Go to Qiita Advent Calendar Top
LoginSignup
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@tomoyasasaki1204(Tomoya Sasaki)

【管理者向け】Copilot Studioのセキュリティ・ガバナンスの基本 総集編

Last updated at Posted at 2025-11-19

はじめに

みなさん、こんにちは。
マイクロソフト佐々木です。

本記事は、2025年11月時点のPower Platform管理者やCopilot Studioエージェント管理者向けに、最新ライセンス体系・セキュリティガバナンス・モニタリングのベストプラクティスをまとめたものです。
(読破にはかなり時間かかります)

紹介する内容

本記事では、2025年11月時点の Webinar 内容をもとに、以下の管理者向けトピックを解説します。

  • Copilot Studio のライセンス
  • Copilot Studio のセキュリティ・ガバナンス
  • エージェントのモニタリング

image.png

本記事は2025年11月時点の情報をもとにしています。Copilot Studioは仕様変更が頻繁なため、最新情報はMicrosoft Learnや公式ドキュメントをご参照ください。

Copilot Studio のライセンス

まずは、Copilot Studio ライセンス体系についてです。
image.png

Copilot Studio のライセンス概要

Copilot Studio のライセンス プランには 3 つの種類があります。

image.png

ライセンスタイプ 説明 課金方式
Microsoft 365 Copilot ユーザーライセンス Microsoft365チャネルで利用するエージェントを追加課金なしで提供 無料(例外あり)
Copilot Credit パック 25,000 Credit の前払いパック 前払い
PAYG(従量課金) Azure を介した後払いモデル 後払い

それぞれのライセンスを割り当てしたユーザーが利用できる機能の詳細です。
image.png

Copilot Credit請求レート

ユーザーとエージェントとの対話やアクションはCopilot Creditという請求レートで管理されています。高度なことをすると、請求レートが高くなるイメージです。

ポイントは

  • Copilot Creditは請求レートのもと請求される = Copilot Creditが消費される
  • 非M365 Copilot ユーザーがエージェントと対話した場合、請求レートの項目で消費
  • M365 Copilot ユーザーは Microsoft 365 チャネル内で使う限りほぼ無料(Microsoft 365 Copilotライセンスに含まれる)
  • 自律型エージェントになるとすべて課金される

image.png

Copilot Studio 作成者によるアクセス

これまでCopilot Studioのライセンスについて紹介していきましたが、
Copilot Studio にアクセスできる「作成者(開発者)」は、次の いずれかの方法 で権限が付与されます。

image.png

Copilot Studio 作成者の割り当て(Author Role)

image.png

Power Platform 管理センターで以下を設定:
管理 → テナント設定 → Copilot Studio 作成者

  • セキュリティグループを1つ指定して作成者になるユーザーを決定
  • PAYG(従量課金)で利用する場合によく使用される
  • 無償ユーザーライセンスを割り当てずに設定したいケース

Copilot Studio ユーザーライセンス(無料)

image.png
Microsoft 365 管理センターで以下を設定:

  • 「Copilot Credit パック」購入後 に無償ライセンスをユーザーに割り当てる
  • 割り当てると、そのユーザーは Copilot Studio にアクセス可能

Microsoft 365 Copilot ユーザーライセンス

上述のとおり、Microsoft 365 CopilotユーザーライセンスにはCopilot Studioの開発権(つまりCopilot Studio Portalへのアクセス権)が含まれています。

  • Microsoft 365 Copilot には Copilot Studio の開発権限が含まれている
  • 追加の設定不要
  • 管理センターで「Copilot for M365 の Copilot Studio」サービスプランをOFFにするとアクセスブロック可能

Copilot Studio のライセンスと作成者の設定まとめ

いくつかの組み合わせが予想されますが、以下のとおり、Copilot Studioの作成者向けの設定とCopilot Studio利用のライセンスまとめです。
image.png

Copilot Creditの割り当て

Copilot Creditの割り当て方法についてです。
従量課金の設定も一部含まれますが、従量課金の設定については下記記事をご覧ください。

Power Platform 管理センターで以下を設定:

  1. Power Platform管理センターにアクセスし、ライセンスタブを選択します
  2. [Copilot Studio]-[Copilot Creditの管理]からCopilot Creditを割り当てする環境を選択します
  3. Copilot Creditを割り当てます

image.png

超過時の設定

消費量が事前に割り当てられたキャパシティを超えた場合、テナント内の利用可能なキャパシティからキャパシティを引き出すか、超過分をリンクされた従量課金プランに請求するかを選択できます。

image.png

超過時のふるまい

環境で割り当てたCopilot Credit容量を超えると、環境は超過状態になります。
ある程度の超過消費を許可して、ビジネス プロセスのブロックを回避できますが、一定量(125%)を超過するとエージェントは利用できなくなります。

  • 容量を超えると カスタムエージェントは自動無効化
  • 進行中の会話は終了まで続行できる
  • 追加容量が割り当てられるまで 新規リクエスト(新規実行)はブロック

公開時のふるまいなども注意がありますので、下記の内容をご確認ください。

  • 従量課金または有償パックがないテナント(または環境)ではエージェントの公開がブロック される
  • M365 Copilot ユーザーは M365 Copilot / Teams / SharePoint チャネルでの利用に限り制限を受けない

image.png

Copilot Creditとキャパシティを管理する

Power Platform 管理センターでは、Copilot Studio の 請求 Copilot Credit の使用状況を一元的に確認 できます。

概要ビュー

Power Platform管理センターにアクセスし、ライセンスタブを選択します
[Copilot Studio]を選択し[概要]タブに遷移することで、製品、環境ごとの請求Copilot Creditの状況を確認できます

image.png

環境ビュー

Power Platform管理センターにアクセスし、ライセンスタブを選択します
[Copilot Studio]を選択し[環境]タブに遷移することで、環境の請求Copilot Creditの状況およびエージェント単位の分析が確認できます
必要に応じてエージェントの使用状況をレポート形式で一括ダウンロードができます

image.png

別の記事にライセンスや設定方法の詳細についての紹介もまとめていますが、少し細かいので場合によっては参照ください。

Copilot Studioのセキュリティ・ガバナンス

続いては、セキュリティ・ガバナンス全般です。
なるべくベストプラクティスをもとに紹介していきます。

image.png

Power Platformのセキュリティ・ガバナンスの考え方は下記のような構造で考えると理解しやすいです。
そのため、本記事でもテナント、環境、リソース(エージェント)の順番で紹介していきます。
image.png

テナントレベルの制御

テナントレベルの制御については、さきほど紹介したCopilot Studioのライセンスで紹介済みの内容が大半です。
加えて、DLPポリシーは環境制御で紹介します。

image.png

エージェントの公開を許可、無効化するオプション

Power Platform 管理センターを使用して、テナントの生成 AI 機能を使用するエージェントの公開機能を制御することが可能です(既定=有効)

image.png

環境レベルの制御

環境レベルの制御はたくさんあります。
image.png

目的ごとの環境を用意する

このあたりは前提知識としてですが、目的別の環境を用意し、ユーザーの権限をコントロールする必要があります。
例えば、Copilot Studio専用環境のように、Copilot Studioを利用するための環境を払い出すのも1つの手かと思います。

そして、払い出した環境に対して、ユーザーのアクセスコントロールをセキュリティグループ単位でおこないます。
image.png

Copilot Studioの場合、やや環境戦略が複雑になる傾向になります。
上述のとおり、Copilot Creditの課金管理(例えば、事業部負担にするなど)の考え方も絡むと思います。
おおよそ、整理すると下記のイメージになります。
image.png

アクセス権およびセキュリティロールの設定

ここの部分のはなしです。
image.png

まずは、Copilot Studioの開発者用ライセンスもしくは作成者設定がされたエージェント作成者に対して、環境のアクセス権を与えます。この際、ユーザーのアクセスコントロールをセキュリティグループ単位でおこないます。
image.png

環境にアクセス権が付与されたユーザー群(EntraIDなどで環境のアクセス権を得た)はチームという概念でセキュリティロールを割り当てするのが一般的です。
Copilot Studioならではの考え方ではなく、Power Platformに一貫した考え方です。
最初は、一般的な定義済みロールを利用するといいと思います。
開発者の最小特権は Enviroment Makerというロールですが、Dataverseテーブルの作成権がないため、Dataverseテーブルを操作するエージェントを作成する場合は、System Custmizer以上のロールが必要です。

image.png

DLPポリシー

続いてはDLPポリシーの話です。
image.png

Copilot StudioにおいてもPower PlatformのDLPポリシーの対象となります。
Copilot Studioのエージェントが利用するサービスの接続許可やブロックを設定することができます。
注意したいのが、Copilot Studio専用のDLPポリシーがある点です。
例えば、外部のチャネルを利用させないようにする、認証を必須とするなど、この専用コネクタで制御していきます。

image.png

image.png

プレビューではありますが、Copilot Studio専用コネクタを利用せずとも、設定レベルで制御できる機能もありますので、分かりづらい場合は、この機能を利用して一括設定してもいいでしょう。

エージェントレベルの制御

最後にエージェントレベルの制御についてです。こちらは管理者がおこなうのではなく、開発者側がケアする部分になります。
image.png

エージェントにおける認証

ユーザーがエージェントを利用する際に、認証が構成されていれば、利用時に認証が実施されます。
その認証情報は、ナレッジの検索やツール(アクション)利用時の認証情報として利用されます(設定では作成者の認証を利用するオプションもあり)

image.png

まず、ナレッジですが、ナレッジの種類によっては認証が必須となるものもあります。
基本的には、社内のナレッジなのに、認証無しのユーザーが利用することは起きえないようにするためです。

image.png

続いて、ツール(アクション)ですが、こちらはPower Platformのコネクタを利用することが多いと思います。その際に設定された認証情報を利用します。
既定はユーザーの認証、つまり利用者の認証情報を利用します。
オプションで作成者の認証情報を利用することもできます。
利用したいツールや作業に応じて設定を使い分けます。

image.png

エージェントの共有

エージェントの構成が完了すると任意のユーザーや開発者に共有することになります。
開発者として共有する際は、前述のとおり、環境へのアクセス権やロールが必須となります(もちろんライセンスも)

image.png

公開チャネル

エージェントの構成が完了すると任意のチャネルに公開することになります。
様々なチャネルサポートしておりますし、順次増えています。
こちらでも、Microsoft 365 Channelなど社内のチャネルに公開する際は、認証が必須となります。

image.png

べスプラまとめ

これまでのべスプラまとめです
基本的にはこれらを抑える必要があるので、チェック的にご利用ください。

image.png

image.png

image.png

エージェントの分析

ようやく最後のセクションです。
ただし、分析の機能は日々追加されており、色々なポータルから分析することができるので、主要どころだけ紹介します。

image.png

テナントレベルの分析

エージェントのモニタリングツールとしては、
Power Platform管理センターを中心に、Microsoft365 管理センター、ログ関連であればMicrosoft Purview、Copilot Studio Kitなどがあります。

image.png

エージェントのインベントリや利用状況の把握

Copilot Studioで開発している、利用されているエージェントの一覧はPower Platform管理センターのインベントリ機能で一覧化できます。

  • 合計在庫数
  • 環境管理者が利用可能
  • これらのアイテムに対する行動(検疫エージェントなど)
  • その他のアイテム (アプリ、フロー、サイト) のインベントリ
  • CSV形式に出力

image.png

加えて、エージェントビューの機能にて、エージェントの利用状況(Copilot Credit消費)および管理操作(エージェントごとの上限設定など)を管理する機能もあります。
こちらを利用して、インベントリ把握し、利用状況を確認し、管理操作がおこなえます。

  • テナントに存在するエージェントの利用状況の把握
  • エージェントごとのCopilot Credit消費量の確認
  • エージェントごとの超過ステータスの確認
  • エージェントに対するCopilot Credit割り当て
  • エージェント超過時の設定
  • 各種レポートのダウンロード

image.png

Microsoft 365 チャネルで利用されているエージェントに対しては、Microsoft 365 管理センター上でもインベントリの把握や管理操作は可能です。
image.png

その他にもエージェントのインベントリや利活用状況の確認方法としては、

  • Dataverseテーブルを直接みにいく
  • Power Platform管理センターのライセンスタブから環境ビューをみる
  • Viva Insightsを利用する
  • Agent 365 を利用する(新機能)
    など様々な手段が考えられます。

環境レベルの分析

環境レベルの分析では、Dataverseテーブルに会話トランスクリプトが保存されるので、会話履歴はそのテーブルを閲覧し、分析することになります。
閲覧するにはトランスクリプト ビューアーのセキュリティロールが必要になるので、その点ご留意ください。

image.png

エージェントレベルの分析

各エージェントごとに利活用状況や正しく動作しているかなどを分析することができます。
このあたりの詳細はLearnをご確認ください。

image.png

image.png

image.png

おわりに

Copilot Studioのライセンス、セキュリティガバナンス、分析とご紹介しました。
ただし、毎週、毎日と機能が追加されるので(いい意味で)、ぜひ本記事を参考にしていただくと同時に、お手元でご確認いただきながら検討・設定いただければと思います。
最後までありがとうございました。

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?