Microsoft 365でエージェントを展開する際にセキュリティと管理を維持するためには、基盤となるガバナンスおよび管理モデルを理解する必要があります。 Microsoft 365は、異なるセキュリティコントロール、同意メカニズム、管理機能を持つ2つの異なるアーキテクチャアプローチを提供しています。
Microsoft 365 CopilotやCopilot Chatでは、Teamsボットとしてエージェントを展開できます。 さらに、ウェブポータルやモバイルアプリなど、自分が所有するプラットフォームでエージェントをセルフホストすることも可能です。
これらのモデルの選択は、組織がデータアクセス、ユーザー権限、外部サービス統合をどのように管理するかに影響を与えます。 この記事では、TeamsアプリモデルとCopilotエージェントモデルを比較し、それぞれのセキュリティへの影響を理解し、組織の要件に最適なアプローチを決定する手助けをします。
Teamsアプリモデル
既存のTeamsやPower Platformアプリは、アプリごとコネクタごとの管理を提供しているため、管理者の同意は取得時に行われます。 例えば、Teamsアプリはインストール時に同意を求めたり、 データポリシーでブロックされるとPower Platformコネクターを取得できません。
Teamsアプリモデルは、アプリケーション取得時に管理者の同意が行われる外部のセキュリティ制御を実装しています。 このモデルは、Microsoft 365のテナント境界に対する外部サービスアクセスの細かい制御を提供します。
このモデルにより、コンテンツやワークロードをTeamsメッセージ、メール、Service NowのようなMicrosoft Entraゲート外部データなどの細分オブジェクトとして定義できます。
このモデルでは、外部サービスは権限を積極的に使っていなくても、テナントデータにアクセスするために明示的な許可が必要です。 このアプローチにより、Teamsのメッセージ、メール、Entraゲートされた外部データソースなど、細かなコンテンツやワークロードの定義が可能になります。
サービス間認証機構は、DNS(ドメインネームシステム)ポイゾン攻撃やドメインハイジャック攻撃のリスクを低減します。なぜなら、アプリケーション認証を取得するためにはアプリケーションサービス自体を侵害する必要があるからです。 しかし、メールボックスごと、サイトごとの多様な顧客要件に対応できる適切なコンテンツの細分化を実現するのは難しい場合があります。
コパイロットエージェントモデル
このモデルでは、ユーザーは呼び出し時に同意を提供します。 アプリがデータを送信するたびに、指定されたエンドポイントへのアクセスを許可するよう促されます。 このモデルでは、すべてのコンテンツが一度合成されたCopilot Chatタイプのものであるため、コンテンツやワークロードを分離することはできません。 外部URLは細かいオブジェクトまたは制御範囲となり、リンク許可リストやアプリのパッケージ検査が行われます。
Copilotエージェントモデルは、ユーザーが呼び出し時に同意を示すインサイドアウトのセキュリティ制御を採用しています。 ユーザーは情報がテナント境界を越えて外部サービスに送られるたびに、データ共有を許可するよう促されます。
このモデルにはサービスレベルの認証情報は含まれていないため、適切なAPI強化を適用してください。 管理者は、データ損失防止ラベルを使ってコンテンツタイプをCopilotで完全にブロックすることで、テナントからのコンテンツタイプがテナントから離れるのを防ぐことができます。
このモデルは、メッセージごとまたは呼び出しごとレベルでの細かな同意を可能にしますが、管理者介入機能はなく、完全にユーザーの意思決定に依存しています。
次のステップ
エージェントのデータフローを理解し、セキュリティ境界、信頼要件、エージェントシステムの潜在的な脆弱性を特定しましょう。