DLPポリシーが複数適用された環境でのコネクタ使用の考え方がちょっとややこしかったので、メモ。
事前準備
環境「DLPSample」を作成し、(普通こんな変なDLPポリシーは設定しないと思うけど)こんな感じでDLPポリシーを2つ作成する。
で、これら2つのDLPポリシーが適用される環境「DLPSample」でPower AppsとかPower Automateを使うことを考えてみる。
ビジネスと非ビジネスが混在するとややこしい
公式によると事前準備のようなDLPポリシーが設定されている場合、環境「DLPSample」で使用するコネクタはこんな感じでグループ化されると考えるらしい。
- グループ1:「DLPポリシー1 → ビジネス」 かつ 「DLPポリシー2 → ビジネス」
- グループ2:「DLPポリシー1 → ビジネス」 かつ 「DLPポリシー2 → 非ビジネス」
- グループ3:「DLPポリシー1 → 非ビジネス」 かつ 「DLPポリシー2 → ビジネス」
- グループ4:「DLPポリシー1 → 非ビジネス」 かつ 「DLPポリシー2 → 非ビジネス」
図にするとこんな感じ。
- グループ1:SPO、O365Users
- グループ2:Notifications、Outlook
- グループ3:Teams、Excel
- グループ4:MSNWeather、Twitter
で、この2つのDLPポリシーが設定された環境「DLPSSample」では、これらのグループをまたいだコネクタの使用はできない。
実際に使ってみた
実際に環境「DLPSSample」でキャンバスアプリを作成し、これらのコネクタを使ってみる。
同じグループ内のコネクタのみ使用
例えば両方のDLPポリシーで「ビジネス」に設定されているコネクタ(グループ1)を両方同じアプリに入れてみると、当然何の警告もなく使用できるし、
DLPポリシー1ではビジネス、DLPポリシー2では非ビジネスとなっているコネクタ(グループ2)を両方同じアプリに入れてみても、何の警告もなく使用できる。
ということで、同じグループ内であれば問題なく使用できそう。
別グループ間のコネクタを使用
問題はここからで、例えば環境「DLPSample」に対するDLPポリシー(DLPポリシー2)では同じビジネスに設定されているSPOとTeamsを一緒に使おうとすると、
こんな感じで警告が出て一緒に使えないし、
逆にテナントに対するDLPポリシー(DLPポリシー1)で同じビジネスに設定されているSPOとNotificationsを一緒に使おうとしても、
同様に警告が出て一緒に使えない。
ということで、ある環境に複数のDLPポリシーが適用されている場合、いずれかのDLPポリシーで別々のグループに設定されたコネクタは同じアプリでは使用することができないことがわかる。
アプリを作るときは事前にテナントレベルのDLPポリシーを確認した方がよいかも
今回はある環境に対してのDLPポリシーが設定されていたとしても、その設定によってテナントレベルのDLPポリシーが無視されることはない、という当たり前のことに気づけた。
特に顧客の環境でアプリを作成する際、まずはテナントレベルのDLPポリシーがどのように設定されているかを確認した方がよいかもしれない。
特にテナントレベルのDLPポリシーは変更してもらえるとしても申請-承認ルートがとても長いことが多いため、早めの確認がおすすめ。。。
コメント