デスクトップフローのDLPポリシーを設定する

デスクトップフローには魅力的なアクションが提供されていますが、管理者の目線からすると PowerShell スクリプトをブロックしたいなど、Power Automate デスクトップは利用させたいが、一部のアクションを制限したいニーズが有るかと思います。

アクションの制御

デスクトップフローの使用は許可したいが、一部のアクションはブロックしたい – 例えばスクリプトのメニューはこの位置にありますが、この機能を生検したいときなどに有効です。

今回は一部のアクションのみをDLP (データ損失防止) ポリシーにて制限する方法をご紹介します。

前提条件

マネージド環境が必要です。

2024年9月25日 マネージド環境

Power Platform 管理センターでの適切な権限が必要です。

ブロック可能なポリシー

以下のようなデスクトップフローアクションをブロックすることが出来ます。項目が多いので以下のクリックしていただくと開いて項目を確認することが出来ます。

環境の構成案

例えば、以下のようにデスクトップフローの作成を許可する環境するがアクションごとに制御する環境と、その他ブロックする環境を作成する場合以下のように設定することで実現できます。

今回はこのシナリオでの設定方法をご紹介します。

作業の流れ

以下のような手順で行うことが出来ます。

実際の作業イメージ

環境をマネージド環境に設定する

デスクトップフローを実行する環境をマネージド環境に設定します。設定方法は以下の記事で紹介しています。

2024年9月25日 マネージド環境

デスクトップフローの実行をブロックする

このコネクターのブロックにはマネージド環境は必要ありません。したがって、アクションごとのDLPを行う特定の環境のみをマネージド環境にすることで詳細の設定を行うことが出来ます。まとめると以下のとおりです。

デスクトップフローのDLPポリシーを設定する環境以外ではデスクトップフローの実行をブロックすることができます。以下のネクタを利用することが出来ます。

ビジネスまたはブロックを選択することが出来ます。

ブロックするコネクターと環境を決定する

データ損失防止ポリシーは、Power Platform を管理するうえで最も重要な項目の一つです。組織として以下のようなポイントは抑えておきましょう。

1. データ分類の明確化:
   • 機密データ、重要データ、一般データなど、データの分類を明確にします。
   • 各分類に対する保護レベルを設定します。
2. アクセス制御の設定:
   • 誰がどのデータにアクセスできるかを定義します。
   • 必要に応じて、役割ベースのアクセス制御（RBAC）を導入します。
3. データ転送の制限:
   • 機密データの外部転送を制限します。
   • 特定のアプリケーションやデバイスへのデータ転送を制御します。
4. 監視とログ記録:
   • データアクセスや転送の監視を行い、不正な活動を検出します。
   • ログを記録し、定期的にレビューします。
5. ポリシーの定期的な見直し:
   • DLPポリシーを定期的に見直し、最新のセキュリティ要件に適合させます。
   • 新しい脅威や技術の進化に対応するために、ポリシーを更新します。
6. ユーザー教育とトレーニング:
   • ユーザーに対してDLPポリシーの重要性を教育します。
   • ポリシーに従ったデータの取り扱い方法をトレーニングします。

DLPポリシーを作成する

Power Platform 管理センターのデータとプライバシー > データ ポリシー から設定します。

データ保護とプライバシー – Power Platform | Microsoft Learn

ポリシー名を決定し、事前構築済みコネクタの一覧にて、クラスでフィルターしてデスクトップフローのアクションのみを表示します。

このようにデスクトップフローで制限できるアクションの一覧のみに絞り込むことが出来ました。

ブロックしたいアクションを選択し、画面上のブロックボタンをクリックします。

ビジネスに移動することも出来ます。

今回はスクリプトをブロックしてみます。

ブロックすることが出来ました。

これで残りのプロセスにて、制限したい環境を指定して完了します。

以上で完了です。

ご参考になれば幸いです。