Copilot Studioで作成したボットが、どのようなデータにアクセスしているかを確認したい場合があります。
ボットのデータアクセス範囲を把握することは、セキュリティとコンプライアンスの観点から重要です。
この記事では、Copilot Studioボットのデータアクセス範囲を監査する具体的な手順を解説します。
【要点】Copilot Studioボットのデータアクセス範囲監査
- Copilot Studioの監査ログ: ボットの操作履歴やデータアクセス状況を記録する機能です。
- データコネクタの確認: ボットが連携している外部データソースを特定します。
- 権限設定のレビュー: ボットに付与されているアクセス権限を確認します。
ADVERTISEMENT
目次
Copilot Studioボットのデータアクセス監査の概要
Copilot Studioボットは、ユーザーとの対話を通じて、さまざまなデータソースにアクセスする場合があります。例えば、SharePointリストから情報を取得したり、Dataverseのレコードを更新したりすることが考えられます。
これらのデータアクセスが意図した範囲内で行われているかを確認することが、監査の目的です。これにより、予期せぬデータ漏洩や不正アクセスを防ぐことができます。
監査には、Copilot Studio自体のログ機能と、連携している各サービス(SharePoint、Dataverseなど)の監査ログを併用することが効果的です。
Copilot Studioの監査ログを確認する手順
Copilot Studioでは、ボットの利用状況や設定変更に関する監査ログを確認できます。ただし、直接的なデータアクセスログの取得は限定的です。
ボットの操作履歴や、ボットの設定変更履歴を確認することで、間接的にデータアクセス範囲を推測する手がかりを得られます。
Copilot Studioの監査ログは、Power Platformの管理センターからアクセスするのが一般的です。
具体的な手順は以下の通りです。
- Power Platform管理センターにサインインする
管理者権限を持つアカウントで、Power Platform管理センター(admin.powerplatform.com)にアクセスします。 - 環境を選択する
監査ログを確認したいボットが配置されている環境を選択します。 - 「監査」メニューを選択する
左側のナビゲーションペインから「監査」を選択します。 - アクティビティを検索する
「アクティビティ」のドロップダウンリストから、確認したいアクティビティ(例: ボットの作成、ボットの更新、ボットの削除など)を選択します。 - 日付範囲を設定する
監査ログの検索対象となる日付範囲を指定します。 - 検索を実行する
「アクティビティの検索」ボタンをクリックして、ログを表示します。 - ログの詳細を確認する
表示されたログから、ボットに関連する操作の詳細を確認します。
データコネクタと権限設定をレビューする手順
Copilot Studioボットのデータアクセス範囲を正確に把握するには、ボットが使用しているデータコネクタとその権限設定を確認することが不可欠です。
ボットは、Power Automateフローを介して外部データにアクセスすることが多くあります。これらのフローで使用されているコネクタや、コネクタに設定されている権限を確認します。
以下の手順で確認を進めます。
- Copilot Studioでボットを開く
監査対象のボットをCopilot Studioで開きます。 - 「トリガー」または「トピック」を確認する
ボットがどのようなトリガーで起動し、どのトピック(会話の流れ)でデータにアクセスしているかを確認します。 - Power Automateフローを確認する
ボットがPower Automateフローを呼び出している場合、該当するフローを開きます。 - フローで使用されているコネクタを確認する
フロー内で使用されているコネクタ(SharePoint、Outlook、Dataverseなど)をリストアップします。 - 各コネクタの権限を確認する
各コネクタが、どのユーザーまたはアプリケーションの権限で接続されているかを確認します。これは、コネクタの設定画面や、Power Automateの「データ」メニューから確認できます。 - データソース側の権限設定を確認する
SharePointリストやDataverseテーブルなど、ボットがアクセスするデータソース側のアクセス権限設定も確認します。ボットを実行するユーザーまたはサービスアカウントに、適切な読み取り・書き込み権限が付与されているかを確認します。
ボットがSharePointリストやドキュメントライブラリにアクセスする場合、以下の点を確認します。
- Power AutomateフローのSharePointコネクタ
フロー内でSharePointコネクタがどのように使用されているかを確認します。 - SharePointリスト/ライブラリのアクセス許可
ボットがアクセスするSharePointリストまたはドキュメントライブラリのアクセス許可設定を確認します。ボットを実行するユーザーまたはサービスプリンシパルに、必要な権限(参照、編集など)が付与されているかを確認します。 - SharePoint監査ログ
SharePointの監査ログ機能を使用して、ボットに関連するユーザー(またはサービスアカウント)によるファイルアクセスやリスト操作の履歴を確認します。
Dataverseデータへのアクセス監査
ボットがDataverseテーブルにアクセスする場合、以下の点を確認します。
- Power AutomateフローのDataverseコネクタ
フロー内でDataverseコネクタが、どのテーブルに対してどのような操作(作成、読み取り、更新、削除)を行っているかを確認します。 - Dataverseテーブルのセキュリティロール
ボットを実行するユーザーまたはサービスアカウントに割り当てられているセキュリティロールを確認します。そのロールが、対象テーブルに対する適切な権限(作成、読み取り、更新、削除など)を持っているかを確認します。 - Dataverse監査ログ
Dataverseの監査機能を使用して、ボットに関連するユーザーまたはサービスアカウントによるテーブル操作の履歴を確認します。
ADVERTISEMENT
Copilot Studioボットのデータアクセス監査における注意点
Copilot Studioボットのデータアクセス範囲を監査する際には、いくつか注意すべき点があります。これらを理解しておくことで、より効果的な監査が可能になります。
Webアプリとデスクトップアプリでの挙動の違い
Copilot Studioは主にWebアプリケーションとして提供されています。そのため、デスクトップアプリケーションとの機能的な違いはほとんどありません。監査ログの確認やデータコネクタの設定は、Webブラウザを通じて行われます。
監査ログの範囲と限界
Copilot Studio自体の監査ログは、ボットの設定変更やボットの実行状況に関する情報を提供しますが、ボットがアクセスする個々のデータレコードに対する詳細な操作ログまでは記録しない場合があります。たとえば、「どのユーザーがどのレコードを読み取ったか」といった詳細までは、Copilot Studioのログだけでは追跡できないことがあります。
そのため、より詳細なデータアクセス監査を行うには、連携している各データソース(SharePoint、Dataverseなど)の監査ログ機能を活用する必要があります。これらのサービス側で、誰がいつどのデータにアクセスしたかの記録を確認することが重要です。
サービスアカウントの権限管理
ボットがサービスアカウント(またはアプリケーションユーザー)としてデータソースに接続している場合、そのサービスアカウントに付与されている権限がボットのデータアクセス範囲を決定します。サービスアカウントの権限が過剰に設定されていると、ボットが意図せず広範囲のデータにアクセスしてしまうリスクがあります。
監査時には、サービスアカウントに付与されている最小限の必要な権限(最小権限の原則)のみが付与されているかを確認することが重要です。不要な権限は剥奪し、アクセス範囲を限定するように設定を見直してください。
機密データの取り扱い
ボットが機密性の高いデータ(個人情報、財務情報など)にアクセスする場合、特に厳格な監査とアクセス制御が必要です。ボットがこれらのデータにアクセスする必要があるか、アクセスする場合にどのようなセキュリティ対策(暗号化、マスキングなど)が講じられているかを確認してください。
また、機密データへのアクセスは、承認されたユーザーのみに限定し、アクセスログを詳細に記録・監視することが求められます。
Copilot StudioとMicrosoft 365 Copilotのデータアクセス監査の違い
Copilot Studioで作成するボットと、Microsoft 365 Copilotは、データアクセス監査の観点でいくつかの違いがあります。
Copilot Studioボットは、特定の業務プロセスやシナリオに合わせて開発され、明示的に設定されたデータコネクタを介してデータにアクセスします。そのため、データアクセス範囲は比較的限定的で、設定を追跡しやすい傾向があります。
一方、Microsoft 365 Copilotは、ユーザーが利用するMicrosoft 365アプリケーション(Outlook、Teams、Word、Excelなど)内のデータや、SharePoint、OneDriveなどの企業データ全体を横断的に参照して回答を生成します。そのため、Microsoft 365 Copilotのデータアクセス範囲の監査は、より広範で複雑になります。
Microsoft 365 Copilotのデータアクセス監査は、主にMicrosoft 365管理センターの「Microsoft Copilot」セクションや、Azure Active Directory(現Microsoft Entra ID)の監査ログ、またはMicrosoft Purviewのコンプライアンスポータルなどを通じて行われます。これらのツールで、Copilotの利用状況や、Copilotが参照した可能性のあるデータソースのアクセスログを確認することになります。
| 項目 | Copilot Studioボット | Microsoft 365 Copilot |
|---|---|---|
| データアクセス範囲 | 明示的に設定されたデータコネクタ経由 | Microsoft 365アプリケーション内のデータ、SharePoint、OneDriveなど広範 |
| 監査の中心ツール | Copilot Studio、Power Platform管理センター、各データソースの監査ログ | Microsoft 365管理センター、Microsoft Entra ID監査ログ、Microsoft Purview |
| 監査の焦点 | ボットが接続する特定のコネクタ、フロー、データソースの権限 | Copilotの利用状況、参照された可能性のあるデータソースのアクセスログ |
| 開発・管理 | Copilot Studioで開発、Power Platform管理センターで管理 | Microsoft 365テナント全体で利用・管理 |
Copilot Studioボットの監査は、開発者がボットの動作を理解し、意図したデータアクセスに限定されているかを確認することに重点が置かれます。Microsoft 365 Copilotの監査は、組織全体のデータセキュリティポリシーに沿って、Copilotがどのように企業データを利用しているかを監視することに重点が置かれます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
- 【Outlook】メールの受信が数分遅れる!リアルタイムで届かない時の同期設定と送受信グループ設定
- 【Outlook】「メール送信を5分遅らせる」設定!誤送信を防ぐ最強のディレイ機能
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Outlook】予定表の「祝日」が表示されない!最新カレンダーの追加と二重表示の修正手順
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順