Microsoft 365 Copilot コネクタを使用すると、組織は AI システムとサービスを強化するためにカスタマイズされた統合を構築できます。 一般に、AI 管理者は Copilot コネクタの設定と管理を担当します。 ただし、アプリケーションの登録や特定の Microsoft Graph API アクセス許可への同意などの特定のタスクには、多くの場合、グローバル管理者が必要です。 AI 管理者に管理者権限を委任すると、依存関係を減らし、AI 管理者が Copilot コネクタを個別に設定できます。 この記事では、組織の管理を維持しながら管理者権限を委任する方法について説明します。
注:
AI 管理者に管理者権限を委任することは、Copilot コネクタ管理のオプションの手順です。
委任できる管理者権限は何ですか?
AI 管理者がカスタム コネクタのセットアップと操作を個別に管理できるようにするには、次の管理者権限を委任します。
アプリケーション登録アクセス許可 - このアクセス許可を付与すると、AI 管理者はMicrosoft Entra管理センターからアプリケーションを登録してカスタム コネクタを設定できます。 アプリケーション登録のアクセス許可は、organization内のすべてのユーザーに対して既定で有効になっています。 このアクセス許可は、organizationのアクセス許可が無効になっている場合にのみ付与します。
同意権限 - この権限を付与すると、AI 管理者は、接続の作成とアイテムの取り込みに固有の ExternalItem.ReadWrite.OwnedBy や ExternalConnection.ReadWrite.OwnedBy などのコネクタ関連の Microsoft Graph API アクセス許可に対する同意を付与できます。
アプリケーション登録のアクセス許可を付与する
organization内のすべてのユーザーに対してアプリケーション登録アクセス許可が有効になっている場合、追加の構成は必要ありません。 ただし、これらのアクセス許可が制限されている場合、グローバル管理者はカスタム ロールを使用して AI 管理者に付与できます。 詳細については、「Microsoft Entra ID でアプリ登録のアクセス許可を委任する」を参照してください。
同意特権を付与する
AI 管理者に同意権限を付与するには、必要なアクセス許可に合わせてカスタム ポリシーとロールを作成します。
- ExternalItem.* と ExternalConnection.* のアクセス許可を明示的に付与するポリシーを定義します。
- カスタム ロールを作成し、新しく作成した同意ポリシーをこのロールに割り当てます。
- AI 管理者ロールを持つユーザーにカスタム ロールを割り当てて、指定したアクセス許可の同意を管理できるようにします。
PowerShell を使用して管理者権限を付与する
PowerShell スクリプトを使用して、AI 管理者に管理者権限を付与できます。 PowerShell スクリプトは、次のアクションを実行します。
- 現在 AI 管理者ロールが割り当てられているユーザーにアプリケーション登録アクセス許可を付与します。
- 次の方法で同意特権を付与します。
- ユーザーが ExternalItem.* と ExternalConnection.* に同意できるようにする、 AI 管理者に同意アクセス許可を付与 するという名前のカスタム同意ポリシーを作成します。
- Copilot 用のカスタム コネクタ管理という名前のカスタム ロールを確立し、同意ポリシーをこのロールに割り当てます。
- 既存の AI 管理者にカスタム ロールを割り当てる。
PowerShell スクリプトを使用するには:
PowerShell の
Install-Moduleコマンドを使用して、スクリプトをインストールします。Install-Module Connector.Cmd重要
これらの手順では、Connector.Cmd バージョン 1.4 以降が必要です。
スクリプトを呼び出すには、次のコマンドを使用します。
GrantAppConsentAndManagementPermissionToAiAdminグローバル管理者としてサインインし、要求されたアクセス許可を承認します。
スクリプトの実行後、 AI 管理者 ロールを持つ既存のユーザーは、Copilot コネクタを設定および管理するための管理者権限を持ちます。
結果を確認する
管理者権限が正常に付与されたことを確認するには:
- Microsoft Entra管理センターに AI 管理者としてサインインします。
- [アプリの登録] セクションに移動し、新しいアプリケーションを作成します。
- ExternalItem.ReadWrite.OwnedBy および ExternalConnection.ReadWrite.OwnedBy のアクセス許可をアプリケーションに追加します。
- ポータル内でこれらのアクセス許可に直接同意します。
成功した場合、構成は完了です。
よく寄せられる質問
PowerShell スクリプトは、すべての Microsoft Graph API アクセス許可に同意しますか?
いいえ。このスクリプトでは、同意権限が ExternalItem.* と ExternalConnection.* に制限されます。 これにより、より広範なアクセスを危険にさらすことなく、最小限の必要なアクセス許可が付与されます。
コネクタ アプリケーションで ExternalItem.* と ExternalConnection.* を超えるアクセス許可が必要な場合はどうでしょうか。
この場合、グローバル管理者は、他のアクセス許可に対する同意を手動で付与する必要があります。 AI 管理者特権を拡張するには:
- 「 同意特権を付与する」の説明に従って、カスタム同意ポリシーを手動で作成または更新します。
- アプリケーションに必要なその他のアクセス許可を追加します。
- 更新されたポリシーを、先ほど作成したカスタム ロールに割り当てます。
AI 管理者に付与された権限を取り消すにはどうすればよいですか?
特権を削除するには、Microsoft Entra管理センターまたはMicrosoft 365 管理センターの [ロール & 管理者] ページに移動します。 セットアップ中に作成されたカスタム ロールを見つけて削除します。
![管理センターの [ロール & 管理者] ページMicrosoft Entraスクリーンショット](assets/images/connector-admin-delegation-role.png)
権限は、新しく割り当てられた AI 管理者に自動的に適用されますか?
いいえ。PowerShell スクリプトによって付与される特権は、現在の AI 管理者にのみ適用されます。 新しい AI 管理者の場合は、スクリプトを再実行するか、Microsoft Entra管理センターから新しく割り当てられた管理者にカスタム ロールを手動で割り当てます。
![管理センターの [割り当て] ページMicrosoft Entraスクリーンショット](assets/images/connector-admin-delegation-assignments.png)
これらの特権を AI 管理者に付与することは必須ですか?
いいえ。これらの特権の付与は省略可能です。 組織は、内部プロセスに基づいてアクセス許可を委任するかどうかを選択できます。 一元化された制御が優先される場合、グローバル管理者はこれらのタスクの責任を保持できます。