もっと詳しく

Microsoft Power Platform では、プラットフォームで利用可能な 400 を超える外部データ ソースへのアクセスを制御するための強化されたコントロールを提供することに引き続き注力しています。包括的なデータ損失防止 (DLP) ポリシーのセットは、これらのデータ ソースを使用して、テナントレベルまたは環境レベルでアプリ、フロー、チャットボットを構築する方法に関するルールを定義し、適用するのに役立つように設計されています。

今日、新しいデータ損失防止ポリシーを発表しました:

  • コネクタ アクション コントロールを使用すると、管理者は各コネクタに対して特定のコネクタ アクションを簡単に許可/ブロックできます。たとえば、SQL Server コネクタをすべてブロックするのではなく、「行の削除 (V2)」アクションを単体でブロックできます。
  • エンドポイント フィルタリングを使用すると、管理者は許可/ブロックするエンドポイント パターンの順序付きリストを構成することで、接続エンドポイントを適切に保護できます。上記の SQL Server コネクタの例を使い、エンドポイント「 testserver.contoso.com 」への接続のみを許可し、その他のすべてをブロックするようにポリシー を構成できます。
  • カスタム コネクタ パリティを使用すると、テナント管理者はカスタム コネクタの URL パターンに DLP 分類を適用でき、環境管理者は環境内のカスタム コネクタに DLP を適用できます。たとえば、管理者は https://*.contoso .com URL の新しいパターンを作成し、それをコネクタに関連付けて、カスタム コネクタの追加のルールを作成できます。

コネクタ アクション コントロール

Power Platform では、DLP ポリシーを使用してさまざまなデータ ソースへのアクセスを管理し、ビジネス、非ビジネス、ブロックなどの既知のバケットにデータ コネクタを分類することを既に許可しています。これは、特定のコネクタをアプリまたはフロー内で使用できるかどうか、そしてこれらのリソース内でどのコネクタを一緒に使用できるかを定義します。組織がより複雑で多様な活用シーンで解決するために Power Platform をさらに採用するにつれて、管理者はコネクタの分類だけではなく、DLPポリシーをさらに構成する方法が必要であることが明らかになりました。その結果、今回の新しい機能の開発につながりました。

接続アクション コントロールは、コネクタ内で許可またはブロックされる特定のアクションをきめ細かく制御できるように設計されています。これにより、上記の負荷の高い設定のいくつかを再検討し、特定のアクションを細かく制御して、読み取りのみ有効にし、書き込みのみブロックさせることが可能になりました。

具体的な例として、組織は Twitter のような SNS のコネクタを情報漏洩のリスクと考え、ブロックに設定します。今回リリースされたコネクタ アクション コントロールを使用すると、リスクの高い書き込み操作を無効にしつつ、読み取りアクションを許可できるため、データ流出の脅威を伴わないユース ケースに対してコネクタを安全に有効にすることができます。

エンドポイント フィルタリング

エンドポイント フィルターを利用して、コネクタが対話できる特定のエンドポイントを構成します。このリリースでは、HTTP、SQL、データバース、SMTP、Azure BLOB ストレージなどの一般的に使用されるコネクタのエンドポイント フィルターのサポートを有効にしました。エンドポイント パターンの順序付きリストを設定して、許可/拒否、および ワイルドカード(*)への対応によるパターン マッチングも利用できます。

コネクタ アクション コントロール 機能と同様に、エンドポイント フィルタリングを使用すると、コネクタの使用をオンまたはオフにするだけでなく、制限を設けてオンにできるため、利用可能なデータ ソースをより安全な方法で使用できます。

たとえば、エンドポイント フィルターを使用して、特定の SQL Server インスタンスの使用を制御できます。さまざまなサーバーに格納されているデータの機密性に応じて、一部の SQL Server エンドポイントへのアクセスを許可し、他のエンドポイントへのアクセスを拒否できます。

カスタム コネクタ パリティ

このリリースには、新しい環境とテナント レベルのポリシーのサポート、カスタム コネクタのユーザー エクスペリエンスの強化も含まれています。

環境管理者は、既存の PowerShell コマンドに加えて、Power Platform 管理センターで直感的なエクスペリエンスを使用して、環境レベルの DLP ポリシーの名前で個々のカスタム コネクタを分類できるようになりました。すべてのカスタム コネクタは、データ ポリシー ウィザードの 「コネクタ」タブに、あらかじめ作成されたコネクタと一緒に表示されます。

テナント管理者は、Power Platform 管理センターまたは PowerShell のいずれかを利用して、テナント レベルの DLP ポリシーに対するワイルドカード(*)サポートを持つパターンマッチングを使用して、ホスト URL エンドポイントによってカスタム コネクタを分類することができます。データ ポリシー ウィザードに 「カスタム コネクタ」という新しいタブが追加され、カスタム コネクタの許可および拒否の URL パターンの順序付きリストを指定できます。

上記のカスタム コネクタ エクスペリエンスを強化する機能に加えて、環境レベルの DLP ポリシーの名前で個々のカスタム コネクタを分類する管理者のサポートも導入しました。 これにより、カスタムコネクタの数や名前付け方法に関係なく、同じポリシーをサービスに適用できます。

実際に使ってみましょう

この新しい DLP 機能セットは、管理者が Azure Active Directory 認証のデータ ソースと Power Platform との間でのテナント データの移動を効果的に管理し、データ流出リスクを効果的に保護するのに役立つと確信しています。これらの新しい機能を使い始めましょう!

詳細は以下のリンクをご覧ください:

データ損失防止ポリシー(DLP)とPower Platform ガバナンス機能の強化吉田の備忘録で公開された投稿です。