ASD ブループリントへの Copilot の配置に推奨される構成

Microsoft 365 の Copilot 構成と計画ガイドは、オーストラリアとニュージーランドの機密および規制を受けている業界のお客様を対象としており、Microsoft 365 のセキュリティで保護されたクラウド構成ガイダンスのためのオーストラリア信号局 (ASD) ブループリント と一致しています。

このセクションでは、推奨される構成について説明します。 推奨される 要素は、機密性の高い環境に適した適切な構成に対処します。 これらの推奨事項を逸脱しても、Copilot が機能しなくなるわけではありませんが、全体的な機能が低下し、リスクにさらされる可能性があります。

Office リリース チャネル

Microsoft 365 用 Copilot には、Microsoft 365 Apps バージョンの Office が必要であり、以前のバージョンではサポートされていません。 Microsoft 365 用 Copilot は、Microsoft 365 Apps の現在および毎月の Enterprise 更新プログラム チャネルで利用できます。

お客様は、ユーザーの要件とリスク評価に基づいて更新チャネルを選択し、最新機能 (現在) とより安定したビルド バージョン (月次エンタープライズ) へのアクセスのバランスを取ります。 どちらも機密性の高い環境に適しており、ユーザー グループまたは個々のユーザーに適用できます。

更新チャネルを構成する方法の詳細については、「 Copilot のチャネルを変更する方法」を参照してください。

Office カスタマイズ ツールを使用すると、Microsoft 365 Apps の構成 (更新チャネルの選択など) の構築に役立ちます。

また、お客様は、Office アプリケーションが Copilot で正常に動作し続けるために、Office 機能更新 プログラム タスクが有効になっていることを確認する必要があります。 Office 機能更新プログラム タスクでは、Copilot などの Microsoft 365 の接続済みエクスペリエンスの更新プログラムがチェックされます。

フィードバック サンプル

機密性の高い環境では、製品内フィードバック メカニズムを無効にするのが標準的な方法ですが、Microsoft ポリシーに フィードバックが送信されたときにログ ファイルとコンテンツ サンプルを含めることを許可 する場合は、相互作用と応答の相互作用として Microsoft 365 の Copilot に関するアドバイスを Microsoft に送信できることを繰り返しお勧めします。

このため、 フィードバックが Microsoft ポリシーに送信されたときに、ログ ファイルとコンテンツ サンプルを含めることをユーザーに許可する ] ポリシーを無効にすることをお勧めします。

これは Active Directory ドメイン接続環境のグループ ポリシーを使用して構成できますが、Web エクスペリエンスと最新のアプリがクラウド ポリシーによってのみ制御されるため、少なくとも Microsoft 365 のクラウド ポリシーで構成する必要があります。 リッチ クライアント Office アプリケーション (Win32 アプリ) は、グループ ポリシーとクラウド ポリシーの両方によって制御でき、両方が使用されている場合はグループ ポリシーが優先されます。 グループ ポリシーとクラウド ポリシーの組み合わせを使用する組織の場合は、混乱を避けるために、これらを相互に合わせて保持することをお勧めします。

フィードバック クラウド ポリシーが Microsoft 365 ポータルから構成されている

フィードバック ポリシーの詳細については、「 フィードバック ポリシーの管理」を参照してください。

Microsoft Teams

Copilot for Microsoft 365 の最も一般的な機能の 1 つは、Microsoft Teamsとの統合です。 Copilot は、次の 2 つの異なる方法で Teams に統合されます。

1. 会議を再適用 & 要約したり、チャットやチャネルで質問に回答したりするなど、日常的なタスクを支援します。
2. スタンドアロンの Copilot チャット エクスペリエンスとして。

Microsoft Teamsで表示される Copilot チャット エクスペリエンスは、完全な名前で Microsoft Copilot と呼ばれ、Graph ベースのチャットが含まれています。これは、機能の可用性をより広く ライセンス要素 コントロールに反映しています。

これは、Microsoft Teamsだけでなく、 Web ベースの Copilot エクスペリエンス、 Microsoft Edge ブラウザー 、 Windows デスクトップ、 Copilot モバイル アプリでもアクセスできる、会話型の汎用 Copilot チャット エクスペリエンスです。

お客様は、Microsoft 365 用 Copilot と Microsoft Teams の統合を有効にする場合は、次の構成要素を考慮することをお勧めします。

• Teams 会議
• Copilot チャット

Teams 会議

Teams 会議の Copilot を使用すると、ユーザーは参加に遅れた会議の速度を上げ、完了した会議のメモを含む構造化された会議の要約を取得できます。 ユーザーは、会議内で発生したコンテンツやディスカッションについて Copilot に質問することもできます。

Copilot が会議で作業できるようにするには、Teams によって生成されたトランスクリプトが必要です。 これにより、このシナリオでの Teams の動作を検討する組織の決定が作成されます。 Copilot が文字起こしを操作できる基本的な方法は、保持トランスクリプトと一時的なトランスクリプトの 2 つあります。

保持されるトランスクリプト

保持されたトランスクリプトは、会議のユーザーが開始することも、会議の構成によって自動的に開始することもできます。トランスクリプトは、組織の保持設定に従って作成され、会議と共に保存されます。

これらのトランスクリプトには、ユーザーがアクセスしたり、ダウンロードしたり、選択した組織の期間内に保持または削除したりできます。

これは、トランスクリプトが保持されている限り、Copilot が会議の質問と参照の詳細に引き続き回答できるため、最も機能豊富なエクスペリエンスです。

一時的なトランスクリプト

トランスクリプトの保持と検出可能性に関する懸念がある組織の場合、このオプションは Copilot のためだけに一時的なトランスクリプトを作成します。 これは検出またはダウンロードできず、会議の完了時に取り消し不能に削除されます。

Copilot が会議ノートを完了すると、トランスクリプトは破棄されます。 これにより、ユーザーまたは検出プロセスが取得できる方法でトランスクリプトを作成したくない組織にメリットがあります。 しかし、トレードオフは、会議が終了すると、Copilot を使用して会議の内容について話し合うことができなくなるということです。

文字起こし方法

使用するトランスクリプト メソッドに関する決定は、環境の分類によって決定されません。 機密性の高い環境では、どちらの文字起こし方法も利用できます。 オーストラリアのプライバシー原則とプライバシー法は、組織によって選択された方法の規範ではありません。 各顧客は、保持する必要性に最も適したモデルを決定し、会議のトランスクリプトを破棄して、独自の保持と検出の義務と要望を満たします。

Teams 会議ポリシーの柔軟性は、さまざまなユーザーが異なる要件を受けることができることを意味し、組織はさまざまなユーザー グループに異なる設定を提供する高度な構成性を提供します。

Teams 会議ポリシー

Teams 会議ポリシーは、 Microsoft Teams管理ポータルで構成されます。

Teams 会議ポリシー は、さまざまな顧客のニーズに合わせて構成できるため、組織の要件に適した構成を得るために使用できる機能と設定を十分に理解することが重要です。

会議ポリシーの文字起こし設定は、ユーザーが保持トランスクリプトの作成をトリガーする機能を決定します。

具体的には、文字起こし設定が [オフ] の場合、影響を受けるユーザーは、保持されたトランスクリプトの作成をトリガーできません。

これが Copilot にどのように影響するかは、ユーザーの会議ポリシー Copilot 設定と、会議の作成時に選択されたトランスクリプト会議オプション & 記録という 2 つの設定に基づいています。

会議ポリシーの Copilot 設定は、 保存されたトランスクリプトでのみ [オン] または [オン] にすることができます。 これにより、管理者は、ユーザーが Copilot にアクセスするために保持されたトランスクリプトを要求したり、保持または一時的なトランスクリプトを通じてユーザーが Copilot と関わることを許可したりできます。 この設定を会議ポリシーのトランスクリプト設定と組み合わせることにより、個々の組織とユーザー グループの特定の要件に基づいて、さまざまなシナリオを確立できます。

会議内の Copilot 関数の方法を変更する 3 番目の要素は、スケジュールされた会議自体の [記録 & トランスクリプト] 設定 を構成する際の会議開催者の選択です。

ユーザーが文字起こしをオンに設定している会議ポリシーの場合は、会議オプション [ 記録と文字起こし ] が自動的 に使用できます。 レコードと文字起こしが自動的に有効になると、会議が開始されるとすぐに保持トランスクリプトが作成されます。 Copilot は、このような会議でライセンスを持つユーザーが利用できます。

自動記録と文字起こしが有効になっていない場合は、[ 誰が録音および文字起こしできるユーザー ] と [Copilot の許可 ] 設定を構成できるようになります。また、Copilot の動作に影響します。

[ 記録および文字起こしできるユーザー ] 設定は、記録と文字起こしを有効にできるユーザーを決定します。

[Copilot を許可する] 設定には、次の 2 つのオプションがあります。

• 会議中のみ: この設定は、会議の開始時に一時的なトランスクリプトを作成し、会議の終了時に破棄するように Copilot に指示します。 そのため、会議中にユーザーが文字起こしをオンにしない限り、会議が終了した後は Copilot を使用できません。 これにより、会議の終了後に Copilot が使用できる保持トランスクリプトが作成されます。
• 会議中と会議後: この設定を使用すると、会議のユーザーが文字起こしを有効にし、保持されたトランスクリプトを作成できます。このトランスクリプトは、Copilot が会議の終了時と終了後に機能を提供するために使用します。

Teams 会議の Copilot 構成の詳細については、「 文字起こし設定」を参照してください。

Copilot チャット

Microsoft 365 用 Copilot は、Microsoft Teams内で直接 AI チャットを提供します。 これは、質問に回答し、調査を行い、コンテンツを下書きする方法を提供する汎用チャット エクスペリエンスです。 これを Copilot ユーザーが確実に利用できるようにするには、Teams アプリ統合が、設定されている可能性があるアプリのブロック ポリシーによってブロックされていないことを確認する必要があります。

Teams 管理ポータルに移動し、Teams アプリの [アプリの管理] メニューに移動して、アプリの可用性を確認します。 Copilot アプリ統合を見つけて選択します。

アプリの詳細ページに移動したら、アプリがブロックされている場合は、[アプリのブロック解除] を選択して アプリのブロックを解除します。

Teams アプリのブロックが解除され、許可されている場合、Copilot 対応ユーザーは、Microsoft Teamsの [チャット] タブの上部にピン留めされた Copilot チャット アプリを見つけます。

Web コンテンツへのアクセス (Bing統合)

Copilot for Microsoft 365 には、Microsoft 365 環境内から収集されたサービスと情報に関するトレーニング済みの知識を、 Bing からのパブリック Web コンテンツで強化する方法として、Microsoft Bingからの Web コンテンツ統合が用意されています。 詳細については、「 サービス アーキテクチャ」を参照してください。

この統合は、インターネットから関連する最新の公開情報にアクセスするためのメカニズムとして、Copilot プロセスの基礎段階で動作します。 これは、ユーザーの操作を匿名でBingに送信される検索キーワードに書き換えることによって行われます。 その後、Bingからの関連する結果が内部データと共に使用され、大きな言語モデルで応答が作成されます。

たとえば、以下では、相互作用 '誰が最新の灰シリーズを獲得したか" を確認できます。 Copilot が最初に Web コンテンツを無効にしてから、後で有効にして実行します。

Copilot は、Web コンテンツを無効にしてこの質問に答えることはできません。

Copilot は、Web コンテンツを有効にして回答できます。

Microsoft 365 用 Copilot は Microsoft 365 サービス境界内で実行されますが、プラグインはその境界の外側で動作します。 これは、統合された Web コンテンツ プラグインにも当てはまります。 Bingは Microsoft ネットワーク経由で接続する Microsoft ファースト パーティ サービスですが、Microsoft 365 サービス境界の外にあり、IRAP 評価されていません。 したがって、Microsoft は、Bingが分類された資料の処理に適していると断言することはできません。

Microsoft 365 用 Copilot は、次の情報をBingに送信 しません 。

• ユーザーの元の操作
• Microsoft 365 ファイル全体 (つまり、ドキュメントまたは電子メール全体)
• ユーザー名、ドメイン、ユーザー ID、テナント ID など、ユーザーの Microsoft Entra ID オブジェクトからの情報を識別する

重要なのは、商用データ保護での Microsoft Copilot の使用と一致し、Copilot for Microsoft 365 によって作成され、Bingに送信される検索クエリです。

• Bing Search インデックスのランク付けパラメーターには格納されず、何の影響もありません。
• Bing Webmaster ツールやサード パーティ (Microsoft パートナーや広告主を含む) に提供されるその他のツールを使用してアクセスすることはできません。

ただし、Microsoft は、お客様のデータのセキュリティ、プライバシー、コンプライアンスを保護するための強力な対策を講じていますが、Bingは現在、分類された資料を処理する適合性について評価されていません。 機密性の高い環境をお持ちのお客様は、これを考慮する必要があります。

最初は、ユーザーが Microsoft 365 用 Copilot に慣れている間、機密性の高い素材を処理するすべてのユーザーに対してこの機能を 無効 にすることをお勧めします。

テナント レベルの Web コンテンツ プラグイン設定は、 Microsoft 365 管理ポータルから構成されます。

ユーザーが Microsoft 365 用 Copilot に慣れたら、関連するスタッフ トレーニングと Web コンテンツの統合を導入することが適切な場合があります。 管理者が有効にすると、必要に応じてエンド ユーザーが Web コンテンツをオンまたはオフにすることができます。 これにより、現在のセッションからの情報がBingに送信されるタイミングをエンド ユーザーが制御できるようになります。

ユーザーは Web コンテンツ プラグインをすぐにオンまたはオフにできるため、この機能を責任を持って使用できます。 これは、エンド ユーザーが現在公開されている検索エンジンに関与するタイミングとタイミングを決定するのと似ています。 ただし、Copilot for Microsoft 365 Web コンテンツ プラグインでは、コンシューマー Web 検索よりも多くのプライバシー制御が適用されます。

スタッフは、セッションごとに Web コンテンツ プラグインを利用し、プラグインが Web の素材と連携できるようにしてから、"新しいチャット" の開始時に無効にして、より機密情報と関わることをお勧めします。

Web コンテンツでの Copilot エクスペリエンスの詳細については、「Microsoft Copilot with Commercial Data Protection」を参照してください。

商用データ保護を使用した Microsoft Copilot

商用データ保護を備えた Microsoft Copilot は、Microsoft 365 用 Copilot の一部ではなく、Microsoft 365 データとそれ自体を接続できない個別の Copilot エクスペリエンスです。 Bingを介して Web に接続されています。 商用データ保護は、商用顧客向けの特定のデータ保護コミットメントを追加することで、コンシューマーの Microsoft Copilot エクスペリエンスに基づいています。

すべての Copilot for Microsoft 365 のお客様は、対象となる Office 365 または Microsoft 365 ライセンスを通じて商用データ保護オファリングにアクセスできます。

商用データ保護を備えた Microsoft Copilot は、次のようなコンシューマー サービスが提供する可能性を超えて、セキュリティ、コンプライアンス、 プライバシーに関するコミットメント を強化します。

• 対話とデータに基づく AI モデルをトレーニングしないというコミットメント。
• 対話と応答は暗号化され、Microsoft スタッフには表示されません。
• ユーザーや組織へのユーザーの操作のリンクはありません。

重要なのは、Microsoft 365 の Copilot の使用と一致し、Microsoft Copilot によって商用データ保護で作成され、Bingに送信される検索クエリです。

• Bing Search インデックスのランク付けパラメーターには格納されず、何の影響もありません。
• Bing Webmaster ツールやサード パーティ (Microsoft パートナーや広告主を含む) に提供されるその他のツールを使用してアクセスすることはできません。

Microsoft Copilot は、Microsoft 365 用 Copilot の IRAP 評価には含まれず、Web へのアクセスのためにBingと本質的にリンクされています。 したがって、分類された品目の処理には適していません。

しかし、多くの組織が現在、スタッフが Web 検索エンジンにアクセスできるようにするのと同じように、検索エンジンに機密情報を入力しないようにスタッフをトレーニングします。商用データ保護を備えた Microsoft Copilot は、政府の情報を未知の第三者に公開するリスクのある消費者レベルのパブリック インターネット サービスを使用せずに、生成 AI 機能に安全で安全かつプライベートな方法でアクセスできます。 データを使用して AI モデルをトレーニングします。

このような理由から、Microsoft Copilot with Commercial Data Protection は、セキュリティの低いパブリックジェネレーティブ AI サービスの代替手段として、エンド ユーザーのコンピューティング環境からパブリック Web 検索エンジンへのアクセスを許可するお客様に推奨されます。

商用データ保護を使用して Microsoft Copilot を構成するには、このリンクの実装手順を実行する必要があります。

商用データ保護を適用する

商用データ保護がアクティブであり、コンシューマー サービスではなく、ユーザーが Microsoft Copilot に関与するようにするには、構成が必要です。 適用する必要がある構成は、コンシューマー サービスから商用データ保護サービスにユーザーをリダイレクトします。

商用データ保護の使用を強制するには、次の 3 つの方法があります。

1. DNS CNAME: さまざまな Copilot エントリ ポイントの DNS リダイレクトを作成します。

   • Bingの Copilot、Microsoft Edge の Copilot、Windows の Copilot の場合: <www.bing.com> の DNS エントリを nochat.bing.com の CNAME に設定して、DNS 構成を更新します。
   • copilot.microsoft.com と Copilot モバイル アプリの場合: copilot.microsoft.com の DNS エントリを cdp.copilot.microsoft.com の CNAME に設定して、DNS 構成を更新します。

   Active Directory Domain Services DNS 構成の詳細については、「 Active Directory Domain Services DNS の構成」を参照してください。

2. ヘッダーの挿入: <www.bing.com>、edgeservices.bing.com、および copilot.microsoft.com のすべての送信要求に次の HTTP ヘッダーを追加します。

   • x-ms-entraonly-copilot: 1

3. 宛先ネットワーク アドレス変換 (DNAT): 会社のファイアウォールを使用して宛先ネットワーク アドレス変換 (DNAT) を実行します。

   • Bingの Copilot、Microsoft Edge の Copilot、Windows の Copilot の場合: WWW.BING.COMと edgeservices.bing.com を DNAT IP アドレス nochat.bing.com に解決します。
   • copilot.microsoft.com と Copilot モバイル アプリの場合: COPILOT.MICROSOFT.COM を DNAT IP アドレス cdp.copilot.microsoft.com に解決します。

ユーザー ライセンスを適用する

商用データ保護を使用して Microsoft Copilot にアクセスする各ユーザーには、"Microsoft Copilot の商用データ保護" ライセンス要素 (ライセンス ID: 0d0c0d31-fae7-41f2-b909-eaf4d7f26dba) が Microsoft Entra ID ユーザー オブジェクトに適用されている必要があります。

Microsoft Copilot ライセンス要素の商用データ保護は、Office 365 Enterprise と Frontline の Microsoft 365 の前提条件 となるライセンス の種類 である Copilot と、Microsoft 365 Enterprise、Business、Frontline、Education に含まれています。

監査、検出、保持

新しいテクノロジを実装する場合は、使用の監査、存在する検索、検出プロセス、およびポリシーによってマテリアルの保持が適用されることを検討することが重要です。 Microsoft 365 用 Copilot は変わりありませんが、Microsoft 365 に統合されているため、まだ持っていない新しいメカニズムを設定する必要はなく、どこに行き、何を見つけるかを理解する方が重要です。

監査、検出、保持の設定 ( 秘密度ラベル と 通信コンプライアンス 設定) へのクイック アクセスは、Microsoft 365 管理ポータルの Copilot 設定ページから入手できます。

組織の管理者は、Microsoft 365 管理ポータルから Copilot データのセキュリティとコンプライアンスのクイック リンクにアクセスできます。

監査

Copilot とのやり取りでは、SharePoint、OneDrive、または Teams のユーザー アクションと同じ方法で 監査ログ エントリ が生成されます。 標準 の Microsoft 365 監査ログ には、 Copilot Interaction という名前の Copilot の監査エントリのカテゴリが含まれるようになりました。

アクティビティ、操作、ワークロードの情報の上にある監査ログ データでは、すべて Copilot 操作を指し示し、 CopilotEventData エントリの JSON ペイロードは、操作の一部としてアクセスされたリソース、送信元ホスト アプリケーション、チャット スレッド ID を示します。 この情報は、ユーザーの操作と Copilot 応答にアクセスするために使用できます。 詳細については、「 保持 と 検出」を参照してください。

保持

Microsoft 365 のプロンプトと応答の対話の Copilot は、2 人のユーザー間のチャット メッセージが Teams によって現在保存されているのと同じ方法で、メッセージMicrosoft Teamsとして格納されます。 このデータはユーザーのメールボックス ストレージに保持され、Teams チャットと同じ方法で Microsoft 365 の保持ポリシーと破棄ポリシーの対象となります。

Microsoft 365 用 Copilot を実装する組織は、このような相互作用の保持と破棄の要件を考慮し、必要に応じて Copilot とのユーザー操作の検出と取得を可能にするために、保持ポリシーまたは破棄ポリシーが確実に適用されるようにする必要があります。

他のアイテム保持ポリシーと同様に、Teams チャットと Copilot の操作は、無期限を含め、任意の期間保持でき、必要に応じて保持期間の終了時に自動的に削除されます。 Microsoft 365 のお客様向けの Copilot は、適切な保有期間を決定し、 Microsoft Purview ポータルから一致する適切なポリシーを適用する必要があります。

電子情報開示

Microsoft 365 のやり取りの Copilot は、Microsoft Teamsからのチャット メッセージと同じ方法で保存されるため、顧客がアクセスできるのと同じ コンテンツ検索 と 電子情報開示 機能を利用できます。

Microsoft 365 用 Copilot では、Microsoft 365 の検出機能に Copilot の相互作用と呼ばれる新しいコンテンツ タイプが導入されています。

コンテンツ検索を実行する場合、Copilot の対話の種類を使用すると、管理者または電子情報開示責任者は、特定のユーザーまたはグループの相互作用を特定したり、監査ログを通じて特定された特定の操作を特定したりできます。

管理者か電子情報開示ケースのマネージャーかに関係なく、Copilot の相互作用は記録され、既定の保持期間内に取得することも、アイテム保持ポリシーの対象とすることもできます。