Power Platform管理 DLP（データ損失防止）ポリシーで色々遊んでみた

今回Power Platformの管理について考える機会があったので、その際に調べたDLPポリシーについてまとめてみた。

DLPポリシーとは

DLP（Data Loss Prevention）ポリシーとはコネクタを使用した情報漏洩を防ぐための機能のこと。

Power AutomateやPower AppsとかのPower Platform系のサービスは、コネクタを使用して他のサービスとかとデータ連携を行うんだけど使い方をミスると情報が外部に漏れてしまう。

※例えば、SPOリストに保存していた社内の情報をTwitterとかFacebookコネクタとかでSNSに投稿しちゃう、みたいな

そこで、ユーザーが不要なコネクタを使えないようにしたり、間違って社内情報とSNSとかを連携しないようにするための機能がDLPポリシー！

公式はこちら：
https://docs.microsoft.com/ja-jp/power-platform/admin/wp-data-loss-prevention

考え方

一番わかりやすいのは「ブロック」で、ブロックに設定されたコネクタは、そのDLPポリシーが適用されているテナントや環境では使用することができなくなる。

「ビジネス」と「非ビジネス」はどちらもブロックされずに使うことはできるんだけど、この2つのグループ間でデータ連携を行えなくする、とかいった設定のしかた。

例えばビジネスコネクタにSPOコネクタ、非ビジネスコネクタにTwitterを設定すると、この2つをどちらも使ったフローは作れない、みたいな。

適用範囲

DLPポリシーの適用範囲をテナントにするとそのDLPポリシーは組織全体へ、DLPポリシーの適用範囲を環境にするとそのDLPポリシーは指定した環境へ適用される。

この辺からだんだんややこしくなってくるｗ

※テナントレベルのDLPポリシーはテナント管理者（グローバル管理者やPower Platform管理者）が、環境レベルのDLPポリシーはその環境のシステム管理者が設定することが可能

DLPポリシーが複数設定されたとき

ある環境に対して複数のDLPポリシーが設定されたとき、そのときはより厳しいルールが適用される。

色々話したけどやってみた方が早そうなので、実際に設定してみるｗ

事前準備

まずはDLPポリシーを適用するための環境を作成。

今回は試用版環境を作成して、

そしたら今回Twitterコネクタで色々試すつもりなので、その環境の中でTwitterコネクタを使用したフローを1個作成。

特にDLPポリシーは設定していないので、実行すると当然成功する。

コネクタをブロックにしてみる

そしたらまずはTwitterコネクタをブロックにしてみる。

環境用のポリシーを1個作って、さっき作った環境に対して適用。

そのポリシーでTwitterコネクタをブロックに設定。

既にコネクタを使用しているフロー

事前準備で作成したTwitterコネクタを使用しているフローを見てみると、使えなくなっている！

オンにしようとするとこんなメッセージが出るので、どうやらちゃんとブロックされてるっぽい！

新しいフローで使おうとする

ブロック状態で新しいフローを作ってみて、

Twitterコネクタは使えませんよ！とエラーが出て、保存はできるけどオン（アクティブ）にはならないらしい。

ビジネス⇔非ビジネスでやり取りを試みる

続いて「ビジネス」と「非ビジネス」間のやり取りが制限されているか確認。

Twitterを非ビジネスコネクタへと変更し、今度はSPOコネクタをビジネスへ持っていく。

そしてさっきの作成したフローをオンにしてみると、ブロックが外れているため問題なく使えるようになる。

この状態で非ビジネスコネクタ（Twitter）に、ビジネスコネクタ（SPO）を追加してみて、

保存を押してみると、きちんと叱ってくれる。

ビジネス⇔非ビジネス間のやり取りもきっちりとブロックしてくれている！

Power Appsだと

TwitterのDLPポリシーをもう一回「ブロック」に戻して、Power Appsアプリを作成。

そして「データの追加」から、Twitterコネクタを追加しようとしてみると、

ちゃんとブロックしてくれる。

Power AppsでもDLPポリシーはきちんと動作するみたい。

テナント内のユーザーに不要なコネクタを使用させないよう、最低限のDLPポリシーは設定した方がよいかもしれない。