セキュアなデプロイ
Power Platform のデプロイ管理での重要な要素の 1つは、セキュリティの考慮です。 セキュリティについては、すべてのユーザーが必要なデータのみにアクセスできるようにすることが重要ですが、アクセスしてはならないユーザーやアプリケーションがデータにアクセスできないようにすることも重要です。
DLP 戦略の確立
Power Platform ソリューションをデプロイするときに最初に考慮すべきことの 1 つは、データ損失防止 (DLP) 戦略の確立です。 DLP ポリシーは、ユーザーが誤って組織データを漏洩しないための防御柵の役割を果たし、テナント内の情報セキュリティを保護します。 DLP ポリシーを使用して、各環境でどのコネクタを有効にするか、あるいはどのコネクタを組み合わせて使用するかの判断にルールを適用できます。 コネクタは、「ビジネス データのみ」、「ビジネス データを許可しない」、または「ブロック」のいずれかに分類されます。 「ビジネス データのみ」のグループに分類されるコネクタは、同じアプリやフローに含まれる「ビジネス データのみのグループ」のコネクタ以外とは一緒に使用できません。 たとえば、Microsoft Dataverse コネクタとサードパーティのコネクタを適用するアプリケーションを作成するとします。 Microsoft Dataverse コネクタをビジネス データ コネクタとして分類した場合、サードパーティのコネクタは、それがビジネス データ コネクタとして分類された場合のみ適用できます。
DLP ポリシーの確立は、環境の戦略と密接に関連しています。
コネクタ分類
ビジネスと非ビジネスの分類を使うと、特定のアプリやフローで使用可能なコネクタを分類できます。 DLP ポリシーを使用すると、コネクタを次のグループに分類できます。
ビジネス 特定の Power App または Power Automate のリソースは、ビジネス グループの 1 つ以上のコネクタを使用できます。 Power App または Power Automate のリソースがビジネス コネクタを使用している場合、非ビジネス コネクタを使用することはできません。
非ビジネス 特定の Power App または Power Automate のリソースは、ビジネス グループの 1 つ以上の非コネクタを使用できます。 Power App または Power Automate のリソースが非ビジネス コネクタを使用している場合、ビジネス コネクタを使用することはできません。
ブロック Power App または Power Automate のリソースは、ブロック グループのコネクタを使用できません。 Microsoft が所有するすべてのプレミアム コネクタとサードパーティ コネクタ (標準およびプレミアム) をブロックすることができます。 Microsoft が所有するすべての標準コネクタと Common Data Service コネクタをブロックすることはできません。
DLP ポリシーを作成するための戦略
前述のように、Power Apps や Power Automate の環境を引き継ぐ管理者や、その利用のサポートを始める管理者は、まず DLP ポリシーを設定する必要があります。 これにより、ポリシーの基本セットを適切に設定することができ、その後は例外の処理と、例外承認後の DLP ポリシーの実装に注力できます。
共有ユーザーとチームの生産性の環境の DLP ポリシーについては、次のような点から始めることができます。
一部の環境 (たとえば運用環境など) を除くすべての環境にわたるポリシーを作成します。このポリシーで使用可能なコネクタを、Office 365 および他の標準のマイクロサービスに限定し、他のすべてのコネクタをブロックします。 このポリシーは、既定の環境と、社内トレーニング イベントを実行するためのトレーニング環境に適用されます。 さらに、このポリシーは、作成されるすべての新しい環境にも適用されます。
共有ユーザーとチームの生産性の環境に適した、より許容度の高い DLP ポリシーを作成します。 このポリシーでは、Office 365 サービス以外にも、Azure サービスなどのコネクタを使用できるようにすることができます。 これらの環境で使用できるコネクタは、組織によって、また組織がビジネス データを格納する場所によって異なります。
運用環境 (事業部やプロジェクト) の DLP ポリシーについては、次のような点から始めることができます。
これらの環境を、共有ユーザーとチームの生産性のポリシーから除外します。
事業部やプロジェクトと連携して、使用するコネクタやその組み合わせを確立し、対象とする環境のみのためのテナント ポリシーを作成します。
これらの環境の管理者は、必要に応じて、環境ポリシーを使用して、カスタム コネクタをビジネスデータのみとして分類できます。
上記に加えて、以下もお勧めします。
環境ごとに最小限の数のポリシーを作成します。 テナント ポリシーと環境ポリシーの間には、厳密な階層はありません。デザイン時や実行時に、アプリやフローが存在している環境に適用されたすべてのポリシーについて評価が行われ、リソースが DLP ポリシーに準拠しているか、それとも違反しているかが判断されます。 1 つの環境に複数の DLP ポリシーを適用すると、コネクタの状況が複雑化します。そのため環境作成者が直面する問題の解明が困難になる場合があります。
テナント レベルのポリシーを使用して DLP ポリシーを一元管理します。環境ポリシーは、カスタム コネクタを分類する場合のみか、例外的な場合にのみ使用します。
これに基づいて、例外の処理方法を計画します。 以下のことを行えます。
要求を拒否します。
コネクタを既定の DLP ポリシーに追加します。
環境を既定のグローバル DLP の「次以外のすべて」の一覧に追加し、その例外のための用途固有の DLP ポリシーを作成します。
例 : Contoso の DLP 戦略
このガイダンスでの企業の例である Contoso Corporation における、DLP ポリシーの設定例を確認します。 DLP ポリシーの設定は、同社での環境の戦略と密接に関連しています。 Contoso の管理者は、ユーザーとチームの生産性シナリオと、ビジネス アプリケーションのサポートに加えて、センター オブ エクセレンス (CoE) の活動の管理をサポートします。
Contoso の管理者は、ここは次のような環境と DLP 戦略を適用しました。
テナント全体にわたる制限的な DLP ポリシーを、ポリシーのスコープから除外した一部の環境を除く、テナント内のすべての環境に適用しました。 管理者は、このポリシーで使用可能なコネクタを、Office 365 と他の標準マイクロサービスに限定し、他のすべてのコネクタのアクセスをブロックしました。 このポリシーは、既定の環境にも適用されます。
Contoso の管理者は、ユーザーとチームの生産性用途向けのアプリを作成するユーザーのための、別の共有環境を作成しました。 この環境には、既定のポリシーほど制限的ではないテナント レベルの DLP ポリシーが適用されています。環境作成者は Azure サービスなどのコネクタと Office 365 サービスを使用できます。 これは既定以外の環境であるため、管理者はその環境の環境作成者リストを積極的に制御できます。 このような階層的なアプローチにより、共有ユーザーとチームの生産性環境および関連 DLP 設定に対応しています。
さらに、事業部が基幹業務アプリケーションを作成できるように、各国の税務監査関連会社用の、開発環境、テスト環境、運用環境を作成しました。 各環境への環境作成者のアクセスは慎重に管理され、事業部の関係者との連携に基き、テナントレベルの DLP ポリシーを使用して、適切なファーストパーティとサードパーティのコネクタを使用可能にしています。
同様に、全社 IT 部門がアプリケーションの開発とデプロイに使用する、開発/テスト/運用の各環境が作成されています。 これらのビジネス アプリケーション シナリオでは通常、明確に定義された一連のコネクタを、これらの環境の作成者、テスター、ユーザーが利用できるようにしています。 これらのコネクタへのアクセスは、専用のテナント レベルのポリシーを使用して管理されます。
同社には、センター オブ エクセレンス活動専用の特別な環境もあります。 このチームは理論に基づく実験的なチームであるため、この特別な環境のための DLP ポリシーも実験的となります。 ここでは、テナント管理者は、この環境の DLP 管理を CoE チームの信頼できる環境管理者に直接委任し、それをすべてのテナント レベルの一連のポリシーから除外しました。 この環境は、環境レベルの DLP ポリシーによってのみ管理され、Contoso のルールからの例外となります。
前提のとおり、Contoso で作成された新しい環境は、元となるすべての環境のポリシーにマップされます。
このようなテナント中心型の DLP ポリシーの設定では、環境管理者が、独自の環境レベルの DLP ポリシーを設定して、他の制限を追加したり、カスタム コネクタを分類したりすることができます。
DLP ポリシーの作成の詳細については、「Microsoft Power Platform 環境の計画と管理」を参照してください。