次の方法で共有

Copilot の管理

  • [アーティクル]

商用データ保護の資格

Microsoft Copilot (旧 Bing Chat Enterprise) には、職場または学校アカウント (Entra ID) でサインインしている資格のあるユーザーに対する商用データ保護が含まれています。 現在、商用データ保護は対象ライセンスを持つユーザーが Copilot で利用できます。

Enterprises

  • Microsoft 365 E3 または E5
  • Microsoft 365 F1 または F3
  • Microsoft 365 Business Premium、Business Standard、または Business Basic
  • Microsoft 365 Apps for enterprise または Microsoft 365 Apps for business
  • Office 365 E1、E1 Plus、E3、E5、または F3

教育学部の教員と高等教育の学生 (18歳以上)

  • Microsoft 365 A1、A3、または A5
  • Office 365 A1、A3、または A5

学生の資格には、学生使用特典ライセンスが含まれます

Office 365 A1 Plus ライセンスは、今年後半に廃止されたため対象外です。 詳細情報: Office 365 A1 Plus の廃止計画 | Microsoft Education

"Microsoft Copilot の商用データ保護" サービス プランを使用すると、IT 管理者は、Copilot の使用中にユーザーが商用データ保護を受けるかどうかを管理できます。 商用データ保護は、これらの各ライセンスを持つユーザーに対して既定で有効になっています。

現時点では、Copilot の商用データ保護は、政府機関のクラウドのお客様や初等中等教育の学生には利用できません。 Copilot は、時間の経過と共により多くの職場および学校アカウント (Entra ID) に商用データ保護を追加します。

Copilot は、オンライン サービスの Universal ライセンス条項に準拠しています。

概要: サービス プランを使用した商用データ保護の管理

商用データ保護を受けるには、対象となる職場または学校アカウント (Entra ID) を使用して Copilot にサインインする必要があります。 個人用 Microsoft アカウント (MSA) を使用して Copilot にサインインしたユーザーは、商用データ保護を受け取りません。

対象ユーザーが職場または学校のアカウント (Entra ID) を使用して Copilot にサインインしたときに商用データ保護を受け取るには、"Microsoft Copilot の商用データ保護" サービス プラン (部品番号: bing_chat_enterprise) を有効にする必要があります。 Copilot サービス プランは、対象ユーザーの Microsoft 365 ライセンスに含まれています。 ユーザーが商用データ保護で Copilot を使用していることを確認するために、サービス プランは既定で有効になっています。

PowerShell を使用すると、目的のユーザーのライセンスを一括割り当ておよび削除できます。 PowerShell を使用して Microsoft 365 ライセンスをユーザー アカウントに割り当てる方法、または PowerShell を使用して Microsoft 365 サービスへのアクセスを無効にする方法について説明します。

変更が有効になるまでに最大 48 時間かかる場合があります。

商用データ保護を使用して Copilot を管理するための手順

Microsoft Copilot の商用データ保護は、サービス プランによって管理されます。 管理者は、ライセンス名の横にあるボックスを選択または選択解除することで、 Copilot の商用データ保護を有効または無効にすることができます。

Copilot サービス プランを管理するときのセレクターを示すスクリーンショット。

Microsoft 365 管理センターから:

  1. [ユーザー] > [アクティブ ユーザー] の順に選択します

    Copilot サービス プランを管理する手順 1 を示すスクリーンショット。

  2. ライセンスを管理するユーザーを選択します。

  3. [製品ライセンスを管理] を選択します。

    Copilot サービス プランを管理する手順 3 を示すスクリーンショット。

  4. 現在ユーザーに割り当てられているライセンスに注意してください。 Microsoft Copilot の商用データ保護の対象ではないライセンスがユーザーに割り当てられている場合、管理者には以下の手順 5 のオプションが表示されません。

    Copilot サービス プランを管理する手順 4 を示すスクリーンショット。

  5. [アプリ] セクションまで下にスクロールし、[アプリケーションの表示] ドロップダウンを選択します。

    Copilot サービス プランを管理する手順 5 を示すスクリーンショット。

  6. ユーザーにこの機能を許可する場合は [Microsoft Copilot の商用データ保護] の横にあるボックスを選択します。 この機能をユーザーに許可しない場合は [Microsoft Copilot の推奨データ保護] の横にあるボックスの選択を解除します。

上記の手順は、ライセンスをユーザーごとに個別に選択する必要がある Microsoft 365 管理センターから行います。 グループでライセンスを管理する必要がある管理者の場合は、Microsoft Entra ID のグループ メンバーシップでユーザーにライセンスを割り当てることができます。 グループを選択した場合、各グループは Microsoft Copilot の商用データ保護を選択または選択解除する必要があります。

ユーザーには複数のサービス プランを割り当てることができます。 たとえば、ユーザーに Microsoft 365 E3 プランと Microsoft 365 E5 プランを割り当てることができます。 Microsoft Copilot の商用データ保護は、サービス プランとサービス プラン間で利用できるため、サービス プラン間でライセンスの割り当てを管理することが必要になる場合があります。 ユーザーが Microsoft Copilot の商用データ保護を使用したくない場合は、それらのプランでライセンスが選択解除されていることを確認する必要があります。 例: E3 プランと E5 プランの両方を持つユーザーは、両方のプランで [Microsoft Copilot の商用データ保護] を選択解除する必要があります。 一方が選択解除され、もう一方のライセンスが選択されている場合は、選択したオプションが優先されます。

Microsoft 365 E3/E5 Original のサブスクリプションの Copilot の管理

Enterprise Agreement (EA) を通じて購入した Microsoft 365 E3 または E5 Original のサブスクリプションのある組織では、Microsoft 365 E3 または E5 Extra Features ライセンスを使用してユーザーの Microsoft Copilot を管理する必要がなくなりました。 Original のサブスクリプションを持つ組織は、Office 365 ライセンスに基づく "Microsoft Copilot の商用データ保護" サービス プランを使用して、ユーザーの Copilot を管理できるようになりました。

ネットワーク要件

Copilot では、Web にアクセスする AI シナリオが可能になるため、特定のネットワーク エンドポイント (ドメイン) に接続する必要がある場合があります。 Copilot を機能させるには、次の IP 許可リストに載せる必要があります。

  • *.bing.com
  • *.bing.net
  • copilot.microsoft.com
  • msn.com
  • login.live.com
  • challenges.cloudflare.com
  • login.microsoftonline.com
  • Sydney.bing.com:443、s.copilot.microsoft.com:443、copilot.microsoft.com:443 への WebSocket 接続を許可する

テスト接続を介して必要なポートへのアクセスを確認します (例: Test-NetConnection sydney.bing.com -Port 443)。

Copilot for Microsoft 365 では、Teams、Outlook、Word などの Microsoft 365 アプリケーションを使用するときに、生成 AI 機能が追加されます。 そのため、Microsoft 365 アプリが使用するのと同じネットワーク接続とエンドポイントを使用する必要があります。

Microsoft 365 の Copilot のネットワーク要件の完全なドキュメントを参照してください。このドキュメントには、組織のネットワークによってブロックされないドメインと WebSocket (WSS) の完全な一覧が示されています。

Copilot で商用データ保護を要求する

Copilot は、ユーザーのプロファイル アイコンとエクスペリエンスの上部にある名前の横に緑色のシールドが表示され、商用データ保護が有効になっていることを明確にします。 ユーザーがシールドをポイントすると、"商用データ保護がこのチャットに適用されます" という確認メッセージが表示されます。

対象ユーザーが商用データ保護を Copilot できるようにするには、まず、対象ユーザーに対して Copilot サービス プランを有効にする必要があります。

Copilot サービス プランを有効にする: Entra ID を使用してサインインすると、資格のあるユーザーが任意の Copilot エントリ ポイントで商用データ保護にアクセスするには、組織でサービス プランが有効になっている必要があります。

対応が必要: M365 管理センターで、対象ユーザーに対して "Microsoft Copilot の商用データ保護" サービス プランを有効にします。

商用データ保護なしでCopilot を使用できないようにする: 組織内の適格なユーザーが、Entra ID でサインインしたときに商用データ保護 (以前の Bing Chat) なしで Copilot にアクセスできないようにするには、DNS リダイレクトまたは HTTP ヘッダーインジェクションを使用できます。 構成に最適な次のソリューションを実装します。

ブラウザーで cdp.copilot.microsoft.com を開いて Copilot を管理しないでください。 エラーが発生します。 代わりに、以下のドキュメントに従って、DNS の変更またはヘッダーの挿入を行います。

Windows での DNS リダイレクト:

必要なアクション: さまざまな Copilot エントリ ポイントの DNS リダイレクトを作成します。

  • Bing の Copilot、Edge の Copilot、Windows の Copilot アプリの場合:www.bing.com の DNS エントリを nochat.bing.com の CNAME に設定して、DNS 構成を更新します。

  • copilot.microsoft.com および Copilot モバイル アプリの場合: copilot.microsoft.com の DNS エントリを cdp.copilot.microsoft.com の CNAME に設定して、DNS 構成を更新します。

  • Active Directory Domain Services (AD DS): メンバー サーバーに DNS ロールを展開します。 新しくデプロイされた DNS サーバーで、次のフォワーディング プライマリ ゾーンを作成します:

    DNS プライマリ ゾーン サーバーの設定を示すスクリーンショット。

それぞれのゾーンに次の CNAME レコードを作成します:

DNS サーバー設定の最初の CNAME レコードを示すスクリーンショット。 DNS サーバー設定の 2 番目の CNAME レコードを示すスクリーンショット。

AD DNS サーバーで、次の条件付きフォワーダーを作成し、AD 統合を作成します。

DNS サーバー設定の条件付きフォワーダーを示すスクリーンショット。

条件付きフォワーダーは、cdp.copilot.microsoft.com 条件付きフォワーダーを除き、開始時に作成されたメンバー サーバー DNS を使用するように設定する必要があります。

DNS サーバー設定の条件付きフォワーダーをさらに示すスクリーンショット。

セカンダリ DNS ソリューション: 組織でプライマリ サーバーとして Microsoft DNS を使用している場合は、セカンダリ DNS を使用して、microsoft.com のプライマリ ゾーンを作成する必要があります。

必要な操作: セカンダリ サーバーで、copilot.microsoft.com の CNAME を追加し、cdp.copilot.microsoft.com をポイントして、Copilot でデータ保護を強制します。

運用サーバーで、次の 2 つの条件付きフォワーダーを作成します:

a) 条件付きフォワーダー 'copilot.microsoft.com' を使用して、セカンダリ DNS サーバーに要求を送信して CNAME を取得します。

b) 条件付きフォワーダー 'cdp.copilot.microsoft.com' を使用して、インターネットに要求を送信します。

これらの DNS 構成ソリューションは、HTTPS リダイレクトではなく、Windows の DNS リダイレクトです。 Bing、Edge、copilot.microsoft.com の Copilot、および Windows 上の Copilot アプリと Copilot モバイル アプリの場合は、nochat.bing.com IP ではなく CNAME を使用します。これは、nochat.bing.com の IP が変更されても CNAME は引き続き機能するためです。

HTTP ヘッダー挿入: 上記の DNS ソリューションが構成に適していない場合は、ヘッダー ソリューションを使用できます。

対応が必要: www.bing.com、edgeservices.bing.com、および copilot.microsoft.com のすべての送信要求に次の HTTP ヘッダーを追加してください。

x-ms-entraonly-copilot: 1

または、組織のファイアウォールで宛先ネットワーク アドレス変換 (DNAT) 機能を使用することもできます:

  • Bing の Copilot、Edge の Copilot、Windows の Copilot アプリの場合:www.bing.com と edgeservices.bing.com を DNAT IP アドレス nochat.bing.com に解決します。
  • copilot.microsoft.com と Copilot モバイル アプリの場合: copilot.microsoft.com を DNAT IP アドレス cdp.copilot.microsoft.com に解決します。

これらの構成は、デバイスが企業ネットワークに接続されている場合にのみ適用されます。 Copilot は検索などのパブリック サービスであり、企業ネットワークの外部からアクセスされた場合は引き続き使用できます。

Edge の Copilot へのアクセスのみをブロックするには、Copilot in Edge のドキュメントを参照してください。

www.bing.com IP アドレスをブロックすると、他の Microsoft ドメインもブロックされる可能性があります。

Edge と Windows の Copilot

Edge の Copilot を管理する方法については、Copilot in Edge を参照してください。

Windows で Copilot アプリを管理する方法については、このサポート ページを参照してください。