デスクトップフローには魅力的なアクションが提供されていますが、管理者の目線からすると PowerShell スクリプトをブロックしたいなど、Power Automate デスクトップは利用させたいが、一部のアクションを制限したいニーズが有るかと思います。
今回は一部のアクションのみをDLP (データ損失防止) ポリシーにて制限する方法をご紹介します。
目次
前提条件
マネージド環境が必要です。
Power Platform 管理センターでの適切な権限が必要です。
ブロック可能なポリシー
以下のようなデスクトップフローアクションをブロックすることが出来ます。
作業の流れ
以下のような手順で行うことが出来ます。
リスクの検討とその計画を行います。重要な概念を抑えておきましょう。
マネージド環境が有効になっている環境にてアクション単位での設定を行うことが出来ます。
デスクトップフローのコネクタをDLPポリシーでブロックすることが出来ます。これを用いて、特定の環境以外でデスクトップフローの実行をブロックすることが出来ます。
デスクトップフローを利用する環境でのアクション単位でのDLPポリシーを設定します。
実際の作業イメージ
環境をマネージド環境に設定する
デスクトップフローを実行する環境をマネージド環境に設定します。設定方法は以下の記事で紹介しています。
デスクトップフローの実行をブロックする
このコネクターのブロックにはマネージド環境は必要ありません。したがって、アクションごとのDLPを行う特定の環境のみをマネージド環境にすることで詳細の設定を行うことが出来ます。まとめると以下のとおりです。
| 環境 | マネージド環境 | 設定するDLPポリシー |
|---|---|---|
| デスクトップフローを実行する環境 | 必要 | デスクトップフローは許可し、不要なアクションをブロックする |
| 実行しないその他の環境 | 任意 | デスクトップフローのブロックを行う |
デスクトップフローのDLPポリシーを設定する環境以外ではデスクトップフローの実行をブロックすることができます。以下のネクタを利用することが出来ます。
ビジネスまたはブロックを選択することが出来ます。
ブロックするコネクターと環境を決定する
データ損失防止ポリシーは、Power Platform を管理するうえで最も重要な項目の一つです。組織として以下のようなポイントは抑えておきましょう。
- データ分類の明確化:
- 機密データ、重要データ、一般データなど、データの分類を明確にします。
- 各分類に対する保護レベルを設定します。
- アクセス制御の設定:
- 誰がどのデータにアクセスできるかを定義します。
- 必要に応じて、役割ベースのアクセス制御(RBAC)を導入します。
- データ転送の制限:
- 機密データの外部転送を制限します。
- 特定のアプリケーションやデバイスへのデータ転送を制御します。
- 監視とログ記録:
- データアクセスや転送の監視を行い、不正な活動を検出します。
- ログを記録し、定期的にレビューします。
- ポリシーの定期的な見直し:
- DLPポリシーを定期的に見直し、最新のセキュリティ要件に適合させます。
- 新しい脅威や技術の進化に対応するために、ポリシーを更新します。
- ユーザー教育とトレーニング:
- ユーザーに対してDLPポリシーの重要性を教育します。
- ポリシーに従ったデータの取り扱い方法をトレーニングします。
DLPポリシーを作成する
Power Platform 管理センターのデータとプライバシー > データ ポリシー から設定します。
データ保護とプライバシー – Power Platform | Microsoft Learn
ポリシー名を決定し、事前構築済みコネクタの一覧にて、クラスでフィルターしてデスクトップフローのアクションのみを表示します。
このようにデスクトップフローで制限できるアクションの一覧のみに絞り込むことが出来ました。
ブロックしたいアクションを選択し、画面上のブロックボタンをクリックします。
ビジネスに移動することも出来ます。
今回はスクリプトをブロックしてみます。
ブロックすることが出来ました。
これで残りのプロセスにて、制限したい環境を指定して完了します。
以上で完了です。
ご参考になれば幸いです。
