次の方法で共有

Copilot の Microsoft Purview AI ハブとデータセキュリティとコンプライアンス保護に関する考慮事項

  • [アーティクル]

セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンス

Microsoft Purview AI ハブやその他の機能を使用して、Microsoft 365 CopilotとMicrosoft Copilotのデータ セキュリティとコンプライアンス保護を管理する方法を理解している場合は、次の詳細情報を使用して、お客様に適用される可能性のある前提条件、考慮事項、および除外について説明します。organization。 Microsoft Copilotについては、Microsoft 365 および Microsoft Copilot 用 Copilot のMicrosoft 365 Copilot要件とエンタープライズ データ保護と共に、これらを必ずお読みください。

Copilot でこれらの機能を使用するためのライセンス情報については、ページの上部にあるライセンスとサービスの説明のリンクを参照してください。 Copilot のライセンス情報については、Microsoft 365 Copilotのサービスの説明を参照してください。

AI ハブの前提条件と考慮事項

ほとんどの場合、AI ハブは使いやすく、わかりやすく、前提条件と構成済みのレポートとポリシーを案内します。 このセクションを使用して、その情報を補完し、必要になる可能性のある追加の詳細を提供します。

AI ハブの前提条件

Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルから AI ハブを使用するには、次の前提条件が必要です。

  • 適切なアクセス許可を持っている。

  • Copilot との対話を監視するために必要です。

  • サードパーティの生成 AI サイトとの対話を監視するために必要です。

    • デバイスは Microsoft Purview にオンボードされます。次の場合に必要です。

      • サードパーティの生成 AI サイトと共有されている機密情報を可視化します。 たとえば、ユーザーはクレジットカード番号をChatGPTに貼り付けます。
      • エンドポイント DLP ポリシーを適用して、ユーザーが機密情報をサード パーティの生成 AI サイトと共有することを警告またはブロックします。 たとえば、Adaptive Protection で昇格されたリスクとして識別されたユーザーは、クレジットカード番号をChatGPTに貼り付けるときにオーバーライドするオプションでブロックされます。

    • Microsoft Purview ブラウザー拡張機能はユーザーに展開され、サード パーティの生成 AI サイトへのサイト訪問を検出する必要があります。

監査、デバイスのオンボード、ブラウザー拡張機能の前提条件の詳細については、AI ハブ自体の「分析に移動する>開始する」セクションを参照してください。

現在サポートされているサード パーティの AI アプリの一覧については、「 Microsoft Purview でサポートされている AI サイトのデータ セキュリティとコンプライアンス保護」を参照してください。

注:

管理単位 は、AI ハブ内ではサポートされていません。 その結果、特定の管理単位に割り当てられている管理者は、テナント内のすべてのユーザーに対してアクションを実行し、それらのユーザーのデータを表示できます。 たとえば、ポリシーを作成し、その割り当てられた管理単位に含まれていないユーザーのアクティビティ エクスプローラー イベントを使用して分析を表示します。

AI ハブからのワンクリック ポリシー

既定のポリシーが作成されたら、ポータルのそれぞれのソリューション領域からいつでも表示および編集できます。 たとえば、テスト中やビジネス要件に合わせて、特定のユーザーにポリシーのスコープを設定します。 または、機密情報の検出に使用される分類子を追加または削除する必要があります。 [ポリシー] ページを使用して、ポータル内の適切な場所にすばやく移動します。

秘密度ラベルとそのポリシーについては、ポータルで Information Protection に移動して、AI ハブとは別にこれらを表示および編集します。 詳細については、「既定のラベルとポリシー」の構成リンク を使用してデータを保護します

注:

データ損失防止 (DLP) ポリシーでは、ブラウザーに貼り付ける機密情報やサード パーティのサイトにアップロードされる機密情報の検出がサポートされていますが、現在のところ、プロンプトや返された応答に入力された機密情報の検出はサポートされていません。

サポートされている DLP アクションと、それらをサポートするプラットフォームの詳細については、 監視およびアクションを実行できるエンドポイント アクティビティの表の最初の 2 行を参照してください。

AI のデータ検出の既定のポリシー

  • DLP ポリシー: Microsoft AI ハブ - AI アシスタントで機密性の高いプロンプトを検出する

    このポリシーでは、機密性の高いコンテンツがエッジ、Chrome、Firefox に貼り付けまたは他の AI アシスタントにアップロードされていることを検出します。 このポリシーは、組織のすべてのユーザーとグループを監査モードでのみ対象にします。

  • インサイダー リスク管理ポリシー: Microsoft AI ハブ - AI アシスタントでの閲覧

    このポリシーは、ユーザーがブラウザーを使用して他の AI アシスタントにアクセスするタイミングを検出するインサイダー リスク管理ポリシーを作成します。

生成 AI で使用される機密データを保護するのに役立つ、データ セキュリティからの既定のポリシー

  • DLP ポリシー Microsoft AI ハブ - AI アシスタントのアダプティブ保護

    このポリシーでは、Adaptive Protection を使用して、ユーザーが Edge、Chrome、Firefox の他の AI アシスタントに機密情報を貼り付けまたはアップロードしようとするリスクが高まるリスクに対して警告とオーバーライドを与えます。 このポリシーは、組織のすべてのユーザーとグループをテスト モードでカバーします。

    Adaptive Protection がまだ有効になっていない場合は、すべてのユーザーとグループの既定のリスク レベルを使用して保護アクションを動的に適用します。 詳細については、「 クイック セットアップ」を参照してください。

  • 情報保護

    このオプションでは、 既定の秘密度ラベルと秘密度ラベル ポリシーが作成されます

    秘密度ラベルとそのポリシーを既に構成している場合、この構成はスキップされます。

アクティビティ エクスプローラーのイベント

次の情報を使用して、AI ハブ アクティビティ エクスプローラーに表示される可能性があるイベントを理解するのに役立ちます。 生成型 AI サイトへの参照には、Microsoft 365 Copilot、Microsoft Copilot、サード パーティの AI サイトを含めることができます。

イベント 説明
AI の相互作用 ユーザーがジェネレーティブ AI サイトと対話しました。 Microsoft 365 CopilotとMicrosoft Copilotの詳細には、プロンプトと応答が含まれます。
AI 訪問 ユーザーがジェネレーティブ AI サイトを参照しました。
分類のスタンプ 機密情報の種類は、ユーザーがジェネレーティブ AI サイトと対話している間に見つかりました。
DLP ルールの一致 データ損失防止ルールは、ユーザーがジェネレーティブ AI サイトと対話したときに一致しました。

プレビューの既知の問題:

  • AI 対話イベントでは、Copilot プロンプトと応答のテキストが常に表示されるわけではありません。 プロンプトと応答が連続するエントリにまたがる場合があります。 その他のシナリオには、次のものがあります。

    • copilot for Word、ユーザーが既存のドキュメントに対して [インスパイア] を選択すると、プロンプトは表示されません
    • Wordの Copilot、ドキュメントにコンテンツがない場合、またはコンテンツが保存されていない場合、プロンプトや応答は表示されません
    • Excel 用 Copilot、ユーザーがデータ分析情報の生成を求めると、プロンプトや応答は表示されません
    • Excel 用 Copilot、ユーザーがセルまたは書式を強調表示するように求められた場合、プロンプトや応答は表示されません
    • PowerPointの Copilot、プレゼンテーションが保存されていない場合、プロンプトまたは応答は表示されません
    • Teams の Copilot、プロンプトは表示されません
    • Whiteboardの Copilot、プロンプトまたは応答は表示されません
    • Formsの Copilot、プロンプトまたは応答は表示されません

  • 分類スタンプ イベントには、ユーザー リスク レベルは表示されません。

  • DLP ルールの一致イベントは、サブサイトには表示されません。 たとえば、/chat は bing.com のサブサイトであるため、bing.com/chat には表示されません。

Copilot の情報保護に関する考慮事項

Microsoft 365 Copilotには、Microsoft 365 テナント内に格納されているデータ (Exchange Online内のメールボックス、SharePoint または OneDrive のドキュメントなど) にアクセスする機能があります。

Microsoft 365 コンテンツにアクセスするだけでなく、Copilot では、そのファイルが保存されている場所に関係なく、Office アプリ セッションのコンテキストで作業中の特定のファイルのコンテンツを使用することもできます。 たとえば、ローカル ストレージ、ネットワーク共有、クラウド ストレージ、USB スティックなどです。 ファイルがアプリ内のユーザーによって開かれている場合、アクセスは多くの場合、 使用中のデータと呼ばれます。

Microsoft 365 Copilotをデプロイする前に、データ保護ソリューションの強化に役立つ次の詳細について理解していることを確認してください。

  • コンテンツがユーザーに VIEW の使用権限を付与するが 、EXTRACT は許可しない場合:

    • ユーザーがアプリでこのコンテンツを開いていると、Copilot を使用できなくなります。
    • Copilot はこのコンテンツを要約しませんが、ユーザーが Copilot の外部でコンテンツを開いて表示できるように、リンクで参照できます。

  • Office アプリと同様に、Microsoft 365 Copilotはorganizationから秘密度ラベルにアクセスできますが、他の組織にはアクセスできません。 組織全体のラベル付けサポートの詳細については、「 外部ユーザーとラベル付けされたコンテンツのサポート」を参照してください。

  • 秘密度ラベルの高度な PowerShell 設定により、Office アプリが接続されたエクスペリエンス (Microsoft 365 Copilotを含む) にコンテンツを送信できないようにすることができます。

  • Copilot は、 ユーザー定義のアクセス許可でラベル付けおよび暗号化されている場合、SharePoint と OneDrive で未開封のドキュメントにアクセスできません。 Copilot は、ユーザーがアプリ (使用中のデータ) で開いているときに、これらのドキュメントにアクセスできます。

  • グループとサイト ("コンテナー ラベル" とも呼ばれます) に適用される秘密度ラベルは、それらのコンテナー内の項目によって継承されません。 その結果、項目は Copilot にコンテナー ラベルを表示せず、秘密度ラベルの継承をサポートできません。 たとえば、機密としてラベル付けされたチームから要約された Teams チャネル チャット メッセージは、ビジネス チャットの秘密度コンテキストのラベルを表示しません。 同様に、SharePoint サイト ページとリストのコンテンツには、コンテナー ラベルの秘密度ラベルは表示されません。

  • ユーザーがテキストをコピーできないように制限する SharePoint 情報権限管理 (IRM) ライブラリ設定を使用している場合は、ファイルのダウンロード時に使用権限が適用され 、SharePoint への作成またはアップロード時には適用されないことに注意してください。 Copilot が保存時にこれらのファイルを要約したくない場合は、EXTRACT の使用権なしで暗号化を適用する秘密度ラベルを使用します。

  • 他の自動ラベル付けシナリオとは異なり、 新しいコンテンツを作成するときに継承されたラベル は、手動で適用された優先順位の低いラベルに置き換えられます。

  • 継承された秘密度ラベルを適用できない場合、テキストは宛先項目に追加されません。 以下に例を示します。

    • 宛先項目が読み取り専用である
    • 宛先項目は既に暗号化されており、ユーザーにはラベルを変更するためのアクセス許可がありません (EXPORT または FULL CONTROL の使用権限が必要です)
    • 継承された秘密度ラベルがユーザーに発行されない

  • ラベル付きおよび暗号化された項目から新しいコンテンツを作成するようにユーザーが Copilot に求めた場合、ユーザー 定義のアクセス許可 に対して暗号化が構成されている場合、または暗号化がラベルから独立して適用された場合、ラベルの継承はサポートされません。 ユーザーは、このデータを宛先アイテムに送信できません。

  • 二重キー暗号化 (DKE) は、最も厳しい保護要件の対象となる最も機密性の高いデータを対象としているため、Copilot はこのデータにアクセスできません。 その結果、DKE によって保護された項目は Copilot によって返されません。DKE 項目が開いている場合 (使用中のデータ)、アプリで Copilot を使用することはできません。

  • Teams の会議とチャットを保護する秘密度ラベルは、現時点では Copilot によって認識されていません。 たとえば、会議チャットまたはチャネル チャットから返されたデータには、関連付けられた秘密度ラベルは表示されません。宛先アイテムのチャット データのコピーを防止できず、秘密度ラベルを継承することはできません。 この制限は、秘密度ラベルによって保護されている会議出席依頼、返信、予定表イベントには適用されません。

  • For Business Chat (旧称 Graph-grounded chat and Microsoft 365 Chat):

    • 会議出席依頼に秘密度ラベルが適用されている場合、ラベルは会議出席依頼の本文に適用されますが、日付と時刻、受信者などのメタデータには適用されません。 その結果、メタデータのみに基づく質問では、ラベルのないデータが返されます。 たとえば、"月曜日に行う会議は何ですか?会議本文を含む質問 (議題など) は、ラベル付けされたデータを返します。
    • コンテンツが適用された秘密度ラベルとは独立して暗号化され、その暗号化によってユーザー EXTRACT の使用権限が付与されない場合 (ただし、VIEW の使用権が含まれています)、そのコンテンツは Copilot によって返され、ソースアイテムに送信されます。 ドキュメントに "全般" というラベルが付き、そのラベルが暗号化を適用しない場合に、ユーザーが Information Rights Management から Office の制限を適用した場合に、この構成が発生する可能性がある場合の例です。
    • 返されたコンテンツに秘密度ラベルが適用されている場合、この機能はラベル付きデータに対して現在サポートされていないため、[ Outlook で編集] オプションは表示されません。
    • プラグインと Microsoft Graph コネクタを含む拡張機能を使用している場合、外部ソースからこのデータに適用される秘密度ラベルと暗号化は、Business Chat では認識されません。 ほとんどの場合、データが秘密度ラベルと暗号化をサポートする可能性は低いため、この制限は適用されませんが、1 つの例外は Power BI データです。 Microsoft 365 管理センターを使用してユーザーのプラグインをオフにし、Graph API コネクタを使用する接続を切断することで、外部データ ソースをいつでも切断できます。

アプリ固有の例外:

  • Outlook のMicrosoft 365 Copilot: Outlook で暗号化されたアイテムにMicrosoft 365 Copilotを使用するには、Outlook の最小バージョンが必要です。

    • Windows 用 Outlook (クラシック): 現在のチャネルのバージョン 2408 以降
    • Outlook for Mac: バージョン 16.86.609 以降
    • Outlook for iOS: バージョン 4.2420.0 以降
    • Outlook for Android: バージョン 4.2420.0 以降
    • Outlook on the web: はい
    • Windows 用の新しい Outlook: はい

  • Edge でのMicrosoft 365 CopilotWindows でのMicrosoft 365 Copilot: Edge でデータ損失防止 (DLP) を使用しない限り、Copilot は、そのコンテンツがユーザーの EXTRACT 使用権限を付与していない場合に、Edge のアクティブなブラウザー タブから暗号化されたコンテンツを参照できます。 たとえば、暗号化されたコンテンツは、Office for the webまたはOutlook for the webから取得されます。

秘密度ラベルの継承のために既存のラベルがオーバーライドされますか?

Copilot が秘密度ラベルの継承を使用して保護を自動的に適用する場合の結果の概要:

既存のラベル 秘密度ラベルの継承でオーバーライドする
手動で適用され、優先度が低い はい
手動で適用され、優先度が高い いいえ
自動的に適用され、優先度が低い はい
自動的に適用され、優先度が高い いいえ
ポリシーからの既定のラベル(優先度が低い) はい
ポリシーからの既定のラベル(優先度が高い) いいえ
ドキュメント ライブラリの既定の秘密度ラベル(優先度が低い) はい
ドキュメント ライブラリの既定の秘密度ラベル(優先度が高い) いいえ

Copilot は、EXTRACT の使用権を持つ既存の保護を尊重します

暗号化されたコンテンツに対する個々の使用権にあまり詳しくないかもしれませんが、長い時間が過ぎてきました。 Windows Server Rights Management から Active Directory Rights Management、Azure Rights Management サービスで Azure Information Protectionになったクラウド バージョンまで。

"転送不可" メールを受信したことがある場合は、認証後にメールを転送できないように、使用権限が使用されています。 一般的なビジネス シナリオに対応する他のバンドルされた使用権限と同様に、転送不可メールでは、コンテンツで何ができるかを制御する受信者の使用権限が付与され、FORWARD 使用権は含まれません。 転送しないだけでなく、この転送不可メールを印刷することも、メールからテキストをコピーすることもできません。

テキストをコピーするアクセス許可を付与する使用権限は EXTRACT であり、よりわかりやすい一般的な名前が Copy です。 この使用権限は、暗号化されたコンテンツからユーザーにテキストMicrosoft 365 Copilot表示できるかどうかを決定します。

注:

フル コントロール (OWNER) の使用権限にはすべての使用権限が含まれているため、EXTRACT は自動的にフル コントロールに含まれます。

Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルを使用して暗号化を適用するように秘密度ラベルを構成する場合、最初の選択肢は、アクセス許可を今すぐ割り当てるか、ユーザーにアクセス許可を割り当てるかです。 ここで割り当てる場合は、Co-Author や校閲者など、事前に設定された使用権限グループを使用して定義済みのアクセス許可レベルを選択して、アクセス許可を構成します。 または、使用可能な使用権限を個別に選択できるカスタム アクセス許可を選択することもできます。

ポータルでは、EXTRACT 使用法の権限が [ コンテンツのコピーと抽出(EXTRACT)] として表示されます。 たとえば、選択した既定のアクセス許可レベルは 共同作成者で、 コンテンツのコピーと抽出 (EXTRACT) が含まれていると表示されます。 その結果、この暗号化構成で保護されたコンテンツは、次のMicrosoft 365 Copilotによって返されます。

アクセス許可に EXTRACT が含まれる秘密度ラベルの使用権限の構成。

ドロップダウン ボックスから [カスタム ] を選択し、一覧から [フル コントロール(OWNER)] を選択すると、この構成によって EXTRACT の使用権も付与されます。

注:

暗号化を適用するユーザーは、Rights Management の所有者であるため、常に EXTRACT の使用権を持ちます。 この特別なロールには、すべての使用権限とその他のアクションが自動的に含まれます。つまり、ユーザーが自分で暗号化したコンテンツは、常にMicrosoft 365 Copilotによって返される資格があります。 構成された使用制限は、コンテンツへのアクセスを承認されている他のユーザーに適用されます。

または、ユーザーがアクセス許可を割り当てできるように暗号化構成を選択した場合、Outlook の場合、この構成には、転送不可と暗号化専用の定義済みのアクセス許可が含まれます。 Encrypt-Only オプションには、転送不可とは異なり、EXTRACT の使用権限が含まれています。

Word、Excel、PowerPointのカスタム アクセス許可を選択すると、ユーザーは秘密度ラベルを適用するときに Office アプリで独自のアクセス許可を選択します。 2 つの選択項目から、 読み取り にはコンテンツをコピーするためのアクセス許可は含まれていないが、 変更 は含まれているという情報が表示されます。 コピーするこれらの参照は、EXTRACT 使用法権限を参照します。 ユーザーが [ その他のオプション] を選択した場合は、[コンテンツのコピーに読み取りアクセス権を持つユーザーを許可する] を選択することで、EXTRACT 使用法権限 を [読み取り] に追加できます。

[ユーザー] ダイアログ ボックスを使用して、EXTRACT の使用権限を含むアクセス許可を選択します。

ヒント

表示する権限を持つドキュメントに EXTRACT 使用状況権限が含まれているかどうかをチェックする必要がある場合は、Windows Office アプリで開き、ステータス バーをカスタマイズして [アクセス許可] を表示します。 秘密度ラベル名の横にあるアイコンを選択して、[ マイ アクセス許可] を表示します。 [ コピー] の値を表示します。この値は EXTRACT 使用状況の右側にマップされ、[ はい ] と [いいえ] のどちらが表示されるかを確認します。

メールの場合、Outlook for Windows のメッセージの上部にアクセス許可が表示されない場合は、ラベル名を持つ情報バナーを選択し、[ アクセス許可の表示] を選択します。

Copilot は、ユーザーに対する EXTRACT の使用権を尊重しますが、コンテンツに適用されました。 ほとんどの場合、コンテンツにラベルが付いている場合、ユーザーに付与される使用権限が秘密度ラベル構成の使用権と一致します。 ただし、適用されたラベル構成とはコンテンツの使用権が異なる場合があります。

暗号化用の秘密度ラベルの構成の詳細については、「秘密 度ラベルを使用してコンテンツへのアクセスを制限して暗号化を適用する」を参照してください。

使用権限の技術的な詳細については、「Azure Information Protectionの使用権限を構成する」を参照してください。

Copilot のコンプライアンス管理に関する考慮事項

Microsoft 365 CopilotとMicrosoft Copilotとの対話のためのコンプライアンス管理は、Word、Excel、PowerPoint、Outlook、Teams、Loop、Whiteboard、OneNote、Business Chat (旧称 Graph ベースのチャットおよびMicrosoft 365 Chat)。

注:

Copilot のコンプライアンス管理には、ユーザーがサインインしたときにパブリック Web との間のプロンプトと応答が含まれており、Web ではなく [作業] オプションを選択します。

コンプライアンス ツールは、ソース Copilot の相互作用をアプリの名前で識別します。 たとえば、Wordの CopilotTeams の CopilotMicrosoft 365 Chat (ビジネス チャットとMicrosoft Copilotの場合)。

Microsoft 365 CopilotとMicrosoft Copilotを展開する前に、コンプライアンス管理ソリューションをサポートするために、次の詳細を理解していることを確認してください。

  • 監査データは、データのセキュリティとコンプライアンスを目的として設計されており、これらのユース ケースに対する Copilot の相互作用を包括的に可視化します。 たとえば、データの過剰共有リスクを検出したり、規制コンプライアンスや法的な目的で相互作用を収集したりします。 Copilot 使用状況レポートの基礎として使用することを目的としたものではありません。

    注:

    "プロンプトカウント" や "アクティブユーザー数" などのこの監査データに基づいて構築した集計メトリックは、Microsoft が提供する公式の Copilot 使用状況レポートの対応するデータ ポイントと一致しない可能性があります。 Microsoft では、使用状況レポートの基礎として監査ログ データを使用する方法に関するガイダンスを提供することも、監査ログ データに基づいて構築された集計された使用状況メトリックが、他のツールで報告されている同様の使用状況メトリックと一致する Microsoft guartantee を提供することもできません。

    Copilot の使用状況に関する正確な情報にアクセスするには、Microsoft 365 管理 センターのMicrosoft 365 Copilot使用状況レポートまたはViva Insightsの Copilot ダッシュボードのいずれかのレポートを使用します。

  • 監査では、検索の Copilot アクティビティがキャプチャされますが、実際のユーザー プロンプトや応答はキャプチャされません。 この情報については、電子情報開示を使用します。 または、AI ハブから、[アクティビティ エクスプローラー] ページから AI 操作を使用します。

  • Copilot の監査に関する管理関連する変更はまだサポートされていません。

  • 現在、デバイス識別情報は監査の詳細に含まれていません。

  • Copilot 操作の保持ポリシーは、アイテム保持ポリシーの結果としてメッセージが削除されたときにユーザーに通知しません。

アプリ固有の例外:

  • Teams のMicrosoft 365 Copilot:
    • トランスクリプトがオフになっている場合、監査、電子情報開示、保持の機能はサポートされていません
    • トランスクリプトが参照されている場合、このアクションは監査のためにキャプチャされません
    • Teams のビジネス チャットの場合、Copilot は現在、ユーザーに返される参照ファイルであるクラウド添付ファイルとして保持できません。 ユーザーによって参照されるファイルは、クラウドの添付ファイルとして保持することがサポートされています。