PKSHA AI ヘルプデスク(以下 AI ヘルプデスク)の導入にあたり、情報システム部門・セキュリティ部門の方向けにプロダクトの仕様等の情報をまとめます。
対象読者: 情報システム部門・グローバル管理者・セキュリティ部門のご担当の方
前提
- AI ヘルプデスクは Microsoft Teams 上で動作するカスタムアプリ(Webアプリ) です
- 機能を実現するために Microsoft Graph API(以下 Graph API)のアクセス許可が必要です
- 許可いただく権限においても、機能提供に必要な通信のみを行い、仕様外の通信は行いません
アクセス許可の種類
Graph API のアクセス許可には以下の2種類があります。
委任されたアクセス許可
サインイン中のユーザーの権限の範囲内でのみアクセスする方式です。
- ユーザーがログインしている間のみ動作
- ユーザー自身がアクセスできるデータにのみアクセスする
- 例:
User.Read— サインインしたユーザー自身の情報のみ取得可能
アプリケーションの許可
アプリ自体の権限でアクセスする方式です(ユーザー認証不要)。
- ユーザーがログインしていない状態でも動作可能
- テナントの範囲でのアクセスが可能
なお、AI ヘルプデスクは機能提供に必要なデータのみにアクセスし、それ以外のデータにはアクセスしません。
基本機能と権限の構成
AI ヘルプデスクの権限は、基本機能とオプション機能に分かれます。
基本機能(自動応答・有人応答)
基本機能は、主に委任されたアクセス許可で動作します。ユーザーの権限範囲内でのみアクセスするため、影響範囲は限定的です。
ただし、TeamsActivity.Send(アクティビティ通知)のみ、アプリケーションの許可が基本機能にも含まれます。
製品の仕様上、ユーザーが操作していない状態でも通知を送信する必要があるため、基本機能として許可が必要となります。
これは、Teamsへの通知の送信の許可であり、テナント内の情報の読み書きがなされることはありません。
なお、TeamsActivity.Sendについて、テナント単位でのアクセス許可への同意が難しい場合、以下をご参照ください。
「PKSHA-AI-ヘルプデスク-v2-0-0以上-における-TeamsActivity-Send-RSC-によるアクセス許可」
オプション機能
以下の機能は任意です。不要であれば許可せずに運用できます。
- ファイル送受信
- チャネル間の問い合わせ移動
- プロアクティブチャット
※ 権限の全一覧は「要求するアクセス許可(v2.0.0以上)」を参照してください
オプション機能の権限の詳細
各オプション機能で必要となる権限の詳細と、実際の動作範囲を説明します。
ファイル送受信
有人チャットにおける添付ファイルの送受信機能です。Files.ReadWrite.All の許可が必要で、利用方法は2パターンあります。
| 種類 | できること | |
|---|---|---|
| 1 | 委任権限のみ | プレビューなしでの添付ファイルの送受信 |
| 2 | 委任権限 + アプリケーション許可 | 1 に加えて、添付画像のプレビュー表示 |
ファイル送受信機能のご利用は任意です。ご不要であれば上記 1, 2 とも許可せずとも AI ヘルプデスクのご利用は可能です。
実際の動作範囲
- ファイルの保存先はご利用になる企業様の Microsoft 365 テナント OneDrive(または SharePoint)であり、AI ヘルプデスクへのファイル保存はありません
- 質問者と回答者の間で送受信されたファイルのみにアクセスし、それ以外のファイルにはアクセスしません
チャネル間での問い合わせの移動
特定のチャネルに届いた問い合わせを別のチャネルに移動する機能です。TeamMember.Read.All(チームメンバー情報の取得)と Group.Read.All(チーム情報の取得)の許可が必要です。いずれも委任されたアクセス許可のみで動作し、サインイン中のユーザーの権限範囲内でのみアクセスします。
実際の動作範囲
- チーム・チャネルの一覧情報とメンバー情報の読み取りのみ行います
- データの書き込みや変更は行いません
プロアクティブチャット / プッシュ配信
ユーザーに対してプッシュ型でメッセージを送信する機能です。Group.Read.All(グループ情報の取得)と TeamsAppInstallation.ReadForUser.All(アプリのインストール状況の確認)の許可が必要です。ユーザーが操作していない状態でも配信する必要があるため、アプリケーションの許可が含まれます。
実際の動作範囲
- グループ情報とアプリのインストール状況の読み取りのみです
- データの書き込みや変更は行いません
お客様側で可能な管理
Microsoft Entra ID の管理画面から、いつでも AI ヘルプデスクアプリへの同意取り消し・アクセス遮断が可能です
PKSHA ナレッジベースをご利用の場合
PKSHA ナレッジベース(以下 ナレッジベース)をご利用の場合、本ページで説明している AI ヘルプデスクの権限とは別に、ナレッジベース側のアクセス許可の設定が必要です。
詳細は「PKSHA ナレッジベース 導入ガイド」を参照してください。
よくある質問
ファイルアクセス
Q. ファイル送受信機能を使うと、OneDrive・SharePoint のすべてのファイルにアクセスできてしまいますか?
A. いいえ。権限の種別としては全ファイルへのアクセス権が付与されますが、AI ヘルプデスクが実際にアクセスするのは質問者と回答者の間でやり取りされたファイルのみです。それ以外のファイルにはアクセスしません。
動作トラブル
Q. AI ヘルプデスクの画面が読み込み中のまま表示されます。
A. グローバル管理者による Graph API のアクセス許可が完了していない可能性があります。Microsoft Entra ID の管理画面から、アクセス許可が付与されているかご確認ください。
認証・アクセス
Q. 利用者の認証方式を教えてください。
A. 利用するインターフェースによって異なります。
Teams アプリ(質問者画面・オペレーター画面)
A. Teams へのログイン後、AI ヘルプデスク アプリを開くと認証が自動で完了します(追加のログイン操作は不要)。多要素認証等の認証ポリシーはお客様の Microsoft 365 テナントの設定に準拠します。
Web エージェント(質問者画面・Webagent)
A. Web サイトに埋め込むユーザーインターフェースです。通常は不特定多数からの問い合わせを受けることを想定した機能であるため、デフォルトでは認証はありません。利用者を限定したい場合、質問者向けに SAML SSO 連携オプションの提供が可能です。詳細は営業担当までお問い合わせください。
ChatAgent 管理画面
A. ID・パスワード認証が基本です。多要素認証および送信元 IP 制限を管理画面から設定できます。管理者向けの SAML SSO 連携オプションにも対応しています。詳細は営業担当までお問い合わせください。
ナレッジベース管理画面
A. ChatAgent 管理画面の認証に依拠するため、仕様も ChatAgent 管理画面の認証の仕組みに準拠します。その他に送信元 IP 制限が利用可能です。
ナレッジベースに関するよくあるお問い合わせは、ナレッジベース管理者向けガイド > よくあるご質問を参照してください。