【Copilot】CopilotのMicrosoft Graph APIアクセス範囲の確認と制御手順

CopilotはMicrosoft Graph APIを通じて、ユーザーのMicrosoft 365データにアクセスします。このアクセス範囲を理解し、適切に制御することは、セキュリティとプライバシー保護のために不可欠です。本記事では、Copilotがどのデータにアクセスできるかを確認する方法と、そのアクセス範囲を管理する手順を解説します。

これにより、組織内のCopilot利用におけるデータアクセスに関する理解を深め、適切なセキュリティポリシーを適用できるようになります。

CopilotのMicrosoft Graph APIアクセス範囲を正しく把握し、管理することは、Microsoft 365環境のセキュリティを維持する上で重要です。アクセス範囲の確認と制御は、主にMicrosoft 365管理者が行う操作となります。一般ユーザーは、自身のデータへのアクセスについてCopilotに依頼する際に、その範囲を意識することが求められます。

CopilotのMicrosoft Graph APIアクセス範囲の仕組み

Copilotは、ユーザーがCopilotに指示を出す際、その指示内容を解釈し、Microsoft Graph APIを介して必要なデータにアクセスします。アクセスできるデータは、ユーザーに付与されているMicrosoft 365ライセンスと、Copilotに許可されている権限に基づきます。例えば、メールの要約を依頼した場合、CopilotはOutlookのメールデータにアクセスします。会議の議事録作成を依頼した場合は、Teamsの会議情報やWordドキュメントにアクセスする可能性があります。

Microsoft Graph APIは、Microsoft 365の様々なサービス(Exchange Online、SharePoint Online、Teamsなど)からデータにアクセスするための統一されたエンドポイントを提供します。CopilotはこのAPIを利用して、ユーザーのコンテキストに応じた情報を取得し、応答を生成します。

CopilotのMicrosoft Graph APIアクセス範囲を確認する手順

1. Microsoft 365管理センターにサインインする
   管理者権限を持つアカウントで、Microsoft 365管理センター(admin.microsoft.com)にサインインします。
2. 「設定」メニューを開く
   左側のナビゲーションメニューから「設定」を選択し、「統合」または「サービス」のような関連項目を探します。
3. CopilotまたはAI機能の設定項目を探す
   表示される設定項目の中から、「Microsoft Copilot」またはAI機能に関連する項目を見つけます。
4. アクセス許可または権限設定を確認する
   Copilotの設定画面で、アクセス許可、権限、またはデータアクセスに関するセクションを探します。
5. Microsoft Graph APIのアクセス範囲に関する情報を確認する
   Copilotが利用するMicrosoft Graph APIのアクセス範囲について、ドキュメントや設定画面上の説明を確認します。

注意点: Copilotのアクセス範囲は、Microsoftによるアップデートにより変更されることがあります。最新の情報は、Microsoftの公式ドキュメントを参照することが推奨されます。

CopilotのMicrosoft Graph APIアクセス範囲を制御する手順

1. Microsoft 365管理センターにサインインする
   管理者権限を持つアカウントで、Microsoft 365管理センターにサインインします。
2. 「設定」メニューからCopilotの設定を開く
   前述の手順と同様に、Copilotの設定画面にアクセスします。
3. アクセス制御またはポリシー設定を見つける
   Copilotの設定画面内で、アクセス制御、データポリシー、または権限管理に関連するオプションを探します。
4. アクセス範囲を制限または変更する
   特定のデータソース(例: SharePoint、Exchange)へのアクセスを無効にする、または特定のユーザーグループに対してアクセス権限を制限する設定を行います。
5. 変更を保存する
   設定した内容を保存し、組織全体または対象ユーザーに適用します。

補足: 法人契約(Microsoft 365 E3/E5/Business Premium + Copilotアドオン)の場合、Copilotのアクセス範囲は、Microsoft Graph APIのアプリケーション権限と委任された権限の設定、およびAzure ADの条件付きアクセスポリシーによってさらに細かく制御可能です。これらの設定は、AzureポータルやMicrosoft Graph Explorerを通じて行うことができます。

Copilotのアクセス許可に関するよくある質問

Copilotがアクセスできるデータは誰が決めるのか

Copilotがアクセスできるデータは、主にMicrosoft 365の管理者によって設定されたポリシーと、ユーザーに割り当てられているライセンスに基づきます。Microsoft Graph APIへのアクセス権限は、管理者がAzure Active Directory(現Microsoft Entra ID)で管理します。

一般ユーザーはCopilotのアクセス範囲を自分で変更できるか

一般ユーザーは、CopilotのMicrosoft Graph APIへのアクセス範囲を直接変更することはできません。アクセス範囲の制御は、組織のIT管理者のみが行えます。ユーザーは、Copilotへの依頼内容を通じて、間接的にアクセスされるデータに影響を与えることができます。

機密データへのアクセスを防ぐにはどうすればよいか

機密データへのアクセスを防ぐためには、Microsoft 365管理者がCopilotのアクセス権限を最小限に絞ることが重要です。具体的には、必要のないデータソース(例: 特定のSharePointサイト)へのアクセスを無効化したり、機密情報が含まれる可能性のあるドキュメントへのアクセスを制限したりするポリシーを適用します。また、Microsoft Purview Information Protection(旧Microsoft Information Protection)などのデータ分類・保護ソリューションと連携し、機密データにラベルを付け、Copilotからのアクセスを制限することも有効です。

Copilot ProとMicrosoft 365 Copilotのアクセス範囲の違い

Copilot Proは、個人のMicrosoftアカウントで利用する際に、個人のMicrosoft 365データにアクセスします。一方、Microsoft 365 Copilotは、組織のMicrosoft 365テナント全体にアクセスし、その範囲は管理者が詳細に制御します。組織のデータ保護を重視する場合は、Microsoft 365 Copilotのアクセス範囲管理が不可欠です。

本記事では、CopilotのMicrosoft Graph APIアクセス範囲の確認方法と、管理者が行うべき制御手順について解説しました。これにより、組織はCopilot利用時のデータセキュリティを強化できます。次に、IT管理者は組織のセキュリティポリシーに基づき、Copilotのアクセス範囲を適切に設定・見直しを行うことが推奨されます。Copilot ProとMicrosoft 365 Copilotのアクセス範囲の違いを理解し、目的に応じた活用を進めましょう。