【Copilot】CopilotにEntra ID条件付きアクセスを連動させる手順とセキュリティ強化

Microsoft 365 Copilotは、Entra ID(旧Azure AD)の条件付きアクセスと連携し、セキュリティを強化できます。これにより、Copilotの利用条件を細かく設定できます。本記事では、この連携設定の手順を解説します。

Entra IDの条件付きアクセスとCopilotを連携させることで、特定のネットワーク環境やデバイスからのみCopilotへのアクセスを許可できます。これにより、不正アクセスや情報漏洩のリスクを低減できます。この記事を読むことで、Copilotのセキュリティ設定を強化する具体的な手順が理解できます。

Copilot利用におけるEntra ID条件付きアクセスの役割

Microsoft 365 Copilotは、Microsoft Graph APIを通じて各種Microsoft 365サービスにアクセスします。Entra IDの条件付きアクセスは、これらのAPIへのアクセスを制御する役割を担います。これにより、認証方法の多要素認証(MFA)の要求や、信頼されたデバイスからのアクセスのみを許可するといった、きめ細やかなセキュリティポリシーを適用できます。例えば、社内ネットワークからのアクセスのみを許可し、外部ネットワークからはMFAを必須とする設定が可能です。

Copilotへの条件付きアクセスを構成する手順

1. Microsoft Entra管理センターへのサインイン
   グローバル管理者または条件付きアクセスポリシー管理者ロールを持つアカウントで、Microsoft Entra管理センターにサインインします。
2. 条件付きアクセスへの移動
   左側のナビゲーションメニューから「保護」>「条件付きアクセス」を選択します。
3. 新しいポリシーの作成
   「ポリシー」>「新しいポリシー」を選択して、新しい条件付きアクセスポリシーの作成を開始します。
4. ポリシー名の設定
   ポリシーに識別しやすい名前を付けます。例:「Copilot-MFA-Required」など。
5. 割り当て(ユーザーとグループ)
   「割り当て」セクションで「ユーザーとグループ」を選択します。
6. 対象ユーザーの選択
   「対象ユーザーを含める」で、このポリシーを適用したいユーザーまたはグループを選択します。すべてのユーザーに適用する場合は「すべてのユーザー」を選択しますが、テスト中は特定のグループに限定することが推奨されます。
7. ターゲットリソース(アプリケーション)の選択
   「ターゲットリソース」セクションで「クラウドアプリまたは操作」を選択し、「アプリケーション」>「アプリを選択」をクリックします。
8. Microsoft Copilotの選択
   検索ボックスに「Microsoft Copilot」と入力し、表示されたアプリケーションを選択して「完了」をクリックします。
9. 条件の設定
   「条件」セクションで、アクセスポリシーをトリガーする条件を設定します。
10. 場所の選択(オプション)
    「場所」を選択し、「すべての場所」または「選択した場所」を選び、信頼できるIPアドレス範囲(社内ネットワークなど)またはブロックしたい場所を指定します。
11. デバイスプラットフォームの選択(オプション)
    「デバイスプラットフォーム」を選択し、特定のOS(Windows, macOSなど)からのアクセスを制御します。
12. クライアントアプリケーションの選択(オプション)
    「クライアントアプリケーション」を選択し、ブラウザ、モバイルアプリ、デスクトップアプリなど、アクセス元のクライアント種別を指定します。Copilotは主にブラウザ経由で利用されるため、「ブラウザー」を選択することが一般的です。
13. アクセスの制御(許可またはブロック)
    「アクセスの制御」セクションで「許可またはブロック」を選択します。
14. 付与の選択
    「付与」>「アクセスを許可」を選択します。
15. 必須の制御の選択
    「多要素認証を要求する」や「セッションを制限する」などの追加の制御を選択します。例えば、MFAを必須にする場合は「多要素認証を要求する」を選択します。
16. セッション制御の設定(オプション)
    「セッション」を選択し、「サインイン頻度」や「永続的なブラウザセッション」などの設定を行います。
17. ポリシーの有効化
    「ポリシーを有効にする」で「オン」を選択します。テスト中は「レポートのみ」に設定して、ポリシーがどのような影響を与えるかを確認してから有効化することを推奨します。
18. ポリシーの作成
    「作成」ボタンをクリックして、ポリシーを保存します。

Copilot連携における注意点とよくある失敗例

h3>Copilotアプリがポリシーでブロックされる

Entra IDの条件付きアクセスポリシーで、対象アプリケーションとして「Microsoft Copilot」を誤ってブロックしてしまうケースがあります。これにより、ユーザーはCopilotにアクセスできなくなります。

対処法:

1. ポリシーの確認と修正
   「Microsoft Copilot」アプリケーションが、意図せずブロック対象のポリシーに含まれていないか、Microsoft Entra管理センターで確認します。必要に応じて、対象アプリケーションから除外するか、別の許可ポリシーを作成します。

h3>MFAが要求されず、セキュリティが低下する

CopilotへのアクセスにMFAを必須とする設定を行っても、一部のユーザーでMFAが要求されない場合があります。これは、ポリシーが正しく適用されていないか、MFA以外の許可されたサインイン方法が優先されている可能性があります。

対処法:

1. ポリシーの対象ユーザーと条件の確認
   MFAが要求されないユーザーが、意図したポリシーの対象に含まれているか確認します。また、条件付きアクセスポリシーの「アクセスの制御」>「付与」で、「多要素認証を要求する」が正しく選択されているか確認します。
2. レポートのみモードでの確認
   ポリシーを「レポートのみ」モードで実行し、サインインログを確認して、MFAが要求されるべき状況で要求されていない原因を特定します。

h3>条件付きアクセスポリシーの競合

複数の条件付きアクセスポリシーが設定されている場合、それらが競合して予期しない動作を引き起こすことがあります。例えば、あるポリシーでアクセスが許可されているにも関わらず、別のポリシーでブロックされている場合などです。

対処法:

1. ポリシーの優先順位の確認
   Entra IDでは、ポリシーに優先順位を設定できます。競合するポリシーがある場合、優先順位が高いポリシーが優先されます。ポリシーの優先順位を確認し、意図した通りの動作になるように調整します。
2. サインインログの分析
   サインインログを確認し、どのポリシーが適用されたか、または競合したかを分析します。

Copilot ProとMicrosoft 365 Copilotの条件付きアクセスの違い

Copilot Proは個人向けのサービスであり、Entra IDの条件付きアクセスによる組織的なセキュリティ管理の対象外となります。一方、Microsoft 365 Copilotは法人向けサービスであり、Entra IDの条件付きアクセスを適用することで、組織のセキュリティポリシーに沿った利用制限が可能です。

まとめ

Microsoft 365 CopilotとEntra IDの条件付きアクセスを連携させることで、組織のセキュリティを大幅に強化できます。本記事では、CopilotへのアクセスにMFAを要求するなどのポリシーを作成する手順を解説しました。今後は、Copilotへのアクセス状況をEntra IDのサインインログで定期的に確認し、必要に応じてポリシーを更新することを推奨します。