データ損失ポリシーに対して機能強化を行い、今回のアップデートではHTTPコネクタとカスタムコネクタも対応するようにしました。これにより、PowerShellまたはFlowのテンプレートから設定することが可能です。

データ損失ポリシーとは?

データ損失ポリシーはどのコネクタの組み合わせを許可するかを分けられるデータの保護機能のひとつで、PowerAppsとFlowに適用できます。予めに各コネクターを「ビジネスデータ」と「非ビジネスデータ」に分けておくことにより、ユーザーがこれらを組み合わせて設定しようとしてもエラーで設定できなくさせるセキュリティー機能となっています。


今回のアップデートによる変更点

HTTP コネクタへの対応

HTTPアクションとトリガーはいままでコネクタとみなされていませんでした。お客様からのフィードバックにより、今回HTTPコネクタもDLP対象にし、より環境への制御が行いやすくなりました。このアップデートではPowerShellまたはFlowのテンプレートから制御が可能となりました。対象となるコネクタは以下3つです。

  • HTTP (と HTTP + Swagger)
  • HTTP Webhook
  • HTTP 要求


カスタムコネクタへの対応

カスタムコネクタに関してもDLPで制御できるようにしました。これらのコネクタに関しても事前にPowerShellまたはFlowテンプレート経由で事前に管理対象として登録しておく必要があります。登録することで、管理ポータルから設定が可能となります。.

注意点::現在カスタムコネクタで設定されたアイコンは既定の環境でのみ表示されます。それ以外に作成した環境では、カスタムコネクタの標準アイコンで表示されます。.

事前準備

これらの管理機能を利用するにいは、以下の設定が事前に必要です:

  • PowerAppsまたはFlowのPlan 2のライセンス。30日間の試用版はこちらからサインアップできます。 http://web.powerapps.com/trial
  • 他のユーザーが作成した環境情報も設定・参照する場合はOffice 365またはAzure Active Directoryのグローバル管理者権限
  • 最新版の PowerShell.

設定方法

現時点では、PowerShellからコマンドを実行いただくか、Flowのテンプレートを実施いただく必要があります。今後のロードマップとしては、将来的により簡単に設定いただけるようにするために専用の設定画面も用意する予定です。

それまでは、カスタムコネクタに関してはこちらのテンプレートをご利用ください。.HTTPコネクタに関しては、こちらをご利用ください。.

注意事項:: これら設定は既存のデータ損失ポリシーを壊してしまうリスクがありますので、以下について必ず事前にご確認ください。:

  • 既存のDLPポリシーのバックアップを取りましょう。とるにはPowerShellのコマンドまたはPower Platform管理コネクターを利用してバックアップを取得します。
  • テスト環境のテナントがあれば、そちらで事前に実行テストを行いましょう。DLPを間違って壊してしまうと、ほかのDLPポリシーへ影響を及ぼす可能性があります。

テンプレートで追加する場合

テンプレートからカスタムコネクタを管理対象として追加したい場合、ポリシー名を入力し、コネクタの登録先グループを指定し、コネクターの名前、ID、種類を指定します。Flowを1度実行すれば、そのカスタムコネクタはポリシーに追加されます。

HTTPコネクタを既存のポリシーへ追加したい場合、Flow実行時にポリシー名を指定すれば追加されます。

PowerShellで追加する場合

PowerShellから追加する場合、必ず最新版のPowerShell.スクリプトをダウンロードしてください。
ダウンロード後、 ‘New-AdminDlpPolicy’, ‘Set-AdminDlpPolicy’, ‘Add-CustomConnectorToPolicy’と ‘Remove-CustomConnectorFromPolicy’コマンドを利用することでポリシーを編集することができます。詳細の使い方は ‘Get-Help <cmdlet name> -detailed’ と入力すれば、確認できます。

注意点:DLPポリシーを設定する場合は、必ずスキーマバージョン ‘2018-11-01′を利用してください。HTTPサポートをテンプレートまたはPowerShellから追加する際は、指定したDLPポリシーにのみ適用されます。そのため、管理センターから追加された新規のポリシーには適用されません。新規でポリシーを作成した場合は、再度その新規で作成したポリシーにもFlowテンプレートまたはPowerShellを実行してください。

警告: 一度スキーマバージョンを2018-11-01にあげた場合、ダウングレードはサポートしていません。一度HTTPのポリシーを設定すると、設定を外すことはできません。外そうとすると、DLPポリシーが壊れる可能性があります。また、HTTPコネクタを対応させた場合には、既存のFlowでHTTPコネクタを利用していた場合に、停止する場合があるので、お取り扱いには十分注意してください。

オリジナルの発表情報(英語): https://flow.microsoft.com/en-us/blog/introducing-http-and-custom-connector-support-for-data-loss-prevention-policies/