データ損失防止 (DLP) ポリシーの作成
組織の成功にはデータが重要です。 意思決定のためにデータをすぐに使用できる必要がありますが、同時に、アクセス権のないユーザーと共有されないようにデータを保護する必要があります。 ビジネス データを保護するために、Power Automate はどのコネクタがデータにアクセスし、共有できるかを定義するポリシーを作成し、実施する機能を提供します。 データを共有する方法を定義するポリシーは、データ損失防止 (DLP) ポリシーと呼ばれます。
管理者は DLP ポリシーを制御します。 DLP ポリシーがフローの実行をブロックしている場合は、管理者にお問い合わせください。
Power Platform データ損失防止 (DLP) ポリシーによるデータ保護について詳しく説明します。
デスクトップ フローのデータ損失防止
Power Automate では、デスクトップ フロー モジュールと個々のモジュールアクションを ビジネス、非ビジネス、または ブロック として分類する DLP ポリシーを作成し、適用することができます。 この分類により、作成者は異なるカテゴリのモジュールとアクションをデスクトップ フローに結合したり、クラウド フローとそれが使用するデスクトップ フローの間で結合したりすることができなくなります。
重要
- DLP ポリシーの適用は マネージド環境 のみで利用できます。 2025 年 1 月より、マネージド環境にあるデスクトップ フローのみが DLP ポリシーによって評価されます。
- デスクトップ フローの DLP は、デスクトップ用 Power Automate の 2.14.173.21294 以降バージョンで利用できます。 古いバージョンを使用している場合は、アンインストールして最新バージョンに更新してください。
デスクトップ フロー アクション グループの表示
既定では、新しい DLP ポリシーを作成するときに、デスクトップ フロー アクション グループは表示されません。 テナント設定で、DLP ポリシーにデスクトップ フロー アクションを表示する 設定をオンにする必要があります。
パブリック プレビューを選択した場合、DLP のデスクトップ フロー アクション 設定は既に有効になっており、変更することはできません。
Power Platform 管理センターにサインインします。
左側のパネルで 設定 を選択します。
テナント設定 ページで DLP のデスクトップ フロー アクション を選択します。
DLP ポリシーでデスクトップ フロー アクションを表示 の切り替えをオンにし、保存 を選択します。
データ ポリシーの作成時にデスクトップ フロー アクション グループを分類できるようになりました。
デスクトップ フローを制限した DLP ポリシーを作成する
管理者がポリシーを編集または作成すると、デスクトップ フロー アクション グループが既定のグループに追加され、保存されるとポリシーが適用されます。 既定のグループが ブロック に設定され、デスクトップ フローがターゲット環境で実行されている場合、ポリシーは中断されます。
クラウド フローのコネクタとアクションを管理するのと同じ方法で、デスクトップ フローの DLP ポリシーを管理できます。 デスクトップ フロー モジュールは、Power Automate デスクトップ ユーザー インターフェイスに表示されるのと同様のアクションのグループです。 モジュールは、クラウド フローで使用されるコネクタに似ています。 デスクトップ フロー モジュールとクラウド フロー コネクタの両方を管理する DLP ポリシーを定義できます。 変数 などの一部の基本モジュールは、ほとんどすべてのデスクトップ フローで使用する必要があるため、DLP ポリシーの範囲内で管理できません。 DLP ポリシーの基礎と作成方法について詳しく説明します。
テナントが Power Platform でユーザー エクスペリエンスにオプトインした場合、管理者には、作成または更新している DLP ポリシーのデフォルト データ グループにある新しいデスクトップ フロー モジュールが自動的に表示されます。
警告
デスクトップ フロー モジュールが DLP ポリシーに追加されると、テナントのデスクトップ フローがそのモジュールに対して評価され、不適合であれば一時停止されます。 管理者が新しいモジュールに気付かずに DLP ポリシーを作成または更新すると、デスクトップ フローが予期せず中断される可能性があります。
DLP の外部でデスクトップ フローを管理する
前のセクションで説明した、すべてのマシンでのデスクトップ フローの使用に関するきめ細かな制御は、マネージド環境にのみ適用されます。 デスクトップ フローを管理するオプションは他にもあります。
デスクトップ フロー オーケストレーションを管理する機能: デスクトップ フロー コネクタは、すべての環境で他のコネクタと同様にポリシーで管理できます。
デスクトップ フローの使用を管理する能力 Power Automate : グループ ポリシー オブジェクト (GPO) を通じてデスクトップ フロー Power Automate を管理できます。 このガバナンスにより、一連の環境または地域への制限、アカウント タイプの使用制限、手動更新の制限などのアクションについて、デスクトップ フローをオンまたはオフにすることができる。
Power Automate のガバナンスについての詳細を説明します。
DLP のデスクトップ フロー モジュール
DLP では次のデスクトップ フロー モジュールを使用できます:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation ブラウザー オートメーション
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD セッション
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard クリップボード
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression 圧縮
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography 暗号化
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database データベース
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email メール
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File ファイル
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder フォルダー
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google コグニティブ
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM コグニティブ
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display メッセージ ボックス
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft コグニティブ
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard マウスとキーボード
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate シークレット変数
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow フローの実行
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting スクリプト
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System システム
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation ターミナル エミュレーション
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI オートメーション
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows サービス
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation ワークステーション
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
デスクトップ フロー モジュールの PowerShell サポート
DLP ポリシーでデスクトップ フロー アクションを表示する 設定をオンにしない場合は、次の PowerShell スクリプトを使用して、すべてのデスクトップ フロー モジュールを DLP ポリシーの ブロック グループに追加できます。 すでにこの設定を有効にしている場合は、このスクリプトを使用する必要はありません。
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
以下は、2 つの特定のデスクトップ フロー モジュールを DLP ポリシーの既定のデータ グループに追加するために使用できる PowerShell スクリプトです。
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
デスクトップ フローをオプトアウトする PowerShell スクリプト
デスクトップフロー用の DLP 機能を使用しない場合は、次の PowerShell スクリプトを使用してオプトアウトできます。
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
ポリシーを有効にした後
ユーザーがデスクトップ用の最新 Power Automate を持っていない場合、DLP ポリシーの適用は制限されます。 DLP ポリシーに違反するデスクトップ フローを実行、デバッグ、保存しようとしても、デザインタイムのエラーメッセージは表示されません。 バックグラウンド ジョブは、環境内のデスクトップ フローを定期的にスキャンし、DLP ポリシーに違反するものを自動的に一時停止します。 デスクトップ フローがデータ損失防止ポリシーに違反している場合、ユーザーはクラウド フローからデスクトップ フローを実行できません。
デスクトップ用の最新 Power Automate を搭載しているメーカーは、DLP ポリシーに違反するデスクトップ フローをデバッグ、実行、または保存できません。 また、DLP ポリシーに違反しているデスクトップ フローをクラウド フロー ステップから選択することもできません。
DLP の強制と停止
- フローを作成または編集すると、Power Automate はそれを現在の DLP ポリシーのセットに対して評価します。
- フローの 99% を占める子フローのないフローの適用は同期され、リアルタイムで実行されます。
- 子フローを含むフローの適用は、子フローも評価する必要があるため非同期であり、24 時間以内に実行されます。
- DLP ポリシーを作成または変更すると、バックグラウンド ジョブが環境内のすべてのアクティブ フローをスキャンおよび評価し、ポリシーに違反するフローを一時停止します。 強制は非同期で、24 時間以内に行われます。 以前の DLP ポリシーの評価中に DLP ポリシーが変更された場合、最新のポリシーが適用されるように評価が再開されます。
- 毎週、バックグラウンド ジョブが DLP ポリシーに対して環境内のすべてのアクティブ フローの整合性チェックを実行し、DLP ポリシー チェックに見落としがないことを確認します。
DLP の再アクティブ化
DLP 強制バックグラウンド ジョブが、DLP ポリシーに違反しなくなったデスクトップ フローを検出すると、バックグラウンド ジョブによって自動的に停止が解除されます。 ただし、DLP 強制バックグラウンド ジョブはクラウド フローの停止を自動的に解除しません。
DLP 強制変更プロセス
新しい DLP 機能やバグ修正が展開されたり、施行のギャップが埋められたりするため、DLP の施行は定期的に変更する必要があります。 変更が既存のフローに影響を与える可能性がある場合は、次の段階的な DLP 強制変更管理プロセスが使用されます:
調査中: DLP 強制を変更する必要性を確認し、変更の詳細を調査します。
学習: 変更を実装し、変更の影響の幅に関するデータを収集します。 DLP 強制の変更は、変更の範囲を説明するために文書化されます。 顧客が大きな影響を受けることをデータが示唆している場合は、顧客に変更が行われることを知らせる通知が送信される場合があります。 変更が既存のフローに広範な影響を与える場合、学習フェーズの後の段階で、バックグラウンド DLP 強制ジョブが既存のフローで違反を検出したときに、Power Automate はフローが中断されることをフローの所有者に通知し、応答するための時間を確保します。
通知のみ: DLP 違反の場合にのみメール通知をオンにして、既存のフローの所有者が今後の DLP 強制の変更について通知されるようにします。 バックグラウンドの DLP 強制ジョブが既存のフローで違反を見つけた場合は、フローの所有者にフローが一時停止されることを通知します。 このメカニズムは毎週実行されます。
設計時の強制: DLP 違反の設計時強制をオンにすることで、既存のフローの所有者は今後の DLP 強制の変更について通知されますが、変更されたフローは設計時に完全な DLP ポリシー評価を受けます。 ソフト強制 とも呼ばれます。
設計時: フローを更新して保存すると、更新された DLP 強制が使用されます。必要に応じてフローが中断され、作成者は強制をすぐに認識できます。
バックグラウンド プロセス: バックグラウンド DLP 実施ジョブがフローで違反を発見した場合、フロー所有者にフローが一時停止されることを通知します。 このメカニズムには、DLP ポリシーの作成または変更と整合性チェックが含まれます。
完全強制: DLP 違反の完全強制をオンにして、既存および新規のすべてのフローに DLP ポリシーが完全に強制されるようにします。 DLP ポリシーは、DLP 強制のバックグラウンド ジョブ評価中にフローが保存されるときに完全に強制されます。 ハード強制 とも呼ばれます。
DLP 強制変更リスト
次の表は、DLP の実施に関する変更と、変更が有効になった日付の一覧です。
日 | Description | 変更理由 | 段階 | 設計時適用の可否* | 完全な適用の可否* |
---|---|---|---|---|---|
2022 年 5 月 | 委任された承認のバックグラウンド ジョブの強制 | DLP ポリシーは、フローが保存されている間、委任された認可を使用するフローに適用されますが、バックグラウンド ジョブの評価中には適用されません。 | Full | 2022 年 6 月 2 日 | 2022 年 7 月 21 日 |
2022 年 5 月 | apiConnection トリガー強制を要求する | 一部のトリガーでは、DLP ポリシーが正しく適用されませんでした。 影響を受けるトリガーには、type=Request と kind=apiConnection があります。 影響を受けるトリガーの多くは、インスタント (手動でトリガーされる) フローで使用されるインスタント トリガーです。 影響を受けるトリガーには、次のものが含まれます。 - Power BI - クリックされた Power BI ボタン - Teams: 作成ボックスから (V2) - OneDrive for Business: 選択したファイルの場合 - Dataverse: ビジネス プロセス フローからフロー ステップが実行された場合 - Dataverse (レガシ): レコードが選択された場合 - Excel Online (Business): 選択した行の場合 - SharePoint: 選択したアイテムの場合 - Microsoft Copilot Studio: Copilot Studio がフローを呼び出すとき (V2) |
Full | 2022 年 6 月 2 日 | 2022 年 8 月 25 日 |
2022 年 7 月 | 子フローに DLP ポリシーを適用する | 子フローを含めるために DLP ポリシーの強制を有効にします。 フロー ツリーのどこかに違反が見つかった場合、親フローは中断されます。 子フローを編集して保存し、違反を削除した後、親フローを再保存または再アクティブ化して、DLP ポリシー評価を再度実行できます。 子フローに対する DLP ポリシーの完全強制の適用とともに、HTTP コネクタがブロックされたときに子フローをブロックしないよう変更されます。 完全な適用が利用可能になると、適用には子デスクトップ フローが含まれます。 | 完全 | 2023 年 2 月 14 日 | 2023 年 3 月 |
2023 年 1 月 | 子デスクトップ フローに DLP ポリシーを適用する | 子デスクトップ フローを含めるために DLP ポリシーの強制を有効にします。 フロー ツリーのどこかに違反が見つかった場合、デスクトップ親フローは中断されます。 子デスクトップ フローを編集して保存し、違反を削除すると、親デスクトップ フローが自動的に再アクティブ化されます。 | 完全 | - | 2023 年 8 月 |
2024 年 10 月 | トリガーと内部アクションにコネクタアクション制御を適用する | トリガーと内部アクションがカバーされるように、コネクタ アクション制御 の適用を拡張します。 それらを Power Platform 管理センターにリストし、DLP ポリシーで個別に参照されている場合、または DLP ポリシーで許可対象として含まれていない場合は、それらをブロックするように強制します。 | 学習 | 2025 年 1 月 | 2025 年 2 月 |
*利用可能なスケジュールは変更される可能性があり、ロールアウトによって異なります。
DLP 違反によるフローの中断
一時停止したフローは、Power Automate Maker Portal と Power Platform 管理センターでは一時停止として表示されます。 API、PowerShell、または 「管理アクション」としての Power Automate 管理コネクタ リスト フロー を通じてフローが返される場合、フローは 状態=中断 になり、適切な FlowSuspensionReason=CompanyDlpViolation と FlowSuspensionTime の値を持ちます。