Copilot Studio を使用すると、多数のデータ ソースやサービスに接続するユーザーに対して、価値の高いエージェントをすばやく作成してデプロイできます。 これらのソースやサービスの中には、外部のMicrosoft以外のサービスである場合もあります。 さらに、組織のデータと連携するソーシャルネットワークも含まれているかもしれません。
組織データは管理者が守る責任を負う最も重要な資産です。 他のサービスやシステムと連携して相互作用を維持しつつ、そのデータを保護された方法で使用する能力は、データ セキュリティの基礎です。
データポリシーは、エージェントが組織内外でデータやサービスとどのように接続し、やり取りするかを管理できるようにします。 管理者は、Power Platform 管理センターでCopilot Studio と Power Platform のデータ ポリシーを構成できます。
Important
2025 年初頭以降、メッセージ センターアラート MC973179: Copilot Studio - データ損失防止の適用に関する今後の更新で発表されているように、すべてのテナントに対してデータ ポリシーの適用が有効になります。
エージェント データ ポリシー適用除外はサポートされなくなりました。 以前はデータポリシーの強制が免除されていたエージェントも、すべて執行の対象となります。
テナントにおける データポリシーの強制 トラブルシューティングについて学びましょう。
前提条件
Copilot Studio コネクタとデータ グループ
Power Platform 管理センターでは、Copilot Studio コネクタをデータ ポリシー内の次のデータ グループに分類できます。
- ビジネス
- 非ビジネス
- ブロックされました
これらのコネクターをデータポリシーに活用し、エージェント作成者による悪意あるまたは意図しないデータ流出から組織のデータを保護しましょう。
データ ポリシーの既定グループは、導入時に明示的なグループ分けが定義されていない場合に、コネクタが自動的に追加されるカテゴリです。 2019以降に導入されたコネクタのうち、Copilot StudioでMicrosoft Entra ID認証を必要としないChatや、Copilot StudioのDirect Lineチャネルなどは、通常、"非ビジネス"グループに分類される可能性があります。
多くの組織では、"非ビジネス" グループのコネクタは自動的にブロックされます。 Copilot Studio テナント内のコネクタがデータ ポリシーによってブロックされている場合は、コネクタが存在するデータ グループを確認します。
管理者はPower Platform管理センターのデータ ポリシーレベルでデフォルトグループを設定 できます。
Important
Copilot Studio では、リアルタイムでのデータ ポリシーの適用がサポートされています。 エージェント作成者とユーザーは、データ ポリシー違反が発生した場合にエラー メッセージを確認します。
データ ポリシーでは、異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは同じデータ グループに属している必要があります。
Copilot Studio エージェントの一般的なデータ ポリシーのユース ケース
Power Platform 管理センターの Copilot Studio コネクタを使用して、次の一般的なユース ケースのデータ ポリシーを構成できます。
- ユーザー認証を義務付ける
- 知識源をブロックする
- Power Platformコネクタをツールとして使うブロック
- HTTPリクエストをブロックする
- ブロックスキル
- 特定のチャンネルへの公開をブロックする
- ブロックイベントトリガー
Power Platform管理センターでサポートされているコネクタのリストには、さらにいくつかのユースケースが含まれています。
ユーザー認証を義務付ける
新しいエージェントを作成すると、デフォルトで 「Microsoft認証で認証」 オプションがオンになっています。 エージェントは、手動セットアップを必要とせずに、Microsoft Entra ID認証を自動的に使用します。 エージェントとチャットできるのは、Microsoft Teams、SharePoint、Power Apps、またはMicrosoft 365 Copilotのみです。 しかし、組織内のエージェント作成者は「 認証なし 」を選択して、リンクを持つ誰でもエージェントとチャットできるようにできます。
エージェント作成者が認証を必要としないエージェントを発行できないようにするには、Copilot Studio で Microsoft Entra ID 認証なしでの「チャット」コネクタをブロックするデータポリシーを構成してください。
このデータ ポリシーを設定した後、エージェント作成者は 、Microsoft による認証 または 手動による認証 のみを使用して Copilot Studio の エージェントのユーザー認証を構成 できます。エージェント ユーザーはエージェントとチャットするために自分自身を認証する必要があります。
知識情報源を制限する
データポリシーを使って、エージェント作成者が使用できる知識ソースを制御しましょう。
エージェント作成者が特定の種類の知識ソースを使用するエージェントを公開するのを防ぐために、以下のコネクターのいずれかをブロックする データポリシーを設定し てください。
- Copilot Studio でSharePointとOneDriveを使用してソースを確認します
- Copilot Studio のパブリック Web サイトとデータを含むナレッジ ソース
- Copilot Studio内のドキュメントを含む知識ソース
または、作成者が Copilot Studio エージェントのナレッジ ソースとして使用できるSharePointまたはパブリック Web サイトの特定のエンドポイントを許可または拒否する場合は、選択したコネクタをブロックするのではなく、endpoint フィルタリングを使用します。
Power Platform コネクタをツールとして使用することをブロックする
エージェント作成者が Power Platform コネクタを Copilot Studio エージェントでツールとして使用できないようにするために、ブロックしたいコネクタを含めてデータ ポリシーを構成します。
HTTPリクエストをブロックする
組織内のエージェント作成者は HTTPリクエスト ノードを使ってHTTPリクエストを行うことができます。
エージェント作成者がHTTPリクエストを行ったエージェントを公開するのを防ぐために、HTTPコネクタをブロックするデータポリシーを設定してください。
あるいは、すべてのHTTP呼び出しをブロックするのではなく、特定のHTTPエンドポイントを許可または拒否したい場合、 エンドポイントフィルタリングを使うこともできます。
ブロックスキル
あなたの組織のエージェント作成者はエージェントにスキルを追加して拡張することができます。 スキルはエージェントの機能を拡張する有効な手段となり得ます。 ただし、セキュリティ上の理由からは、エージェントが使えるスキルを設定することをおすすめします。
エージェント作成者がスキルを使用するエージェントを発行できないようにするには、Skills with Copilot Studio コネクタをブロックするデータポリシーを構成します。
特定のチャンネルへの公開をブロックする
データポリシーを使って、制作者がエージェントを公開できるチャネルを設定しましょう。
エージェント作成者が特定のチャネルにエージェントを公開するのを防ぐために、以下のコネクターのいずれかをブロックする データポリシーを設定し てください。
- コピロットスタジオのMicrosoft Teams + M365チャンネル
- Direct Line Copilot Studio のチャネル (デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他のDirect Line チャネルに適用されます)
- Copilot Studio の Facebook チャネル
- Copilot Studio のオムニチャネル
- Copilot Studio の SharePoint チャネル
- Copilot Studio の WhatsApp チャネル
Note
作成者がブロックされていないチャネルにエージェントを構成しない場合 (Direct Line チャネルは既定で許可されます)、管理者がチャネルを許可しない場合は、エージェントを発行できません。
ブロックイベントトリガー
組織内のエージェント作成者は、エージェントにイベント トリガーを追加することができます。 イベント トリガーを使用すると、エージェントは人間のプロンプトなしで外部イベントに対応できます。 ただし、データの流出や不要な消費、ノルマの使用を防ぐために、使用を制限した方が良いかもしれません。
エージェント作成者が認証されたアカウントを使用して、エージェントにイベント トリガーを追加したり、
Power Platform管理センターのコネクター名
次の表に、Copilot Studio エージェントのデータ ポリシーで使用できるコネクタの名前を示します。
| エージェントメーカーが...不正行為を行うのを防ぐために、 | Power Platform管理センターにおけるコネクター名 |
|---|---|
| エージェントとアプリケーションインサイトをつなぐ。 | Copilot StudioにおけるApplication Insights |
| 認証設定されていないパブリッシングエージェント。 | Copilot Studio でMicrosoft Entra ID認証なしでチャットする |
| HTTPリクエストを出すパブリッシングエージェント。 | HTTP エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。 |
| ドキュメントを知識ソースとして設定したパブリッシングエージェント。 | Copilot Studio のドキュメントを含むナレッジ ソース |
| 公開ウェブサイトを知識ソースとして設定した出版エージェント。 | Copilot Studio のパブリック Web サイトとデータを含むナレッジ ソース エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。 |
| SharePointをナレッジ ソースとして構成された発行エージェント。 | Copilot Studio のSharePointとOneDriveを使用したナレッジ ソース エンドポイントの許可または拒否を行うエンドポイントフィ ルタリング をサポートしています。 |
| Direct Line チャンネルへの公開。 | Copilot Studio の Direct Line チャネル |
| Dynamics 365 Customer Service チャネルへの発行。 | Copilot Studio のオムニチャネル |
| Facebookチャンネルへの公開。 | Copilot Studio の Facebook チャネル |
| SharePoint チャネルへの公開。 | Copilot StudioのSharePointチャネル |
| Microsoft 365 および Microsoft Teams チャネルへの公開。 | Copilot Studio の Microsoft Teams + M365 チャネル |
| WhatsAppチャンネルへの公開。 | Copilot Studio の WhatsApp チャネル |
| Copilot Studio エージェントでのイベント トリガーの使用、または認証されたアカウントを使用した自動評価の実行。 | Microsoft Copilot Studio |
| Copilot Studio エージェントのツールとして Power Platform コネクタを使用する。 | 多くの既製およびカスタムコネクター |
| Copilot Studio エージェント内でスキルを使用する方法。 | Copilot Studio でのスキル |
Power Platform管理センターでデータポリシーを設定してください
Power Platform 管理センターにサインインします。
サイドバーで 「セキュリティ」を選択し、「 データとプライバシー」を選択してください。 [ データ保護とプライバシー ] ページが開きます。
[データ ポリシー] を選択します。 データポリシーリストが表示されます。
新しいデータ ポリシーを作成するか、編集する既存のデータ ポリシーを選択します。
- 新しいデータ ポリシーを作成するには、[新しいポリシー] を選択し、目的の名前を入力します。
- 既存のデータポリシーを編集するには、データポリシーを選択し、「ポリシー編集」を選択します。
次へを選択します。 「 環境を追加」 ページが表示されます。
- データ ポリシーに環境を追加するには、[ 使用可能] タブで環境を選択し、[ ポリシーに追加] を選択します。
- データ ポリシーから環境を削除するには、[ ポリシーに追加 ] タブに切り替えて環境を選択し、[ ポリシーから削除] を選択します。
次へを選択します。 コネクター の割り当て ページが表示されます。
検索ボックスを使って、欲しいコネクターを探してください。
コネクタの横にある 3 つのドット (⋮) を選択し、次の操作を行います。
エージェント作成者がコネクタに関連付けられている機能を使用できないようにするには、[ ブロック] を選択します。
ナレッジ ソースとして構成された SharePoint またはパブリック Web サイト、または HTTP 要求の特定のエンドポイントを許可または拒否するには:
- コネクタエンドポイントの構成を選択してください>
- 目的のエンドポイントまたはパターンを追加し、[保存] を選択 します。
次へを選択します。
テナント管理者や複数の環境の環境管理者であれば、「 定義スコープ 」ページが開きます。
希望するオプションを選択してください:
- すべての環境を追加する:テナント全体のすべての環境を追加します。 このポリシーは、テナント内で作成された新しい環境に自動的に適用されます。
- 複数の環境を追加する: このポリシーに含める環境を選択します。
- 特定の環境を除外する: このポリシーから除外する環境を選択します。
Note
テナントスコープを持つポリシーは、テナント内のすべての環境のすべてのエージェントに適用されます。
次へを選択します。
ポリシーを確認し、新しいポリシーを作成する場合は [ポリシーの作成 ] を選択し、既存のポリシーを編集する場合は [ポリシーの更新 ] を選択します。
Copilot Studio に移動し、ユース ケースに対して想定どおりにデータ ポリシーが適用されていることを確認します。
Copilot Studio でデータ ポリシーの適用を確認する
データ ポリシーが有効であることを確認するには、Copilot Studio でエージェントを開きます。 データポリシーの対象となる操作を試みると、「 詳細 」ボタン付きのエラーバナーが表示されます。 詳細を見るには、 チャンネルページで エラーリンクを展開し、「 ダウンロード」を選択してください。 詳細ファイルでは、各違反を記述する行があります。 データポリシー違反が発生すると、 公開 ボタンは利用できなくなります。
- ユーザー認証が必要か確認してください
- 知識ソースがブロックされているか確認してください
- Power Platformコネクターが道具として使えないか確認してください
- HTTPリクエストがブロックされているか確認してください
- スキルがブロックされているか確認してください
- 特定のチャンネルへの公開がブロックされているか確認してください
- イベントトリガーがブロックされているか確認してください
ユーザー認証が必要か確認してください
ユーザー認証を必須とするデータポリシーのある環境で、ユーザー認証を必須に設定されていないエージェントを開くと、「 詳細 」ボタン付きのエラーバナーが表示されます。 詳細を見るには、 チャンネルページで エラーリンクを展開し、「 ダウンロード」を選択してください。 詳細ファイルでは、各違反を記述する行があります。
エージェント作成者は、スプレッドシートの詳細を持って管理者に連絡し、データポリシーの適切な更新を行うことができます。
または、エージェント作成者は、認証構成ページでエージェントの認証設定を更新して、Microsoft による認証または手動認証 (Microsoft Entra ID または Microsoft Entra ID v2) を行うことができます。 Copilot Studio でのユーザー認証の構成を参照してください。
認証 なし と一部の手動認証オプションが選択できないことに注目してください。
知識ソースがブロックされているか確認してください
Copilot Studio で、作成者が特定のナレッジ ソースを追加できないようにするデータ ポリシーを使用して、環境内のエージェントを開きます。
ナレッジページに行き、「ナレッジを追加」を選び、あなたのデータポリシーでブロックされているナレッジソースを追加してください。
エージェントを公開してみてください。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。
チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。 詳細ファイルでは、知識ソースのデータポリシー違反がある場合、その知識ソースとその知識ソースを使用する各生成回答ノードの行が表示されます。
Power Platformコネクターが道具として使えないか確認してください
Copilot Studio で、Power Platform コネクタに基づくツールの構成を禁止するデータ ポリシーが適用された環境でエージェントを開きます。
新しいトピックを作成し、 ツール ノードを追加します。
ツール を追加 パネルで「 コネクター」 タブに切り替え、データポリシーでブロックされているコネクターを選択します。 必要に応じて、検索ボックスを使用します。
トピックを保存してエージェントをデプロイしてみる。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。
チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。
Note
クラシック チャットボットは Power Platform コネクタをサポートしていません。
HTTPリクエストがブロックされているか確認してください
Copilot Studio で、HTTP 要求をブロックするデータ ポリシーを使用して、環境内のエージェントを開きます。
新しいトピックを作成し、 HTTPリクエスト ノードを追加します。 少なくとも、URL プロパティを入力します。
トピックを保存してエージェントをデプロイしてみる。 ポリシーが強制された場合、エラーバナーと 詳細 ボタンが表示されます。
チャンネルページでエラーリンクを展開し、「ダウンロード」を選択して詳細を確認してください。 詳細ファイルには、各違反の説明が記載された行が表示されます。 HTTPコネクタがブロックされている場合、HTTPコネクタが他のデータグループと異なるデータグループに属している場合、またはHTTPコネクタがブロックされていないがエンドポイントが拒否された場合に違反が生じます。
スキルがブロックされているか確認してください
Copilot Studio で、作成者がスキルを構成できないようにするデータ ポリシーを使用して、環境でエージェントを開きます。
エージェントに スキルを追加 してみてください。 データポリシーが強制された場合、 スキル追加 パネルがエラーを報告し、管理者に連絡してスキルを許可リストに追加するよう勧めます。
特定のチャンネルへの公開がブロックされているか確認してください
Copilot Studio で、作成者が特定のチャネルに発行できないようにするデータ ポリシーを使用して、環境内のエージェントを開きます。
データポリシーでブロックされるチャネルを設定してみてください。 データポリシーが強制されている場合、そのチャネルに公開することはできません。
イベントトリガーがブロックされているか確認してください
Copilot Studio で、作成者がイベント トリガーを追加できないようにするデータ ポリシーを使用して、環境内のエージェントを開きます。
ポリシーが強制された場合、概要ページのトリガーセクションに詳細なエラーメッセージが表示されます。 メッセージにはデータポリシーの名前が記載されており、管理者に連絡するよう勧められています。
データ ポリシーの影響を特定してトラブルシューティングする
組織のデータ ポリシーが影響を与える可能性のあるエージェントを見つけるには、次の操作を行います:
Center of Excellence (CoE) スターター キットのPower BI ダッシュボードを使用します。 CoE ダッシュボードの Copilot Studio の概要ページには、組織内のエージェントと環境が一覧表示されます。
Note
Microsoft Teamsのレガシ Microsoft Copilot Studio アプリを使用して作成された従来のチャットボットは、CoE スターター キットでは検出できません。 環境内のすべてのエージェントとクラシック チャットボットの一覧を取得するには、選択した環境の Dataverse アクション の行を一覧表示 する Power Automate クラウド フローを作成します。
データ ポリシー エラーまたは更新されたデータ ポリシーに対処するには、組織内のエージェント作成者と共にキャンペーンを実行します。 すべてのエージェント データ ポリシー エラーをダウンロードするには、エラー通知バナーで [詳細 ] を選択し、エラー メッセージの詳細から [ダウンロード ] を選択します。
データ ポリシーがエージェントの機能に影響する場合は、「 Copilot Studio のデータ ポリシーの適用に関するページを参照してください。
「詳細はこちら」と管理者の連絡先メールリンクを追加・更新してください
Set-PowerAppDlpErrorSettingsPowerShellコマンドレットを使って、データポリシーのエラーメッセージにメールアドレスと「詳細を学ぶ」リンクを追加してください。
![電子メール アドレスと [詳細情報] リンクが強調表示された、Copilot Studio のデータ ポリシー関連のエラー メッセージのスクリーンショット。](media/admin-data-loss-prevention/dlppublishdownloaderror.png)
メールアドレスと「詳細を学ぶ」リンクを追加するには、以下のPowerShellスクリプトを実行してください。
<email>、<URL>、<tenant ID>のパラメータの値を自分のものに置き換えてください。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
既存の構成を更新するには、同じPowerShellスクリプトを使い、 New-PowerAppDlpErrorSettings を Set-PowerAppDlpErrorSettingsに置き換えてください。
Warnung
これらの設定は、指定されたテナント内のすべての Power Platform アプリに適用されます。