カスタム コネクタの DLP

  • [アーティクル]

Power Platform を使用すると、開発者は カスタム コネクタ を作成および共有できるようになります。 テナントおよび環境レベルのデータ損失防止 (DLP) ポリシーのカスタム コネクタを管理できます。 具体的には次のとおりです。

  1. 環境管理者は、Power Platform 管理センターを使用して、環境レベルの DLP ポリシーの名前で個々のカスタム コネクタを分類します。
  2. テナント管理者は、Power Platform 管理センターと PowerShell を使用して、テナント レベルの DLP ポリシーのパターン マッチング構造を使用して、ホスト URL エンドポイント別にカスタム コネクタを分類できます。

Note

カスタム コネクタの DLP は現在、一般提供されています。

ユーザー インターフェイス

環境レベルの DLP ポリシー

環境管理者は、データ ポリシー ウィザードの コネクタ タブで、構築済みのコネクタと一緒に環境内のすべてのカスタム コネクタを表示することができます。 構築済みのコネクタと同様に、管理者はカスタム コネクタを ブロック済み/ビジネス/非ビジネス に分類できます。 明示的に分類されていないカスタム コネクタは、既定グループ (または、管理者が既定のグループ設定を明示的に選択していない場合は 非ビジネス) に配置されます。

環境レベルの DLP ポリシー

テナント レベル DLP ポリシー

テナント管理者には、カスタム コネクタ と呼ばれる データ ポリシー ウィザードに新しいタブが表示されます。これにより、カスタム コネクタの URL パターンの 許可 および 拒否 の順序指定済みリストを指定できるようになります。

* のルールは常にリストの最後のエントリになり、以前のいかなるルールに一致しないすべてのカスタム コネクタに適用されます。

管理者は、* パターンを ブロック済み/ビジネス/非ビジネス/無視 にタグ付けできます。 既定では、新しい DLP ポリシーのパターンは 無視 に設定されています。

無視 は、このテナント レベルのポリシーのすべてのコネクタの DLP 分類を無視し、パターンの評価を他の環境またはテナント レベルのポリシーに延期して、必要に応じて ビジネス/非ビジネス/ブロック済み グループに属性させます。 カスタム コネクタに特定のルールが存在しない場合は、“無視*” ルールにより、カスタム コネクタを ビジネス非ビジネス の両方のコネクタ グループで使用できるようになります。 アクションとしての 無視 は、カスタム コネクタ パターン ルールに追加された他の URL パターンではサポートされていません (リストの最後のエントリを除く)。

テナント レベル DLP ポリシー。

管理者は カスタム コネクタ タブで コネクタ パターンの追加 を使用すると、新しいルールをさらに追加できます。

コネクタ パターンの追加を使用して、新しい DLP ルールを追加します

これにより、管理者がカスタム コネクタ URL パターンを追加して分類できるサイド パネルが開きます。 新しいルールがパターン リストの最後に追加されます (* は常にリストの最後のエントリになるため、最後から 2 番目はさらに詳しく)。 ただし、管理者は新しいパターンの追加中に順序を更新することはできます。

カスタマー コネクタの URL パターンを追加するための新しいパターン ダイアログ。

管理者は、順序ドロップダウン リスト、上に移動 および 下に移動 ボタンを使用してパターンの順序を更新することもできます。

DLP パターンの順序を更新します。

パターンを追加した後、管理者は特定の行をクリックして 編集 または 削除 ボタンを使用することにより、パターンを編集または削除できます。

DLP パターンの編集。

カスタム コネクタ URL パターンの PowerShell サポート

ポリシーのカスタム コネクタ URL パターン ルールを含むオブジェクトの構造は次のとおりです。

$UrlPatterns = @{ 
  rules = @(
    @{  
      order # integer (starting at 1)
      customConnectorRuleClassification # supported values: General | Confidential | Blocked | Ignore
      pattern # string
    } 
  )
}

Note

次のコマンドレットでは、PolicyName は一意の GUID を指します。 DLP GUID を取得するには、Get-DlpPolicy のコマンドレットを実行します。

既存のポリシー用カスタム コネクタ URL パターン構成を取得する

Get-PowerAppPolicyUrlPatterns -TenantId -PolicyName

ポリシーのカスタム コネクタ URL パターンを作成する

New-PowerAppPolicyUrlPatterns -TenantId -PolicyName -NewUrlPatterns

ポリシーからカスタム コネクタ URL パターンを削除する

Remove-PowerAppPolicyUrlPatterns -TenantId -PolicyName

目標:

$UrlPatterns = @{
  rules = @(
    @{  
      order = 1
      customConnectorRuleClassification = “Confidential”
      pattern = “https://www.mycompany.com*”
    },
    @{  
      order = 2
      customConnectorRuleClassification = “General”
      pattern = “https://www.bing.com*”
    },
    @{  
      order = 3
      customConnectorRuleClassification = “Blocked”
      pattern = “*”
    }
  )
}
New-PowerAppPolicyUrlPatterns -TenantId $TenantId -PolicyName $PolicyId -NewUrlPatterns $UrlPatterns

既知の制限

  • カスタム コネクタの使用は、2020 年 10 月より前に最後に公開されたアプリでは DLP によって強制されません。
  • 環境管理者が環境レベルの DLP ポリシーを作成または更新する場合、所有者であるか、共有されているカスタム コネクタのみを表示できます。
  • カスタム コネクタが (PowerShell コマンドレットを使用して) テナント レベルのポリシーに名前で追加されている場合、カスタム コネクタの URL パターン ルールは、名前によるコネクタの既存の分類に置き換えられます。 Remove-DlpPolicy コマンドレットを使用して、これらのルールを有効にするためにポリシーからカスタム コネクタを削除します。 テナント レベルのポリシーでは、カスタム コネクタ ホストの URL パターンのみを使用することをお勧めします。 個々のカスタム コネクタのスコープは環境の境界に限定され、カスタム コネクタの名前はテナント レベルでは重要ではないため、テナント レベルのポリシーでカスタム コネクタを名前で管理しないでください。