コネクタの分類
データ グループは、データ損失防止 (DLP) ポリシー内のコネクタを分類する簡単な方法です。 利用可能な 3 つのデータ グループはビジネス データ グループ、非ビジネス データ グループ、およびブロック済み データ グループです。
コネクタを分類する良い方法は、組織のコンテキストで接続するビジネス中心のサービスまたは個人使用中心のサービスに基づいて、コネクタをグループに配置することです。 ビジネス用のデータをホストするコネクタはビジネスとして分類し、個人用のデータをホストするコネクタは非ビジネスとして分類します。 1 つまたは複数の環境で使用されないようにするすべてのコネクタは、ブロック済みとして分類します。
新しいポリシーが作成されると、既定ではすべてのコネクタが非ビジネス グループに配置されます。 そこから設定に応じて、ビジネスまたはブロック済みに移行できます。 DLP ポリシーのプロパティを管理センターから作成または変更する場合に、データ グループ内のコネクタを管理します。 データ ポリシーの管理を参照してください。 DLP ポリシーを編集して、コネクタの初期分類を変更することもできます。 詳細: データ ポリシーを編集する
注意Note
最近まで、DLP ポリシー UI または PowerShell を使用して DLP ポリシーの構成をするために、一部の HTTP コネクタを使うことは簡単ではありませんでした。 2020年5月現在、他のコネクタと同様に、DLPポリシーUIとPowerShellを使用して、次のHTTPコネクタを分類できるようになりました: Power Platform HTTP 、HTTP Webhook 、およびHTTP要求を受信したとき 。 新しい DLP UI を使用してレガシー DLP ポリシーを更新している場合、管理者に警告メッセージが表示され、これら 3 つの HTTP コネクタが DLP 範囲に追加され、これらのコネクタが正しい DLP グループに配置されていることを確認する必要があることを示します。
子フローは HTTP コネクタと内部依存関係を共有するため、管理者が DLP ポリシーで HTTP コネクタに選択するグループは、その環境またはテナントで子フローを実行する機能に影響を与える可能性があります。 子フローが機能するために、HTTP コネクターが適切なグループに分類されていることを確認してください。 既定の環境などの共有環境でコネクタをビジネスとして分類することに懸念がある場合は、コネクタを非ビジネスとして分類するか、ブロックすることをお勧めします。 次に、作成者が HTTP コネクタを使用できる専用の環境を作成しますが、作成者のリストを制限して、子フローを構築するのをブロック解除できるようにします。
コンテンツ変換コネクタは、Microsoft Power Platform に不可欠な機能で、HTML ドキュメントをプレーン テキストに変換するために使用されます。 これは、ビジネスおよび非ビジネス シナリオの両方に適用されても、それを介して変換されたコンテンツのデータ コンテキストを格納しないので、DLP ポリシーによる分類には使用できません。
データ グループ間でデータを共有する方法
異なるグループ内のコネクタ間でデータを共有することはできません。 たとえば、ビジネス グループで SharePoint および Salesforce コネクタを配置し、非ビジネス グループで Gmail を配置すると、メーカーは SharePoint と Gmail コネクタ両方を使用するアプリまたはフローを作成できません。 これにより、Microsoft Power Platform のこれら 2 つのサービス間のデータ フローが制限されます。
異なるグループ内にあるサービス間でデータを共有することはできませんが、特定のグループ内にあるサービス間ではデータを共有することができます。 以前の例では、SharePoint および Salesforce が同じデータ グループに配置されたので、SharePoint と Salesforce コネクタ両方を使用するアプリまたフローを作成することができます。 これにより、Microsoft Power Platform のこれら 2 つのサービス間のデータ フローが許可されます。
重要な点として、Microsoft Power Platform で同じグループ内のコネクタはデータを共有できますが、異なるグループ内のコネクタではデータを共有できません。
ブロック済みデータ グループの影響
特定のサービスへのデータ フローは、そのコネクタをブロック済みとマークすることで一緒にプロックできます。 たとえば、もし Facebook をブロック済みグループの中に配置すると、メーカーは Facebook コネクタを使用するアプリやフローを作成できません。 これにより、Microsoft Power Platform でこのサービスへのデータ フローが制限されます。
すべてのサード パーティ コネクタをブロックできます。 すべての Microsoft所有プレミアム コネクタ ( Microsoft Dataverse を除く) をブロックできます。
ブロックできないコネクタのリスト
コア機能 (承認、通知など) を駆動するすべてのコネクタ、およびコアOfficeカスタマイズ シナリオを有効にするコネクタ (エンタープライズ プランの標準コネクタなど) は、コア ユーザー シナリオが完全に機能し続けるように、ブロック不可のままになります。 Microsoft Power Platform Dataverse Microsoft
ただし、これらのブロック不可のコネクタは、ビジネスまたは非ビジネス データ グループに分類できます。 これらのコネクタは、大きく次のカテゴリに分類されます:
- Microsoft エンタープライズ プランの標準コネクタ (追加のライセンスの影響はありません)。
- Microsoft Power Platform– 基本プラットフォーム機能の一部である特定のコネクタ。 この中で、Dataverse コネクタはブロックできない唯一のプレミアム コネクタです。Dataverse は Microsoft Power Platform の不可欠な部分だからです。
次のコネクタは、DLP ポリシーを使用してブロックすることはできません。
Microsoft エンタープライズプラン標準コネクタ | コア Power Platform コネクタ |
---|---|
Defender for Cloud Apps | 承認 |
Dynamics 365 Customer Voice | 通知 |
Excel Online (Business) | Dataverse (遺産) |
Kaizala | Dataverse |
Microsoft 365 Groups | Power Apps 通知 (v1 および v2) |
Microsoft 365 Groups Mail (Preview) | Microsoft Copilot Studio |
Microsoft 365 Outlook | |
Microsoft 365 Users | |
Microsoft Teams | |
Microsoft やることリスト(ビジネス) | |
OneDrive for Business | |
OneNote (ビジネス) | |
Planner | |
Power BI | |
SharePoint | |
Shifts | |
Skype for Business Online | |
Yammer |
Note
現在ブロックできないコネクタがブロック済みグループにすでにある場合 (たとえば、制限が異なる際にブロックされたため)、ポリシーを編集するまで同じグループに残ります。 ブロックできないコネクタをビジネスまたは非ビジネス グループに移動するまで、ポリシーの保存を停止するエラー メッセージが表示されます。
コネクタの分類の表示
Power Platform 管理センターで DLP ポリシーを編集する場合、ポリシーに分類されているかどうかに関係なく、利用と表示が可能なすべてのコネクタが表示されます。 ただし、PowerShell または Power Platform for Admins コネクタを使用して DLP ポリシーを表示する場合、ビジネス、非ビジネス、またはブロックされたカテゴリに明示的に分類されたコネクタのみが表示されます。 PowerShell または Power Platform for Admins コネクタには、利用できなくなった、または表示されなくなったコネクタへの古い参照が含まれている場合があります。
一般的に、Power Platform コネクタのリストは、表示している場所によって異なる場合があり、理由がいくつかあります。 一部のコネクタには特定のライセンスが必要な場合があり、ライセンスにコネクタが含まれていない場合は表示されません。 コンプライアンスや規制要件により、環境が異なれば利用できるコネクタも異なる場合があります。 Microsoft コネクタのアップデートがリリースされる可能性がありますが、すべてのコンポーネントですぐに利用できるとは限りません。 Power Platform 一部のコネクタは Power Automate でのみ利用でき、Power Apps では利用できない場合があります。 ロールと権限によっては、アクセスできないコネクタもあります。
カスタム コネクタ 分類
環境レベルの DLP ポリシー
環境管理者は、データ ポリシーのコネクタ ページで、構築済みのコネクタと一緒に環境内のすべてのカスタム コネクタを見つけることができるようになりました。 構築済みのコネクタと同様に、カスタム コネクタをブロック済み、ビジネス、また非ビジネス カテゴリに分類できます。 明示的に分類されていないカスタム コネクタは、既定グループ (または、管理者がデフォルトのグループ設定を明示的に選択していない場合は非ビジネス) の下に配置されます。
DLP ポリシーの PowerShell コマンドを使用して、カスタム コネクタをビジネス、非ビジネス、およびブロック済みグループに設定することもできます。 詳細: データ損失防止 (DLP) ポリシー コマンド
テナント レベル DLP ポリシー
Power Platform 管理センターは、テナント管理者がテナント レベルの DLP ポリシーのパターン マッチング構造を使用して、ホスト URL エンドポイントによってカスタム コネクタを分類することもサポートしています。 カスタム コネクタのスコープは環境固有であるため、これらのコネクタは分類するためのコネクタ ページに表示されません。 代わりに、カスタム コネクタという名前のデータ ポリシーに新しいページが表示されます。カスタム コネクタの URL パターンの許可と拒否の順序指定済みリストを指定するために使用できます。
ワイルドカード文字 (*
) のルールは常にリストの最後のエントリになり、すべてのカスタム コネクタに適用されます。 管理者は、*
パターンをブロック済み、ビジネス、非ビジネス、または無視にタグ付けできます。 既定では、新しい DLP ポリシーのパターンは無視に設定されています。
無視 は、このテナント レベル ポリシー内のすべてのコネクタのDLP分類を無視し、パターンの評価を他の環境またはテナント レベル ポリシーに延期して、必要に応じてそれらを ビジネス、 非ビジネス、または ブロック グループに分類します。 カスタム コネクタに特定のルールが存在しない場合は、無視 * ルールにより、カスタム コネクタを ビジネスと非ビジネスの両方のコネクタ グループで使用できるようになります。 リストの最後のエントリを除いて、アクションとしての無視は、カスタム コネクタ パターン ルールに追加された他の URL パターンではサポートされていません。
カスタム コネクタ ページでコネクタ パターンの追加を選択すると、新しいルールをさらに追加できます。
これにより、カスタム コネクタ URL パターンを追加して分類できるサイド パネルが開きます。 新しいルールがパターン リストの最後に追加されます (*
は常にリストの最後のエントリになるため、最後から 2 番目のルールとして)。 ただし、新しいパターンの追加中に順序を更新することはできます。
順序ドロップダウンリスト、上に移動または下に移動を使用してパターンの順序を更新することもできます。
パターンを追加した後、特定の行を選択するか、編集または削除を選択することにより、パターンを編集または削除できます。
新しいコネクタ用既定データ グループ
1 つのデータ グループが、ポリシーが作成された後に Microsoft Power Platform に追加された任意の新しいコネクタを自動分類する既定グループとして指定されます。 最初、非ビジネスグループは、新しいコネクタとすべてのサービスでなる既定グループです。 ビジネスまたはブロック済みデータ グループへ 既定のデータ グループを変更する ことができますが、それはお勧めしません。
アプリに追加されるすべての新しいサービスは、指定された既定のグループに配置されます。 このため、非ビジネスを既定のグループのままにして、組織がビジネス データを新しいサービスと共有することの影響を評価してからビジネスまたはブロック済みグループに手動でサービスを追加することをお勧めします。
Note
Microsoft 365 Enterprise ライセンス コネクタおよびいくつかのコア Microsoft Power Platform コネクタはブロック済みとしマークされることから除外され、ビジネスまたは非ビジネスとしてのみ分類できます。 Microsoft ブロックできない新しいコネクタを追加し、DLPポリシーの既定のグループを ブロックに設定した場合、これらのコネクタは ブロック ではなく 非ビジネスとして自動的にマークされます。