Microsoft Purview を使用して Microsoft 365 Copilot と Channel Agent のデータ セキュリティとコンプライアンス保護を Teams で管理する方法を理解したら、organizationに適用される可能性がある前提条件、考慮事項、および除外について、次の詳細情報を使用します。 Microsoft 365 Copilot および Microsoft Copilot 365Chat の Microsoft 365 Copilot 要件と Enterprise データ保護と共にこれらを読んでください。
Copilot でこれらの機能を使用するためのライセンス情報については、ページの上部にあるライセンスとサービスの説明のリンクを参照してください。 Copilot のライセンス情報については、 Microsoft 365 Copilot のサービスの説明を参照してください。
Microsoft 365 Copilot の情報保護に関する考慮事項
Microsoft 365 Copilot、Microsoft 365 Copilot Chat、エージェントには、Microsoft 365 テナント内に格納されているデータ (Exchange Online内のメールボックスや SharePoint または OneDrive のドキュメントなど) にアクセスする機能があります。
Microsoft 365 コンテンツにアクセスするだけでなく、Copilot とエージェントは、そのファイルが格納されている場所に関係なく、Office アプリ セッションのコンテキストで作業中の特定のファイルのコンテンツを使用することもできます。 たとえば、ローカル ストレージ、ネットワーク共有、クラウド ストレージ、USB スティックなどです。 ファイルがアプリ内のユーザーによって開かれている場合、アクセスは多くの場合、 使用中のデータと呼ばれます。
Copilot のライセンスをデプロイする前に、データ保護ソリューションの強化に役立つ次の詳細について理解していることを確認してください。
コンテンツがユーザーに VIEW の使用権限を付与するが 、EXTRACT は許可しない場合:
- ユーザーがアプリでこのコンテンツを開いていると、Copilot を使用できなくなります。
- Copilot はこのコンテンツを要約しませんが、ユーザーが Copilot の外部でコンテンツを開いて表示できるように、リンクで参照できます。
さらに、 Microsoft Purview データ損失保護ポリシーによって識別されるラベル付きファイルと電子メール (暗号化されているかどうか) を Copilot およびエージェントが要約できないようにすることができます。 Copilot とエージェントはこのコンテンツを要約しませんが、ユーザーが Copilot の外部でコンテンツを開いて表示できるように、リンクで参照できます。
Office アプリと同様に、Copilot とエージェントは、organizationから秘密度ラベルにアクセスできますが、他の組織にはアクセスできません。 組織全体でのラベル付けのサポートの詳細については、「外部ユーザーとラベル付きコンテンツのサポート」を参照してください。
秘密度ラベルの高度な PowerShell 設定により、Office アプリが、Microsoft 365 Copilot やエージェントを含む 一部の接続エクスペリエンスにコンテンツを送信できないようにすることができます。
Copilot とエージェントは、「/」と入力して直接参照している (ユーザーに EXTRACT アクセス許可がある) 場合を除き、ユーザー定義のアクセス許可でラベル付けされ、暗号化されている場合、SharePoint と OneDrive の未開封のドキュメントにアクセスできません。 Copilot とエージェントは、ユーザーがアプリ (使用中のデータ) で開いているときにいつでもこれらのドキュメントにアクセスできます。
Copilot とエージェントは、SharePoint のアクセス許可をダウンロードしたドキュメントに 拡張する既定の秘密度ラベルで構成されている SharePoint の未開封のドキュメントにアクセスできません。
グループとサイト ("コンテナー ラベル" とも呼ばれます) に適用される秘密度ラベルは、それらのコンテナー内の項目によって継承されません。 その結果、項目は Copilot にコンテナー ラベルを表示せず、秘密度ラベルの継承をサポートできません。 たとえば、機密としてラベル付けされたチームから要約された Teams チャネル チャット メッセージでは、秘密度コンテキストのラベルはMicrosoft 365 Copilot Chatに表示されません。 同様に、SharePoint サイト ページとリストのコンテンツには、コンテナー ラベルの秘密度ラベルは表示されません。
ユーザーがテキストをコピーできないように制限する SharePoint 情報権限管理 (IRM) ライブラリ設定を使用している場合は、ファイルのダウンロード時に使用権限が適用され、SharePoint への作成またはアップロード時には適用されないことに注意してください。 Copilot とエージェントが保存時にこれらのファイルを要約したくない場合は、EXTRACT の使用権なしで暗号化を適用する秘密度ラベルを使用します。
他の自動ラベル付けシナリオとは異なり、新しいコンテンツを作成するときに継承されたラベルは、手動で適用された優先順位の低いラベルに置き換えられます。
継承された秘密度ラベルを適用できない場合、テキストは宛先項目に追加されません。 例:
- 宛先項目が読み取り専用である
- 宛先項目は既に暗号化されており、ユーザーにはラベルを変更するためのアクセス許可がありません (EXPORT または FULL CONTROL の使用権限が必要です)
- 継承された秘密度ラベルがユーザーに発行されない
ラベル付けされたアイテムと暗号化されたアイテムから新しいコンテンツを作成するようにユーザーが Copilot またはエージェントに依頼した場合、暗号化が ユーザー定義のアクセス許可 に対して構成されている場合、または暗号化がラベルから独立して適用された場合、ラベルの継承はサポートされません。 ユーザーは、このデータを宛先アイテムに送信できません。
二重キー暗号化 (DKE) は、最も厳しい保護要件の対象となる最も機密性の高いデータを対象としているため、Copilot とエージェントはこのデータにアクセスできません。 その結果、DKE によって保護された項目は Copilot によって返されません。DKE 項目が開いている場合 (使用中のデータ)、アプリで Copilot を使用することはできません。
Teams の会議とチャットを保護する秘密度ラベルは、現時点では Copilot とエージェントによって認識されていません。 たとえば、会議チャットまたはチャネル チャットから返されたデータには、関連付けられた秘密度ラベルは表示されません。宛先アイテムのチャット データのコピーを防止できず、秘密度ラベルを継承することはできません。 この制限は、秘密度ラベルによって保護されている会議出席依頼、返信、予定表イベントには適用されません。
Microsoft 365 Copilot Chat (旧称 Business Chat、Graph-grounded chat、Microsoft 365 Chat):
- 会議出席依頼に秘密度ラベルが適用されている場合、ラベルは会議出席依頼の本文に適用されますが、メタデータ (日付や時刻、受信者など) には適用されません。 その結果、メタデータのみに基づく質問では、ラベルのないデータが返されます。 たとえば、"月曜日に開催される会議は何ですか?" などです。議題などの会議の本文を含む質問に対しては、ラベル付けされたデータが返されます。
- コンテンツが適用された秘密度ラベルとは関係なく暗号化され、その暗号化によってユーザーが抽出する使用権限が付与されない (ただし閲覧する使用権限が含まれる) 場合、コンテンツは Copilot によって返され、ソース アイテムに送信されます。 ドキュメントに "全般" というラベルが付き、そのラベルが暗号化を適用しない場合に、ユーザーが Information Rights Management から Office の制限を適用した場合に、この構成が発生する可能性がある場合の例です。
- 返されたコンテンツに秘密度ラベルが適用されている場合、この機能はラベル付きデータに対して現在サポートされていないため、[ Outlook で編集] オプションは表示されません。
- プラグインと Microsoft Graph コネクタを含む拡張機能を使用している場合、外部ソースからこのデータに適用される秘密度ラベルと暗号化は、Microsoft 365 Copilot Chatでは認識されません。 ほとんどの場合、データが秘密度ラベルと暗号化をサポートする可能性は低いため、この制限は適用されませんが、1 つの例外は Power BI データです。 Microsoft 365 管理センターを使用してユーザーのプラグインをオフにし、Graph API コネクタを使用する接続を切断することで、外部データ ソースをいつでも切断できます。
アプリ固有の例外:
Microsoft 365 Copilot in Outlook: Outlook で暗号化されたアイテムに Microsoft 365 Copilot を使用するには、Outlook の最小バージョンが必要です。
- Windows 用 Outlook (クラシック): 現在のチャネルと月次エンタープライズ チャネルのバージョン 2408 以降
- Outlook for Mac: バージョン 16.86.609 以降
- Outlook for iOS: バージョン 4.2420.0 以降
- Outlook for Android: バージョン 4.2420.0 以降
- Outlook on the web: はい
- Windows 用の新しい Outlook: はい
Microsoft 365 Copilot in Edge、Microsoft 365 Copilot in Windows: Edge でデータ損失防止 (DLP) を使用しない限り、Copilot は、そのコンテンツがユーザーの EXTRACT 使用権限を付与していない場合に、Edge のアクティブなブラウザー タブから暗号化されたコンテンツを参照できます。 たとえば、暗号化されたコンテンツは Office for the web または Outlook for the web から取得されます。
秘密度ラベルの継承のために既存のラベルがオーバーライドされますか?
Microsoft 365 Copilot が秘密度ラベルの継承を使用して保護を自動的に適用する場合の結果の概要:
| 既存のラベル | 秘密度ラベルの継承でオーバーライドする |
|---|---|
| 手動で適用され、優先度が低い | はい |
| 手動で適用され、優先度が高い | 不要 |
| 自動的に適用され、優先度が低い | はい |
| 自動的に適用され、優先度が高い | 不要 |
| ポリシーからの既定のラベル(優先度が低い) | はい |
| ポリシーからの既定のラベル(優先度が高い) | 不要 |
| ドキュメント ライブラリの既定の秘密度ラベル(優先度が低い) | はい |
| ドキュメント ライブラリの既定の秘密度ラベル(優先度が高い) | 不要 |
Copilot は、EXTRACT の使用権を持つ既存の保護を尊重します
暗号化されたコンテンツに対する個々の使用権にあまり詳しくないかもしれませんが、長い時間が過ぎてきました。 Windows Server Rights Management から Active Directory Rights Management、Azure Rights Management サービスで Azure Information Protectionになったクラウド バージョンまで。
"転送不可" メールを受信したことがある場合は、認証後にメールを転送できないように、使用権限が使用されています。 一般的なビジネス シナリオに対応する他のバンドルされた使用権限と同様に、転送不可メールでは、コンテンツで何ができるかを制御する受信者の使用権限が付与され、FORWARD 使用権は含まれません。 転送しないだけでなく、この転送不可メールを印刷することも、メールからテキストをコピーすることもできません。
テキストをコピーするアクセス許可を付与する使用権限は EXTRACT であり、よりわかりやすい一般的な名前が Copy です。 Copilot またはエージェントが暗号化されたコンテンツからユーザーにテキストを表示できるかどうかを決定するのは、この使用権限です。
注:
フル コントロール (OWNER) の使用権限にはすべての使用権限が含まれているため、EXTRACT は自動的にフル コントロールに含まれます。
Microsoft Purview ポータルを使用して暗号化を適用するように秘密度ラベルを構成する場合、最初の選択肢は、アクセス許可を今すぐ割り当てるか、ユーザーにアクセス許可を割り当てるかです。 ここで割り当てる場合は、Co-Author や校閲者など、事前に設定された使用権限グループを使用して定義済みのアクセス許可レベルを選択して、アクセス許可を構成します。 または、使用可能な使用権限を個別に選択できるカスタム アクセス許可を選択することもできます。
Microsoft Purview ポータルでは、EXTRACT の使用権限が [ コンテンツのコピーと抽出(EXTRACT)]として表示されます。 たとえば、選択した既定のアクセス許可レベルがエディターされ、コンテンツのコピーと抽出 (EXTRACT) が表示されます。 その結果、この暗号化構成で保護されたコンテンツは、Copilot とエージェントによって返されます
ドロップダウン ボックスから [カスタム ] を選択し、一覧から [フル コントロール(OWNER)] を選択すると、この構成によって EXTRACT の使用権も付与されます。
注:
暗号化を適用するユーザーは、Rights Management の所有者であるため、常に EXTRACT の使用権を持ちます。 この特別なロールには、すべての使用権限とその他のアクションが自動的に含まれます。つまり、ユーザーが自分で暗号化したコンテンツは、常に Microsoft 365 Copilot、Microsoft 365 Copilot Chat、およびエージェントによって返される資格があります。 構成された使用制限は、コンテンツへのアクセスを承認されている他のユーザーに適用されます。
または、ユーザーがアクセス許可を割り当てできるように暗号化構成を選択した場合、Outlook の場合、この構成には、転送不可と暗号化専用の定義済みのアクセス許可が含まれます。 Encrypt-Only オプションには、転送不可とは異なり、EXTRACT の使用権限が含まれています。
Word、Excel、PowerPointのカスタム アクセス許可を選択すると、ユーザーは秘密度ラベルを適用するときに Office アプリで独自のアクセス許可を選択します。 現在、ダイアログ ボックスには 2 つのバージョンがあります。 以前のバージョンでは、2 つの選択から、 読み取り にはコンテンツをコピーするためのアクセス許可は含まれていませんが、 変更 は行われます。 コピーするこれらの参照は、EXTRACT 使用法権限を参照します。 ユーザーが [ その他のオプション] を選択した場合は、[コンテンツのコピーに読み取りアクセス権を持つユーザーを許可する] を選択することで、EXTRACT 使用法権限 を [読み取り] に追加できます。
![[以前のユーザー] ダイアログ ボックスを使用して、EXTRACT 使用法権限を含むアクセス許可を選択します。](media/restricted-access-dialogbox.png)
ダイアログ ボックスの最新バージョンでは、[ 読み取り ] と [ 変更 ] がアクセス許可レベルに置き換えられます。このレベルでは、状態コピーが許可されていない説明に EXTRACT 使用法権限が含まれません。 EXTRACT を含むアクセス許可レベルは、エディターと所有者です。 例:
ヒント
表示する権限を持つドキュメントに EXTRACT 使用状況権限が含まれているかどうかをチェックする必要がある場合は、Windows Office アプリで開き、ステータス バーをカスタマイズして [アクセス許可] を表示します。 秘密度ラベル名の横にあるアイコンを選択して、[ マイ アクセス許可] を表示します。 [ コピー] の値を表示します。この値は EXTRACT 使用状況の右側にマップされ、[ はい ] と [いいえ] のどちらが表示されるかを確認します。
メールの場合、Outlook for Windows のメッセージの上部にアクセス許可が表示されない場合は、ラベル名を持つ情報バナーを選択し、[ アクセス許可の表示] を選択します。
Copilot とエージェントは、ユーザーに対する EXTRACT の使用権を尊重しますが、コンテンツに適用されました。 ほとんどの場合、コンテンツにラベルが付いている場合、ユーザーに付与される使用権限が秘密度ラベル構成の使用権と一致します。 ただし、適用されたラベル構成とはコンテンツの使用権が異なる場合があります。
暗号化用の秘密度ラベルの構成の詳細については、「秘密 度ラベルを使用してコンテンツへのアクセスを制限して暗号化を適用する」を参照してください。
使用権限の技術的な詳細については、「 Azure Rights Management サービスの使用権限を構成する」を参照してください。
Teams のチャネル エージェントに関する情報保護に関する考慮事項
Teams のチャネル エージェントは、秘密度ラベル付き情報を使用して、SharePoint、チャネル メッセージと会議、標準会議のチャネル ファイルから派生する可能性があるユーザーの質問に回答します。 これらの秘密度ラベルには、Microsoft 365 Copilot の前のセクションに記載されているものと同じ情報保護に関する考慮事項の多くがあります。 例:
- 最も優先度の高いラベルがチャットに表示され、新しい AI によって生成されたコンテンツが作成されるときにラベルの継承に使用されます。
- ユーザー定義のアクセス許可と二重キー暗号化で暗号化されたアイテムのコンテンツにはアクセスできません。
- ラベルの グループとサイト 構成からチャネルに適用される秘密度ラベルは、Teams のチャネル エージェントでは使用されません。
ただし、Microsoft 365 Copilot の秘密度ラベルとは異なります。
- Teams のチャネル エージェントは、要求元のユーザーに対して Copilot が行うのと同様に EXTRACT アクセス許可 を受け取りますが、チャネル内のすべてのユーザーに対してアクセス許可がチェックされるわけではありません。 その結果、チャネル エージェントは、チャネル内の 1 人以上のユーザーが開くアクセス許可を持たないアイテムのコンテンツを要約できます。 要求するユーザーには、このリスクが警告され、管理者は Teams でチャネル エージェントをオフにすることができます。
- チャネル エージェントが 、Microsoft Purview データ損失防止ポリシーによって識別されるラベル付きファイルを要約できないようにすることはできません。
- ユーザーがチャネル エージェントからチャット応答をコピーできないようにしたり、これらの応答が Teams チャネル内の別のチャネル エージェントによって使用されないようにしたりすることはできません。
- 情報バリア はチャネル エージェントではサポートされていないため、バリアを越える情報が返される可能性があります。
- Teams のチャネル エージェントは、 Microsoft Purview カスタマー キーではサポートされていません。
Microsoft 365 Copilot のコンプライアンス管理に関する考慮事項
Microsoft 365 Copilot とエージェントとの対話のコンプライアンス管理は、Word、Excel、PowerPoint、Outlook、Teams、Loop、Copilot ページ、Whiteboard、OneNote、Microsoft 365 Copilot Chat (旧称 Business Chat、Graph-grounded chat、およびMicrosoft 365 Chat)。
注:
Microsoft 365 Copilot Chatのコンプライアンス管理には、ユーザーがサインインしたときにパブリック Web との間のプロンプトと応答が含まれており、Web ではなく [作業] オプションを選択します。
コンプライアンス ツールは、ソース Microsoft 365 Copilot の相互作用をアプリの名前で識別します。 たとえば、Copilot in Word、Copilot in Teams、Microsoft 365 Chat (Microsoft 365 Copilot Chat)。
organizationで Microsoft 365 Copilot を使用する前に、コンプライアンス管理ソリューションをサポートするために、次の詳細をよく理解しておいてください。
監査データは、データのセキュリティとコンプライアンスを目的として設計されており、これらのユース ケースに対する Microsoft 365 Copilot の相互作用を包括的に可視化します。 たとえば、データの過剰共有リスクを検出したり、規制コンプライアンスや法的な目的で相互作用を収集したりします。 Copilot 使用状況レポートの基礎として使用することを目的としたものではありません。
注:
"プロンプトカウント" や "アクティブユーザー数" などのこの監査データに基づいて構築した集計メトリックは、Microsoft が提供する公式の Copilot 使用状況レポートの対応するデータ ポイントと一致しない可能性があります。 Microsoft では、使用状況レポートの基礎として監査ログ データを使用する方法に関するガイダンスを提供することも、監査ログ データに基づいて構築された集計された使用状況メトリックが、他のツールで報告されている同様の使用状況メトリックと一致することを保証することもできません。
Copilot の使用状況に関する正確な情報にアクセスするには、Microsoft 365 管理 センターの Microsoft 365 Copilot 使用状況レポートまたはViva Insightsの Copilot ダッシュボードのいずれかのレポートを使用します。
監査では、検索の Microsoft 365 Copilot アクティビティがキャプチャされますが、実際のユーザー プロンプトや応答はキャプチャされません。 この情報については、電子情報開示を使用します。 または、AI 用 Microsoft Purview データ セキュリティ態勢管理から、アクティビティ エクスプローラー ページから AI 操作を使用します。
Copilot の監査に関する管理関連する変更はまだサポートされていません。
現在、デバイス識別情報は監査の詳細に含まれていません。
Copilot 操作の保持ポリシーは、アイテム保持ポリシーの結果としてメッセージが削除されたときにユーザーに通知しません。
アプリ固有の例外:
-
Microsoft 365 Copilot in Teams:
- トランスクリプトがオフになっている場合、監査、電子情報開示、保持の機能はサポートされていません
- トランスクリプトが参照されている場合、このアクションは監査のためにキャプチャされません
- Microsoft 365 Copilot Chatの場合、Copilot は現在、ユーザーに返される参照ファイルであるクラウド添付ファイルとして保持できません。 ユーザーによって参照されるファイルは、クラウドの添付ファイルとして保持することがサポートされています。