はじめに
みなさん、こんにちは。日本マイクロソフトの佐々木です。
何回かの記事に分けて、Power Platformの管理者の皆様に向けて、Copilot Studioのセキュリティ・ガバナンスについて、簡単にご説明していきます。(第2回目)
いくつかの記事に分けて、下記の内容を説明していきます。
- ライセンス体系
- 利用開始
- 環境制御・セキュリティロール
- DLP ポリシー
- 認証
- 共有
- アプリ登録
- 分析
前回はCopilot Studioのライセンス体系についてお話しました。
今回は「利用開始編&環境制御・セキュリティロール」編として、Copilot Studioを利用するための、管理者の設定項目についてお話いたします。
本記事で説明するのは、下記の内容です。
・ライセンス、容量の割り当て <-こちらについては、前回記事で詳しく説明しています。
・Power Platformテナント設定
・Power Platform環境設定
ライセンス・メッセージ容量の割り当て
前回の記事でも説明していますが、まずCopilot Studioのライセンスについてです。
ライセンスやサブスクリプションに関することなので、企業テナントレベルでの権限が必要になります。
ここで必要な作業としては、
- Copilot Studioサブスクリプションを購入(テナント単位)
- 開発者に無償ユーザーライセンスを割り当て
- Copilot Studioを利用する環境にメッセージ容量を割り当て(Power Platform環境単位)
1. Copilot Studioサブスクリプション(メッセージ容量)
こちらはMicrosoft365管理センターからテナント単位でサブスクリプションを購入可能となります。
試用版ライセンスもございます。
Copilot Studioサブスクリプションライセンスの復習
・ テナント全体の容量ライセンスを容量パックで販売
・ 1 容量パック = 25,000 メッセージ/月
・ 開発者用のライセンスは別で用意(後述の無償のユーザーライセンスを提供)
2. 開発者に無償ユーザーライセンスを割り当て
こちらはMicrosoft365管理センターからユーザーにライセンス割り当て可能となります。
開発者を対象にユーザーライセンス(無償)を割り当てしてください。
Copilot Studioライセンスの復習
・ 開発者および管理者でライセンスにはユーザーライセンス(無償)が必要
・ Copilotのユーザー(エンドユーザー)は特別なライセンスを必要としない
3. Copilot Studioを利用する環境にメッセージ容量を割り当て(Power Platform環境単位)
Copilot Studioの開発をするための環境を用意し、メッセージ容量を割り当てします。
こちらの作業はPower Platform管理者の権限がある方の作業となります。
Copilot Studioのメッセージ容量はテナント全体にプールされ、環境内のCopilot Studio 機能を有効にするには、環境に容量を割り当てる必要があります。
Power Platform 管理センター で リソース>キャパシティ>概要 を選択し、左上のメニューで 環境への割り当て を選択すると割り当てが行われます。
Power Platformテナント設定
上記のライセンス作業に加えて、ここで必要な作業としては、
- 生成AIを使用するCopilotの公開を許可する(既定ON)
- Teamsアプリの設定
- DLPポリシーの設定(別記事で紹介します)
1. 生成AIを使用するCopilotの公開を許可する(既定ON)
こちらは既定でONなのでそこまで気にしなくてもいいかもしれませんが、
Power Platform管理センターからPower Platform 管理者相当の方が作業いただく必要があります。
テナント管理者はPower Platform 管理センターを使用して、テナントに対して生成型の回答とアクションを持つコパイロットを公開する機能をオフにすることができます(デフォルト=ON)
2. Teamsアプリの設定
こちらの作業はTeams管理者の方の作業になりますが、今後Copilot Studioで開発したCopilotチャットボットをTeamsアプリに公開する要件がある場合に必要な作業となります。
そのため、Teamsに公開する予定がない、もしくはCopilot Studioで開発する段階ではこの作業は不要となります。
自分や他のユーザーがコパイロットを Teams に直接インストールしたり、Teams アプリ ストアの [同僚による構築] セクションで確認できるようになるには、Microsoft Power Platform アプリが Microsoft Teams に追加されることを組織が許可する必要があります。
Power Platform環境設定
これまで、ライセンス・メッセージ容量の割り当て、テナント作業について説明してきました。
ここからは、Power Platformの各環境の設定についてです。
主に環境単位の管理者(システム管理者相当以上)の方の作業となります。
- 環境の用意
- 生成AI機能の許可
- セキュリティロールの割り当て
- DLPポリシーの設定(別記事で紹介します)
1. 環境の用意
利用できる環境がない場合はPower Platform管理者の方が特定の環境を用意し、メッセージ容量を割り当てする必要がありますが、
ここではすでに環境が用意されており、メッセージ容量が割り当てされている前提で進めていきます。
環境の作成方法については、下記を参考にしてください。
環境を作成する際にEntraIDのセキュリティグループと紐づけることを推奨しています。
そのセキュリティグループをCopilot Studioの開発者ユーザー群と紐づけることでライセンス管理や環境のアクセス管理が容易になります。
2. 生成AI機能の許可
環境ごとに生成AI機能をオンにする必要があります。
環境がホストされている場所によっては、それらを使用するために地域間のデータ移動を許可する必要がある場合があります。
こちらも既定でONなのですが、すでに作成されていた環境の場合はOFFの可能性があるため、念のため確認しておきましょう。
Power Platform管理センタ>環境>生成AI機能(トップページにでているとおもいます)よりアクセス可能です。
環境のロケーションについて
Copilot Studioを利用するための環境は日本でも問題ないですが、
生成AI機能を利用するために米国のデータセンターを利用するため、リージョン間でのデータ移動の設定が必要となります。
Bing検索について
Bing 検索 機能を有効にすると、Microsoft Copilot Studio のコパイロットは提供されたデータ ソースを使用できますが、Bing の API を使用して結果のインデックスを作成し、データ ソース内から最適な回答を見つけることができます。
つまり、生成型の回答でWebをデータソースとしない場合は無効でも問題ないです。
3. 作成者のセキュリティロール
Copilot Studioで開発するユーザーは環境に対して適切なアクセス権限がある状態(≒セキュリティロールが割り当てされている状態)である必要があります。
環境に対するアクセス権限については語ると長くなるのでここでは割愛しますが、
最低限、Copilot Studioで開発するユーザーは「環境作成者 = Environment User」のセキュリティロールが割り当てされている必要があります。
もちろんシステム管理者、システムカスタマイザーなどの権限でもいいですが、環境作成者と比べて、権限としてはリッチになる可能性が高いです。
自分か開発しているCopilotだけを管理できればいいのでしたら「環境作成者 = Environment User」が最適でしょう。
ほかの開発者に共同作成者として共有する場合、
共同開発するユーザー(共有される側)は環境のメンバーであり、「環境作成者 = Environment User」を割り当てされていることが必要となります。
Copilot Studioで開発したCopilotを単に利用するエンドユーザーにはセキュリティロールは不要です。
Copilotがユーザーとして共有されているセキュリティグループ内(認証ありの場合)のユーザーであれば利用可能です。
ただし、Copilotが環境のリソースを参照する場合などはその参照権限が必要となります。
おわりに
以上でCopilot Studioを開始するための作業についてお話しました。
ライセンス、テナントレベルの設定、環境レベルの設定が必要となるため、それぞれ役割の異なる方々の協力が必要となる可能性が高いですが、ぜひチャレンジしてみてください!
次回はCopilot Studioのデータ損失防止 (DLP) ポリシーについて説明します。