DLPの素朴な疑問を勝手に妄想して勝手に答えてみた
2.2K Views
October 26, 24
スライド概要
2024/10/26
Power Platform Administrator 勉強会 #02でお話しした内容です。
イベント概要
https://jppac.connpass.com/event/329830/
組み込みソフトウェアプログラマ → 情シス → ITコンサルタント → 技術営業 → ITコンサルタントを経て、現在はPower PlatformのアーキテクトとしてPower Platformのガバナンス策定、開発、技術支援、教育等の職務に従事。 書籍「Microsoft Power Apps入門 手を動かしてわかるローコード開発の考え方」共著者。 https://www.shoeisha.co.jp/book/detail/9784798173955
関連スライド
各ページのテキスト
DLPの素朴な疑問を 勝手に妄想して勝手に答えてみた 2024/10/26 Power Platform Administrator 勉強会 #02 じゅんじゅん
DLP
Data Loss Prevention
Data Loss Prevention データ 損失 防止 IT系の一般用語です 機密情報や重要データを自動的に特定し、データを常に監視・保護する機能 引用:NRI Secure https://www.nri-secure.co.jp/glossary/dlp
Power PlatformのDLP
Power PlatformのDLPとは コネクタの利用可否をポリシーとして設定し データの損失を防止する機能
Power PlatformのDLPの 機能理解度はどの程度でしょうか?
「完全に理解した」 https://www.cinematoday.jp/news/N0108316
https://x.com/kaitendaentai/status/1052689241744896001
今日の目的 Power PlatformのDLP(以後、DLP)を 「チョットワカル」にする
スピーカー:自己紹介 じゅんじゅん と申します。 お仕事 Power Platform 運用管理方針策定支援 Power Platform システム開発(Apps、Automate、Pages、Dataverse) Power Platform 内製開発支援・トレーニング SNSなど X (Twitter):@KodamaJn Blog:jn.hateblo.jp 著書:Microsoft Power Apps入門 手を動かしてわかるローコード開発の考え方 |翔泳社
コネクタ
Power コネクタPlatformの構造 アプリやフローは、コネクタを介して Dataverse や SharePoint、Outlook、 X、Gmailなどの利用可能なサービスと容易に連携できます。 Power Platform アプリケーション コネクタ (「接続」で認証情報を保持) 各サービス
コネクタを制御するDLP
DLPとは データ損失保護(DLP)ポリシー 様々なサービスと連携するために使用するコネクタの利用範囲を制御 するポリシーを管理者が設定できます。 コネクタをグループ化 ビジネス 非ビジネス 同じグループのコネクタのみ接続可能 ブロック ブロック 同じグループ同士は利用可能 異なるグループ 同士は利用不可 ・ ・ ・ ビジネスデータの外 部流出を防止 不要な外部サービ スの利用を禁止 同じグループ同士は利用可能 参考:データ損失の防止に役立つポリシーを設定する - Power Platform | Microsoft Docs https://learn.microsoft.com/ja-jp/power-automate/prevent-data-loss
DLPの設定範囲 DLPポリシーのスコープ テナントや環境に対して設定することで、組織内で柔軟なポ リシーを設定可能です。
なるほど分かった!
…ような、分からないような…
知れば知るほど分からなくなったりしませんか? よくよく考えると 色々な疑問が…
今日は、代表的な12の疑問※1にお答えします!※2 ※1 自分で考えた/経験した疑問を勝手に”代表的”と誇張表現しています ※2 自己の調査や実験結果に基づくものもあり、内容に間違いがある可能性があります
①ポリシーでブロックされているコネクタを使用 しようとするとどうなるの?
アプリやフローにコネクタを追加できない
②DLPポリシーを追加変更した際に、ブロック したコネクタを既に使用しているアプリやフロー はどうなるの?
実行できなくなる (DLP制御が後手に回ると面倒なのはこのため)
③コネクタをひとつも使わせたくないんだけど、 コネクタはすべてブロックできるんだよね?
DLPポリシー 補足 コネクタの一部は「ブロック」に設定できない 2024/09/25現在、1305個あるコネクタのうちMicrosoft系の24コネクタはブロックできない
④Xのポストを収集はしたいけどポストはさせたく ない。そんなことできる?
DLPポリシーの詳細設定 コネクタ内のアクションを個別に制御可能 ※ブロック不可のコネクタは本機能は適用外
⑤DLP設定後に新しいコネクタが増えたらどう なるの?
DLPポリシー 補足 新規で追加されるコネクタの分類先はポリシー毎に設定できる (デフォルトでは非ビジネスに分類される)
⑥DLP設定後に新しいアクションが増えたらどう なるの?
DLPポリシー 補足 新規で追加されるアクションの分類先は DLP毎 & アクション毎に設定できる (デフォルトでは許可に分類される)
⑦環境に複数のDLPを設定したらどうなるの?
より厳しいポリシーが適用される ① いずれかでブロックに分類されればブロック ② いずれかで別分類にされれば別分類 ← これが複雑 https://learn.microsoft.com/ja-jp/power-platform/admin/dlp-combined-effect-multiple-policies
より厳しいポリシーが適用される ① いずれかでブロックに分類されればブロック ② いずれかで別分類にされれば別分類 ← これが複雑 https://learn.microsoft.com/ja-jp/power-platform/admin/dlp-combined-effect-multiple-policies
より厳しいポリシーが適用される ① いずれかでブロックに分類されればブロック ② いずれかで別分類にされれば別分類 ← これが複雑 https://learn.microsoft.com/ja-jp/power-platform/admin/dlp-combined-effect-multiple-policies
より厳しいポリシーが適用される ① いずれかでブロックに分類されればブロック ② いずれかで別分類にされれば別分類 ← これが複雑 各グループに優劣はなく、同じ グループかどうかが重要なだけ https://learn.microsoft.com/ja-jp/power-platform/admin/dlp-combined-effect-multiple-policies
⑧PADにもDLPってあるの?
DLPポリシー 補足 PADのアクショングループやアクション単位でDLPを設定 できる(要 マネージド環境) https://learn.microsoft.com/ja-jp/power-automate/prevent-data-loss
⑨特定のSQLサーバにだけアクセスさせたい時 はどうするの?
DLPポリシー 補足 SQLサーバやBlobなどのコネクタはエンドポイントの設定が 可能(プレビュー中) https://learn.microsoft.com/ja-jp/power-platform/admin/connector-endpoint-filtering
⑩自作したカスタムコネクタはどう制御するの?
DLPポリシーの詳細設定 接続先のURLパターンに応じて制御が可能
⑪環境のシステム管理者は他の環境のDLPも 変更できちゃうんじゃないの?
DLPポリシーの詳細設定 それはできない • • • テナントのPower Platform管理者が作成したポリシーは「組織(テナン ト)」スコープ、環境管理者が作成したポリシーは「環境」スコープとなる 環境管理者は組織(テナント)スコープのポリシーを変更削除できない 環境管理者は環境毎にポリシーを作れるのみ
⑫環境の種類(開発者環境とか)毎にポリシーを 一括自動適用できないの?
DLPポリシーの詳細設定 現時点ではできない (都度環境を選択してポリシーに含める/除外するのみ)
いかがでしたでしょうか? DLPの主要なポイントは大体網羅できた(はず
いかがでしたでしょうか? DLPの主要なポイントは大体網羅できた(はず ドヤ! ワイ DLP チョットワカル
様々な機能を楽しく学び、 楽しいPower Platform Lifeを!
ご清聴ありがとうございました。