データ損失防止 (DLP) ポリシーを作成する

組織内のデータを保護するには、Power Apps を使い、特定のビジネス データを共有できるコンシューマー コネクタを定義するポリシーを作成して適用することができます。 これらのポリシーは、データ損失防止 (DLP) ポリシーと呼ばれます。 DLP ポリシーは組織全体でデータが均一に管理されるようにし、重要なビジネス データがソーシャル メディア サイトなどのコネクタに誤って公開されるのを防ぎます。

DLP ポリシーはテナント レベルまたは環境レベルで作成でき、Power Platform 管理センターから管理されます。

前提条件

テナント レベル

テナント レベルのポリシーを定義して、特定の環境を含めたり除外したりできます。 テナント レベルのポリシー向けのこの記事に記載されている手順に従うには、次の権限 1 が必要です。

  • Microsoft Power Platform 管理者のアクセス許可
  • Microsoft 365 Global 管理者のアクセス許可

この記事全体で テナント管理者 として、これらのロールを参照します。 詳細: サービス管理者ロールを使用してテナントを管理する

環境レベル

環境レベルのポリシーの手順に従うには、Power Apps 環境管理者の権限が必要です。 Dataverse データベースのある環境の場合では、代わりにシステム管理者ロールを割り当てる必要があります。

注意

PowerShell を使用して DLP ポリシーを作成する際に SingleEnvironment EnvironmentType パラメーターを使用している場合、ポリシーの作成に使用されるユーザー アカウントは、上記の通り、環境レベルなければならずテナントレベル アクティビティ許可が あってはなりません。そうしないと、Bad Request エラーが返され、ポリシーは作成されません。

DLP ポリシーの検索と表示

DLP ポリシーを見つけて表示するには、DLP ポリシーの検索と表示 を参照してください。

DLP ポリシーのプロセス

DLP ポリシーを作成する手順は次のとおりです。

  1. ポリシーに名前を割り当てます。
  2. コネクタを分類します。
  3. ポリシーのスコープを定義します。 この手順は、環境レベルのポリシーに適用されません。
  4. 環境を選択します。
  5. 設定をレビューします。

これらについては、次のセクションで説明します。

チュートリアル: DLP ポリシーを作成する

このチュートリアルの例では、テナント レベルの DLP ポリシーを作成します。 DLP ポリシーの ビジネス データ グループに、SharePoint および Salesforce を追加します。 また、ブロック済み データ グループに、Facebook および Twitter も追加します。 非ビジネス データ グループに、残りのコネクタを残します。 次に、このポリシーのスコープからテスト環境を除外し、テナントのデフォルト環境および運用環境など、残りの環境にポリシーを適用します。

このポリシーが保存された後、DLP ポリシーの環境の一部である Power Apps または Power Automate メーカーは、SharePoint または Salesforce 間で共有するアプリやフローを作成できます。 非ビジネス データ グループのコネクタで既存の接続を含む Power Apps または Power Automate は、SharePoint または Salesforce コネクタでの接続は許可されません。その逆も同様です。 また、これらのメーカーは Facebook または Twitter コネクタを Power Apps または Power Automate リソースに追加できません。

  1. Power Platform 管理センターで、ポリシー > データ ポリシー > 新しいポリシー の順に選択します。

    テナントにポリシーが存在しない場合は、次のページが表示されます。

    ポリシー ビューなし。

  2. ポリシー名を入力し、次へ を選びます。

  3. コネクタを割り当て ページで、作成可能なさまざまな属性および設定をレビューします。

    コネクタを割り当てます。

    属性

    属性 内容
    件名 コネクタの名前。
    ブロック可能 ブロックできるコネクタ。 ブロックできないコネクタの一覧については、ブロックできないコネクタの一覧を参照してください。
    種類​​ コネクタの使用が Premium ライセンスを必要とするか、または、Microsoft Power Platform の基本/標準ライセンスに含まれるか。
    公開元 コネクタを公開する会社。 この値は、サービス所有者とは異なる場合があります。 たとえば、Microsoft は Salesforce コネクタの発行元になることができますが、基盤となるサービスは Microsoft ではなく、Salesforce が所有しています。
    バージョン情報 コネクタの詳細については、URL を選択してください。

    リスト

    ピボット 内容
    ビジネス (n) ビジネス機密データのコネクタ。 このグループのコネクタは、他のグループのコネクタとデータを共有できません。
    非ビジネス/
    既定 (n)
    個人使用データなどの非ビジネス データのコネクタ。 このグループのコネクタは、他のグループのコネクタとデータを共有できません。
    ブロック済み (n) ブロックされたコネクタをこのポリシーが適用された場所では使用できません。

    アクション

    操作​​ 内容
    既定グループの設定 DLP ポリシーの後に、Microsoft Power Platform が追加した新しいコネクタをマップするグループが作成されます。 詳細: 新しいコネクタの既定データ グループ
    検索コネクタ コネクタの長い一覧を検索して、分類する特定のコネクタを見つけます。 名前ブロック可能タイプ、または出版社などのコネクタの一覧ビューにおける任意のフィールドで検索できます。

    次のアクションを実行できます。

    コネクタ アクションを割り当てます。

    内容
    1 コネクタ分類グループ全体で 1 つ以上のコネクタを割り当てる
    2 コネクタ分類グループのピボット テーブル
    3 検索バーで、名前ブロック可能タイプ、または 出版社 などのプロパティ全体のコネクタを検索します
    4 DLP ポリシーの 後に、Microsoft Power Platform が追加した新しいコネクタをマップするコネクタ分類グループが作成されます。
    5 コネクタを選択、複数選択、または一括選択してグループ間を移動
    6 個々の列にわたるアルファベット順のソート機能
    7 コネクタ分類グループ全体の個々のコネクタを割り当てるアクション ボタン
  4. 1 つ以上のコネクタを選択してください。 このチュートリアルでは、SalesForce および SharePoint コネクタを選び、トップ メニュー バーから ビジネスに移動 を選択します。 コネクタ名の右側にある省略記号 (省略記号。) を使用することもできます。

    複数のコネクタを割り当てます。

    コネクタは、ビジネス データ グループに表示されます。

    ビジネス データ グループ。

    コネクタは、一度に 1 つのデータ グループにのみ存在できます。 SharePoint および Salesforce コネクタを ビジネス データ グループに移動し、ユーザーが 非ビジネス または ブロック済み グループのコネクタでこらら 2 つのコネクタを組み合わせるフローとアプリを作成できないようにします。

    ブロックできない SharePoint などのコネクタに対して、ブロック アクションはグレーに表示され、警告が表示されます。

  5. 必要に応じて、新しいコネクタに対して既定のグループ設定を確認して変更します。 既定の設定 非ビジネス のままにして、既定で Microsoft Power Platform に追加した新しいコネクタをマップすることを推奨します。 コネクタを確認して割り当てる機会を得た後に、非ビジネス コネクタは DLP ポリシーを編集することで、ビジネス または ブロック済み に手動で割り当てることができます。 新しいコネクタ設定が ブロック済み の場合、ブロック可能なすべての新しいコネクタが予想通りに ブロック済み にマップされます。 ただし、ブロックできない新しいコネクタはブロックされない設計のため、非ビジネス にマップされます。

    右上隅で、既定グループの設定 を選択します。

    既定グループを設定します。

    ビジネス/非ビジネス/ブロック済み グループ全体のコネクタの割り当てを全て終え、新しいコネクタの既定のグループを設定した後、次へ を選択します。

  6. DLP ポリシーのスコープを選択します。 この手順は、常に単一の環境を対象としているため、環境レベル ポリシーでは使用できません。

    スコープを定義します。

    このチュートリアルでは、ポリシーからテスト環境を除外します。 特定の環境を除外する を選び、環境を追加する ページで 次へ を選択します。

  7. 環境を追加する ページで、さまざまな属性および設定をレビューします。 テナント レベルのポリシーの場合、このリストには、テナント レベルの管理者がテナント内のすべての環境を表示します。 環境レベルのポリシーの場合、このリストには、Dataverse データベースのある環境の環境管理者またはシステム管理者としてサインインしたユーザーによって管理されるテナント内の環境のサブセットのみが表示されます。

    環境を追加します。

    属性

    属性 内容
    名称 環境の名前。
    種類​​ 環境のタイプ: トライアル、運用、サンドボックス、デフォルト
    地域 環境に関連付けられた領域。
    作成者 環境トを作成したユーザー。
    作成済 (日付) 環境が作成された日付。

    リスト

    ピボット 内容
    使用可能 (n) ポリシーのスコープに明示的に含まれてる、または含まれていない環境。 スコープが複数の環境を追加するのように定義されている環境レベルのポリシーおよびテナント レベルのポリシーの場合、この一覧では、ポリシー スコープに含まれていない環境のサブセットを表しています。 スコープが特定の環境を除外するのように定義されているテナント レベルの場合、このピボットでは、ポリシー スコープ内に含まれている環境セットを表しています。
    ポリシーに追加 (n) スコープが複数の環境を追加するのように定義されている環境レベルのポリシーおよびテナント レベルのポリシーの場合、このピボットでは、ポリシー スコープ内にある環境のサブセットを表しています。 スコープが特定の環境を除外するのように定義されているテナント レベルの場合、このピボットでは、ポリシー スコープから除外されている環境のサブセットを表しています。

    アクション

    操作​​ 内容
    ポリシーに追加する 使用可能カテゴリの環境では、このアクションを使いポリシーに追加カテゴリーに移動できます。
    ポリシーから削除する ポリシーに追加カテゴリの環境では、このアクションを使い使用可能カテゴリーに移動できます。
  8. 1 つ以上の環境を選択してください。 検索バーを使い、関心のある環境をすばやく検索できます。 このチュートリアルでは、テスト環境を検索します - サンドボックスと入力。 サンドボックス環境を選択したら、トップメニューバーから ポリシーに追加 を使い、ポリシー スコープに割り当てます。

    ポリシーを割り当てます。

    ポリシー スコープは当初 特定の環境を除外する として選択されたため、これらのテスト環境はポリシー スコープから除外され、DLP ポリシーの設定が残りの (使用可能) 環境すべてに適用されます。 環境レベルのポリシーの場合、使用可能な環境一覧から単一の環境のみを選択できます。

    環境を選択した後、次へ を選びます。

  9. ポリシー設定を確認し、次に ポリシーを作成 を選択します。

    新しいポリシーを確認します。

ポリシーが作成され、DLP ポリシーの一覧に表示されます。 このポリシーの結果、SharePoint および Salesforce アプリではデータを運用環境 — などの非テスト環境 — で共有できます。それは、両方が同じ ビジネス データ グループの一部だからです。 ただし、Outlook.com— などの 非ビジネス データ グループ — にあるコネクタは、SharePoint または Salesforce コネクタを使いアプリとフローでデータを共有しません。 Facebook および Twitter のコネクタは、運用またはデフォルト環境などの非テスト環境のアプリやフローでの使用を完全にブロックされます。

管理者は DLP ポリシーの一覧を組織と共有して、ユーザーがアプリを作成する前にポリシーを認識できるようにすることをお勧めします。

この表は、作成した DLP ポリシーがアプリとフローのデータ接続にどのように影響するかを示しています。

コネクタ マトリックス SharePoint (Business) Salesforce (ビジネス) Outlook.com (非ビジネス) Facebook (ブロック済み) Twitter (ブロック済み)
SharePoint (Business) 許可する 許可する 拒否する 拒否する 拒否する
Salesforce (ビジネス) 許可する 許可する 拒否する 拒否する 拒否する
Outlook.com (非ビジネス) 拒否する 拒否する 許可する 拒否する 拒否する
Facebook (ブロック済み) 拒否する 拒否する 拒否する 拒否する 拒否する
Twitter (ブロック済み) 拒否する 拒否する 拒否する 拒否する 拒否する

テスト環境に DLP ポリシーが適用されていないため、アプリとフローはこれらの環境で任意のコネクタのセットを一緒に使用できます。

DLP PowerShell コマンドを使用する

データ損失防止 (DLP) ポリシー コマンド を参照してください。

関連項目

データの消失防止ポリシー
データ消失防止 (DLP) ポリシーを管理する
データ損失防止 (DLP) ポリシー コマンド
Power Platform データ損失防止 (DLP) SDK

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。