トップ > Copilot > 【Microsoft×生成AI連載】SharePoint Advanced ManagementのRCDでCopilotの検索データを制御

【Microsoft×生成AI連載】SharePoint Advanced ManagementのRCDでCopilotの検索データを制御

Copilot Microsoft Copilot Microsoft 365 Copilot 生成AI Microsoft×生成AI連載

Microsoft 365 Copilotを導入すると、SharePoint上のドキュメントも、ユーザーがアクセス可能な範囲で回答生成に活用されます。

非常に便利な一方で、SharePointサイトが広範囲のユーザーに閲覧可能となっている、いわゆる「過剰共有」の状態にある場合、意図しない相手がCopilot経由で情報に到達してしまう可能性があります。

本記事では、SharePoint上の情報がCopilotやテナント全体検索で見つからないようにするための設定として、管理者側で設定するSharePoint Advanced Management(以降SAMと記載)の Restrict Content Discovery(以降RCDと記載)と、SharePointサイトの管理ユーザーが設定できる"Copilotからの検索を防ぐための設定"を紹介します。

Copilot利用における組織データのセキュリティに興味のある方は、ぜひご覧ください。

これまでの連載

これまでの連載記事一覧はこちらの記事にまとめておりますので、過去の連載を確認されたい方はこちらの記載をご参照ください。

blog.jbs.co.jp

Copilotに参照されることで起こりうるリスク

Copilotは基本的にユーザーが持つアクセス権の範囲で動く設計ですが、組織の多数の人がM365ソリューションを使っている場合、「権限が広すぎた」「過去に付けた共有が残っていた」「サイトの棚卸しが追いついていない」などの問題がたびたび発生します。このような要因がある場合、Copilot に質問した際に本来意図していない情報が“発見される”ことがあります。

代表的なリスクは次のような例があります。

  • 過剰共有が検索や会話で発生する
    • これまで探しに行かないと見つからなかった機密情報が、Copilotで露出しやすくなる
  • 準備不足のままCopilot展開が進む
    • 権限監査やサイトの棚卸の途中でもCopilotの利用が始まり、事故の温床となる
  • 情報の取り扱いルールが曖昧なまま拡散しうる
    • 回答が引用・要約され、チャット上で再共有されることで、運用ルールが弱いと統制が効きにくくなる

そのため、Copilot導入時はアクセス制御だけでなく、発見性(オンライン上にあるあらゆるデータの中から見つかるか)も併せて抑えるのが現実的です。

本記事では、Copilotの検索対象範囲のうち、SharePointサイト・コンテンツにフォーカスして、発見性を抑える設定について解説していきます。

Copilotの検索対象とならないための設定:RCD(Restrict Content Discovery)とは

RCD は、対象の SharePoint サイトについて サイトへのアクセス権限は変えず、そのサイトの内容が Copilot やテナント全体検索で見つからないようにするための仕組みです。

RCD は発見性の抑制であり、アクセス自体を強制的に絞る機能ではありません。もし「そのサイトは、指定グループ以外は(権限が付いていても)入れないようにしたい」という要件がある場合には、Restrict Access Control(RAC) のような別機能を検討する必要があります。

※ RAC は Entra セキュリティグループ / M365 グループを条件に、アクセスを制限する機能ですが、本記事では扱いません。

RCDの導入方法

前提(ライセンス)

RCDはSAM(SharePoint Advanced Management)の機能で、E3/E5等には含まれず別途ライセンスが必要となります。

組織の条件によってはSAMのライセンスが自動付与される場合がありますので、自身が所属する組織のライセンス上にSAMが含まれているかどうかについては、以下の公式サイトをご確認ください。

learn.microsoft.com

設定手順(管理者側)

管理者がRCDを有効にする手順を紹介していきます。

まず、SharePoint管理センターにアクセスします。

SharePoint管理センターにアクセスします

続いて、[アクティブなサイト]タブを選択し、RCDの対象としたいサイトを開きます。今回は、デモ用に作成した[Site-06:RCD適用サイト]を選択しています。

[アクティブなサイト]上の[RCDを適用したいサイト]を選択します

続いて、[設定]タブ内にある[Microsoft 365 Copilotからのコンテンツを制限する]をオンにします。

[設定]タブの[Microsoft 365 Copilotからのコンテンツを制限する]をオンにします

以上でRCDが適用され、Copilotや検索でコンテンツが表示されなくなります。

ここまでSharePoint管理センター上の動きでしたが、一般ユーザーに切り替えてRCDを適用したサイトを開いてみたいと思います。

RCDを有効にしたSharePointサイトを開くと、[制限付き]と表示されており、一般ユーザーにもわかるようになっています。

[制限付き]と表示されます

設定手順(サイト管理者)

RCDは本来、「SharePoint管理者」がサイト単位で有効化することで、そのサイトがテナント全体検索とMicrosoft 365 Copilotに出てこないようにするための仕組みです。

このRCDは、SharePoint管理者が組織ポリシーを変更することによりサイト管理者へ運用を委任できます。委任が有効である場合、サイト管理者はサイト側の画面からRestrict content from Microsoft 365 Copilotを有効にできるようになります。本ブログでは委任の手順は扱いませんが、公式よりPowershell上で設定変更する方法が記載されていますので、ご確認ください。

SharePoint サイトとコンテンツの検出を制限する - SharePoint in Microsoft 365 | Microsoft Learn

以下の手順では、SharePoint管理者がRCDの設定をサイト管理者側に委任している前提の手順となっています。

それでは、サイト管理者がRCDを導入する手順を説明していきます。

まず、RCDを導入したいサイトを開き右上の歯車マーク[設定]を選択します。

RCDを導入したいサイトを開き、[設定]を選択します

右側、設定内の[サイト情報]を選択します

[サイト情報]を選択します

[サイト情報]内にある[Restrict content from M365 Copilot]をOnにします。

※組織の設定で委任されていない場合、設定を変更することはできません。

[Restrict content from M365 Copilot]をOnにします

以上でRCDが適用され、Copilotや検索でコンテンツが表示されなくなります。

反映後のタイムラグ

RCDは設定が反映されるまで時間がかかります。特に、大規模サイト上では1週間以上かかる可能性がある旨が公式のFAQでも言及されていたので注意が必要です。

SharePoint サイトとコンテンツの検出を制限する - SharePoint in Microsoft 365 | Microsoft Learn

導入前後のCopilot回答

RCD導入前後でどのように回答が変わるかについてご紹介します。

今回は、先ほどRCDを有効にした[Site-06:RCD適用サイト]内にデモ用のファイル[ヴィクトリア女王に関して]というwordファイルを追加しました。このファイルには、ヴィクトリア女王に関する情報が記載されています。

※ このwordファイルの内容は、Copilotにヴィクトリア女王に関する情報を質問した際の回答を記載しています。

[ヴィクトリア女王に関して]ファイルの中身です

また、RCDをオンにしていない異なるサイト上には[安達盛長]に関するファイルを格納しました。こちらのwordファイルの内容も、Copilotに安達盛長に関する情報を質問した際の回答を記載しています。

[安達盛長に関して]ファイルの中身です

RCDをオンにした場合

このサイトへのアクセス権を持つ、wordファイルを格納したアカウントとは異なるアカウントを使って、Copilot上でヴィクトリア女王に関するファイルが社内にあるかどうかを質問します。

Copilotに質問します

返答内にヴィクトリア女王に関する資料が含まれていないことが確認できます。RCDでは、このようにCopilotの検索対象から外すことが可能です。

Copilotの返答結果です

また、組織内の全体検索上でも「ヴィクトリア女王」を検索しましたが、結果に出てくることはありませんでした。

組織内の全体検索の結果です

RCDをオフにした場合

続いて、安達盛長に関する資料があるかどうか、Copilotに質問してみます。

Copilotに質問します

すると、Copilotがファイルを検索し、回答に含めていました。

Copilotの返答結果です

また、組織内の全体検索上でも結果が表示されました。

組織内の全体検索です

利用シーンとメリット、注意点

利用シーン

  • 過剰共有の疑いがあるサイトを、棚卸し・是正が終わるまで隔離したい
    • 人単位の権限設計を行わずに、まず初期ガードとして導入する
  • Copilot展開を止めずに、段階的にガードを入れたい
    • まずRCDを導入して、次に権限の是正や運用整備と進める
  • 機密情報を扱う部門サイトを、全社検索/Copilotから外したい
    • 露出を抑えたうえで、必要者には従来通りアクセスさせる

メリット

  • Copilotや検索でのうっかり発見を抑止できる
  • 権限是正のための猶予を作れる
  • Copilot導入の初期ガードとして説明しやすい

注意点

  • アクセス制御ではないため、権限がある人は開くことができる
    • より強い遮断が必要である場合、別機能の検討も必要
  • 反映に時間がかかる
    • 大規模サイトでは1週間以上かかる可能性がある
  • 影響範囲が限定的
    • エージェント等で適用されない場合がある

まとめ

SharePoint上の情報がCopilotで参照される際の事故は、権限が広いままである場合や、棚卸し前の状態で発生します。そこでRCDは、権限を変えずにCopilotとテナント全体検索における発見性を抑える初期ガードセットとして有効です。

一方で、閲覧は可能な状態なままであるため、厳格に制御したい場合は別途アクセス制御やCopilot Studio上のエージェントで使用できないような社内のルール化が必要となります。

RCDを最初のガードセットとして設定しつつ、権限是正・運用設計・検証をセットで進めていきながら、適切に社内のCopilot導入を進めていきましょう。

今後もCopilotのセキュリティについて発信していきますので、興味のある方は是非次回もご覧ください。

おまけ(Copilot Chatによる本記事の要約)

この記事では、SharePoint 上の情報が Microsoft 365 Copilot によって“発見される”ことによるリスクを整理したうえで、Restrict Content Discovery(RCD) を活用して Copilot やテナント全体検索から特定サイトを除外する方法を解説しています。

管理者による設定方法だけでなく、サイト管理者へ委任する運用パターンや、設定前後での Copilot の回答変化、さらに「完全遮断ではない」点や他ツール経由で取得される可能性などの制限事項も含め、Copilot 導入時の初期ガード設計の考え方をまとめています。

執筆担当者プロフィール
宅見 健太朗

宅見 健太朗(日本ビジネスシステムズ株式会社)

Data&AIプラットフォーム部に所属。生成AIやCopilotをメインに扱いつつ、最近はPythonを用いたコード開発にも挑戦しています。

担当記事一覧
執筆担当者プロフィール
渋谷 優輝

渋谷 優輝(日本ビジネスシステムズ株式会社)

Microsoft Azure、特に生成AIやデータパイプラインのインフラ構築を行っています。

担当記事一覧