【Copilot】Copilotがアクセス可能なファイル範囲をSharePoint権限で制御する手順と運用例

Copilotは、ユーザーがアクセスできるファイルのみを検索・参照します。SharePointのアクセス権限設定がCopilotの参照範囲に直接影響します。この設定を理解することで、Copilotで機密情報へのアクセスを意図せず広げないようにできます。本記事では、SharePointの権限設定がCopilotにどう作用するか、そしてその制御手順を解説します。

SharePointのアクセス権限は、Copilotが参照できるドキュメントの範囲を決定する基盤となります。Copilotは、ユーザーが通常アクセスできる情報にのみ基づいて回答を生成するため、権限設定が正しく行われていることが不可欠です。この仕組みを理解し、適切に権限を管理することが、Copilot利用時の情報漏洩リスクを低減する鍵となります。

CopilotとSharePoint権限の連携メカニズム

Copilotは、Microsoft Graph APIを通じてユーザーのアクセス権限情報を取得します。この情報に基づき、Copilotはユーザーが直接アクセスできるSharePoint上のドキュメントのみを検索対象とします。そのため、SharePointで設定されたアクセス許可リスト(ACL)が、Copilotの検索結果に直接反映されるのです。つまり、Copilotはユーザーの権限を尊重して動作し、権限のないファイルは参照できません。

SharePointサイトのアクセス許可設定手順

SharePointサイトへのアクセス許可を設定するには、サイト所有者またはそれ以上の権限が必要です。サイト全体のアクセス権限は、サイトのセキュリティを管理する上で最も基本的な設定となります。ここでの設定が、サイト内のすべてのリストやライブラリのアクセス権限の基盤となります。

1. SharePointサイトにアクセスする
   Webブラウザで対象のSharePointサイトにアクセスします。
2. 設定メニューを開く
   サイトの右上にある歯車アイコン(設定)をクリックし、「サイトのアクセス許可」を選択します。
3. アクセス許可レベルの確認と編集
   「サイトのメンバーシップ」セクションで、既存のアクセス許可レベル(所有者、編集者、閲覧者など)を確認できます。
4. 新規アクセス許可レベルの作成(必要に応じて)
   「アクセス許可レベルの作成」をクリックし、必要な権限を組み合わせて新しいレベルを作成できます。
5. ユーザーまたはグループへの権限付与
   「サイトのメンバーシップ」セクションで、「ユーザーを招待」または既存のグループに追加することで、権限を付与します。

SharePointリスト/ライブラリのアクセス許可設定手順

リストやライブラリ単位でアクセス権限を細かく制御することで、特定のドキュメント群へのアクセスをさらに限定できます。これにより、サイト全体へのアクセス権限とは別に、より詳細なセキュリティ管理が可能となります。この機能は、機密性の高い情報を扱う場合に特に重要です。

1. 対象のリストまたはライブラリを開く
   SharePointサイト内で、アクセス許可を設定したいリストまたはライブラリに移動します。
2. ライブラリ設定を開く
   ライブラリ名の横にある上向き矢印(または「…」)をクリックし、「ライブラリの設定」を選択します。
3. 「このリスト/ライブラリのアクセス許可」を選択
   「権限と管理」セクションにある「このリスト/ライブラリのアクセス許可」をクリックします。
4. 親からの権限の継承を停止する
   「このリスト/ライブラリのアクセス許可」画面で、「権限の継承を停止」ボタンをクリックします。これにより、サイト全体の権限設定から切り離され、このリスト/ライブラリ固有の設定が可能になります。
5. ユーザーまたはグループへの権限付与/削除
   「権限の付与」ボタンをクリックして、ユーザーまたはグループを追加し、アクセス許可レベルを設定します。既存の権限を削除するには、対象を選択して「ユーザー権限の削除」をクリックします。

ユーザーまたはグループへの権限付与と管理

Copilotが参照するファイルを制御する上で、ユーザーまたはグループに適切な権限を付与・管理することは極めて重要です。誰がどの情報にアクセスできるかを明確に定義することで、意図しない情報共有を防ぎます。Microsoft 365グループやActive Directoryグループを活用すると、管理が効率化されます。

1. SharePointグループの作成または利用
   サイトまたはリスト/ライブラリのアクセス許可画面で、「SharePointグループの作成」を選択するか、既存のMicrosoft 365グループやADグループを利用します。
2. グループへのメンバー追加
   作成したSharePointグループ、または既存のグループに、アクセスを許可したいユーザーを追加します。
3. グループへの権限レベルの割り当て
   追加したグループに対して、「閲覧」、「編集」、「フルコントロール」などのアクセス許可レベルを割り当てます。
4. 定期的な権限の見直し
   組織変更や退職などに伴い、定期的にユーザーやグループの権限設定を見直し、不要なアクセス権を削除します。

Copilotプロンプトと権限の関連性

Copilotへの指示(プロンプト)で特定のドキュメントや情報を指定した場合でも、ユーザーにそのファイルへのアクセス権限がなければ、Copilotは情報を提供できません。例えば、「〇〇プロジェクトの最新報告書を要約して」と依頼しても、ユーザーがその報告書にアクセスできないSharePointフォルダ内にあれば、Copilotは「アクセスできません」と回答するか、関連情報を見つけられない旨を伝えます。これはCopilotのセキュリティ機能の一部として設計されています。

Copilot ProとMicrosoft 365 Copilotの権限制御の違い

Copilot Proは個人向けCopilotであり、主に個人のMicrosoft 365アカウント(Outlook、Word、Excelなど)に紐づくデータや、Web上の情報にアクセスします。一方、Microsoft 365 Copilot(法人向け)は、組織のMicrosoft 365テナント全体(SharePoint、OneDrive、Teams、Exchangeなど)にわたるデータにアクセスします。したがって、SharePointの権限制御は、主にMicrosoft 365 Copilotの利用において、組織内の情報ガバナンスを維持するために重要となります。

よくある誤解と注意点

権限設定が反映されない場合

SharePointで権限を変更しても、Copilotがその変更を即座に認識しない場合があります。これは、Copilotが参照するインデックスの更新に時間がかかるためです。通常、権限変更は数分から数時間でCopilotに反映されますが、場合によってはそれ以上かかることもあります。変更が反映されない場合は、しばらく待ってから再度試してください。

「Everyone」や「Everyone except external users」グループの利用

これらのグループに広範な権限を付与すると、Copilotが意図せず多くの情報にアクセスできるようになる可能性があります。機密情報を扱うドキュメントライブラリでは、これらのグループへの権限付与は慎重に行う必要があります。必要最小限のユーザーにのみ権限を付与することが推奨されます。

外部共有とCopilot

SharePointで外部ユーザーとファイルを共有している場合、Copilotはそれらのファイルにもアクセスできる可能性があります。外部共有の設定は、組織のセキュリティポリシーに基づいて慎重に管理する必要があります。Copilotが組織外の情報にアクセスすることを許可するかどうかは、組織のポリシーで定めるべき事項です。

SharePointのアクセス権限設定を適切に行うことで、Microsoft 365 Copilotが参照できるファイル範囲を効果的に制御できます。これにより、機密情報の漏洩リスクを低減し、Copilotを安全に活用することが可能になります。次に、特定のライブラリへのアクセス権限を、小規模なチームに限定する手順を試してみましょう。