グローバルなセキュリティで保護されたアクセス ネットワーク制御を使用すると、Microsoft Copilot Studio エージェントの詳細なアクセス制御を実装できます。 Web コンテンツのフィルター処理、脅威インテリジェンス のフィルター処理、ネットワーク ファイルのフィルター処理などのネットワーク セキュリティ ポリシーをエージェント トラフィックに適用できます。 この機能は、組織内の他のトラフィックの種類に使用するエージェントにも同様のセキュリティ制御を提供します。
Microsoft Entra は Microsoft Copilot Studio と統合され、エージェントの対話のためのネットワーク セキュリティ制御を提供します。 この統合により、組織はセキュリティ ポリシーを適用し、グローバルなセキュリティで保護されたアクセスの可視性プラットフォームを使用してエージェント トラフィックを監視し、エージェントと外部リソース間の安全な通信を確保できます。
[前提条件]
Copilot Studio エージェントのネットワーク セキュリティを構成するには、次が必要です。
- グローバル セキュリティで保護されたアクセス機能を管理するための Microsoft Entra ID のグローバル セキュリティで保護されたアクセス管理者ロール。
- Copilot Studio 環境を管理するための Power Platform 管理者 ロール。
- Dataverse が環境に追加された Power Platform 環境。 詳細については、Power Platform 管理センターで環境を作成、管理するを参照してください。
Copilot Studio エージェントのネットワーク制御を有効にする
Copilot Studio エージェントのネットワーク制御を有効にするには、最初に Power Platform 管理センターでこれらのエージェントからのトラフィック転送を有効にする必要があります。
- Power Platform 管理者として Power Platform 管理センターにサインインします。
- [ Security>Identity & access>Global Secure Access for Agents を参照します。
- 適切な環境または環境グループを選択し、[ セットアップ] を選択します。
- 選択に 対してエージェントのグローバル セキュリティで保護されたアクセス を有効にします。
![環境の選択と切り替えが有効になっている [エージェントのグローバル なセキュリティで保護されたアクセス] セットアップ ページが表示されている Power Platform Admin Center のスクリーンショット。](media/how-to-secure-web-ai-gateway-agents/screenshot-power-platform-gsa-agents-ui.png#lightbox)
注
特定の環境または環境グループで GSA for Agents を有効にした後、グローバル セキュア アクセス経由でトラフィックをルーティングするために、既存のカスタム コネクタを作成または更新する必要があります。
Copilot Studio エージェントのセキュリティ ポリシーを作成する
ネットワーク制御を有効にした後、エージェント トラフィックにグローバル セキュリティ アクセス セキュリティ ポリシーを適用できます。 Web コンテンツ のフィルター処理、脅威インテリジェンス のフィルター処理、およびその他のセキュリティ ポリシーを適用できます。 次の例は、Web コンテンツ フィルター ポリシーを構成する方法を示しています。
- グローバル セキュア アクセス 管理者として Microsoft Entra 管理センターにログインします。
- グローバルセキュリティで保護されたアクセス>セキュリティで保護された>Webコンテンツフィルタリングポリシーを参照します。
- [ポリシーの作成] を選択します。
- Copilot Studio エージェント Web リポジトリなどのわかりやすい名前とポリシーの説明を入力し、[次へ] を選択します。
- [ ルールの追加] を選択します。
- Copilot Studio エージェントの要件に固有の規則を構成します。
- [Web リポジトリをブロックする]: 宛先を追加して、Web リポジトリと関連ドメインをブロックします。
- [ 次へ ] を選択してポリシーを確認します。
- [ポリシーの作成] を選択します。
ポリシーをベースライン プロファイルにリンクする
セキュリティ ポリシーをベースライン プロファイルにリンクして、Copilot Studio エージェント トラフィックに適用することで、セキュリティ ポリシーをグループ化します。 条件付きアクセス ポリシーにリンクされているセキュリティ プロファイルは、Copilot Studio エージェントでは現在サポートされていません。
- グローバル セキュア アクセス 管理者として Microsoft Entra 管理センターにログインします。
- [グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。
- [ ベースライン プロファイル ] タブを選択します。
- [ 編集] を 選択してベースライン プロファイル ルールを編集します。
- [ ポリシーのリンク] を選択し、[ 既存のポリシー] を選択します。
- 先ほど作成した Copilot Studio エージェント Web リポジトリ ポリシーを選択し、[ 追加] を選択します。
- [ 保存] を 選択してプロファイルの変更を保存します。
監視と保守
定期的な監視とメンテナンスにより、セキュリティ構成が引き続き有効になります。
- 通常 とは異なるパターンがないか、または正当なトラフィックをブロックした場合は、トラフィック ログを定期的に確認します。 詳細については、「 グローバル なセキュア アクセス ネットワーク トラフィック ログ」を参照してください。
- 新しいサービスまたは要件が出現するにつれて、フィルター ポリシーを更新します。
- 運用環境に適用する前に、開発環境でポリシーの変更をテストします。
注
Web コンテンツのフィルター処理に関連するグローバル セキュリティで保護されたアクセス エクスペリエンスの構成変更は、通常、5 分以内に有効になります。
既知の制限事項
- 適用機能では、ベースライン プロファイルのみがサポートされます。 ネットワーク セキュリティ ポリシーはテナントごとに適用されます。
- サードパーティのデータ損失防止 (DLP) などのグローバルな Secure Access パートナー エコシステム統合はサポートされていません。
- Copilot Studio Bing検索ネットワーク トランザクションはサポートされていません。
- ネットワーク セキュリティ制御では、特定の Copilot Studio コネクタのみがサポートされます。 サポートされているコネクタの一覧については、Copilot Studio のドキュメントを参照してください。
- 現在、グローバル セキュア アクセス トラフィック ログで返されるエージェント名は、エージェントの一意の スキーマ名です。
- 現在、GSA によってブロックされている Copilot Studio エージェントのブロック エクスペリエンスには、HTTP アクション用 の 502 Bad Gateway またはコネクタの 403 Forbidden が示されています。 これは既知の問題であり、近日中に改善が予定されています。