Microsoft Purview データ損失防止を使用してMicrosoft 365 CopilotとCopilot Chatとの対話を保護する方法について説明します

Microsoft Purview データ損失防止 (DLP) は、次の 2 つの方法で、Microsoft 365 CopilotとCopilot Chatとの対話を保護するのに役立ちます。

  • プロンプトに機密データ (プレビュー) が含まれている場合に外部 Web 検索を使用しないようにMicrosoft 365 Copilotを制限します。Microsoft Purview データ損失防止 (DLP) ポリシーを使用して、Microsoft 365 CopilotとCopilot Chatを防ぐことができます外部 Web サービスへの機密情報の送信から。 プロンプトに機密情報の種類 (クレジット カード番号、パスポート番号、社会保障番号、organizationで定義されたカスタム SID など) が含まれている場合、Copilot は、そのプロンプトの基になるソースとして外部 Web 検索の使用を自動的にブロックします。 代わりに、Copilot は引き続き、許可された内部 Microsoft 365 データ ソース (該当する場合) を使用して応答を生成します。 これにより、機密データは保護されたままになり、外部検索プロバイダーと共有されません。

  • 機密性の高いプロンプトの処理からMicrosoft 365 CopilotとCopilot Chatを制限します。DLP ポリシーを作成して、クレジット カード番号、パスポート識別、Microsoft Copilot 365 プロンプトの社会保障番号などの機密情報の種類 (SIT) の使用から保護できます。 これには、作成する Microsoft 提供の SID とカスタム SID が含まれます。 このリアルタイム制御により、組織は、Microsoft 365 CopilotやCopilot Chatの事前構築済みエージェントを含むMicrosoft 365 CopilotとCopilot Chatが、プロンプトに含まれる場合に応答を返すのを防ぐことで、データの漏洩と過剰共有のリスクを軽減するのに役立ちます機密データその機密データを使用して内部および外部の両方の Web 検索を行う必要があります。

  • M365 Copilot とCopilot Chat機密ファイルと電子メールの処理を制限します (一般提供)、DLP ポリシーを作成して、秘密度ラベルを持つファイルや電子メールが応答の要約で使用されないように保護し、Microsoft 365 CopilotとCopilot Chatでプロンプトを表示できます。

重要

機密情報の種類を含むコンテンツと、同じルール内の秘密度ラベル条件を含むコンテンツの両方を使用することはできません。 同じポリシー内の各条件に対してルールを作成できますが、同じルールには作成できません。

ライセンス

ライセンスの詳細については、次を参照してください。

アクセス許可

次のいずれかのロールまたはロール グループを持つアカウントは、DLP ポリシーを作成または編集して、Microsoft 365 CopilotとCopilot Chatを保護できます。

  • Entra AI 管理 - Microsoft 365 でMicrosoft 365 Copilotおよび AI 関連のエンタープライズ サービスのすべての側面を管理するための役割。
  • Purview Data Security AI 管理 - Copilot に関連するデータ損失防止ポリシーを編集し、データ セキュリティ態勢管理で AI コンテンツを表示するためのロール。 このロールには、AI 操作のプロンプトと応答を読み取るアクセス権がありません。
  • Purview Data Security AI Admins - このグループを使用して、Copilot に関連するデータ損失防止ポリシーの編集機能を割り当て、データ セキュリティ態勢管理で AI コンテンツを表示します。 アクセスの詳細については、ロールの説明を確認します。 これには、Data Security AI 管理 ロールが含まれています。
  • Purview コンプライアンス管理者
  • Purview コンプライアンス データ管理者
  • Purview Information Protection
  • Purview Information Protection 管理
  • Purview セキュリティ管理者
  • Entraグローバル 管理 - Microsoft Entra ID を使用するMicrosoft Entra IDおよび Microsoft サービスのすべての側面を管理するためのロール。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、組織のセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細をご覧ください。

プロンプトで機密情報の種類をブロックする

この機能はプレビュー段階です。 テナントを確認して、ロールアウトがテナントに到達したかどうかを確認します。 Word、Excel、PowerPointでは、Microsoft 365 Copilot、Copilot Chat、Copilot で使用できます。 この保護は、Microsoft 365 CopilotおよびCopilot Chatの事前構築済みエージェントにも拡張されます。

この機能は、Microsoft 365 CopilotとCopilot Chatにアクセスできるすべてのテナントで使用できます。

これを設定するには、[コンテンツに含まれる情報の種類] 条件でMicrosoft 365 CopilotとCopilot Chatポリシーの場所を使用する DLP ポリシー>作成します。 このポリシーは、プロンプトに機密データが含まれている場合に Copilot が応答を返すのを防ぎ、その機密データを内部と外部の両方の Web 検索に使用することを防ぎます。

ヒント

プレビュー中、Word、Excel、PowerPointのユーザー メッセージングでは、これらの製品での Copilot との対話が組織のポリシーによってブロックされていることが明確に示されていない可能性があります。 機密性の高いプロンプトは引き続き制限されており、Copilot は応答を提供しません。

プロンプトでの SID のブロックのユース ケースの例

Contoso は、従業員が生産性を高めるためにMicrosoft 365 Copilotを使用することを奨励していますが、カナダの物理的な住所や EU の借方カード番号をプロンプトに配置することをユーザーに望んでいません。

このビジネス ニーズを満たすために、Contoso は、Microsoft 365 CopilotとCopilot Chatの場所を対象とする DLP ポリシーを作成し、コンテンツに含まれる>Sensitive 情報の種類>Canada 物理アドレスまたは EU デビット カード番号条件を使用して、それらの SID を含むプロンプトを識別するルールを持っています。 ルールのアクションは、Copilot がコンテンツの処理を制限するように構成>処理プロンプトです。

ユーザーは、これらの機密情報の種類のいずれかを含むプロンプトを送信しようとすると、organizationが使用をブロックした機密情報が含まれているため、要求を完了できないことを示すメッセージMicrosoft 365 Copilot受け取ります。

機密ラベルを含むファイルと電子メールの処理をブロックする

この機能は一般公開されています。 Word、Excel、PowerPointでは、Microsoft 365 Copilot、Copilot Chat、Copilot で使用できます。 この保護は、Microsoft 365 CopilotおよびCopilot Chatの事前構築済みエージェントにも拡張されます。

これを設定するには、Microsoft 365 CopilotとCopilot Chatポリシーの場所を使用する DLP ポリシーを作成し、コンテンツに含まれる>Sensitivity ラベル条件を使用して、アイテムを処理対象から除外します。 識別された項目は応答の引用文献に引き続き表示されますが、項目の内容は応答で使用されないか、Copilot によってアクセスされません。

秘密度ラベルを持つアイテムをブロックするユース ケースの例

Contoso は、秘密度ラベル分類を確立し、そのデータに適用します。 分類には、次のラベルが含まれています。

  • 非常に機密性の高い社外秘
  • 社外秘
  • 内部
  • Public
  • 個人用

ユーザーがorganizationで Contoso エンタープライズ情報を見つけて使用できるように、Microsoft 365 CopilotとCopilot Chatをデプロイします。 一般的なデータ保護規則 (GDPR) データがMicrosoft 365 CopilotおよびCopilot Chatの概要に含まれるリスクを最小限に抑え、また、個人情報をサマリーから除外したいと考えています。 コンテンツに含まれるMicrosoft 365 CopilotとCopilot Chatポリシーの場所を使用する DLP ポリシーを作成>秘密度ラベルの条件を使用して、個人の秘密度ラベルを持つアイテムが応答の概要で処理されないようにしたり、機密性の高いアイテムを除外したりします。感度ラベルが応答の概要で処理されないようにします。

電子メールとファイルコンテンツのカバレッジ

dlp for Microsoft 365 Copilot と Copilot Chat ポリシーの場所は、Copilot がさまざまなエクスペリエンスにわたって処理する特定のコンテンツをサポートします。

秘密度ラベルを使用してアイテムを保護するように構成されたMicrosoft 365 CopilotルールとCopilot Chatルールでは、次がサポートされます。

  • ファイル項目。保存され、アクティブに開かれている項目。 サポートされているファイルの種類の詳細については、「 秘密度ラベルでサポートされるファイルの種類」を参照してください。

  • 2025 年 1 月 1 日以降に送信されたメール。

  • Calendar招待はサポートされていません。

  • SharePoint Online と OneDrive for Business に格納されているファイルのみがサポートされます。

注:

ファイルがWord、Excel、またはPowerPointで開き、MICROSOFT 365 COPILOTとCopilot Chatによる処理を防ぐために DLP ポリシーが構成されている秘密度ラベルがある場合、これらのアプリのスキルは無効になります。 ファイル コンテンツを参照しない、または大規模な言語モデルを使用していない特定のエクスペリエンスは、現在、ユーザー エクスペリエンスでブロックされていません。

プロンプトでアップロードFiles

分析するMicrosoft 365 Copilotのプロンプトを作成するときにファイルをアップロードできます。 DLP では、直接アップロードしたファイルの内容をプロンプトにスキャンできないため、アップロードされたファイルの機密データの評価は行われません。 DLP Copilot では、入力したテキストのみがプロンプト自体にチェックされます。

Availability

  • Microsoft 365 Copilot と Copilot Chat ポリシーの場所は、カスタム ポリシー テンプレートでのみ使用できます。
  • Microsoft 365 CopilotとCopilot Chatポリシーの場所を選択すると、そのポリシーの他のすべての場所が無効になります。
  • DLP アラート、DLP 通知、ポリシー シミュレーション モードがサポートされています。
  • DLP ポリシーへのUpdatesは、Microsoft 365 CopilotとCopilot Chatエクスペリエンスに反映されるまでに最大 4 時間かかることがあります。

管理ユニット

Microsoft 365 Copilot と Copilot Chat ポリシーの場所では、管理 ユニットはサポートされていません。

サポートされている条件とアクション

Microsoft 365 Copilot と Copilot Chat ポリシーの場所では、次の条件とアクションがサポートされています。

条件 サポートされているポリシー アクション 説明
コンテンツに含まれています>秘密度ラベル Copilot がコンテンツを処理できないようにする Exchange のファイルまたはメールに秘密度ラベルが選択されていることを検出します。 アイテムの内容は Copilot によって処理されたり、応答の概要で使用されたりすることはありませんが、項目は応答の引用で利用できます。
コンテンツに含まれています>機密情報の種類 Copilot がコンテンツを処理できないようにします>プロンプトの処理 Copilot プロンプトに直接入力されたテキストに、選択した機密情報の種類が含まれているタイミングを検出します。 Copilot はプロンプトに応答しません。 プロンプトは、内部検索または Web 検索には使用されません。
コンテンツに含まれています>機密情報の種類 Copilot がコンテンツを処理できないようにします>Web 検索の実行 Copilot プロンプトに直接入力されたテキストに、選択した機密情報の種類が含まれているタイミングを検出します。 Copilot は、そのプロンプトの基になるソースとしての外部 Web 検索の使用をブロックします。

注:

すべてのMicrosoft 365 Copilotプロンプトは、プロンプトを開始するユーザーのセキュリティ コンテキストで実行されます。 つまり、ユーザーがプロンプト応答で項目を表示するには、まず、アイテムのコンテンツにアクセスするために必要なアクセス許可が必要です。 その後、Microsoft 365 CopilotとCopilot Chatポリシーの場所機能を使用して、応答の概要でアイテムが処理されないようにすることができます。

Word、Excel、および copilot がコンテンツを処理できないようにするためのMicrosoft 365 CopilotポリシーとCopilot Chat ポリシーをPowerPointすると、ファイルが開いている状態で評価されます。 セッションの途中で秘密度ラベルが適用された場合、次回ファイルを開いた時点からポリシーが適用されます。

関連項目

  • Last updated on