コパイロットのデータ損失防止を構成する
重要
Power Virtual Agents 機能は、生成 AI への多大な投資と Microsoft Copilot 全体の統合の強化により、現在 Microsoft Copilot Studio の一部となっています。
ドキュメントやトレーニング コンテンツが更新される間、一部の記事やスクリーンショットで Power Virtual Agents が参照される場合があります。
注意
2024 年 5 月 21 日に、新しいデータ損失防止 (DLP) ポリシー組み込みコネクタをリリースしました。リリース後 30 日で適用されます。
組織内での DLP の構成によっては、Copilot メーカーに DLP エラー バナーが表示され、生成回答を使用するコパイロットを公開できない場合があります。
これらの DLP ポリシーは、次の制御をカバーします。
- Copilot Studio の SharePoint と OneDrive での知識源
- Copilot Studio での公開ウェブサイトとデータを含む知識源
- Copilot Studio のドキュメントでの知識源
- Copilot StudioのApplication Insights
これは、お客様のコパイロットとの会話には影響しません。
準備するためには何をする必要がありますか?
管理者は、DLP ポリシーを更新して新しいコネクタをビジネス データ グループまたは非ビジネス データ グループのいずれかに含めることで、これらの新しいコネクタの管理方法を変更できます。 ポリシーのデフォルト グループがブロックに設定されている場合、コパイロットメーカーにこれらのコネクタを使用しないようにするか、適切なデータ グループに再配置するようにアドバイスできます。
組織のデータは、管理者が責任をもって守るべき最も重要な資産です。 こうしたデータを活用するオートメーションを構築する機能は、会社の成功に大きく貢献します。
エンドユーザー向けに価値の高いコパイロットを迅速にビルドして展開できます。 コパイロットをさまざまなデータ ソースやサービスに接続できます。 これらソースとサービスの中には、外部のサードパーティのサービスであったり、ソーシャル ネットワークを含む可能性があります。
曝露の可能性は見落としやすいものです。 この種の曝露は、データの漏えい、またはデータへのアクセスを許可されていないサービスやオーディエンスへの接続によって発生する可能性があります。
管理者は、既存のコネクタと Copilot Studio コネクタのデータ損失防止 (DLP) ポリシーを使用して、組織内のコパイロットを管理できます。 DLP ポリシーは、Power Platform 管理センター で作成されます。 DLP ポリシーを作成するには、テナント管理者 になるか、または 環境管理者の役割 を持っている必要があります。
前提条件
- DLP ポリシーについての概念を確認する
Copilot Studio コネクタ
Copilot Studio コネクタは、DLP ポリシー内で以下のデータ グループに分類され、DLP ポリシーを確認する際に Power Platform 管理センターで表示されます。
- 事業
- 非ビジネス
- ブロック済み
DLP ポリシーでコネクタを使用すると、コパイロット作成者による悪意のあるデータまたは意図しないデータ漏洩から組織のデータを保護できます。
重要
デフォルトでは、コパイロットの DLP 強制はすべてのテナントで無効になっています。 強制の有効化 について解説します。
異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは 1 つのデータグループに属する必要があります。
Power Platform 管理センターでは、以下の Copilot Studio コネクタが利用できます。
これらのコネクタは、次のように DLP 用に構成できます。
| コネクタ名 | プロパティ |
|---|---|
| Copilot StudioのApplication Insights | コパイロット メーカーがコパイロットと Application Insights が接続する のをブロックします。 |
| Copilot Studio で Microsoft Entra ID 認証なしでチャットする | コパイロット作成者が認証用に構成されていないコパイロットを公開できないようにします。 Copilot ユーザーは、コパイロットとチャットするために認証 を必要とします。 詳細については、例: コパイロットにエンドユーザー認証を要求するを参照してください。 |
| Copilot Studio の Direct Line チャネル | コパイロット メーカーが Direct Line チャネルを有効にしたり使用したりすることをブロックします。 たとえば、デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他の Direct Line チャネルはブロックされます。 |
| Copilot Studio の Facebook チャネル | コパイロット作成者が Facebook チャネルを有効にしたり使用したりできないようにブロックします。 |
| Copilot Studio の SharePoint と OneDrive を含むナレッジ ソース | コパイロット メーカーが、SharePoint および OneDrive ナレッジ ソースとして構成されたコパイロットを公開することをブロックします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| 公開 Web サイトと Copilot Studio のデータを含むナレッジ ソース | コパイロット メーカーが、公開 Web サイトをナレッジ ソースとして構成されたコパイロットを公開することをブロックします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| Copilot Studio のドキュメントでの知識源 | コパイロット メーカーが、ナレッジ ソースとしてドキュメントで構成されたコパイロットを公開することをブロックします。 |
| Copilot Studio の Microsoft Teams チャネル | コパイロット作成者が Teams チャネルを有効にしたり使用したりできないようにブロックします。 |
| Copilot Studio のオムニチャネル | コパイロット作成者が オムニチャネル チャネルを有効にしたり使用したりできないようにブロックします。 |
| Copilot Studio のスキル | コパイロット作成者が Copilot Studio コパイロットのスキルを使用することをブロックします。 詳細については、例: DLP を使用して Copilot Studio コパイロットのスキルをブロックする と 例: DLP を使用して Copilot Studio コパイロットからの HTTP 要求をブロックする を参照してください。 |
DLP ポリシー構成の例
Copilot Studio コパイロット ガバナンスを使い始められるように、さまざまなシナリオを想定した 4 つの例を作成しました。
- 例: DLP を利用してコパイロットにエンドユーザー認証を要求する
- 例: DLP を使用してコパイロットの SharePoint および OneDrive 知識源をブロックする
- 例: DLP を使用してコパイロットの Power Platform コネクタをブロックする
- 例: DLP を使用してコパイロットの HTTP 要求をブロックする
- 例: DLP を使用して コパイロットのスキルをブロックする
- 例: DLPを使用してチャネルへのコパイロットの公開をブロックする
PowerShell を使用して、組織内のコパイロットに対する DLP 強制を有効にして管理する
PowerAppDlpErrorSettings および PowerVirtualAgentsDlpEnforcement PowerShell cmdlets を使用して、DLP ポリシーをコパイロットに適用するかどうかを構成できます。
以下のことを行えます。
- テナント内のコパイロットに対して DLP が有効になっているかどうかを確認します。
- 監査モード (
-Mode SoftEnabled) で DLP を有効または無効にすると、コパイロット作成者はエラーを確認できますが、DLP 強制が完全に有効になっている場合にブロックされるアクションの実行は妨げられません。 - DLP 強制を有効または無効にすると、DLP 強制エラーが表示され、コパイロット作成者が DLP の影響を受けるボットを公開したり、DLP 関連の設定を構成したりすることができなくなります。
- 特定のコパイロットを DLP 強制から免除します。
- コパイロット作成者が Copilot Studio Web アプリや Teams アプリで DLP に遭遇したときに表示される詳細情報と連絡先メール リンクを追加して更新します。
重要
PowerShell コマンドレット、またはここに示すサンプル スクリプトを使用する前に、PowerShell を使用して次のモジュールがインストールされていることを確認してください。
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
コマンドレットを使用するには、テナント管理者である必要があります。
通常、これらのコマンドレットは、次の手順で構成される DLP のロールアウト プロセスに従って使用します。
コパイロット作成者の DLP エラーに表示される詳細情報と管理者の連絡先電子メール リンクを追加または更新します。
現在 DLP ポリシー強制が有効になっているコパイロット (存在する場合) を確認します。
監査または「ソフト」モードを使用することで、作成者は Copilot Studio web と Teams アプリの DLP エラーを確認することができます。
作成者に連絡し、アプリやフローに関する最適な対応を通知することでリスクを低減します。
DLP の影響を受けるタスクや機能を防ぐために、コパイロットの DLP 強制を有効にします。
コパイロットのユースケースと要件に応じて、1 人以上のコパイロットを DLP ポリシー強制から除外することもできます。
詳細情報と管理者の連絡先メール リンクを追加および更新する
Set-PowerAppDlpErrorSettings PowerShell コマンドレットを使用して、メールと詳細情報リンクを設定することができます。 コパイロット作成者は、DLP エラーが発生したときにこの情報を確認します。
電子メールと詳細情報のリンクを初めて追加する場合は、次の PowerShell スクリプトを実行し、<email>、<URL>、<tenant ID> パラメータの値を独自のものに置き換えます。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
既存の設定を更新する場合は、同じ PowerShell スクリプトを使用し、 New-PowerAppDlpErrorSettings を Set-PowerAppDlpErrorSettings に置き換えます。
注意
これらの設定は、指定したテナント内のすべての Power Platform アプリに適用されます。
コパイロットの DLP 強制を有効にして構成する
PowerVirtualAgentsDlpEnforcement コマンドレットを使用すると、Copilot Studio 内の DLP 実施の有効化、無効化、設定、監査が可能です。
以下の例のいずれにおいても、<tenant ID> をテナントの ID に置き換えて (または宣言) します。
<date> を MM-DD-YYYY 形式の日付に置き換えることにより、特定の日付以降に作成されたコパイロットに範囲を設定できます。 スコープを削除するには、-OnlyForBotsCreatedAfter パラメータとその値を削除します。
コパイロットに対する DLP 強制を確認する
デフォルトでは、コパイロットの DLP 強制はすべてのテナントで無効になっています。
以下の PowerShell コマンドレットを実行することで、あるテナントで Copilot Studio 用 DLP が有効になっているかどうかを確認できます。
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
Copilot Studio DLP を設定していない場合、コマンドレットからの結果は空白になります。
監査または「ソフト」モードを使用して、Copilot Studio の Web または Teams アプリで DLP エラーを確認する
以下の PowerShell スクリプトを実行し、監査モードで DLP ポリシーを有効にします。 コパイロット作成者は、Copilot Studio Web アプリや Teams アプリでコパイロットを構成するときに DLP 関連のエラーが表示されますが、DLP 関連のアクションの実行はブロックされません。 通常どおりコパイロットを公開することもできます。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
組織の既存の DLP ポリシーの影響を受ける可能性のあるコパイロットを見つけるには、次の方法があります。
Center of Excellence (CoE) スターター キット を使用して、組織内のコパイロットのリストを取得します。 Copilot Studio CoE ダッシュボードの概要ページでは、組織内のコパイロットと環境名を確認できます。
組織内のコパイロット作成者と協力してキャンペーンを実行し、DLP エラーや更新された DLP ポリシーに対処します。 エラー通知バナーで 詳細 を選択し、エラー メッセージの詳細から ダウンロード を選択すると、すべてのコパイロット DLP エラーをダウンロードできます。
コパイロットに対する DLP 施行を有効にする
重要
DLP 強制を有効にする前に、DLP ポリシー違反によりどのコパイロットがコパイロット ユーザーにエラーを表示するかを確認してください。
問題が発生した場合は、作成者が DLP ポリシーに準拠するようにコパイロットを修正している間、コパイロットを DLP ポリシーから除外するか、DLP 強制を無効にすることができます。
以下の PowerShell コマンドを実行することで、Copilot Studio に DLP ポリシーを適用することができます。 Copilot メーカーは DLP の影響を受けるアクションを実行できなくなり、トリガーされた場合はエンドユーザーにエラーが表示されます。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
DLP ポリシーからボットを除外する
テナントの DLP 強制を有効にしているが、コパイロットがメーカーやエンドユーザーに DLP エラーを表示しないようにする必要がある場合は、次の PowerShell スクリプトを実行できます。
<environment ID>、<bot ID>、<tenant ID>、そして <policy ID> を、免除するコパイロットの適切な ID を使用します。
チップ
コパイロットの URL に、<environment ID> と <bot ID> が表示されています。
<policy ID> は ダウンロードの詳細 ファイルにエラーの詳細と一緒に記載されています。 Copilot Studio のエラー通知バナーで ダウンロードの詳細 を選択すると、当該のファイルをダウンロードすることができます。
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
コパイロットに対する DLP 強制を有効にする
次のコマンドは、コパイロットでの DLP 強制を無効にします。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示