Copilot Studioを使えば、多くのデータソースやサービスに接続する高価値エージェントを迅速に作成・展開できます。 これらのソースやサービスの中には、外部のMicrosoft以外のサービスである場合もあります。 さらに、組織のデータと連携するソーシャルネットワークも含まれているかもしれません。
組織データは管理者が守る責任を負う最も重要な資産です。 他のサービスやシステムと連携して相互作用を維持しつつ、そのデータを保護された方法で使用する能力は、データ セキュリティの基礎です。
データポリシーは、エージェントが組織内外でデータやサービスとどのように接続し、やり取りするかを管理できるようにします。 管理者は、Power Platform管理センターで Copilot Studio と Power Platform のデータ ポリシーを構成できます。
重要
2025年初頭から、すべてのテナントに対してデータポリシーの強制が実施されており、メッセージセンターのアラート MC973179 Copilot Studio - 今後のデータ損失防止強制のアップデートが発表されています。
エージェント データ ポリシー適用除外はサポートされなくなりました。 以前はデータポリシーの強制が免除されていたエージェントも、すべて執行の対象となります。
テナントにおける データポリシーの強制 トラブルシューティングについて学びましょう。
前提条件
Copilot Studio コネクタとデータ グループ
Power Platform管理センターでは、Copilot Studioコネクタをデータポリシー内の以下のデータグループに分類できます:
- 事業
- 非ビジネス
- ブロック済み
これらのコネクターをデータポリシーに活用し、エージェント作成者による悪意あるまたは意図しないデータ流出から組織のデータを保護しましょう。
データ ポリシーの既定グループは、導入時に明示的なグループ分けが定義されていない場合に、コネクタが自動的に追加されるカテゴリです。 2019年以降に導入されたコネクタ、例えば Copilot StudioのMicrosoft Entra ID認証なしのチャット や Copilot StudioのDirect Lineチャネルは、デフォルトの「非ビジネス」グループに含まれる可能性が高いです。
多くの組織では、"非ビジネス" グループのコネクタは自動的にブロックされます。 もしデータポリシーがCopilot Studioのテナントでコネクタをブロックした場合は、そのコネクタがどのデータグループに属しているかを確認してください。
管理者はPower Platform管理センターのデータ ポリシーレベルでデフォルトグループを設定 できます。
重要
Copilot Studio はデータ ポリシーのリアルタイム適用をサポートします。 エージェント作成者とユーザーは、データ ポリシー違反が発生した場合にエラー メッセージを確認します。
データ ポリシーでは、異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは同じデータ グループに属している必要があります。
Copilot Studioエージェントの一般的なデータポリシーユースケース
Power Platform管理センターのCopilot Studioコネクターを使って、以下の一般的なユースケースのデータポリシーを設定できます:
- ユーザー認証を義務付ける
- ブロック知識ソース
- Power Platformコネクタをツールとして使うブロック
- HTTPリクエストをブロックする
- ブロックスキル
- 特定のチャンネルへの公開をブロックする
- ブロックイベントトリガー
Power Platform管理センターでサポートされているコネクタのリストには、さらにいくつかのユースケースが含まれています。
ユーザー認証を義務付ける
新しいエージェントを作成すると、デフォルトで 「Microsoft認証で認証」 オプションがオンになっています。 エージェントは手動設定を不要に自動的にMicrosoft Entra ID認証を使用します。 Microsoft Teams、SharePoint、Power Apps、またはMicrosoft 365 Copilotでのみエージェントとチャットできます。 しかし、組織内のエージェント作成者は「 認証なし 」を選択して、リンクを持つ誰でもエージェントとチャットできるようにできます。
エージェント作成者が認証を必要としないエージェントを公開するのを防ぐために、Copilot StudioでMicrosoft Entra ID認証なしでコネクタチャットをブロックするデータポリシーを設定してください。
このデータポリシーを設定すると、エージェント作成者はCopilot Studioでエージェントの認証を設定するためにAuthenticate with Microsoftまたは手動認証のみを使え、エージェントユーザーはエージェントとチャットするために自分自身を認証しなければなりません。
ブロック知識ソース
データポリシーを使って、エージェント作成者が使用できる知識ソースを制御しましょう。
エージェント作成者が特定の種類の知識ソースを使用するエージェントを公開するのを防ぐために、以下のコネクターのいずれかをブロックする データポリシーを設定し てください。
- Copilot Studio の SharePoint と OneDrive を使用したナレッジ ソース
- Copilot Studio のパブリック Web サイトとデータを含むナレッジ ソース
- Copilot Studio のドキュメントを含むナレッジ ソース
あるいは、SharePointや公開ウェブサイトで、作成者がCopilot Studioエージェントの知識ソースとして使える特定のエンドポイントを許可・拒否したい場合は、選択したコネクタをブロックする代わりに エンドポイントフィルタリング を使いましょう。
Power Platformコネクタをツールとして使うブロック
エージェント作成者がCopilot Studioエージェントの ツールとしてPower Platformコネクタを使 わないようにするには、ブロックしたいコネクタで データポリシーを設定し てください。
HTTPリクエストをブロックする
組織内のエージェント作成者は HTTPリクエスト ノードを使ってHTTPリクエストを行うことができます。
エージェント作成者がHTTPリクエストを行ったエージェントを公開するのを防ぐために、HTTPコネクタをブロックするデータポリシーを設定してください。
あるいは、すべてのHTTP呼び出しをブロックするのではなく、特定のHTTPエンドポイントを許可または拒否したい場合、 エンドポイントフィルタリングを使うこともできます。
ブロックスキル
あなたの組織のエージェント作成者は 、エージェントにスキルを拡張することができます。 スキルはエージェントの機能を拡張する有効な手段となり得ます。 ただし、セキュリティ上の理由からは、エージェントが使えるスキルを設定することをおすすめします。
エージェント作成者がスキルを使うエージェントを公開するのを防ぐために、Copilot Studioコネクタでスキルをブロックするデータポリシーを設定してください。
特定のチャンネルへの公開をブロックする
データポリシーを使って、制作者がエージェントを公開できるチャネルを設定しましょう。
エージェント作成者が特定のチャネルにエージェントを公開するのを防ぐために、以下のコネクターのいずれかをブロックする データポリシーを設定し てください。
- コピロットスタジオのMicrosoft Teams + M365チャンネル
- Copilot Studioのダイレクトラインチャンネル (デモウェブサイト、カスタムウェブサイト、モバイルアプリ、その他のダイレクトラインチャンネルに適用)
- Copilot Studio の Facebook チャネル
- Copilot Studio のオムニチャネル
- Copilot Studio の SharePoint チャネル
- Copilot Studio の WhatsApp チャネル
注
もしメーカーがブロックされていないチャネルのエージェントを設定しなかったり(デフォルトではダイレクトラインチャネルが許可されている)、管理者がどのチャネルも許可していない場合、エージェントは公開できません。
ブロックイベントトリガー
組織内のエージェント作成者は、エージェントにイベント トリガーを追加することができます。 イベント トリガーを使用すると、エージェントは人間のプロンプトなしで外部イベントに対応できます。 ただし、データの流出や不要な消費、ノルマの使用を防ぐために、使用を制限した方が良いかもしれません。
エージェント作成者が認証済みアカウントを使ってイベントトリガーを追加したり、自動評価を実行したりするのを防ぐために、Microsoft Copilot Studioコネクタをブロックするデータポリシーを設定しましょう。
Power Platform管理センターのコネクター名
以下の表は、Copilot Studioエージェントのデータポリシーで使用できるコネクタの名前を示しています。
| エージェントメーカーが... | Power Platform管理センターにおけるコネクター名 |
|---|---|
| エージェントとアプリケーションインサイトをつなぐ。 | Copilot Studio の Application Insights |
| 認証設定されていないパブリッシングエージェント。 | Copilot Studio で Microsoft Entra ID の認証なしでチャットする |
| HTTPリクエストを出すパブリッシングエージェント。 | HTTP エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。 |
| ドキュメントを知識ソースとして設定したパブリッシングエージェント。 | Copilot Studio のドキュメントでのナレッジ ソース |
| 公開ウェブサイトを知識ソースとして設定した出版エージェント。 | 公開 Web サイトと Copilot Studio のデータを含むナレッジ ソース エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。 |
| SharePointを知識ソースとして設定したパブリッシングエージェント。 | Copilot Studio の SharePoint と OneDrive を含むナレッジ ソース エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。 |
| ダイレクトラインチャネルへの公開。 | Copilot Studio の Direct Line チャネル |
| Dynamics 365カスタマーサービスチャネルへの公開。 | Copilot Studio のオムニチャネル |
| Facebookチャンネルへの公開。 | Copilot Studio の Facebook チャネル |
| SharePointチャンネルへの公開。 | Copilot StudioにおけるSharePointチャンネル |
| TeamsおよびMicrosoft 365 Copilotチャンネルへの公開。 | Copilot StudioにおけるMicrosoft Teams + M365チャンネル |
| WhatsAppチャンネルへの公開。 | Copilot StudioのWhatsAppチャンネル |
| Copilot Studioエージェントのイベントトリガーを使うか、認証済みアカウントを使って自動評価を実行すること。 | Microsoft Copilot Studio |
| Copilot StudioエージェントでPower Platformコネクタをツールとして使う方法。 | 多くの既製およびカスタムコネクター |
| Copilot Studioエージェントのスキル活用。 | Copilot Studio のスキル |
Power Platform管理センターでデータポリシーを設定してください
Power Platform 管理センターにサインインします。
サイドバーで 「セキュリティ」を選択し、「 データとプライバシー」を選択してください。 [ データ保護とプライバシー ] ページが開きます。
[データ ポリシー] を選択します。 データポリシーリストが表示されます。
新しいデータ ポリシーを作成するか、編集する既存のデータ ポリシーを選択します。
- 新しいデータポリシーを作成するには、「新しいポリシー」を選択し、希望する名前を入力してください。
- 既存のデータポリシーを編集するには、データポリシーを選択し、「ポリシー編集」を選択します。
[次へ] を選択します。 「 環境を追加」 ページが表示されます。
- データポリシーに環境を追加するには、「 利用可能 」タブで環境を選択し、次に 「ポリシーに追加」を選択してください。
- データポリシーから環境を削除するには、「 ポリシーに追加 」タブに切り替え、環境を選択し、「 ポリシーから削除」を選択してください。
[次へ] を選択します。 コネクター の割り当て ページが表示されます。
検索ボックスを使って、欲しいコネクターを探してください。
コネクターの隣にある3つの点(⋮)を選択し、次の通りです:
エージェント作成者がコネクタに関連する機能を使わせないようにしたい場合は 、ブロックを選択してください。
SharePointやパブリックウェブサイトの知識ソース、またはHTTPリクエストに対して特定のエンドポイントを許可または拒否したい場合は:
- コネクタエンドポイントの構成を選択してください>
- 欲しいエンドポイントやパターンを追加し、その後 「保存」を選択します。
[次へ] を選択します。
テナント管理者や複数の環境の環境管理者であれば、「 定義スコープ 」ページが開きます。
希望するオプションを選択してください:
- すべての環境を追加する:テナント全体のすべての環境を追加します。 このポリシーは、テナント内で作成された新しい環境に自動的に適用されます。
- 複数の環境を追加する: このポリシーに含める環境を選択します。
- 特定の環境を除外する: このポリシーから除外する環境を選択します。
注
テナントスコープを持つポリシーは、テナント内のすべての環境のすべてのエージェントに適用されます。
[次へ] を選択します。
ポリシーを確認し、新しいポリシーを作成する場合は [ポリシーの作成 ] を選択し、既存のポリシーを編集する場合は [ポリシーの更新 ] を選択します。
Copilot Studioにアクセスして、あなたのユースケースに合ったデータポリシーを適切に適用しているか確認してください。
Copilot Studio でデータ ポリシーの適用を確認する
Copilot Studioでエージェントを開いてデータポリシーが有効かどうか確認できます。 データポリシーの対象となる操作を試みると、「 詳細 」ボタン付きのエラーバナーが表示されます。 詳細を見るには、 チャンネルページで エラーリンクを展開し、「 ダウンロード」を選択してください。 詳細ファイルでは、各違反を記述する行があります。 データポリシー違反が発生すると、 公開 ボタンは利用できなくなります。
- ユーザー認証が必要か確認してください
- 知識ソースがブロックされているか確認してください
- Power Platformコネクターが道具として使えないか確認してください
- HTTPリクエストがブロックされているか確認してください
- スキルがブロックされているか確認してください
- 特定のチャンネルへの公開がブロックされているか確認してください
- イベントトリガーがブロックされているか確認してください
ユーザー認証が必要か確認してください
ユーザー認証を必須とするデータポリシーのある環境で、ユーザー認証を必須に設定されていないエージェントを開くと、「 詳細 」ボタン付きのエラーバナーが表示されます。 詳細を見るには、 チャンネルページで エラーリンクを展開し、「 ダウンロード」を選択してください。 詳細ファイルでは、各違反を記述する行があります。
エージェント作成者は、スプレッドシートの詳細を持って管理者に連絡し、データポリシーの適切な更新を行うことができます。
あるいは、エージェント作成者が認証設定を「Microsoftで認証」または「手動認証」(Azure Active DirectoryまたはAzure Active Directory v2)に更新することも可能です。 Copilot Studio でのユーザー認証を構成する をご覧ください。
認証 なし と一部の手動認証オプションが選択できないことに注目してください。
知識ソースがブロックされているか確認してください
Copilot Studioでは、特定の知識ソースを追加できないデータポリシーのある環境でエージェントを開いてください。
ナレッジページに行き、「ナレッジを追加」を選び、あなたのデータポリシーでブロックされているナレッジソースを追加してください。
エージェントを出版してみてください。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。
チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。 詳細ファイルでは、知識ソースのデータポリシー違反がある場合、その知識ソースとその知識ソースを使用する各生成回答ノードの行が表示されます。
Power Platformコネクターが道具として使えないか確認してください
Copilot Studioでは、Power Platformコネクターに基づくツールの設定を妨げるデータポリシーのある環境でエージェントを開いてください。
新しいトピックを作成し、 ツール ノードを追加します。
ツール を追加 パネルで「 コネクター」 タブに切り替え、データポリシーでブロックされているコネクターを選択します。 必要に応じて、検索ボックスを使用します。
トピックを保存してエージェントを出版してみてください。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。
チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。
注
クラシック チャットボットは Power Platform コネクタをサポートしていません。
HTTPリクエストがブロックされているか確認してください
Copilot Studioで、HTTPリクエストをブロックするデータポリシーがある環境でエージェントを起動します。
新しいトピックを作成し、 HTTPリクエスト ノードを追加します。 最低限、URLプロパティを埋めてください。
トピックを保存してエージェントを出版してみてください。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。
チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。 詳細ファイルには、各違反の説明が記載された行が表示されます。 HTTPコネクタがブロックされている場合、HTTPコネクタが他のデータグループと異なるデータグループに属している場合、またはHTTPコネクタがブロックされていないがエンドポイントが拒否された場合に違反が生じます。
スキルがブロックされているか確認してください
Copilot Studioでは、技術設定を妨げるデータポリシーのある環境でエージェントを開いてください。
エージェントに スキルを追加 してみてください。 データポリシーが強制された場合、 スキル追加 パネルがエラーを報告し、管理者に連絡してスキルを許可リストに追加するよう勧めます。
特定のチャンネルへの公開がブロックされているか確認してください
Copilot Studioでは、特定のチャネルへの公開を妨げるデータポリシーのある環境でエージェントを開設します。
データポリシーでブロックされるチャネルを設定してみてください。 データポリシーが強制されている場合、そのチャネルに公開することはできません。
イベントトリガーがブロックされているか確認してください
Copilot Studioでは、イベントトリガーの追加を防ぐデータポリシーのある環境でエージェントを起動します。
ポリシーが強制された場合、概要ページのトリガーセクションに詳細なエラーメッセージが表示されます。 メッセージにはデータポリシーの名前が記載されており、管理者に連絡するよう勧められています。
データ ポリシーの影響を特定してトラブルシューティングする
組織のデータ ポリシーが影響を与える可能性のあるエージェントを見つけるには、次の操作を行います:
センター オブ エクセレンス (CoE) スターター キットの Power BI ダッシュボードを使用します。 CoE ダッシュボードの Copilot Studio の概要ページには、組織内のエージェントと環境が一覧表示されます。
注
Microsoft Teamsの旧版Microsoft Copilot Studioアプリを使って作成されたクラシックチャットボットは、CoEスターターキットでは発見できません。 環境内のすべてのエージェントとクラシック チャットボットの一覧を取得するには、選択した環境の Dataverse アクション の行を一覧表示 する Power Automate クラウド フローを作成します。
データ ポリシー エラーまたは更新されたデータ ポリシーに対処するには、組織内のエージェント作成者と共にキャンペーンを実行します。 すべてのエージェント データ ポリシー エラーをダウンロードするには、エラー通知バナーで [詳細 ] を選択し、エラー メッセージの詳細から [ダウンロード ] を選択します。
データポリシーがエージェントの機能に影響を与える場合は、「 Copilot Studioのデータポリシー強制のトラブルシューティング」をご覧ください。
「詳細はこちら」と管理者の連絡先メールリンクを追加・更新してください
Set-PowerAppDlpErrorSettingsPowerShellコマンドレットを使って、データポリシーのエラーメッセージにメールアドレスと「詳細を学ぶ」リンクを追加してください。
メールアドレスと「詳細を学ぶ」リンクを追加するには、以下のPowerShellスクリプトを実行してください。
<email>、<URL>、<tenant ID>のパラメータの値を自分のものに置き換えてください。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
既存の構成を更新するには、同じPowerShellスクリプトを使い、 New-PowerAppDlpErrorSettings を Set-PowerAppDlpErrorSettingsに置き換えてください。
警告
これらの設定は、指定されたテナント内のすべての Power Platform アプリに適用されます。