageable=Fa...
TomorrowsForecast Microsoft.ProcessSimple/apis/apiOperations @{概要 = 明日の予報を取得します; 説明 = 指定された場所で明日の予報を取得します。; visib...
OnCurrentConditionsChange Microsoft.ProcessSimple/apis/apiOperations @{概要 =現在の状態が変化するとき; 説明 = 場所の条件が変更されると、新しいフローをトリガーします...

ポリシーのコネクタ アクション ルールを構成する

ポリシーのコネクタ アクション ルールを含むオブジェクトは、以下ではコネクタ構成と呼ばれます。 コネクタ構成オブジェクトの構造は次のとおりです。

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @( # array – one entry per connector
    @{  
      connectorId # string
      actionRules = @( # array – one entry per rule 
        @{ 
          actionId # string
          behavior # supported values: Allow/Block
        }
      ) 
      defaultConnectorActionRuleBehavior # supported values: Allow/Block
    } 
  ) 
}

DLP ポリシーの既存のコネクタ構成を取得する

Get-PowerAppDlpPolicyConnectorConfigurations 

DLP ポリシーのコネクタ構成を作成する

New-PowerAppDlpPolicyConnectorConfigurations

DLP ポリシーのコネクタ構成を更新する

Set-PowerAppDlpPolicyConnectorConfigurations

目標:

  • コネクタ MSN Weather の TodaysForecast および CurrentWeather のアクションをブロックします。 他のすべてのアクションを許可します。
  • コネクタ GitHub のアクション GetRepositoryById を許可します。 他のすべてのアクションをブロックします。
$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_msnweather" 
      actionRules = @(
        @{ 
          actionId = "TodaysForecast" 
          behavior = "Block"
        }, 
        @{ 
          actionId = "CurrentWeather" 
          behavior = "Block"
        } 
      ) 
      defaultConnectorActionRuleBehavior = "Allow"
    },
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_github" 
      actionRules = @(
        @{ 
          actionId = "GetRepositoryById" 
          behavior = "Allow"
        }
      ) 
      defaultConnectorActionRuleBehavior = "Block"
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations

エンドポイント フィルター

エンドポイント フィルターを使用すると、管理者は、テナントまたは環境レベルで許可される特定のエンドポイントとブロックされる特定のエンドポイントをきめ細かく管理できます。 この機能は、HTTP、Azure AD を使用した HTTP、HTTP Webhook、SQL Server、Azure Blob Storage、および SMTP 接続エンドポイントで使用できます。 この機能は、まもなく Dataverse (レガシ) で利用できるようになります。 詳細については、エンドポイント入力形式と例 を参照してください。

データ ポリシー事前構築済みコネクタ ページの エンドポイント構成可能 列は、エンドポイント フィルター機能がコネクタでサポートされているかどうかを示す

事前構築済みコネクタ ページで構成可能なエンドポイント。

エンドポイント構成可能 列の値が はい の場合、右クリックして 構成コネクター > コネクター エンドポイント を選択することでこの機能を使用できます。

コネクタの構成 > コネクタ エンドポイント。

これにより、カスタム コネクタの URL パターンの許可または拒否の順序付きリストを指定できるサイド パネルが開きます。 リストの最後の行は常にワイルドカード文字 * のルールであり、そのコネクタのすべてのエンドポイントに適用されます。 既定では、* パターンは新しい DLP ポリシーの許可として設定されていますが、これに許可または拒否のタグを付けることができます。

カスタム コネクタの URL パターンの許可と拒否の順序付きリストを指定します。

エンドポイントの追加 を選択すると、新しいルールを追加できます。 新しいルールがパターン リストの最後に追加されます (* は常にリストの最後のエントリになるため、最後から 2 番目のルールとして)。 ただし、順序 ドロップダウンリスト、上に移動 または 下に移動 を使用してパターンの順序を更新できます。

エンドポイントの追加を選択して、新しいルールを追加します。

パターンを追加した後、特定の行を選択してから 削除 を選択することにより、パターンを編集または削除できます。

パターンを削除します。

エンドポイント フィルターの PowerShell サポート

ポリシーのエンドポイント フィルター ルールを構成する

ポリシーのエンドポイント フィルター ルールを含むオブジェクトは、以下ではコネクタ構成と呼ばれます。 コネクタ構成オブジェクトの構造は次のとおりです。

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

メモ

  • すべての URL がルールの対象となるように、各コネクタの最後のルールは常にURL「*」に適用する必要がある
  • 各コネクタのルールの順序プロパティには、1 から N (ここで、N はそのコネクタのルールの数) までの数字を入力する必要がある

DLP ポリシーの既存のコネクタ構成を取得する

Get-PowerAppDlpPolicyConnectorConfigurations 

DLP ポリシーのコネクタ構成を作成する

New-PowerAppDlpPolicyConnectorConfigurations

DLP ポリシーのコネクタ構成を更新する

Set-PowerAppDlpPolicyConnectorConfigurations

目標:

SQL Server コネクタの場合:

  • サーバー「myservername.database.windows.net」のデータベース「testdatabase」を拒否する
  • サーバー「myservername.database.windows.net」の他のデータベース「testdatabase」を許可する
  • 他のすべてのサーバーを拒否する

SMTP コネクタの場合:

  • Gmail を許可する (サーバーアドレス: smtp.gmail.com、ポート: 587)
  • 他のすべてのアドレスを拒否する

HTTP コネクタの場合:

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations