エージェントのデータ損失防止ポリシーを構成する
Copilot Studio を使用すると、多くのデータソースやサービスに接続できる高価値のエージェントを迅速に構築し、ユーザーに展開することができます。 これらのソースとサービスの一部は、Microsoft 以外の外部サービスである可能性があり、組織のデータへの接続と共にソーシャル ネットワークが含まれる場合もあります。
組織のデータは、管理者が責任をもって守るべき最も重要な資産です。 他のサービスやシステムと接続して対話しながら、そのデータを保護された方法で使用できることは、データセキュリティの基礎です。
データ損失防止 (DLP) ポリシーを使用すると、エージェントが組織内外でデータやサービスに接続して操作する方法を管理できます。 管理者は、Power Platform管理センターで Copilot Studio および Power Platform の DLP ポリシーを構成できます。
重要
2025 年初頭、メッセージ センターのアラート MC973179: Copilot Studio - データ損失防止ポリシー施行の今後のアップデートで発表されたように、すべてのテナントに対する DLP ポリシー施行は既定で有効に設定されます。
2025 年 1 月:
- 既定では、すべてのテナントのエージェントに対する強制は ソフト有効に設定されています (以前は、既定で強制が無効化されていました)。
- DLP の適用が無効に設定されていた既存のエージェントは、自動的にソフト有効に変更されます。 新しいエージェントでは、作成時に DLP 強制が既定で ソフト有効 に設定されます。
- 公開されたエージェントに DLP ポリシー違反がある場合、エージェントのユーザーは引き続きエージェントと対話できますが、エージェントの更新は公開できません。 エージェントを公開する前に、DLP ポリシー違反を解決する必要があります。
- DLP ポリシー違反は管理者に対して記録され、ユーザーと作成者には DLP 違反の警告が表示されます。 ユーザーによるエージェントの使用はブロックされません。
- PowerShell コマンドレットを使用して強制をオフにすることはできなくなりました。
2025 年 2 月以降:
- 既定では、すべてのテナントのエージェントの強制は有効に設定されます。すべての公開されたエージェントと既存のエージェントへの更新は、テナントで定義されているとおりに適用される DLP ポリシーの対象となります。
- PowerShell コマンドレットを使用して強制のオンとオフを切り替えることはできなくなり、2025 年 2 月以降はサポートされなくなります。
テナントでの強制を確認するを参照してください。
前提条件
Copilot Studio コネクタ
Copilot Studio コネクタは、DLP ポリシー内で以下のデータ グループに分類され、DLP ポリシーを確認する際に Power Platform 管理センターで表示されます。
- 事業
- 非ビジネス
- ブロック済み
DLPポリシーのコネクタを使用して、エージェント作成者による悪意のある、または意図しないデータ流出から組織のデータを保護することができます。
重要
Copilot Studio は、リアルタイムでの DLP ポリシーの強制をサポートします。 エージェントの作成者とユーザーには、DLP ポリシー違反のエラー メッセージが表示されます。
DLP ポリシーでは、異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは同じデータ グループに属している必要があります。
Power Platform 管理センターで DLP ポリシーを構成して、以下の Copilot Studio コネクターのいずれかをブロックすることができます。
| コネクタ名 | 使用例 |
|---|---|
| Copilot StudioのApplication Insights | エージェント作成者がエージェントを Application Insights に接続することをブロックします。 |
| Copilot Studio で Microsoft Entra ID 認証なしでチャットする | 認証用に構成されていないエージェントを公開するエージェント作成者をブロックします。 エージェントとチャットにあたって、エージェントのユーザーは、自分自身を認証する必要があります 。 詳細については、データ損失防止の例 - エージェントでユーザー認証を要求するを参照してください。 |
| Copilot Studio の Direct Line チャネル | エージェントの作成者の Direct Line チャネルの有効化、または使用をブロックします。 たとえば、デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他の Direct Line チャネルはブロックされます。 |
| Copilot Studio の Facebook チャネル | エージェント作成者が Facebook チャンネルを有効化または使用することをブロックします。 |
| Copilot Studio の SharePoint と OneDrive を含むナレッジ ソース | SharePoint をナレッジ ソースとして構成されたエージェントを、エージェント作成者が公開できないようにします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| Copilot Studio のドキュメントでの知識源 | エージェント作成者が、ナレッジ ソースとしてドキュメントを構成したエージェントを公開することをブロックします。 |
| 公開 Web サイトと Copilot Studio のデータを含むナレッジ ソース | 公開 Web サイトをナレッジソースとして構成されたエージェントを、エージェント作成者が公開することをブロックします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| Microsoft Copilot Studio | エージェント作成者が Copilot Studio エージェントでイベントトリガーを使用することをブロックします。 詳細については、データ損失防止の例 - エージェントのイベント トリガーをブロックするを参照してください。 |
| Copilot Studio の Microsoft Teams チャネル | エージェント作成者による Teams チャネルの有効化または使用をブロックします。 |
| Copilot Studio のオムニチャネル | エージェント作成者がオムニチャネルのチャネルを有効化または使用することをブロックします。 |
| Copilot Studio のスキル | エージェント作成者が Copilot Studio エージェントのスキルを使用することを禁止します。 詳細情報については、データ損失防止の事例 - エージェントでスキル をブロックする と データ損失防止の事例 - エージェントで HTTP リクエストをブロックする を参照してください。 |
DLP ポリシー構成の例
Copilot Studio エージェントガバナンスを始めるには、次の例となるシナリオを確認してください。
- データ損失防止の例 - エージェントでユーザー認証を要求する
- データ損失防止の例 - エージェントで SharePoint ナレッジソースをブロックする
- データ損失防止の例 - エージェントで Power Platform コネクタをブロックする
- データ損失防止の例 - エージェントで HTTP 要求をブロックする
- データ損失防止の例 - エージェントでスキルをブロックする
- データ損失防止の例 - エージェントのイベント トリガーをブロックする
- データ損失防止の例 - チャネルをブロックして エージェント 公開を無効にする
PowerShell を使用して、組織内のエージェントに対する DLP 強制を有効化して管理する
DLP ポリシーをエージェントに適用するかどうかは、PowerShell コマンドレットの PowerAppDlpErrorSettings と PowerVirtualAgentsDlpEnforcement で構成できます。
以下のことを行えます。
- テナント内のエージェントに DLP ポリシーが適用されているかどうかを確認します。
- DLP ポリシーの適用を監査モード (
-Mode SoftEnabled) に切り替えることで、エージェントメーカーはエラーを確認できますが、DLP ポリシーの適用によってブロックされるアクションの実行は妨げられません。 - DLP の適用をオンまたはオフにして、DLP 適用エラーを表示し、エージェント作成者が DLP の影響を受けるエージェントを公開したり、DLP 関連の設定を構成したりできないようにします。
- エージェント作成者に表示される Copilot Studio が DLP ポリシー違反をトリガーした場合の「詳しくはこちら」と「取引先担当者」のリンクを追加、更新します。
重要
PowerShell コマンドレット、またはここに示すサンプル スクリプトを使用する前に、PowerShell を使用して次のモジュールがインストールされていることを確認してください。
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
コマンドレットを使用するには、テナント管理者である必要があります。
通常、これらのコマンドレットは、次の手順で構成される DLP のロールアウト プロセスに従って使用します。
エージェント作成者向けの DLP エラーに表示される「詳しくはこちら」および「取引先担当者」のリンクを追加または更新します。
現在 DLP ポリシーの適用が有効になっているエージェント (存在する場合) を特定します。
作成者が Copilot Studio Web アプリと Teams アプリで DLP エラーを確認できるように、監査モードを使用します。
作成者に連絡し、アプリやフローに関する最適な対応を通知することでリスクを低減します。
エージェントに対して厳密な DLP ポリシーの適用を有効にします。
重要
エージェント DLP ポリシー強制の適用除外はサポートされなくなりました。 以前に DLP 強制から除外されたエージェントの強制は、2025 年 1 月に ソフト有効 に設定され、2025 年 2 月に 有効 に設定されます。
詳細情報と管理者の連絡先メール リンクを追加および更新する
Set-PowerAppDlpErrorSettings PowerShell コマンドレットを使用して、メール アドレスと DLP エラー メッセージへの 「詳細情報」 リンクを追加できます。
メールアドレスと「詳しくはこちら」のリンクを初めて追加するには、次の PowerShell スクリプトを実行し、<email>、<URL>、<tenant ID> のパラメーターの値を各自の値に置き換えてください。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
既存の設定を更新する場合は、同じ PowerShell スクリプトを使用し、 New-PowerAppDlpErrorSettings を Set-PowerAppDlpErrorSettings に置き換えます。
警告
これらの設定は、指定したテナント内のすべての Power Platform アプリに適用されます。
エージェントの DLP 強制を構成する
PowerVirtualAgentsDlpEnforcement コマンドレットを使用すると、Copilot Studio 内の DLP 実施の有効化、無効化、設定、監査が可能です。
以下の例のいずれにおいても、<tenant ID> をテナントの ID に置き換えて (または宣言) します。
<date> を MM-DD-YYYY 形式に置き換えることで、特定の日付以降に作成されたエージェントにスコープを設定できます。 スコープを削除するには、-OnlyForBotsCreatedAfter パラメータとその値を削除します。
エージェントの DLP ポリシーの強制を確認する
既定では、エージェントに対する DLP ポリシーの適用は、監査または "ソフト" モードに設定されています。
次の PowerShell コマンドレットを実行して、テナントの DLP ポリシーの適用状態を確認します。
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
ヒント
DLP が Copilot Studio 用に構成されていない場合、コマンドレットからの応答は空です。
監査モードを使用して、Copilot Studio の DLP エラーを確認します
次の PowerShell スクリプトを実行して、監査または "ソフト" モードで DLP ポリシーを有効にします。 このモードが有効な場合、エージェント作成者は Copilot Studio でエージェントを構成する際に DLP 関連のエラーメッセージを確認できますが、DLP 関連のアクションを実行することはブロックされません。 ただし、このモードがアクティブな間、作成者はエージェントを公開できません。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
組織の DLP ポリシーが影響を与える可能性のあるエージェントを見つけるには、次の操作を行います。
Center of Excellence (CoE) スターターキット の Power BI ダッシュボードを使用して、組織内のエージェントのリストを取得します。 CoE ダッシュボードの Copilot Studio の概要ページに移動して、組織内のエージェントと環境名を確認します。
組織内の エージェント 作成者と共にキャンペーンを実施し、DLP エラーや更新された DLP ポリシーに対処します。 すべての エージェント DLP エラーをダウンロードするには、エラー通知バナーで 詳細 を選択し、エラー メッセージの詳細から ダウンロード を選択します。
エージェントの DLP 強制を有効にする
警告
DLP ポリシーの適用を有効にする前に、DLP ポリシー違反が原因でユーザーにエラーを報告する可能性が高いエージェントを把握していることを確認してください。
以下の PowerShell コマンドを実行することで、Copilot Studio に DLP ポリシーを適用することができます。 エージェント作成者は DLP ポリシーに違反するアクションを実行できず、ユーザーには違反に関するエラー メッセージが表示されます。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>