エージェント用にグローバル セキュリティで保護されたアクセス、セキュリティで保護された Web、および AI ゲートウェイを構成する (プレビュー)

[この記事はプレリリース ドキュメントであり、変更されることがあります。]

組織が自律 AI エージェントと対話型 AI エージェントを統合して、以前に人間が処理したタスクを実行する場合、管理者は従来のユーザー ネットワーク セキュリティ ポリシーと管理エクスペリエンスと比較して可視性と制御の低下に気付く可能性があります。

エージェントにグローバル セキュア アクセス (GSA) を使用すると、これらのエージェントがナレッジ、ツール、アクションを使用して他のリソースにアクセスする方法を、ユーザーの規制方法と同様の方法で規制できます。

Important

• これはプレビュー機能です。
• プレビュー機能は運用環境向けではなく、機能が制限されている可能性があります。 これらの機能は、追加使用条件の対象であり、公式リリース前にお客様が早期にアクセスし、フィードバックを提供できるよう利用可能になっています。

主な利点

エージェント トラフィックをグローバル セキュア アクセスに転送した後、次のセキュリティ制御を適用できます。

• Web コンテンツ フィルタリング: カテゴリと URL に基づいて Web コンテンツへのアクセスを制御します。
• 脅威インテリジェンスのフィルター処理: 既知の悪意のあるサイトやサービスへのアクセスをブロックします。
• ネットワーク ファイルのフィルター処理: ファイルのアップロードとダウンロードを制御します。

グローバル セキュリティで保護されたアクセスのベースライン プロファイルを使用して、エージェントのセキュリティ ポリシーを構成します。 ベースライン プロファイルでは、テナント レベルでセキュリティ ポリシーが適用され、すべてのエージェント トラフィックで一貫したセキュリティ制御が保証されます。

Copilot Studio エージェント向けの安全なWebゲートウェイとAIゲートウェイのしくみ

Copilot Studio エージェントに一貫したネットワーク セキュリティ制御を適用するには、エージェントからのトラフィックを Global Secure Access のグローバル分散プロキシ サービスに転送します。 Power Platform 管理センターでのエージェント トラフィックの転送は、環境ごとまたは環境ごとのグループ単位で有効にすることができます。 転送は、HTTP ノードとツールによって生成されたコネクタからのトラフィック、カスタム コネクタ、カスタム モデル コンテキスト プロトコル (MCP) サーバー、カスタム ツール、 サポートされているコネクタの完全な一覧など、あらゆる種類のエージェント トラフィックに適用されます。

エージェントからグローバル セキュア アクセスにトラフィックを転送した後は、ユーザーに対して使用するのと同じセキュリティ制御をエージェントに適用できます。これには、Web コンテンツ のフィルター処理、脅威インテリジェンス のフィルター処理、ネットワーク ファイルのフィルター処理などが含まれます。

エージェントが外部リソースに対して要求を行うと、Global Secure Access サービスは、構成したセキュリティ ポリシーに対して要求をリアルタイムで評価します。 要求が構成済みのポリシーに準拠している場合、サービスによって許可されます。 要求がセキュリティ ポリシーに違反している場合、グローバル セキュリティ アクセス サービスは、監査と監視のために適切なログ記録を使用して要求を拒否します。

[前提条件]

• グローバル セキュリティで保護されたアクセス機能を操作する管理者は、実行しているタスクに応じて、次のロールの割り当てを 1 つ以上持っている必要があります。
  • グローバル セキュア アクセス管理者ロールでグローバル セキュア アクセス機能を管理します。
  • Copilot Studio 環境を管理するための Power Platform Administrator ロール。
• Dataverse が追加された Power Platform 環境。

高レベルの手順

Copilot Studio エージェントのネットワーク制御を構成するには、いくつかの手順が必要です。

1. Power Platform 環境設定で Copilot Studio エージェントのネットワーク制御を有効にします
2. Copilot Studio トラフィックのセキュリティ ポリシーを作成します

Copilot Studio エージェントのネットワーク制御を有効にする

最初の手順では、Power Platform 管理センターで Copilot Studio エージェントからのトラフィック転送を有効にします。

注

Power Platform 管理センターでこの機能を有効にする前に、テナントが Microsoft Entra 管理センターのグローバル セキュリティで保護されたアクセス

環境レベルでネットワーク制御を有効にする

環境レベルでグローバル セキュリティで保護されたアクセス設定を構成するには、次の手順を実行します。

1. Power Platform 管理センターにサインインします。
2. ナビゲーション ウィンドウで、[ セキュリティ] を選択します。
3. [ セキュリティ ] ウィンドウで、[ ID とアクセス] を選択します。
4. エージェントのグローバルセキュリティで保護されたアクセスを選択します。
5. 適切な環境を選択し、[ セットアップ] を選択します。
6. 選択した環境で[エージェントのグローバル セキュリティで保護されたアクセスを有効にする]をオンに切り替えます。
7. 保存を選びます。

環境グループ レベルでネットワーク制御を有効にする

環境グループ レベルでグローバル セキュリティで保護されたアクセス設定を構成するには、次の手順を実行します。

1. Power Platform 管理センターにサインインします。
2. ナビゲーション ウィンドウで、[ セキュリティ] を選択します。
3. [ セキュリティ ] ウィンドウで、[ ID とアクセス] を選択します。
4. エージェントのグローバルセキュリティで保護されたアクセスを選択します。
5. セキュリティ設定を適用する [環境グループ ] タブを選択し、[ 設定] を選択します。
6. 選択した環境グループの [エージェントのグローバル セキュリティで保護されたアクセスを有効にする ] を オン に切り替えます。
7. 保存を選びます。

注

環境または環境グループでエージェントのグローバル セキュリティで保護されたアクセスを有効にした後、既存の Copilot Studio カスタム コネクタを編集して保存し、そのトラフィックが Global Secure Access 経由で確実にルーティングされるようにする必要があります。 後で作成されたカスタム コネクタでは、この構成が自動的に使用されます。

Copilot Studio エージェントのセキュリティ ポリシーを作成する

ネットワーク制御を有効にした後、エージェント トラフィックにグローバル セキュア アクセス セキュリティ ポリシーを適用します。 Web コンテンツ のフィルター処理、脅威インテリジェンス のフィルター処理、およびその他のセキュリティ ポリシーを適用します。 次の例は、Web コンテンツ フィルター ポリシーを構成する方法を示しています。

1. Microsoft Entra管理センターにセキュリティで保護されたアクセス管理者としてサインインします。
2. グローバルセキュリティで保護されたアクセス>セキュリティで保護された>Webコンテンツフィルタリングポリシーを参照します。
3. [ポリシーの作成] を選択します。
4. ポリシーのわかりやすい名前と説明を入力し、[ 次へ] を選択します。
5. [規則の追加] を選択します。
6. セキュリティに基づいて Copilot Studio エージェントの要求に沿うようにルールを設定します。 たとえば、 Web repositories、 Illegal software、安全でない職場 (NSFW) サイトへのアクセスなどをブロックします。
7. [ 次へ ] を選択してポリシーを確認します。
8. [ポリシーの作成] を選択します。

次に、悪意のある宛先からエージェントを保護する 脅威インテリジェンス などのポリシーや、意図しないデータ漏洩から保護し、インライン データ 漏洩を防ぐ ファイル ポリシー を作成します。

ポリシーをベースライン プロファイルにリンクする

ベースライン プロファイルにリンクしてセキュリティ ポリシーをグループ化し、Copilot Studio エージェント トラフィックに適用します。 条件付きアクセス ポリシーにリンクされているセキュリティ プロファイルは、現在、Copilot Studio エージェントではサポートされていません。

1. Microsoft Entra管理センターにセキュリティで保護されたアクセス管理者としてサインインします。
2. [グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。
3. [ ベースライン プロファイル ] タブを選択します。
4. [ 編集] を 選択してベースライン プロファイル ルールを編集します。
5. [ ポリシーのリンク] を選択し、[ 既存のポリシー] を選択します。
6. 先ほど作成した Copilot Studio エージェント Web リポジトリ ポリシーを選択し、Add を選択します。
7. [ 保存] を 選択してプロファイルの変更を保存します。

監視と保守

定期的な監視とメンテナンスにより、セキュリティ構成が引き続き有効になります。

1. 通常 とは異なるパターンがないか、または正当なトラフィックをブロックした場合は、トラフィック ログを定期的に確認します。 詳細については、「 グローバル なセキュア アクセス ネットワーク トラフィック ログ」を参照してください。
2. 新しいサービスまたは要件が出現するにつれて、フィルター ポリシーを更新します。
3. 運用環境に適用する前に、開発環境でポリシーの変更をテストします。

注

Web コンテンツのフィルター処理に関連するグローバル セキュリティで保護されたアクセス エクスペリエンスの構成変更は、通常、5 分以内に有効になります。

グローバル セキュア アクセスのセキュリティ制御の詳細

グローバル セキュリティで保護されたアクセス ポータルでセキュリティ制御を構成する

既知の制限事項

• グローバル セキュリティで保護されたアクセス のトラフィック ログは、エージェントの一意の schema nameとしてエージェント名を返します。
• グローバル セキュリティで保護されたアクセスによってブロックされる Copilot Studio エージェントのブロック エクスペリエンスには、HTTP アクションの場合は 502 Bad Gateway、コネクタの場合は 403 Forbidden が表示されます。 このエクスペリエンスは既知の問題であり、近日中に改善が予定されています。
• ベースライン プロファイルのみが適用でサポートされているため、ネットワーク セキュリティ ポリシーはテナント単位です。
• サードパーティのデータ損失防止 (DLP) などのグローバルな Secure Access パートナー エコシステム統合はサポートされていません。
• Copilot Studio Bing検索ネットワーク トランザクション (パブリック Web サイトおよび Wikipedia からの知識を含む) はサポートされていません。
• Dataverse とAzure SQLナレッジ ソースへのネットワーク要求はサポートされていません。
• オーケストレーションまたは結果の強化のために大規模言語モデル (LLM) へのネットワーク要求はサポートされていません。
• 制限付きコネクタのサポート (詳細については 、サポートされているコネクタを 参照してください)。
• サポートされているコネクタに記載されているもの以外 のコネクタ はサポートされておらず、確実に機能しない可能性があります。

サポートされているコネクタ

現在、次のコネクタは、セキュリティで保護された Web および AI ゲートウェイCopilot Studio エージェントをサポートしています。 プレビューでこれらのコネクタに問題がある場合は、サポートにお問い合わせください。

• Adobe PDF ツール
• Adobe Sign
• AI Builder
• アマゾンS3
• 承認
• ArcGIS
• Asana
• Azure AD
• Azure AD アプリケーション
• Azure AI Foundry Agent Service
• Azure AI Foundry 推論
• Azure Application Insights
• Azure 言語認識サービス
• Azure Cognitive Services の Computer Vision
• Azure Cognitive Services Text Analytics
• Azure Communication Services電子メール
• Azure Communication Services のSMS
• Azure Data Factory
• Azure Event Hubs
• Azure Log Analytics データ コレクター
• Azure Resource Manager
• Azure のテーブル ストレージ
• AZURE VM
• Bing Maps
• Bitly
• Blackbaud Altru スタッフ
• Blackbaud Raiser's Edge NXT
• Blackbaud RENXT ギフト
• Blackbaud SKY アドイン
• Box MCP サーバー
• Power Apps用カード
• SMS の送信をクリックする
• クラウドマーシブ コンバート
• Cognito Forms
• コンピューターオペレーター
• コンフルエンス
• Power2Apps によるコンバーター
• 財務コパイロット
• Databricks
• デスクトップ フロー
• DocuSign
• DocuSign デモ
• Egnyte
• Encodian 変換
• Encodian Document Manager
• Encodian PDF

• エンコディアン Word
• エクセル
• Experlogix Smart Flows (エクスパーロジックス スマート フローズ)
• Formstack
• Freshdesk
• Freshservice
• GitHub
• Google カレンダー
• Google 連絡先
• Google ドライブ
• Google ToDo リスト
• ハッシュ ジェネレーター
• ハッシュ化
• iAuditor
• Impower ERP (エンタープライズリソースプランニング)
• Jira
• JotForm
• JotForm Enterprise
• kintone
• LMS365
• Luware Nimbus（ルウェア・ニンバス）
• 郵便
• Mailchimp
• Microsoft 365 Copilot 自動化
• Microsoft 365 メッセージ センター
• Microsoft 365 更新プログラム アプリ
• Microsoft Bookings
• Microsoft Copilot Studio
• Microsoft Dataverse
• Microsoft Defender ATP
• Microsoft Defender for Cloud Apps
• Microsoft Fabric データ エージェント
• Microsoft Forms
• Microsoft Forms Pro
• Microsoft Graph
• Microsoft Learn ドキュメント MCP
• Microsoft ループ
• Microsoft School Data Sync
• Microsoft Spatial Services
• Microsoft Teams
• Microsoft To-Do (ビジネス)
• Microsoft Translator V2
• monday.com
• ムヒンビ PDF
• NetDocuments

• Office 365 グループ
• Office 365 グループ メール
• Office 365 Outlook
• OneDrive
• OneDrive for Business
• OneNote (ビジネス)
• Outlook タスク
• ページャーデューティ
• パートナー センターの紹介
• プランナー
• Plumsail
• Plumsail SP
• 管理者向けのPower Apps
• メーカー向けのPower Apps
• Power Apps 通知
• Power Apps通知機能 V2
• Power Automate (パワーオートメート)
• 管理者向けのPower Automate
• Power Automate管理
• Power BI
• Power Platform のデータフロー
• 管理者向けPower Platform
• Power Platform 管理者向け V2
• Project Online
• プロジェクトロードマップ
• Redmine
• SendGrid
• ServiceNow
• SharePoint
• Microsoft Teamsのシフト
• Slack
• Smartsheet（スマートシート）
• Snowflake
• Stripe
• Survey123
• SurveyMonkey
• TeamForms
• Todoist
• Trello
• Twilio
• UiPathオーケストレーター
• Vena
• Webex
• WordPress
• Yammer
• YouTube

個々のコネクタの詳細については、「 コネクタリファレンスの概要」を参照してください。