次の方法で共有

エージェントのデータ ポリシーを構成する

Copilot Studio を使用すると、多数のデータ ソースやサービスに接続するユーザーに対して、価値の高いエージェントをすばやく作成してデプロイできます。 これらのソースやサービスの中には、外部のMicrosoft以外のサービスである場合もあります。 さらに、組織のデータと連携するソーシャルネットワークも含まれているかもしれません。

組織データは管理者が守る責任を負う最も重要な資産です。 他のサービスやシステムと連携して相互作用を維持しつつ、そのデータを保護された方法で使用する能力は、データ セキュリティの基礎です。

データポリシーは、エージェントが組織内外でデータやサービスとどのように接続し、やり取りするかを管理できるようにします。 管理者は、Power Platform 管理センターでCopilot Studio と Power Platform のデータ ポリシーを構成できます。

重要

2025 年初頭以降、メッセージ センターアラート MC973179: Copilot Studio - データ損失防止の適用に関する今後の更新で発表されているように、すべてのテナントに対してデータ ポリシーの適用が有効になります。

エージェント データ ポリシー適用除外はサポートされなくなりました。 以前はデータポリシーの強制が免除されていたエージェントも、すべて執行の対象となります。

テナントにおける データポリシーの強制 トラブルシューティングについて学びましょう。

前提条件

  • データポリシーの概念を復習しましょう。
  • テナント管理者か環境管理者の役割を持つのが良いでしょう。

Copilot Studio コネクタとデータ グループ

Power Platform 管理センターでは、Copilot Studio コネクタをデータ ポリシー内の次のデータ グループに分類できます。

  • 事業
  • 非ビジネス
  • ブロック済み

これらのコネクターをデータポリシーに活用し、エージェント作成者による悪意あるまたは意図しないデータ流出から組織のデータを保護しましょう。

データ ポリシーの既定グループは、導入時に明示的なグループ分けが定義されていない場合に、コネクタが自動的に追加されるカテゴリです。 コネクタは、2019年以降に導入されたもので、例えばCopilot Studio内でのMicrosoft Entra ID認証が不要なチャットやCopilot StudioのDirect Lineチャンネルなどがあり、既定の「非ビジネス」グループの一部となる可能性があります。

多くの組織では、"非ビジネス" グループのコネクタは自動的にブロックされます。 Copilot Studio テナント内のコネクタがデータ ポリシーによってブロックされている場合は、コネクタが存在するデータ グループを確認します。

管理者はPower Platform管理センターのデータ ポリシーレベルでデフォルトグループを設定 できます。

重要

Copilot Studio では、リアルタイムでのデータ ポリシーの適用がサポートされています。 エージェント作成者とユーザーは、データ ポリシー違反が発生した場合にエラー メッセージを確認します。

データ ポリシーでは、異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは同じデータ グループに属している必要があります。

Copilot Studio エージェントの一般的なデータ ポリシーのユース ケース

Power Platform 管理センターの Copilot Studio コネクタを使用して、次の一般的なユース ケースのデータ ポリシーを構成できます。

  • ユーザー認証を義務付ける
  • 知識の情報源をブロックする
  • Power Platform コネクタをツールとして使用することをブロックする
  • HTTPリクエストをブロックする
  • ブロックスキル
  • 特定のチャンネルへの公開をブロックする
  • ブロックイベントトリガー

Power Platform管理センターでサポートされているコネクタのリストには、さらにいくつかのユースケースが含まれています。

ユーザー認証を義務付ける

新しいエージェントを作成すると、デフォルトで 「Microsoft認証で認証」 オプションがオンになっています。 エージェントは、手動セットアップを必要とせずに、Microsoft Entra ID認証を自動的に使用します。 エージェントとチャットできるのは、Microsoft Teams、SharePoint、Power Apps、またはMicrosoft 365 Copilotのみです。 しかし、組織内のエージェント作成者は「 認証なし 」を選択して、リンクを持つ誰でもエージェントとチャットできるようにできます。

認証設定パネルのスクリーンショットで、「Microsoftで認証」オプションが選択されています。

エージェント作成者が認証を必要としないエージェントを発行できないようにするには、Copilot Studio で Microsoft Entra ID 認証なしでの「チャット」コネクタをブロックするデータポリシーを構成してください。

このデータ ポリシーを設定したら、 エージェント作成者は、Authenticate with Microsoft または Authenticate を手動で使用するのみを使用して、Copilot Studio でエージェントのユーザー認証を<構成でき、エージェント ユーザーはエージェントとチャットするために自分自身を認証する必要があります。

知識情報源を制限する

データポリシーを使って、エージェント作成者が使用できる知識ソースを制御しましょう。

エージェント作成者が特定の種類の知識ソースを使用するエージェントを公開するのを防ぐために、以下のコネクターのいずれかをブロックする データポリシーを設定し てください。

  • Copilot Studio でSharePointとOneDriveを使用してソースを確認します
  • Copilot Studio でパブリック Web サイトとデータを使用してソースを確認
  • Copilot Studio におけるドキュメントを含む知識ソース

または、作成者が Copilot Studio エージェントのナレッジ ソースとして使用できるSharePointまたはパブリック Web サイトの特定のエンドポイントを許可または拒否する場合は、選択したコネクタをブロックするのではなく、endpoint フィルタリングを使用します。

Power Platformコネクタをツールとして使用することをブロックする

エージェント作成者が Power Platform コネクタを Copilot Studio エージェントでツールとして使用できないようにするために、ブロックしたいコネクタを含めてデータ ポリシーを構成します。

HTTPリクエストをブロックする

組織内のエージェント作成者は HTTPリクエスト ノードを使ってHTTPリクエストを行うことができます。

エージェント作成者がHTTPリクエストを行ったエージェントを公開するのを防ぐために、HTTPコネクタをブロックするデータポリシーを設定してください。

あるいは、すべてのHTTP呼び出しをブロックするのではなく、特定のHTTPエンドポイントを許可または拒否したい場合、 エンドポイントフィルタリングを使うこともできます。

ブロックスキル

あなたの組織のエージェント開発者は、エージェントにスキルを追加することができます。 スキルはエージェントの機能を拡張する有効な手段となり得ます。 ただし、セキュリティ上の理由からは、エージェントが使えるスキルを設定することをおすすめします。

エージェント作成者がスキルを使用するエージェントを発行できないようにするには、Skills with Copilot Studio コネクタをブロックするデータポリシーを構成します。

特定のチャンネルへの公開をブロックする

データポリシーを使って、制作者がエージェントを公開できるチャネルを設定しましょう。

エージェント作成者が特定のチャネルにエージェントを公開するのを防ぐために、以下のコネクターのいずれかをブロックする データポリシーを設定し てください。

  • Copilot Studio の Microsoft Teams + M365 チャネル
  • Direct Line Copilot Studio のチャネル (デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他のDirect Line チャネルに適用されます)
  • Copilot Studio の Facebook チャネル
  • Copilot Studio の Omnichannel
  • Copilot Studio の SharePoint チャネル
  • Copilot Studio の WhatsApp チャネル

作成者がブロックされていないチャネルにエージェントを構成しない場合 (Direct Line チャネルは既定で許可されます)、管理者がチャネルを許可しない場合は、エージェントを発行できません。

ブロックイベントトリガー

組織内のエージェント作成者は、エージェントにイベント トリガーを追加することができます。 イベント トリガーを使用すると、エージェントは人間のプロンプトなしで外部イベントに対応できます。 ただし、データの流出や不要な消費、ノルマの使用を防ぐために、使用を制限した方が良いかもしれません。

エージェント作成者が認証されたアカウントを使用して、エージェントにイベント トリガーを追加したり、自動評価を実行したりできないようにするには、Microsoft Copilot Studio コネクタをブロックするデータ ポリシーを構成します。

Power Platform管理センターのコネクター名

次の表に、Copilot Studio エージェントのデータ ポリシーで使用できるコネクタの名前を示します。

エージェントメーカーが...不正行為を行うのを防ぐために、 Power Platform管理センターにおけるコネクター名
エージェントとアプリケーションインサイトをつなぐ。 Copilot Studio の Application Insights
認証設定されていないパブリッシングエージェント。 Copilot Studio でMicrosoft Entra ID認証なしでチャットする
HTTPリクエストを出すパブリッシングエージェント。 HTTP
エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。
ドキュメントを知識ソースとして設定したパブリッシングエージェント。 Copilot Studio のドキュメントを含むナレッジ ソース
公開ウェブサイトを知識ソースとして設定した出版エージェント。 Copilot Studio のパブリック Web サイトとデータを含むナレッジ ソース
エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。
SharePointをナレッジ ソースとして構成された発行エージェント。 Copilot Studio のSharePointとOneDriveを使用したナレッジ ソース
エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。
Direct Line チャンネルへの発行。 Copilot Studio でDirect Lineチャネルを管理する
Dynamics 365 Customer Service チャネルへの発行。 Copilot Studio のオムニチャネル
Facebookチャンネルへの公開。 Copilot Studio の Facebook チャネル
SharePoint チャネルへの公開。 Copilot StudioのSharePointチャネル
Teams と Microsoft 365 Copilot チャネルへの発行。 Copilot Studio の Microsoft Teams + M365 チャネル
WhatsAppチャンネルへの公開。 Copilot Studio の WhatsApp チャネル
Copilot Studio エージェントでのイベント トリガーの使用、または認証されたアカウントを使用した自動評価の実行。 Microsoft Copilot Studio
Copilot Studio エージェントのツールとして Power Platform コネクタを使用する。 多くの既製およびカスタムコネクター
Copilot Studio エージェントでのスキルの使用。 Copilot Studio でのスキル

Power Platform管理センターでデータポリシーを設定してください

  1. Power Platform 管理センターにサインインします。

  2. サイドバーで 「セキュリティ」を選択し、「 データとプライバシー」を選択してください。 [ データ保護とプライバシー ] ページが開きます。

  3. [データ ポリシー] を選択します。 データポリシーリストが表示されます。

  4. 新しいデータ ポリシーを作成するか、編集する既存のデータ ポリシーを選択します。

    • 新しいデータポリシーを作成するには、「新しいポリシー」を選択し、希望する名前を入力してください。
    • 既存のデータポリシーを編集するには、データポリシーを選択し、「ポリシー編集」を選択します。

  5. 次へを選択します。 「 環境を追加」 ページが表示されます。

    • データポリシーに環境を追加するには、「 利用可能 」タブで環境を選択し、次に 「ポリシーに追加」を選択してください。
    • データポリシーから環境を削除するには、「 ポリシーに追加 」タブに切り替え、環境を選択し、「 ポリシーから削除」を選択してください。

  6. 次へを選択します。 コネクター の割り当て ページが表示されます。

  7. 検索ボックスを使って、欲しいコネクターを探してください。

  8. コネクターの隣にある3つの点(⋮)を選択し、次の通りです:

    • エージェント作成者がコネクタに関連する機能を使わせないようにしたい場合は 、ブロックを選択してください。

    • ナレッジ ソースとして構成されたSharePointまたはパブリック Web サイト、または HTTP 要求に対して特定のエンドポイントを許可または拒否する場合:

      1. 「コネクタのエンドポイントを設定する」オプションを選択してください。
      2. 欲しいエンドポイントやパターンを追加し、その後 「保存」を選択します。

  9. 次へを選択します。

  10. テナント管理者や複数の環境の環境管理者であれば、「 定義スコープ 」ページが開きます。

    1. 希望するオプションを選択してください:

      • すべての環境を追加する:テナント全体のすべての環境を追加します。 このポリシーは、テナント内で作成された新しい環境に自動的に適用されます。
      • 複数の環境を追加する: このポリシーに含める環境を選択します。
      • 特定の環境を除外する: このポリシーから除外する環境を選択します。

      テナントスコープを持つポリシーは、テナント内のすべての環境のすべてのエージェントに適用されます。

    2. 次へを選択します。

  11. ポリシーを確認し、新しいポリシーを作成する場合は [ポリシーの作成 ] を選択し、既存のポリシーを編集する場合は [ポリシーの更新 ] を選択します。

  12. Copilot Studio に移動し、ユース ケースに対して想定どおりにデータ ポリシーが適用されていることを確認します。

Copilot Studio でデータ ポリシーの適用を確認する

データ ポリシーが有効であることを確認するには、Copilot Studio でエージェントを開きます。 データポリシーの対象となる操作を試みると、「 詳細 」ボタン付きのエラーバナーが表示されます。 詳細を見るには、 チャンネルページで エラーリンクを展開し、「 ダウンロード」を選択してください。 詳細ファイルでは、各違反を記述する行があります。 データポリシー違反が発生すると、 公開 ボタンは利用できなくなります。

  • ユーザー認証が必要か確認してください
  • 知識ソースがブロックされているか確認してください
  • Power Platformコネクターが道具として使えないか確認してください
  • HTTPリクエストがブロックされているか確認してください
  • スキルがブロックされているか確認してください
  • 特定のチャンネルへの公開がブロックされているか確認してください
  • イベントトリガーがブロックされているか確認してください

ユーザー認証が必要か確認してください

ユーザー認証を必須とするデータポリシーのある環境で、ユーザー認証を必須に設定されていないエージェントを開くと、「 詳細 」ボタン付きのエラーバナーが表示されます。 詳細を見るには、 チャンネルページで エラーリンクを展開し、「 ダウンロード」を選択してください。 詳細ファイルでは、各違反を記述する行があります。

エージェント作成者は、スプレッドシートの詳細を持って管理者に連絡し、データポリシーの適切な更新を行うことができます。

または、エージェント作成者は、エージェントの認証設定をMicrosoftで認証または手動で認証Azure Active DirectoryまたはAzure Active Directory v2)に更新するように認証構成ページで設定を変更できます。 Copilot Studio でのユーザー認証の構成を参照してください。

認証 なし と一部の手動認証オプションが選択できないことに注目してください。

知識ソースがブロックされているか確認してください

  1. Copilot Studio で、作成者が特定のナレッジ ソースを追加できないようにするデータ ポリシーを使用して、環境内のエージェントを開きます。

  2. ナレッジページに行き、「ナレッジを追加」を選び、あなたのデータポリシーでブロックされているナレッジソースを追加してください。

  3. エージェントを公開してみてください。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。

  4. チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。 詳細ファイルでは、知識ソースのデータポリシー違反がある場合、その知識ソースとその知識ソースを使用する各生成回答ノードの行が表示されます。

Power Platformコネクターが道具として使えないか確認してください

  1. Copilot Studio で、Power Platform コネクタに基づいてツールの構成をさせないデータ ポリシーが設定されている環境で、エージェントを開きます。

  2. 新しいトピックを作成し、 ツール ノードを追加します。

  3. ツール を追加 パネルで「 コネクター」 タブに切り替え、データポリシーでブロックされているコネクターを選択します。 必要に応じて、検索ボックスを使用します。

  4. トピックを保存してエージェントをデプロイしてみる。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。

  5. チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。

クラシック チャットボットは Power Platform コネクタをサポートしていません。

HTTPリクエストがブロックされているか確認してください

  • Web アプリ
  • クラシック

  1. Copilot Studio で、HTTP 要求をブロックするデータ ポリシーを使用して、環境内のエージェントを開きます。

  2. 新しいトピックを作成し、 HTTPリクエスト ノードを追加します。 最低限、URLプロパティを埋めてください。

  3. トピックを保存してエージェントをデプロイしてみる。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。

  4. チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。 詳細ファイルには、各違反の説明が記載された行が表示されます。 HTTPコネクタがブロックされている場合、HTTPコネクタが他のデータグループと異なるデータグループに属している場合、またはHTTPコネクタがブロックされていないがエンドポイントが拒否された場合に違反が生じます。

スキルがブロックされているか確認してください

  1. Copilot Studio で、作成者がスキルを構成できないようにするデータ ポリシーを使用して、環境でエージェントを開きます。

  2. エージェントに スキルを追加 してみてください。 データポリシーが強制された場合、 スキル追加 パネルがエラーを報告し、管理者に連絡してスキルを許可リストに追加するよう勧めます。

特定のチャンネルへの公開がブロックされているか確認してください

  1. Copilot Studio で、作成者が特定のチャネルに発行できないようにするデータ ポリシーを使用して、環境内のエージェントを開きます。

  2. データポリシーでブロックされるチャネルを設定してみてください。 データポリシーが強制されている場合、そのチャネルに公開することはできません。

イベントトリガーがブロックされているか確認してください

  1. Copilot Studio で、作成者がイベント トリガーを追加できないようにするデータ ポリシーを使用して、環境内のエージェントを開きます。

  2. ポリシーが強制された場合、概要ページのトリガーセクションに詳細なエラーメッセージが表示されます。 メッセージにはデータポリシーの名前が記載されており、管理者に連絡するよう勧められています。

データ ポリシーの影響を特定してトラブルシューティングする

組織のデータ ポリシーが影響を与える可能性のあるエージェントを見つけるには、次の操作を行います:

  • Center of Excellence (CoE) スターター キットのPower BI ダッシュボードを使用します。 CoE ダッシュボードの Copilot Studio の概要ページには、組織内のエージェントと環境が一覧表示されます。

    Microsoft Teamsのレガシ Microsoft Copilot Studio アプリを使用して作成された従来のチャットボットは、CoE スターター キットでは検出できません。 環境内のすべてのエージェントとクラシック チャットボットの一覧を取得するには、選択した環境から行を一覧表示するPower Automate クラウド フロー Dataverse アクションを作成できます。

  • データ ポリシー エラーまたは更新されたデータ ポリシーに対処するには、組織内のエージェント作成者と共にキャンペーンを実行します。 すべてのエージェント データ ポリシー エラーをダウンロードするには、エラー通知バナーで [詳細 ] を選択し、エラー メッセージの詳細から [ダウンロード ] を選択します。

データ ポリシーがエージェントの機能に影響する場合は、「 Copilot Studio のデータ ポリシーの適用に関するページを参照してください。

PowerShellコマンドレットを使って、データポリシーのエラーメッセージにメールアドレスと「詳細を学ぶ」リンクを追加してください。

電子メール アドレスと [詳細情報] リンクが強調表示された、Copilot Studio のデータ ポリシー関連のエラー メッセージのスクリーンショット。

メールアドレスと「詳細を学ぶ」リンクを追加するには、以下のPowerShellスクリプトを実行してください。 、、のパラメータの値を自分のものに置き換えてください。

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

既存の構成を更新するには、同じPowerShellスクリプトを使い、 を に置き換えてください。

警告

これらの設定は、指定されたテナント内のすべての Power Platform アプリに適用されます。

  • Last updated on