【管理者向け】Copilot Studioのセキュリティ・ガバナンス_ライセンス編

はじめに

みなさん、こんにちは。日本マイクロソフトの佐々木です。
これから何回かの記事に分けて、Power Platformの管理者の皆様に向けて、Copilot Studioのセキュリティ・ガバナンスについて、簡単にご説明していきます。

最新情報の確認のお願い
Copilot Studio含めたCopilot関連のライセンス体系については、最新のライセンスガイドをご参照ください。

説明したい（していきたい）内容

Copilot Studioのセキュリティ・ガバナンスを説明していく中で、今後お話していきたいと思っているのは、下記の内容です。小分けで更新していきたいと思います。

1. ライセンス体系
2. 利用開始
3. 環境制御・セキュリティロール
4. DLP ポリシー
5. 認証
6. 共有
7. アプリ登録
8. 分析

なお、基本的な考え方はPower Platformにおけるセキュリティ・ガバナンスの考え方と同様となるため、その点の理解があるとスムーズかと思います。
本日の記事では、Copilot Studioのライセンス体系についてご説明し、次回以降の記事で利用開始~環境制御やセキュリティロールの考え方について、記事を書いていきたいと思います。

Copilot Studioのライセンス体系について

当ブログの範囲
Copilot Chatについては言及しておりません。

まず、正式なライセンスガイドについては、こちらのDocsを参照ください。
Docs内にライセンスガイドのリンクもございます。

こちらはライセンスガイド内にある画像となります。
Copilot Studioを利用（開発および利用）するのに関連するスタンドアロンライセンスは大きく分けて2種類あり、加えてMicrosoft 365 Copilotのユーザーライセンスにも利用権がございます。

1)Copilot Studio従量課金ライセンス = 利用メッセージに応じて課金
2)Copilot Studioメッセージパック = メッセージパックから消費
＋
3)Copilot Studio in Microsoft 365 Copilot（ユーザーライセンス）

ライセンスガイドのとおり、
Copilot Studioを利用して、開発・実行する権利はいくつかのライセンスが根拠になります。
制限付きではございますが、Microsoft 365 CopilotのユーザーライセンスにもCopilot Studioを利用（開発および利用）権利がございます。

Copilot Studioのライセンスに関して、箇条書きで簡単にまとめます。
まず、こちらで全体感を把握していただければと思います。

■購入単位
1)従量課金
・ 25年1月より追加されたライセンス体系
・ 利用した分だけAzureのサブスクリプションより課金

2)メッセージパック
・ テナント全体の容量ライセンスを容量パックで販売
・ 1 容量パック = 25,000 メッセージ/月
・ 開発者用のライセンスは別で用意（後述の無償のユーザーライセンスを提供）

3)Copilot Studio in Microsoft 365 Copilot（ユーザーライセンス）に付帯
・ Copilot Studioを利用した開発、実行権が付帯
・ Microsoft 365 チャネルに公開されたエージェントを開発、利用可能
・ クラシックオーケストレーションモードのエージェントを開発、利用可能
※これら以外のケースは、スタンドアロンライセンスのメッセージを消費

■機能としてライセンスに含まれるもの
・ 生成AI: AI 対応の会話
・ 拡張された自然言語機能を使用してチャットボットのトピックを作成と反復を処理
・ Power Automate for Copilot Studio: Copilot Studioボットのコンテキスト内で自動化されたインスタントフローとスケジュールされたフローを作成
・ コネクタ: Standard、Premium、カスタム コネクタ
・ Copilot Studio の Dataverse の容量
※Copilot Studioを利用するためにDataverseを利用するため、1回に限り容量が付与されます。不足した容量はアドオンライセンスや他のPower Platformのスタンドアロンライセンスで補う必要がございます。

おおよそ、Copilot Studioを開発・利用していくなかで主に使う機能や連携したいPower Platform製品など（Power Automate、Dataverse、コネクタ）などは利用権に含まれていることが分かります。

スタンドアロンのCopilot StudioライセンスとCopilot Studio in Microsoft 365 Copilotの使い分けについて

開発行為

1or2)スタンドアロンライセンス -> Copilot Studioを利用してフル機能エージェントを開発、公開できる
例えば、ジェネレイティブモードのエージェントや外部チャネルへの公開など

3)Copilot Studio in Microsoft 365 Copilot -> Copilot Studioを利用して制限付きのエージェントを開発、Microsoft 365 Copilot Channelに公開できる

実行行為

1or2)スタンドアロンライセンス -> メッセージパックや従量課金から消費利用され、フル機能を利用できる

3)Copilot Studio in Microsoft 365 Copilot -> Microsoft 365 Copilot Channelに公開されたクラシックオーケストレーションモードのエージェントを利用できる
※Microsoft 365 Copilot Channel外のエージェントやジェネレイティブモードのエージェントを利用した場合、スタンドアロンライセンスからメッセージが消費

エージェント種別

1or2)スタンドアロンライセンス -> ジェネレイティブモード、クラシックオーケストレーションモードのエージェントを社内外チャネルで利用可能

3)Copilot Studio in Microsoft 365 Copilot -> クラシックオーケストレーションモードのエージェントをMicrosoft 365 チャネルで利用可能
※Microsoft 365 Copilot Channel外のエージェントやジェネレイティブモードのエージェントを利用した場合、スタンドアロンライセンスからメッセージが消費

請求対象となるメッセージ

Copilot Studioの消費単位はメッセージと表現されます。
さきほどもご説明したとおり、Copilot Studio の機能は、キャパシティパックを介してテナントごとにライセンスされます。（1 キャパシティパック = 25,000 メッセージ/月）
つまり、エンドユーザーはテナントにプールされている容量（厳密にいうと各環境に割り当てされた）をメッセージという単位で消費していくことになります。

※もしくは従量課金が設定された環境から、利用した分だけ課金

■メッセージ消費量
・通常 (非生成 AI) = 1 メッセージ
・生成AI(Gen AI)がデータを基に回答 = 2 メッセージ
・自律アクション = 25 メッセージ
・Microsoft Graph グラウンド = 30　メッセージ

そして、Copilot Studio in Microsoft 365 Copilot（ユーザーライセンス）が付帯されたユーザーが利用した場合、上述のメッセージを消費する場合としない場合がある点に注意が必要です。
例えば、Microsoft 365チャネル外に公開されたエージェントを利用する場合やジェネレイティブオーケストレーションモードのエージェント（≒自律トリガーや生成アクションなど）の場合はメッセージを消費します。

ここまでのまとめ

利用イメージは下記のようになります。
・Copilot Studio in Microsoft 365 Copilot（ユーザーライセンス）が付帯されたユーザーはCopilot Studioを利用（開発）し、エージェントを利用できる
・ジェネレイティブモードや外部チャネルに公開されたエージェントを利用した場合、メッセージパックや従量課金などスタンドアロンライセンスが必要

ライセンスの割り当て

これまでお伝えしているとおり、スタンドアロン版のCopilot Studioの利用を開始するには、テナント管理者が上記いずれかのライセンスを購入する必要があります。

Copilot Studio in Microsoft 365 Copilot（ユーザーライセンス）が付帯されていないユーザーもしくはフル機能のエージェントを開発したい場合がスタンドアロンライセンスと開発用ユーザーライセンスの割り当て必要となります。

Copilot を利用するエンドユーザーのライセンス

利用者に対しては特別なライセンスを付与する必要はありません。テナント管理者がテナントレベルで取得した「テナントライセンス = Copilot Studioライセンス」からメッセージを消費していきます。
ただし、のちほど説明しますが、各Copilotはリソースが配置されている環境とその環境に割り当てされたメッセージ容量を消費していきます。

※ただｓ上述のとおりMicrosoft 365 CopilotユーザーがMicrosoft 365チャネルに公開された場合、クラシックオーケストレーションモードのエージェント利用した場合はユーザーライセンスに含まれております。

Copilotを作成・管理するためにCopilot Studioにアクセスする個々のユーザー

開発者、管理者用のライセンスについては、Copilot Studio（perユーザーライセンス）を割り当てる必要があります。こちらのライセンスはテナントライセンスを購入すると、M365管理センターより購入、アサインできる無償ライセンスとなります。

ですので、Copilot Studioを開発、管理するユーザー群をEntraID上でセキュリティグループとして作成いただき、そのセキュリティグループに対して、ユーザーライセンスを付与するといった管理方法が一般的になるかと思います。

また、別の記事でも説明しますが、このセキュリティグループを各環境のセキュリティグループとして設定し、セキュリティロールを付与し、認証認可を制御していくことになります。

まとめ
・ 開発者および管理者でライセンスにはユーザーライセンス（無償）が必要
・ ユーザーライセンスの割り当てにはセキュリティグループを利用することが推奨
・ Copilotのユーザー（エンドユーザー）は特別なライセンスを必要としない
・ Copilotを公開した後、Copilotを公開した場所にアクセスできるすべてのユーザーがCopilotとやりとり可能

キャパシティ（容量）の割り当て

Copilot Studioのメッセージ容量はテナント全体にプールされ、環境内のCopilot Studio 機能を有効にするには、環境に容量を割り当てる必要があります。
Power Platform 管理センター で リソース>キャパシティ>概要 を選択し、左上のメニューで 環境への割り当て を選択すると割り当てが行われます。

Note
ある環境において、使用量が利用可能な容量を超えると、環境は超過状態となり、いくつかの機能が徐々にブロックされます。

キャパシティ（容量）の消費状況の確認

各環境に割り当てされた容量の消費状況の確認はいくつかの方法で確認可能です。

レポートの活用

Power Platform管理センター上の[リソース]-[容量]-[レポート]より、環境ごとの消費メッセージが確認可能です。

ライセンス機能の活用

Power Platform管理センター上の[請求]-[ライセンス]-[Copilot Studio]タブより、環境ごとの消費メッセージが確認可能です。
また、こちらの機能では各Copilot単位でも確認できるため、レポートと比較して直感的に把握することができるかと思います。

Copilot Studioライセンスに関するよくある質問

Q : 月末の残り容量は翌月に繰り越し可能か？
未使用の容量は翌月に繰り越されない。 クレジットの使用量は月単位でカウントされ、月の初日にリセットされる。

Q : 今月のメッセージ使用状況はどこで確認できるか？
テナント単位、環境単位、Copilot単位で分析が可能。（最近のうれしいアップデート）
環境単位やCopilot単位で確認が必要な場合、Power Platform管理センター上のレポート機能やライセンス機能を活用ください。

Q : 環境に割り当てた容量を超過した場合どうなるか？
環境は超過状態となり、ある程度の超過使用を許可しつつ、いくつかの機能が徐々にブロックされる。
テナントにプールされた（もしくは環境に割り当てされた）容量を割り当てるか、追加のライセンスを購入する必要がある。
※自動課金等はされない

おわりに

【管理者向け】Copilot Studioのセキュリティ・ガバナンスとして、まずはCopilot Studioのライセンスについてお話いたしました。
次回は、利用開始、環境制御・セキュリティロールなどもう少し踏み込んだ内容をお話できればと思います。