【Copilot】特定IPアドレス範囲にCopilot利用を制限する手順とセキュリティ強化

Microsoft 365 Copilotの利用範囲を特定のIPアドレス範囲に限定したい場合があるでしょう。

これは、社内ネットワークからのアクセスのみを許可し、外部からの不正アクセスを防ぐためのセキュリティ対策として有効です。

この記事では、Copilotの利用を特定のIPアドレス範囲に制限する具体的な手順と、それに伴うセキュリティ強化策について解説します。

これにより、組織内のCopilot利用を安全かつ管理された状態に保つことができます。

CopilotのIPアドレス制限の概要と目的

Microsoft 365 Copilotの利用を特定のIPアドレス範囲に制限することは、主にセキュリティの観点から行われます。

これにより、組織の管理下にあるネットワーク環境からのアクセスのみを許可し、外部からの不正なアクセスや情報漏洩のリスクを低減できます。

この設定は、Microsoft Entra ID(旧Azure Active Directory)の条件付きアクセス機能を利用して実現します。

法人契約(Microsoft 365 E3/E5/Business Premium + Copilotアドオン)で利用可能な機能です。

Copilot利用を特定のIPアドレス範囲に制限する手順

Copilotの利用を特定のIPアドレス範囲に制限するには、Microsoft Entra IDの条件付きアクセス機能を使用します。

この設定は、Microsoft 365管理センターからアクセスできるMicrosoft Entra IDポータルで行います。

管理者権限が必要です。

1. Microsoft Entra IDポータルにサインインする
   Microsoft 365管理センターから、または直接Microsoft Entra IDポータル(entra.microsoft.com)にサインインします。
2. 「条件付きアクセス」メニューに移動する
   左側のナビゲーションメニューから「保護」>「条件付きアクセス」を選択します。
3. 「新しいポリシー」を作成する
   「ポリシー」セクションで「+ 新しいポリシー」をクリックします。
4. ポリシーに名前を付ける
   「名前」フィールドに、ポリシーの内容がわかる名前(例:「Copilot IP制限」)を入力します。
5. 「割り当て」設定を行う
   「割り当て」セクションで、「ユーザーとグループ」および「ターゲットリソース」を設定します。
   • ユーザーとグループ: Copilotの利用を制限したいユーザーまたはグループを選択します。「すべてのユーザー」を選択すると、組織全体に適用されます。
   • ターゲットリソース: 「クラウドアプリまたはアクション」を選択し、「アプリケーションを選択」で「Microsoft Copilot」または「Office 365」を選択します。(CopilotがOffice 365サービスの一部として扱われるため)
6. 「条件」設定を行う
   「条件」セクションで、「場所」を選択します。
   • 「はい」を選択し、「すべての場所」ではなく「はい」を選択して「条件を選択」で「信頼できる場所」を選択します。
   • 「構成」>「場所」で、「はい」を選択し、「場所を選択」で「すべての場所」を「いいえ」にし、「選択」で「はい」を選択して、許可したいIPアドレス範囲を追加します。
   • 「除外」セクションで、管理者が緊急時にアクセスできるように、管理者のIPアドレス範囲などを除外設定しておくと便利です。
7. 「アクセス制御」設定を行う
   「アクセス制御」セクションで、「セッション」を選択します。
   • 「セッション」で「サインイン頻度」や「永続的なセッション」などを設定できますが、IP制限の場合は「アクセスをブロックする」を選択します。
   • 「許可」ではなく、「ブロック」を選択することで、指定したIPアドレス範囲外からのアクセスを拒否します。
8. ポリシーを有効化する
   「ポリシーを有効にする」で「オン」を選択します。テスト段階では「レポートのみ」を選択して、影響を確認することも可能です。
9. ポリシーを作成する
   設定が完了したら、「作成」ボタンをクリックしてポリシーを保存します。

IPアドレス制限のセキュリティ強化と注意点

Copilotの利用をIPアドレス範囲に制限する設定は、セキュリティを向上させますが、いくつかの注意点があります。

これらの点を理解し、適切に対応することが重要です。

IPアドレスの管理と更新

組織のネットワーク環境は変化することがあります。

DHCPなどでIPアドレスが動的に割り当てられる場合、設定したIPアドレス範囲が古くなる可能性があります。

定期的にIPアドレスの割り当て状況を確認し、必要に応じて条件付きアクセス ポリシーのIPアドレス範囲を更新することが不可欠です。

固定IPアドレスを使用している場合でも、ネットワーク構成の変更時には見直しが必要です。

モバイルデバイスやリモートワークへの対応

従業員が社外からCopilotを利用する場合、このIPアドレス制限はアクセスをブロックします。

リモートワークや出張中の従業員がCopilotを利用できるようにするには、VPN接続を必須とするか、信頼できる外部IPアドレスをポリシーに追加する必要があります。

VPN接続を条件とする場合は、条件付きアクセスで「場所」の条件にVPNを構成する必要があります。

ライセンスとCopilotの紐付け

IPアドレス制限は、あくまでアクセス元IPアドレスによる制限です。

Copilotを利用するには、ユーザーにCopilotライセンスが割り当てられている必要があります。

IPアドレス制限とライセンス管理は、それぞれ独立した設定として実施してください。

設定のテストと展開

新しい条件付きアクセス ポリシーを展開する際は、必ず「レポートのみ」モードでテストを実施してください。

これにより、意図しないユーザーやグループがブロックされていないか、Copilotへのアクセスに問題が発生しないかを確認できます。

テストで問題がなければ、「オン」に切り替えて本番展開します。

Microsoft 365 CopilotのWebアプリとデスクトップアプリ

Copilotは、Word、Excel、PowerPoint、OutlookなどのデスクトップアプリケーションやWebアプリケーションで利用できます。

IPアドレス制限は、これらのアプリケーションがMicrosoft 365サービスにアクセスする際の条件となります。

デスクトップアプリの場合、バックグラウンドでMicrosoft 365サービスと通信しているため、IPアドレス制限の影響を受けます。

Webアプリの場合は、ブラウザからアクセスするため、ブラウザが使用するIPアドレスが評価対象となります。

Copilot ProとMicrosoft 365 Copilotの比較

Copilotには、個人向け、および法人向けの複数のエディションがあります。IPアドレス制限は主に法人向けMicrosoft 365 Copilotで利用できる機能です。

項目	Copilot Pro	Microsoft 365 Copilot
対象ユーザー	個人、小規模チーム	法人、エンタープライズ
利用環境	Webブラウザ、一部デスクトップアプリ(サブスクリプションによる)	Microsoft 365アプリケーション(Word, Excel, PowerPoint, Outlook, Teams等)、Webブラウザ
IPアドレス制限	不可	可能(条件付きアクセス機能利用)
管理機能	限定的	高度な管理機能(ライセンス管理、セキュリティ設定等)
セキュリティ	個人レベルのセキュリティ	組織レベルのセキュリティポリシー適用可能

まとめ

Copilotの利用を特定のIPアドレス範囲に制限することは、組織のセキュリティ体制を強化する上で非常に効果的です。

Microsoft Entra IDの条件付きアクセス機能を利用することで、社内ネットワークからのアクセスのみを許可し、不正アクセスのリスクを低減できます。

IPアドレスの定期的な見直し、リモートワークへの対応、そして「レポートのみ」モードでの十分なテスト実施が、安全な運用のためには不可欠です。

これにより、Copilotをより安全かつ効率的に業務へ活用することが可能になります。