セキュアな展開
Power Platform の展開管理での重要な要素の 1つは、セキュリティの考慮です。 セキュリティについては、すべてのユーザーが必要なデータにのみアクセス可能にすることが重要ですが、さらに、アクセスしてはならないユーザーやアプリケーションがビジネス データにアクセスできなくすることも重要です。
DLP 戦略の確立
Power Platform ソリューションをデプロイするときに最初に考慮すべきことの 1 つは、データ損失防止 (DLP) ポリシーの確立です。 DLP ポリシーは、ユーザーが誤って組織データを漏洩しないための防御柵の役割を果たし、テナント内の情報セキュリティを保護することを目的としています。 DLP ポリシーは、各環境でコネクタが有効になっているかどうか、どのコネクタを一緒に使用できるかを制御します。 コネクタは、「ビジネス データのみ」、「ビジネス データを許可しない」、または「ブロック」のいずれかに分類されます。 「ビジネス データのみ」のグループに分類されるコネクタは、ビジネス データ グループの他のコネクタと共にアプリまたはフローでのみ使用できます。 たとえば、Microsoft Dataverse コネクタとサードパーティのコネクタを使用するアプリケーションを作成するとします。 Microsoft Dataverse コネクタをビジネス データ コネクタとして分類した場合、それがビジネス データ コネクタとして分類された場合のみ、サードパーティのコネクタを同じアプリで使用できます。
DLP ポリシーの確立は、環境の戦略と密接に関連しています。
コネクタ分類
ビジネスと非ビジネスの分類により、コネクタの周囲に境界が作成され、特定のアプリまたはフローで一緒に使用できるコネクタが定義されます。 DLP ポリシーを使用すると、コネクタを次のグループに分類できます。
ビジネス Power App または Power Automate フローは、ビジネス グループの 1 つ以上のコネクタを使用できます。 Power App または Power Automate フローがビジネス コネクタを使用している場合、非ビジネス コネクタを使用することはできません。
非ビジネス Power App または Power Automate フローは、ビジネス グループの 1 つ以上の非コネクタを使用できます。 Power App または Power Automate フローが非ビジネス コネクタを使用している場合、ビジネス コネクタを使用することはできません。
ブロック Power App または Power Automate フローは、ブロック コネクタを使用できません。 Microsoft が所有するすべてのプレミアム コネクタとサードパーティ コネクタ (標準およびプレミアム) をブロックすることができます。 しかし、Microsoft が所有する標準コネクタと Common Data Service コネクタをブロックすることはできません。
DLP ポリシーを作成するための戦略
前述のように、Power Apps や Power Automate の環境を引き継ぐ管理者や、その利用のサポートを始める管理者は、まず DLP ポリシーを設定する必要があります。 これにより、基本ポリシー セットが確実に設定されます。 その後、例外の処理と、承認された例外を実装する対象を絞った DLP ポリシーの作成に集中できます。
共有ユーザーとチームの生産性の環境の DLP ポリシーについては、次のような点から始めることができます。
選択した環境 (たとえば、運用環境) を除くすべての環境にまたがる DLP を作成します。 この DLP により、使用可能なコネクタを Office 365 およびその他の標準マイクロサービスに制限し、他のすべてのコネクタへのアクセスをブロックします。 この DLP を既定のトレーニング環境と、作成される新しい環境に適用します。
共有ユーザーおよびチームの生産性環境向けに、組織に適した、より許容度の高い DLP ポリシーを作成します。 これらの DLP では、Office 365 サービス以外にも、Azure サービスなどのコネクタを使用可能にすることができます。 これらの環境で使用できるコネクタは、組織によって、またビジネス データが格納される場所によって異なります。
運用環境 (事業部やプロジェクト) の DLP ポリシーについては、次のような点から始めることができます。
これらの環境を、共有ユーザーとチームの生産性の DLP ポリシーから除外します。
事業部と連携して、使用するコネクタやその組み合わせを確立し、対象とする環境のみのためのテナント ポリシーを作成します。
環境管理者は、必要に応じて、環境 DLP ポリシーを使用して、カスタム コネクタをビジネスデータのみとして分類できます。
さらに、次の方法も推奨します。
環境ごとに最小限の数の DLP ポリシーを作成します。 テナント ポリシーと環境ポリシーの間に厳密な階層はありません。 設計時と実行時に、アプリまたはフローの環境のすべての DLP ポリシーが一緒に評価され、アプリまたはフローが DLP ポリシーに準拠しているかどうかが判断されます。 1 つの環境に複数の DLP ポリシーを適用すると、コネクタの状況が複雑化します。そのため環境作成者が直面する問題の解明が困難になる場合があります。
可能な限り、テナント レベルの DLP ポリシーを使用して集中管理を行い、環境ポリシーはカスタム コネクタを分類するため、または例外ごとにのみ使用します。
これを踏まえて、例外をどのように処理するかを決定します。 次の操作ができます。
要求を拒否します。
コネクタを既定の DLP ポリシーに追加します。
環境を既定のグローバル DLP の「次以外のすべて」の一覧に追加し、例外が含まれたユース ケース固有の DLP ポリシーを作成します。
例: Contoso の DLP 戦略
企業の例である Contoso Corporation における、DLP ポリシーの設定例を確認します。 Contoso の DLP ポリシー設定は、環境戦略と密接に結びついています。 Contoso 管理者は、ユーザーとチームの生産性シナリオとビジネス アプリケーションをサポートし、Center of Excellence (CoE) アクティビティを管理したいと考えています。
Contoso の環境と DLP 戦略は、階層型アプローチを作成するため、次のように構成されています。
テナント全体にわたる制限的な DLP ポリシーを、除外した一部の環境を除く、テナント内のすべての環境に適用しました。 このポリシーは、既定の環境にも適用されます。 Contoso 管理者は、このポリシーで使用可能なコネクタを Office 365 およびその他の標準マイクロサービスに制限し、他のすべてのコネクタへのアクセスをブロックします。
Contoso 管理者は、ユーザーとチームの生産性ユース ケース向けにユーザーがアプリを作成できる共有環境を作成しました。 この環境には、既定のポリシーほど制限のないテナント レベルの DLP ポリシーが適用されています。環境作成者は Azure サービスなどのコネクタと Office 365 サービスを使用できます。 これは既定以外の環境であるため、管理者はその環境にアクセスできるユーザーを積極的に制御できます。
さらに、事業部が基幹業務アプリケーションを作成できるように、各国の税務監査関連会社用の、開発環境、テスト環境、運用環境を作成しました。 各環境への環境作成者のアクセスは慎重に管理され、事業部の関係者との連携に基き、テナントレベルの DLP ポリシーを使用して、適切なファーストパーティとサードパーティのコネクタを使用可能にしています。
同様に、全社 IT 部門がアプリケーションを開発および展開するための開発/テスト/運用の環境が作成されます。 これらのビジネス アプリケーション シナリオでは通常、明確に定義された一連のコネクタを、これらの環境の作成者、テスター、ユーザーが利用できるようにしています。 これらのコネクタへのアクセスは、専用のテナント レベルのポリシーを使用して管理されます。
同社には、CoE 活動専用の特別な環境もあります。 この環境の DLP ポリシーは、理論チームの作業の実験的な性質上、引き続き厳密な管理が求められます。 テナント管理者は、この環境の DLP 管理を CoE チームの信頼できる環境管理者に直接委任し、すべてのテナント レベルのポリシーから除外しました。 この環境は、環境レベルの DLP ポリシーによってのみ管理され、Contoso のルールからの例外となります。
前提のとおり、Contoso で作成された新しい環境は、元となるすべての環境のポリシーにマップされます。
このようなテナント中心型の DLP ポリシーの設定では、環境管理者が、独自の環境レベルの DLP ポリシーを設定して、他の制限を追加したり、カスタム コネクタを分類したりすることができます。
DLP ポリシーの作成の詳細については、Microsoft Power Platform 環境の計画と管理を参照してください。