1. 全体概要と結論
Microsoft 365 Copilot(以下 Copilot)の導入に際し、セキュリティポリシーやフィルタリングソフトで生成AIの利用を制限している環境において、Copilot のみを正常に動作させるためのネットワーク要件を確認した。
結論として、Copilot は他の Microsoft 365 サービスと密接に連携するため、個別のドメインのみならず、Microsoft 365 全体の標準的なエンドポイント(URL および IP アドレス範囲)を許可リストに加える必要がある。
関連サービス
- Microsoft 365 Copilot
- SharePoint Online / OneDrive for Business
- Microsoft 365 管理センター
結論
- サードパーティのフィルタリングソフトにより、生成AI関連の通信が一律でブロックされている環境などでは、Copilot の通信を許可するための具体的なドメインおよび IP 範囲の特定が必要。
2.1. Copilot 利用にあたっての除外すべきドメイン
調査したこと
生成AI関連の Web 閲覧を制限している中で、Microsoft 365 Copilot のみを利用可能にしたい。フィルタリングソフトの設定で除外(ホワイトリスト登録)すべきドメインが何か。
- 発生事象: フィルタリング設定により Copilot の機能(チャットやアプリ連携)が制限・遮断されている。
- 要件: セキュリティを維持しつつ、Copilot に必要な通信のみをピンポイントで許可したい。
調査結果
Copilot を利用するためには、「Microsoft 365 共通エンドポイント」 および 「Copilot 専用エンドポイント」 の両方を許可する必要がある。
根本原因と技術解説
Copilot は単体で動作するものではなく、基盤となる Microsoft 365(Graph API、SharePoint、Teams 等)と常時通信を行う。また、WebSocket(WSS)を利用したリアルタイム通信も含まれるため、プロキシやフィルタリングソフトでの SSL 復号化や遅延が動作に影響する場合がある。
対応策・手順
- Microsoft 365 共通エンドポイントの許可
下記「参考URL」のリストに基づき、ID1(共通),3(SharePoint),11(Teams)などの主要なエンドポイントを許可する。 - Copilot 専用接続の確認
Copilot チャットや Web 検索連携に必要なドメインを許可する。
- 例:
*.bing.com(Web データの参照用),*.cloud.microsoft,*.office.com等
- ネットワーク最適化
可能であれば、Copilot のトラフィックをフィルタリングソフトの SSL スキャン(復号化)の対象から除外することを推奨。
3. 全ての参考URLリスト
設定に必要な公式情報は以下の通りです。
- Microsoft 365 の URL と IP アドレスの範囲
- Microsoft 365 全体で許可すべきエンドポイントのマスターリストです。
- Microsoft 365 Copilot のネットワーク要件
- Copilot 特有の接続要件、特に WebSocket や遅延に関するガイドラインです。
- Microsoft 365 Copilot チャットを管理する
- 組織内でのチャット機能の有効化と管理に関するネットワーク構成情報です。
コメント