Microsoft 365 サブスクリプションを作成すると、organizationのテナントが自動的に作成されます。 テナントは Microsoft 365 サービスの境界内にあり、Microsoft 365 Copilotはorganizationのデータにアクセスできます。
Microsoft 365 サービス境界内で動作しても、Copilot テナント全体の可視性は付与されません。 データ アクセスのスコープは、常にサインインしているユーザーのアクセス許可です。
このデータには、ユーザーがアクセスできるアクティビティや、Microsoft 365 アプリで作成および操作するコンテンツが含まれます。
Copilot は、Microsoft 365 の他の多くのサービスと同様に、共有サービスです。 テナントで Copilot を使用する場合:
- 顧客データは Microsoft 365 サービスの境界内に留まります。
- organizationによって既にデプロイされている既存のセキュリティ、コンプライアンス、およびプライバシー ポリシーは、データをセキュリティで保護します。
この記事では、ユーザー プロンプトのデータ フロー、Copilot がデータにアクセスする方法、Copilot が条件付きアクセスと多要素認証 (MFA) を受け入れる方法など、Microsoft 365 Copilotのしくみについて説明します。
この記事は、Microsoft 365 Copilotのコア アーキテクチャを理解する IT 管理者、セキュリティ チーム、および技術的な意思決定者を対象としています。 データ フロー、アクセス許可、およびセキュリティ境界に焦点を当てます。
この記事は、次の項目に適用されます:
- Microsoft 365 Copilot
ユーザー プロンプトと Copilot 応答
ユーザーは、WordやPowerPointなどの Microsoft 365 アプリを開くと、Copilot を使用してリアルタイム データを取得できます。
次の図は、Copilot プロンプトのしくみを視覚的に示しています。
次を見てみましょう。
Microsoft 365 アプリでは、ユーザーが Copilot でプロンプトを入力します。
Copilot は 、接地 を使用して入力プロンプトを前処理し、ユーザーのテナント内の Microsoft Graph にアクセスします。
接地により、プロンプトの特異性が向上し、特定のタスクに関連して実用的な回答を得るのに役立ちます。 プロンプトには、入力ファイルまたは Copilot が検出したその他のコンテンツからのテキストを含めることができます。
Copilot が応答の生成に使用するデータは、転送中に暗号化されます。
Copilot は、根拠付きプロンプトを LLM に送信します。 LLM はプロンプトを使用して、ユーザーのタスクにコンテキストに関連する応答を生成します。
Copilot は、アプリとユーザーに応答を返します。
ユーザー アクセスとデータのプライバシー
Copilot は、既存の Microsoft 365 ロールベースのアクセス制御などに基づいて、個々のユーザーがアクセスを許可されているデータにのみアクセスします。 Copilot は、ユーザーがアクセス許可を持っていないデータにアクセスしません。
次の図は、Copilot とユーザー アクセスの連携のしくみを視覚的に示しています。
次を見てみましょう。
デバイスでは、ユーザーはアプリを開き、Copilot にプロンプトを入力します。
Copilot は 、Microsoft Graph を使用して、ユーザーの一意のコンテキストにあるユーザー データにアクセスします。 このユーザー データには、ユーザーがアクセス許可を持つメール、チャット、ドキュメントが含まれます。
Microsoft 365 サービスは、organizationのデータへのアクセスとセキュリティを制御するのに役立ちます。 これらのサービスには、制限付き SharePoint Search (RSS)、SharePoint Advanced Management (SAM)、Microsoft Purview が含まれます。 詳細については、Microsoft 365 CopilotのMicrosoft 365 E3と E5 機能の比較リストに関するページを参照してください。
Copilot は、ユーザーがアクセス許可を持っていないデータにアクセスできません。 図では、灰色で表示されたデータは、Copilot がアクセスできないデータを表しています。
ユーザーがプロンプトを入力し、Copilot が応答すると、 操作 はユーザーの Copilot チャット履歴に格納されます。 ユーザーは、以前のプロンプトを確認して再利用できます。 チャット履歴を削除することもできます。
詳細については、「Microsoft 365 Copilotを使用したユーザー操作に関するデータの格納」を参照してください。
Copilot が条件付きアクセスと MFA を受け入れ
Copilot では、条件付きアクセス ポリシーと多要素認証 (MFA) が適用されます。
これは、次のことを意味します。
条件付きアクセス ポリシーを有効にして構成する場合は、ユーザーが Microsoft 365 サービスにアクセスできることを確認します。 設定したデバイス コンプライアンス ポリシーの適用など、構成した条件に基づいてアクセスを管理できます。 詳細については、「 条件付きアクセス ポリシーを使用して AI を保護する」を参照してください。
Microsoft Intuneを使用する場合は、コンプライアンス ポリシーと条件付きアクセスIntune一緒に使用できます。 詳細については、「コンプライアンス ポリシーを使用して、Intuneで管理するデバイスのルールを設定する」を参照してください。
Copilot では、テナント用に構成したのと同じ MFA 機能が使用されます。 MFA では、すべての Microsoft 365 サービスと同様に、ユーザーは Copilot へのアクセスを許可される前に、複数の形式の検証を提供する必要があります。
テナントで セキュリティの既定値が使用されている場合、MFA は既定で有効になります。 MFA が有効になっていない場合は、 MFA を有効にすることをお勧めします。