デスクトップフローには魅力的なアクションが提供されていますが、管理者の目線からすると PowerShell スクリプトをブロックしたいなど、Power Automate デスクトップは利用させたいが、一部のアクションを制限したいニーズが有るかと思います。
デスクトップフローの使用は許可したいが、一部のアクションはブロックしたい – 例えばスクリプトのメニューはこの位置にありますが、この機能だけブロックしたいときなどに有効です。
今回はそういった、一部のアクションのみをDLP (データ損失防止) ポリシーにて制限する方法をご紹介します。
目次
前提条件
アクションごとの制御には、マネージド環境が必要です。
Power Platform 管理センターでの適切な権限が必要です。
ブロック可能なポリシー
以下のようなデスクトップフローアクションをブロックすることが出来ます。項目が多いので以下のクリックしていただくと開いて項目を確認することが出来ます。
環境の構成案
例えば、以下のようにデスクトップフローの作成を許可する環境するがアクションごとに制御する環境と、その他ブロックする環境を作成する場合以下のように設定することで実現できます。
今回はこのシナリオでの設定方法をご紹介します。
作業の流れ
以下のような手順で行うことが出来ます。
リスクの検討とその計画を行います。重要な概念を抑えておきましょう。
マネージド環境が有効になっている環境にてアクション単位での設定を行うことが出来ます。
デスクトップフローのコネクタをDLPポリシーでブロックすることが出来ます。これを用いて、特定の環境以外でクラウドフローからのデスクトップフローの実行をブロックすることが出来ます。必要に応じて、組織の選択オプションを無効にします。
デスクトップフローを利用する環境でのアクション単位でのDLPポリシーを設定します。
実際の作業イメージ
環境をマネージド環境に設定する
デスクトップフローを実行する環境をマネージド環境に設定します。設定方法は以下の記事で紹介しています。
デスクトップフローの実行をブロックする
このコネクターのブロックにはマネージド環境は必要ありません。したがって、アクションごとのDLPを行う特定の環境のみをマネージド環境にすることで詳細の設定を行うことが出来ます。まとめると以下のとおりです。
| 環境 | マネージド環境 | 設定するDLPポリシー |
|---|---|---|
| デスクトップフローを実行する環境 | 必要 | デスクトップフローは許可し、不要なアクションをブロックする |
| 実行しないその他の環境 | 任意 | クラウドフローからのデスクトップフローのブロックを行う さらに、必要に応じて組織の選択オプションを無効にする |
デスクトップフローのDLPポリシーを設定する環境以外では、クラウドフローから呼ぶデスクトップフローの実行をブロックすることができます。以下のネクタを利用することが出来ます。
ビジネスまたはブロックを選択することが出来ます。
レジストリキー
続けて、必要に応じて、組織の選択オプションを無効にします。
次のレジストリ エントリを使用して、ユーザーがデスクトップ用 Power Automate で特定の組織を選択できないようにすることができます。
| ハイブ | キー | 件名 | タイプ |
|---|---|---|---|
| HKEY_LOCAL_MACHINE | SOFTWARE\Microsoft\Power Automate Desktop | EnableOrganizationPicker | 文字列 |
- “isEnabled”:1: ログインしているユーザーは、デスクトップコンソール用 Power Automate の 組織の切り替え オプションを使用して、好みの組織を選択できます。
- “isEnabled”:0: ログインしているユーザーは、自分たちの好みの組織を選択することはできず、組織の切り替え オプションは無効化されます。
- “organizationList”:[OrgID(s)] (例えば、
organizationList:["10z677m8-l4v6-9cm5-c6n6-r1747rp5338k","86d487j7-y1t2-9gk7-k7n2-x5079jq4619r"]): 指定された ID がリストされている組織は、ログイン中に接続できるようになります。 - “selectOrganizationFromListIsEnabled”:1: デスクトップ用 Power Automate は、サインイン中に、組織の順番に基づいて “organizationList 値で指定された各組織に接続を試みます。
- “selectOrganizationFromListIsEnabled”:0: organizationList 値で指定されたリストは、ログイン時に考慮されません。
“isEnabled” 値は、organizationList 値および selectOrganizationFromListIsEnabled 値とは関係ありません。 isEnabled の値は、サインインしたユーザーが Switch organization オプションを使用できるかどうかを定義しますが、organizationList および selectOrganizationFromListIsEnabledの値は、デスクトップ用 Power Automate がサインイン手続き中に自動的に接続を試みる組織を定義します。
ブロックするコネクターと環境を決定する
データ損失防止ポリシーは、Power Platform を管理するうえで最も重要な項目の一つです。組織として以下のようなポイントは抑えておきましょう。
- データ分類の明確化:
- 機密データ、重要データ、一般データなど、データの分類を明確にします。
- 各分類に対する保護レベルを設定します。
- アクセス制御の設定:
- 誰がどのデータにアクセスできるかを定義します。
- 必要に応じて、役割ベースのアクセス制御(RBAC)を導入します。
- データ転送の制限:
- 機密データの外部転送を制限します。
- 特定のアプリケーションやデバイスへのデータ転送を制御します。
- 監視とログ記録:
- データアクセスや転送の監視を行い、不正な活動を検出します。
- ログを記録し、定期的にレビューします。
- ポリシーの定期的な見直し:
- DLPポリシーを定期的に見直し、最新のセキュリティ要件に適合させます。
- 新しい脅威や技術の進化に対応するために、ポリシーを更新します。
- ユーザー教育とトレーニング:
- ユーザーに対してDLPポリシーの重要性を教育します。
- ポリシーに従ったデータの取り扱い方法をトレーニングします。
DLPポリシーを作成する
Power Platform 管理センターのデータとプライバシー > データ ポリシー から設定します。
データ保護とプライバシー – Power Platform | Microsoft Learn
ポリシー名を決定し、事前構築済みコネクタの一覧にて、クラスでフィルターしてデスクトップフローのアクションのみを表示します。
このようにデスクトップフローで制限できるアクションの一覧のみに絞り込むことが出来ました。
ブロックしたいアクションを選択し、画面上のブロックボタンをクリックします。
ビジネスに移動することも出来ます。
今回はスクリプトをブロックしてみます。
ブロックすることが出来ました。
これで残りのプロセスにて、制限したい環境を指定して完了します。
以上で完了です。
ご参考になれば幸いです。
