Copilot Studio を使用すると、多くのデータソースやサービスに接続できる高価値のエージェントを迅速に構築し、ユーザーに展開することができます。 これらのソースとサービスの一部は、Microsoft 以外の外部サービスである可能性があり、組織のデータへの接続と共にソーシャル ネットワークが含まれる場合もあります。
組織のデータは、管理者が責任をもって守るべき最も重要な資産です。 他のサービスやシステムと接続して対話しながら、そのデータを保護された方法で使用できることは、データセキュリティの基礎です。
データ損失防止 (DLP) ポリシーは、エージェントが組織内外のデータやサービスとどのように接続し、やり取りするかを管理します。 管理者は、Power Platform管理センターで Copilot Studio および Power Platform の DLP ポリシーを構成できます。
重要
2025 年初頭、メッセージ センターのアラート MC973179: Copilot Studio - データ損失防止ポリシー施行の今後のアップデートで発表されたように、すべてのテナントに対する DLP ポリシー施行は既定で有効に設定されます。
テナントでの強制に関するトラブルシューティングを参照してください。
前提条件
Copilot Studio コネクタとデータ グループ
Copilot Studio コネクタは、DLP ポリシー内で以下のデータ グループに分類され、DLP ポリシーを確認する際に Power Platform 管理センターで表示されます。
- 事業
- 非ビジネス
- ブロック済み
DLP ポリシー用のコネクタを使用して、エージェント作成者による悪意のある、または意図しないデータ流出から組織のデータを保護できます。
DLP ポリシーの 既定のグループ は、導入時に明示的なグループ化が定義されていない場合にコネクタが自動的に追加されるカテゴリです。 Microsoft Entra ID 認証のないチャットや Direct Line チャネルなど、2019 年より後に導入されたコネクタは、既定の "非ビジネス" グループに追加されている可能性があります。
多くの組織では、"非ビジネス" グループのコネクタは自動的にブロックされます。 テナントで Copilot Studio DLP ポリシー コネクタがブロックされている場合は、コネクタが追加されたデータ グループを確認する必要があります。
管理者は、 Power Platform 管理センター内の DLP ポリシー レベルで既定のグループを構成できます。
重要
Copilot Studio は、リアルタイムでの DLP ポリシーの強制をサポートします。 エージェントの作成者とユーザーには、DLP ポリシー違反のエラー メッセージが表示されます。
DLP ポリシーでは、異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは同じデータ グループに属している必要があります。
Power Platform 管理センターで DLP ポリシーを構成して、以下の Copilot Studio コネクターのいずれかをブロックすることができます。
| コネクタ名 | 使用例 |
|---|---|
| Copilot StudioのApplication Insights | エージェント作成者がエージェントを Application Insights に接続することをブロックします。 |
| Copilot Studio で Microsoft Entra ID 認証なしでチャットする | 認証用に構成されていないエージェントを公開するエージェント作成者をブロックします。 エージェントとチャットにあたって、エージェントのユーザーは、自分自身を認証する必要があります 。 詳細については、データ損失防止の例 - エージェントでユーザー認証を要求するを参照してください。 |
| Copilot Studio の Direct Line チャネル | エージェントの作成者の Direct Line チャネルの有効化、または使用をブロックします。 たとえば、デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他の Direct Line チャネルはブロックされます。 |
| Copilot Studio の Facebook チャネル | エージェント作成者が Facebook チャンネルを有効化または使用することをブロックします。 |
| Copilot Studio の SharePoint と OneDrive を含むナレッジ ソース | SharePoint をナレッジ ソースとして構成されたエージェントを、エージェント作成者が公開できないようにします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| Copilot Studio のドキュメントでの知識源 | エージェント作成者が、ナレッジ ソースとしてドキュメントを構成したエージェントを公開することをブロックします。 |
| 公開 Web サイトと Copilot Studio のデータを含むナレッジ ソース | 公開 Web サイトをナレッジソースとして構成されたエージェントを、エージェント作成者が公開することをブロックします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| マイクロソフト コパイロット スタジオ | エージェント作成者が Copilot Studio エージェントでイベントトリガーを使用することをブロックします。 詳細については、データ損失防止の例 - エージェントのイベント トリガーをブロックするを参照してください。 |
| Copilot Studio の Microsoft Teams チャネル | エージェント作成者による Teams チャネルの有効化または使用をブロックします。 |
| Copilot Studio のオムニチャネル | エージェント作成者がオムニチャネルのチャネルを有効化または使用することをブロックします。 |
| Copilot Studio のスキル | エージェント作成者が Copilot Studio エージェントのスキルを使用することを禁止します。 詳細情報については、データ損失防止の事例 - エージェントでスキル をブロックする と データ損失防止の事例 - エージェントで HTTP リクエストをブロックする を参照してください。 |
DLP ポリシーの影響を特定してトラブルシューティングする
組織の DLP ポリシーが影響を与える可能性のあるエージェントを見つけるには、次の操作を行います。
Center of Excellence (CoE) スターターキット の Power BI ダッシュボードを使用して、組織内のエージェントのリストを取得します。 CoE ダッシュボードの Copilot Studio の概要ページに移動して、組織内のエージェントと環境名を確認します。
組織内の エージェント 作成者と共にキャンペーンを実施し、DLP エラーや更新された DLP ポリシーに対処します。 すべての エージェント DLP エラーをダウンロードするには、エラー通知バナーで 詳細 を選択し、エラー メッセージの詳細から ダウンロード を選択します。
DLP ポリシーがエージェントの機能に影響を与える場合は、「 Copilot Studio のデータ損失防止ポリシーのトラブルシューティング」を参照してください。
DLP ポリシー構成の例
Copilot Studio エージェントガバナンスを始めるには、次の例となるシナリオを確認してください。
- データ損失防止の例 - エージェントでユーザー認証を要求する
- データ損失防止の例 - エージェントで SharePoint ナレッジソースをブロックする
- データ損失防止の例 - エージェントで Power Platform コネクタをブロックする
- データ損失防止の例 - エージェントで HTTP 要求をブロックする
- データ損失防止の例 - エージェントでスキルをブロックする
- データ損失防止の例 - エージェントのイベント トリガーをブロックする
- データ損失防止の例 - チャネルをブロックして エージェント 公開を無効にする
重要
エージェント DLP ポリシー強制の適用除外はサポートされなくなりました。 DLP 適用から除外されていたエージェントの適用は、2025 年 1 月以降 はソフト対応 に設定され、2025 年 2 月以降 は有効 に設定されています。
詳細情報と管理者の連絡先メール リンクを追加および更新する
Set-PowerAppDlpErrorSettings PowerShell コマンドレットを使用して、メール アドレスと DLP エラー メッセージへの 「詳細情報」 リンクを追加できます。
メールアドレスと「詳しくはこちら」のリンクを初めて追加するには、次の PowerShell スクリプトを実行し、<email>、<URL>、<tenant ID> のパラメーターの値を各自の値に置き換えてください。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
既存の設定を更新する場合は、同じ PowerShell スクリプトを使用し、 New-PowerAppDlpErrorSettings を Set-PowerAppDlpErrorSettings に置き換えます。
警告
これらの設定は、指定したテナント内のすべての Power Platform アプリに適用されます。