みなさんこんにちは。ギークです。これ、結論から言うと共有はできません。
Power Platform 環境は5階層のセキュリティ階層になっています。
Power Platform のセキュリティは、単一の設定ではなく、複数の階層で構成される仕組みです。これらの階層を理解し、適切に設定することで、リソースやデータを安全に共有できます。
ID 管理と認証(例:多要素認証、条件付きアクセス)
Power Platform 全体の利用可否を決定する最上位レイヤー。
セキュリティグループでアクセス制御。
環境に属していないユーザーは、その中のアプリやエージェントにアクセスできない。
個別の共有設定。 ただし、上位階層(環境・Dataverse ロール)で制限されていればアクセス不可。
データアクセス制御(テーブル、列、レコード単位)。
アプリやフローの作成権限もここで管理(Maker 権限)。 つまり、環境に入れてもロールがなければ作成できない。
外部サービス接続の制御。 DLP ポリシーでブロックされていないか、同一ビジネスグループかを確認。
目次
Copilot Studio エージェント共有のポイント
- エージェントを共有しても、環境のセキュリティグループに属していなければアクセス不可。
- Dataverse セキュリティロールがない場合、エージェントの編集やアプリ作成はできない。
- さらに、利用するコネクターが DLP ポリシーで制限されていないか確認が必要。
動きを確認してみましょう。今回の前提条件としては、環境セキュリティグループを設定した環境に、そのセキュリティグループに入っていないユーザーを使って試してみます。
環境 – 環境セキュリティグループに属していないユーザーを環境に追加しようとしてみる
環境セキュリティグループ外のユーザーを環境に追加しようとしてみます。
しっかりエラーが発生しました。たしかにこの環境には環境セキュリティグループが有効になっています。
リソース – エージェントを共有してみる
リソースを共有してみます。
追加されたように見えますが、ブラウザを更新してみます。
ブラウザを更新してみると、追加されていません。
ここでリンクをコピーしてエージェントを利用しようとしてみます。
リソース – 編集権限があるかを確認してみる
このユーザーはテナント設定では Copilot Studio 作成者にセキュリティグループにつかされているのですが、その前に Power Platform 環境にてブロックされているため編集権限はありません。
リソース – リンクを共有してエージェントを利用しようとしてみる
このまま、エージェントを追加しようとしてみます。共有のリンクはこちらから入手します。
Copilot のチャネルでエージェントの利用ができるかを確認する
Copilotのチャネルでまずは確認してみます。
問題が発生して追加できません。
Teams チャネルへの追加を行ってエージェントへの利用ができるかを確認する
今度は Teams に追加しようとしてみます。
追加されました。エージェントを開いてみると、以下のメッセージが表示されています。
You don't have access to talk to this bot, contact the owner.
話しかけてみると、同じ回答(アクセス権限ないよ)しか返ってきません。
以上、いかがでしたでしょうか。このような動きになりますので、環境セキュリティグループに気をつけて設定を行ってください。
