Microsoft 365 Copilotデータ保護と監査アーキテクチャ
Microsoft 365 Copilotは、セキュリティ & データ保護制御を受け入れ、使用状況データを監査するためのツールが含まれています。 この記事では、次について説明し、説明します。
- Copilot が Microsoft Purview 秘密度ラベルと連携する方法。
- SharePoint サイトと OneDrive でのデータの過剰共有を防ぐために使用できるコントロール。
- Copilot 使用状況データが格納されている場所と、このデータを検出、監査、保持する方法。
この記事は、次の項目に適用されます:
- Microsoft 365 Copilot
秘密度ラベルと暗号化Microsoft 365 Copilotのしくみ
Copilot は Microsoft Purview の秘密度ラベルと暗号化と連携して、追加の保護レイヤーを提供します。
次の図は、Copilot が秘密度ラベルと暗号化を使用して情報保護コントロールを尊重する方法を視覚的に示しています。
次を見てみましょう。
サポートされている Office アプリでファイルを開きます。 ファイルが開くと、ラベル用に構成されている秘密度ラベル名とコンテンツ マーキングが表示されます。
秘密度ラベルが暗号化を適用する場合、ユーザーはデータを要約するために Copilot の EXTRACT および VIEW の使用権限を持っている必要があります。
秘密度ラベルなしで Azure Rights Management サービスによって暗号化されたアイテムには、Copilot のユーザーがデータを要約するために EXTRACT または VIEW の使用権限が引き続き必要です。
Copilot (Business Chat と呼ばれる) とのプロンプト セッションでは、返されるデータのラベルが表示されます。 現在の応答では、優先度が最も高いラベルが表示されます。
Copilot を使用して秘密度ラベルを持つ項目に基づいて新しいコンテンツを作成すると、新しいコンテンツは自動的に優先度が最も高い秘密度ラベルとそのラベルの保護設定を継承します。
保護は、ファイルが Office アプリで開かれるときに、Microsoft 365 テナントの外部に格納されたデータに拡張されます。
たとえば、ユーザーの個人用デバイス、ネットワーク共有、クラウド ストレージなど、Microsoft 365 テナントの外部に保存された秘密度ラベルを持つファイルがあります。 このファイルが Office アプリで開かれると、保護設定はファイルと共に行われます。
詳細については、次を参照してください。
Microsoft 365 Copilotで使用できるオーバーシェアリング コントロール
Microsoft 365 には、Copilot を介したデータの過剰な共有を防ぐのに役立つコントロールが含まれています。
次の図は、Microsoft 365 E3+ および SharePoint Advanced Management ライセンスの一部の機能を視覚的に表したものです。これは、過剰共有を防ぐのに役立ちます。
次を見てみましょう。
制限付き SharePoint Search を使用すると、organization全体の検索と Copilot エクスペリエンスを選択した SharePoint サイトに制限できます。 既定では、この設定はオフで、 許可されるリスト は空です。 これは、サイトに適切なアクセス許可設定を確認して適用するための一時的なソリューションとして機能します。
SharePoint には、より多くの組み込みコントロールが含まれています。
- 既定では、organization全体の共有ではなく、特定のユーザー リンクを使用します。
- [ 外部ユーザーを除くすべての ユーザー] 要求のように、スコープの広いアクセス許可をユーザーに非表示にします。
- サイト管理者は、サイト レベルの制御を使用してメンバーの共有を制限し、 サイト所有者 がアクセス要求を処理できるようにします。
SharePoint Advanced Management で、 データ アクセス ガバナンス レポート を使用して、共有が過剰または機密性の高いコンテンツを含むサイトを特定します。
制限付きコンテンツ検出を使用すると、組織はサイトにフラグを設定して、ユーザーが Copilot または組織全体の検索で見つけることができないようにすることができます。 制限されたコンテンツ検出では、ユーザーの既存のアクセス許可は変更されません。 アクセス権を持つユーザーは、引き続きサイトにアクセスしてファイルを開くことができます。
SharePoint Advanced Management で、非アクティブなサイト ポリシー を作成して、非アクティブなサイトを自動的に管理および削減します。
SharePoint Advanced Management では、制限付きアクセス 制御ポリシーを使用して、SharePoint および OneDrive サイトへのアクセスを特定のグループ内のユーザーに制限できます。 指定したグループのメンバーではないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、サイトまたはコンテンツにアクセスできません。 このポリシーは、Microsoft 365 グループ接続サイト、Teams 接続サイト、およびグループ以外の接続済みサイトで使用できます。
詳細については、次を参照してください。
Microsoft Purview には、オーバーシェアリングを制限する機能が含まれています。
暗号化を適用する Microsoft Purview 秘密度ラベル を使用して、Copilot がアクセスできるファイルを制限します。 ユーザーは、データを要約するために Copilot の EXTRACT および VIEW の使用権限を持っている必要があります。
特定の秘密度ラベルが適用されているコンテンツに Copilot がアクセスできないようにするには、Microsoft 365 Copilotにデータ損失防止 (DLP) を使用します。
Copilot 使用状況データが格納されている場所と、それを監査する方法
Copilot の使用状況データは、いくつかの場所に格納されます。 Microsoft 365 E5に付属のツールを使用して、アイテム保持ポリシーを検出、監査、適用できます。
次の図は、Copilot データの検索と監査に役立つ、Microsoft 365 E5 ライセンスのさまざまな機能を視覚的に示しています。
次を見てみましょう。
Microsoft Purview 監査ログを使用して、Copilot の対話が発生した方法、タイミング、場所、およびアクセスされた項目 (それらの項目の秘密度ラベルを含む) を特定します。
Microsoft Purview eDiscoveryを使用して、不適切な可能性がある Copilot プロンプトと応答でキーワードを検索します。 この情報を電子情報開示ケースに含めて、進行中の法的調査のためにこのデータを確認、エクスポート、または保留にすることもできます。
Microsoft Purview コミュニケーション コンプライアンスを使用して、個人データや極めて機密性の高い情報など、不適切または危険な Copilot のプロンプトと応答を検出して警告します。
Microsoft Purview アイテム保持ポリシーを使用して、削除された Copilot 会話のコピーを保持して、電子情報開示で使用できるようにします。
または、特定の期間後にデータを削除するコンプライアンス要件がある場合は、保持ポリシーを使用して、Copilot のプロンプトと応答を自動的に削除します。
Copilot プロンプトと応答セッション (対話と呼ばれます) 中に、Copilot はソース ファイルへのリンクを提供できます。 これらの埋め込みリンクは 、クラウド添付ファイルと呼ばれます。
保持ラベルが自動的に適用されると、対話で使用されるクラウド添付ファイルの特定のバージョンが保持されます。 元のファイルが SharePoint または OneDrive から編集または削除された場合でも、バージョンは保持されます。
このファイルの元のバージョンまたは削除されたバージョンは、SharePoint または OneDrive の 保持ライブラリ に格納されます。 電子情報開示検索では引き続きアクセスできます。
Copilot 操作では、ユーザーはローカル ファイルをアップロードできます。 これらのアップロードされたファイルは、ユーザーの OneDrive の Microsoft Copilot チャット ファイル フォルダーに自動的に格納されます。
OneDrive の他のファイルと同様に、Copilot 関連のファイルには電子情報開示検索でアクセスでき、アイテム保持ポリシーを使用して自動的に保持または削除できます。
Copilot Pages によって作成されたコンテンツは、ユーザー所有の SharePoint Embedded コンテナー (ユーザーごとに 1 つ) に格納されます。 SharePoint の他のファイルと同様に、この Copilot 関連のコンテンツは電子情報開示検索でアクセスでき、アイテム保持ポリシーを使用して自動的に保持または削除できます。
詳細については、「 Copilot のリテンション期間について」を参照してください。