適用対象: Microsoft 365 Copilot、Microsoft Purview、および SharePoint 高度な管理
Microsoft 365 Copilotは、Work IQ を使用して、ユーザーが既にアクセス許可を持っているデータを使用してユーザー プロンプトへの応答を強化します。 organizationのデータが適切に管理され、現在かつ適切に共有されている場合、Copilot は正確で関連性の高い安全な応答を提供できます。
この記事では、次の図に示すプロセスを使用して、Microsoft 365 Copilotの準備、セキュリティ保護、管理について説明します。
これらの手順に従うことで、Copilot がorganizationのセキュリティ、コンプライアンス、規制要件をサポートしながら、正確で関連性の高い結果を提供するのに役立ちます。
このガイダンスは、Microsoft 365 Copilotのためにorganizationを準備しているか、Copilot が有効になった後にセキュリティとガバナンスの制御に必要な調整を行う IT 管理者とセキュリティ管理者を対象としています。
この記事が達成に役立つ内容
この記事の手順を完了すると、次のことができます。
ユーザーが SharePoint、OneDrive、Exchange に適切なアクセス権を持ち、Copilot がorganizationのポリシーに沿って正確で最新の情報のみを参照するようにガードレールを確立する
Copilot がorganizationの機密データと対話する方法と操作できない方法に関する情報に基づいた選択を行い、データの使用とアクセスの制御と柔軟性を確保します
変更と Copilot アクティビティを監視して、リスクを特定して修復します。
ライセンス
この記事で説明する機能には、次のものが必要です。
Microsoft 365 の主要なサービスと機能(SharePoint、OneDrive、Microsoft Purview 機能など) のMicrosoft 365 E3またはMicrosoft 365 E5 (またはOffice 365 E3またはOffice 365 E5)。
この記事では、Microsoft 365 E3に含まれる Microsoft Purview の基本的な機能の両方について説明します。 この記事では、Microsoft 365 E5に含まれる最適化された機能についても説明します。
SharePoint 高度な管理 (Copilot ライセンスに含まれる)
管理者権限
この記事で説明するタスクを実行するには、適切なロールが割り当てられている必要があります。
詳細については、次のリソースを参照してください。
- Microsoft 365 管理センターの概要
- Microsoft 365 管理センターの管理者ロールについて
- Microsoft 365 の SharePoint 管理者ロールについて
- Microsoft Purview ポータルのアクセス許可
手順 1: オーバーシェアリングを修復する
この手順では、リスクの高いサイトと機密性の高いコンテンツを特定して優先順位を付け、暫定的な保護を適用して Copilot の露出を減らし、アクセスとアクセス許可を修復します。
ビデオ: Copilot でのオーバーシェアリングの防止
次のビデオでは、SharePoint 高度な管理 と Microsoft Purview で機能を構成することで、Copilot でのオーバーシェアを防ぐ方法の概要を示します。
リスクの高いサイトとコンテンツを特定する
Microsoft Purview と SharePoint 高度な管理 (SAM) を使用して、過剰共有、所有者なし、非アクティブ、または Copilot によって表示される可能性のある機密データが含まれているサイトとファイルを検索します。
Microsoft Purview データ セキュリティ態勢管理 (DSPM) データ リスク評価を確認して、機密データ、危険な共有リンク、頻繁にアクセスされるコンテンツを使用して、過剰に共有されているサイトを特定する
SAM コンテンツ管理評価を実行して、オーバーサイズの対象ユーザー、EEEU の使用状況、破損した継承、不適切な共有、非アクティブまたは所有者のないサイトを特定します
暫定的な Copilot 保護を適用する
サイトが修復される前に、一時的な制御を適用して露出を減らし、Copilot が制限されたコンテンツを表示しなくなったことを検証します。
SAM 制限付きコンテンツ検出 (RCD) を有効にして、機密性の高いサイトを Copilot 検出から除外します。
Copilot のMicrosoft Purview データ損失防止 (DLP) を構成して、機密性の高いコンテンツを Copilot の接地から除外します。
Microsoft Purview 監査を通じて検証し、Copilot が制限されたコンテンツを表示しなくなったことを報告します。 (「Microsoft Purview を使用して、Microsoft 365 CopilotとMicrosoft 365 Copilot Chatのデータ セキュリティ & コンプライアンスを管理する」を参照してください)。
アクセスとアクセス許可を修正する
リスクが高いサイトの場合は、Microsoft Purview と SAM の推奨事項を使用して、過剰なアクセスを削除し、破損した継承を修正し、責任を持つ所有権を確保します。
高リスクとしてフラグが設定されたサイトの Microsoft Purview DSPMデータ リスク評価の推奨事項を確認し、次のアクションを実行します。
サイト秘密度ラベルを適用してデータの機密性を反映し、オーバーシェアを制限する
過度または匿名のアクセスを削除し、承認されたユーザーまたはグループへの共有リンクを再スコープします。 (「 SharePoint と OneDrive の共有設定を管理する」を参照してください)。
リスクの高い サイトの SAM サイト アクセス レビュー を開始して、サイト所有者が (ファイル レベルまで) アクセスを管理できるようにします。
余分なユーザー、グループ、および会社全体の共有リンク (EEEU を含む) を削除し、承認されたユーザーまたはグループへの共有リンクを再スコープします。 ( 「SharePoint での共有アクティビティの監視」を参照してください)。
ライブラリとフォルダーの壊れたアクセス許可の継承を修正します。 (「 SharePoint でのアクセス許可の継承」 および「 SharePoint リストまたはライブラリのアクセス許可をカスタマイズする」を参照してください)。
SAM サイト ライフサイクル管理を使用して、修復されたすべてのサイトのサイト所有権を割り当てるか確認します。 (「 SharePoint サイト所有権ポリシーを作成する」を参照してください)。
アクセスとアクセス許可が修復されたら、暫定的な Copilot 保護を削除する
手順 2: ガードレールを設定する
この手順では、Microsoft Purview と SAM を使用してセキュリティで保護された既定値と永続的なガードレールを確立して、新しいサイトとコンテンツが作成時に保護されるようにし、これらの制御を時間の経過と共に継続的に適用および最適化します。
セキュリティで保護された既定値を確立する
テナントとプロビジョニングの既定値を使用して、新しいサイトや共有リンクで過剰共有が導入されないようにします。
プロビジョニング時に、ビジネス クリティカルなサイトに既定で制限付きAccess Control (RAC) を適用します。
テナント レベルで会社全体の共有グループと [すべてのユーザー] リンクの使用を無効または制限します。 ( SharePoint と OneDrive での共有可能なリンクのしくみに関するページを参照してください)。
Microsoft Purview Information Protectionを使用して、プロビジョニング時にサイト秘密度ラベルを要求し、正しいサイト プライバシーと共有コントロールを既定で適用します。 (「秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、および SharePoint サイトのコンテンツを保護する」を参照してください)。
安全なガードレールを確立する
既定で機密データを保護し、Microsoft Purview を使用して Copilot で使用する方法を決定します。
機密ファイルと電子メールが確実に保護されるように、自動ラベルと既定のMicrosoft Purview Information Protection秘密度ラベルを構成します。
Copilot が接地のために使用してはならないファイルやメールはありますか? はいの場合は、Microsoft Purview DLP for Copilot ポリシー を設定して、特定の秘密度ラベルを持つファイルと電子メールの Copilot 処理を制限します
Copilot で処理すべきではないキーワードや種類の機密データはありますか? はいの場合は、 Purview DLP for Copilot プロンプト ポリシーを有効にして、指定された機密情報を含むプロンプトへの Copilot の応答を制限します
必要に応じて、機密データを Work IQ の接地に使用できますが、Web の接地からブロックすることを許可します
Microsoft Purview インサイダー リスク管理を有効にする (IRM ポリシーを使用して、不適切または非準拠の Copilot 使用状況のパターンを検出し、リスクの高いユーザーをより制限の厳しいセキュリティ ポリシーに自動的に追加する
ガードレールを継続的に適用および最適化する
Microsoft Purview レポート、リスク評価、アラートを使用して、保護を継続的に検証し、危険な AI の使用状況を調査します。
Microsoft Purview DSPM アクティビティ エクスプローラーを使用して、Copilot の対話 (プロンプトと応答)、Web 検索キーワード、機密データ アクティビティを確認します。
Microsoft Purview DSPM データ リスク評価を使用して、機密データが Copilot アクセスから保護されたままであることを継続的に検証します。
Microsoft Purview インサイダー リスク管理と DLP アラートを確認して、危険な AI の使用状況や潜在的なデータ損失を検出して調査します。 ( 「Insider Risk Management のデータ リスク グラフ 」および 「DLP アラートの調査について」を参照してください)。
手順 3: 規制を満たす
この手順では、AI コンプライアンスのギャップを評価して閉じ、Copilot の相互作用に対する監査と保持の要件を定義し、Microsoft Purview を使用して継続的なデータの検疫を改善して、責任ある AI ガバナンスを大規模にサポートします。
AI 規制に対するギャップを特定して対処する
Microsoft Purview コンプライアンス マネージャー を使用して、AI 関連の規制要件と Microsoft が推奨するアクションに対してテナントを評価します。
データ保護、監査可能性、AI の使用制御に関連する Microsoft Purview コンプライアンス マネージャーの改善アクション を確認します。
修復作業を割り当てて追跡し、特定されたコンプライアンス ギャップを閉じます。 (「 改善アクションを更新し、コンプライアンス データをコンプライアンス マネージャーに取り込む」を参照してください)。
Microsoft Purview DSPM レポートを使用して機能強化を検証します。 (「DSPMの使用方法」を参照してください)。
規制要件を定義する
規制と内部の要件に従って監査ログを保持する期間を決定します。 (「 監査ログ保持ポリシーの管理」を参照してください)。
法的リスクまたは規制要件に基づいて、Copilot のやり取りを維持または削除するタイミングを決定します。 (「Microsoft Purview データ ライフサイクル管理」を参照してください)。
Microsoft Purview eDiscoveryを使用して、監査または法的要求に対して Copilot 関連のコンテンツを検索、保持、生成します。
データの検疫を改善する
非アクティブなコンテンツを継続的にクリーンアップし、保持と削除ポリシーを適用することで、進行中のリスクを軽減し、Copilot の回答品質を向上させます。
サイトの場合:
非アクティブなサイトまたは古いサイトを特定して対処することで、ライフサイクルの検疫を維持します。 ( 「SAM 非アクティブなサイト ポリシー」を参照してください)。
Microsoft 365 アーカイブを使用して、非アクティブで価値の高いコンテンツを低コストで保存し、Copilot が処理または推論するのを防ぎます。
ファイルの場合:
Microsoft Purview の保持ポリシーと削除ポリシーを適用して、アクティブでないファイルまたは古いファイルを削除して、Copilot 応答の品質を向上させます。
Microsoft Purview 保持ラベルと Microsoft 365 アーカイブを使用して、記録義務または検出のために保持しながら、Copilot の使用からファイルを除外する
次の手順
この記事の手順を完了した後:
Microsoft Purview ポータルと SharePoint 管理 エージェントを使用して、情報を表示し、スケジュールされたレポートを実行します。
サイト所有者とユーザーに対して、ラベル付け、共有、責任ある Copilot の使用について教育します。 (「Microsoft 365 Copilot データとコンプライアンスの準備」を参照してください)。