Microsoft 365 Copilot Datenschutz- und Überwachungsarchitektur

• Gilt für::

  ✅ Microsoft 365 Copilot

Microsoft 365 Copilot berücksichtigt Ihre Sicherheits- & Datenschutzkontrollen und umfasst Tools zum Überwachen von Nutzungsdaten. In diesem Artikel wird Folgendes beschrieben und veranschaulicht:

• Funktionsweise von Copilot mit Microsoft Purview-Vertraulichkeitsbezeichnungen.
• Die Steuerelemente, die Sie verwenden können, um die übermäßige Freigabe von Daten auf SharePoint-Websites und OneDrive zu verhindern.
• Wo Copilot-Nutzungsdaten gespeichert werden und wie Sie diese Daten ermitteln, überwachen und aufbewahren können.

Dieser Artikel gilt für:

• Microsoft 365 Copilot

Funktionsweise von Microsoft 365 Copilot mit Vertraulichkeitsbezeichnungen und Verschlüsselung

Copilot arbeitet mit Ihren Microsoft Purview-Vertraulichkeitsbezeichnungen und -Verschlüsselung zusammen, um eine zusätzliche Schutzebene bereitzustellen.

Das folgende Diagramm zeigt eine visuelle Darstellung, wie Copilot Ihre Informationsschutzkontrollen mithilfe von Vertraulichkeitsbezeichnungen und Verschlüsselung berücksichtigt.

Sehen wir uns folgendes an:

• Sie öffnen eine Datei in einer unterstützten Office-App. Wenn die Datei geöffnet wird, werden der Name der Vertraulichkeitsbezeichnung und die Inhaltsmarkierungen angezeigt, die für die Bezeichnung konfiguriert sind.

  • Wenn die Vertraulichkeitsbezeichnung eine Verschlüsselung anwendet, muss der Benutzer über die Extract- und VIEW-Nutzungsrechte verfügen, damit Copilot die Daten zusammenfassen kann.

  • Elemente, die vom Azure Rights Management-Dienst ohne Vertraulichkeitsbezeichnung verschlüsselt wurden, benötigen weiterhin EXTRACT- oder VIEW-Nutzungsrechte, damit copilot die Daten zusammenfassen kann.

• In einer Eingabeaufforderungssitzung mit Copilot (Business Chat genannt) werden die Bezeichnungen für zurückgegebene Daten angezeigt. Die aktuelle Antwort zeigt die Bezeichnung mit der höchsten Priorität an.

• Wenn Sie Copilot verwenden, um neue Inhalte basierend auf Elementen mit einer Vertraulichkeitsbezeichnung zu erstellen, erbt der neue Inhalt automatisch die Vertraulichkeitsbezeichnung mit der höchsten Priorität und die Schutzeinstellungen dieser Bezeichnung.

• Der Schutz erstreckt sich auf Daten, die außerhalb Ihres Microsoft 365-Mandanten gespeichert sind, wenn die Datei in einer Office-App geöffnet wird.

  Beispielsweise gibt es eine Datei mit einer Vertraulichkeitsbezeichnung, die außerhalb Ihres Microsoft 365-Mandanten gespeichert ist, z. B. auf dem persönlichen Gerät eines Benutzers, einer Netzwerkfreigabe oder im Cloudspeicher. Wenn diese Datei in einer Office-App geöffnet wird, werden die Schutzeinstellungen für die Datei verwendet.

Weitere Informationen finden Sie unter:

• Erste Schritte mit Vertraulichkeitsbezeichnungen
• Microsoft Purview stärkt den Informationsschutz für Copilot

Überteilungssteuerelemente, die Sie mit Microsoft 365 Copilot verwenden können

Microsoft 365 enthält Steuerelemente, mit denen Sie eine übermäßige Freigabe von Daten über Copilot verhindern können.

Das folgende Diagramm enthält eine visuelle Darstellung einiger Der Features in Ihren lizenzen für Microsoft 365 E3+ und SharePoint Advanced Management, die Ihnen helfen, eine übermäßige Freigabe zu verhindern.

Sehen wir uns folgendes an:

1. Mit der eingeschränkten SharePoint-Suche können Sie organization such- und Copilot-Umgebungen auf ausgewählte SharePoint-Websites beschränken. Standardmäßig ist diese Einstellung deaktiviert, und die Liste der zulässigen Daten ist leer. Es dient als temporäre Lösung zum Überprüfen und Anwenden der richtigen Berechtigungseinstellungen auf Ihre Websites.

2. SharePoint enthält weitere integrierte Steuerelemente:

   • Verwenden Sie standardmäßig Bestimmte Personenlinks anstelle der organization-weiten Freigabe.
   • Blenden Sie umfassende Berechtigungen für Benutzer aus, z. B. den Anspruch Jeder außer externen Benutzern .
   • Websiteadministratoren können Steuerelemente auf Websiteebene verwenden, um die Freigabe von Mitgliedern einzuschränken und sicherzustellen, dass Websitebesitzer Zugriffsanforderungen verarbeiten.

3. Verwenden Sie in SharePoint Advanced Management Berichte zur Datenzugriffsgovernance , um Websites zu identifizieren, die potenziell übermäßig freigegebene oder vertrauliche Inhalte enthalten.

4. Mit der eingeschränkten Inhaltsermittlung können Organisationen ein Flag auf Websites platzieren, sodass Benutzer sie nicht über Copilot oder die organisationsweite Suche finden können. Die eingeschränkte Inhaltsermittlung ändert die vorhandenen Berechtigungen der Benutzer nicht. Benutzer mit Zugriff können weiterhin Websites besuchen und Dateien öffnen.

5. Erstellen Sie in SharePoint Advanced Management eine inaktive Websiterichtlinie , um inaktive Websites automatisch zu verwalten und zu reduzieren.

6. In SharePoint Advanced Management können Sie den Zugriff auf SharePoint- und OneDrive-Websites auf Benutzer in einer bestimmten Gruppe beschränken, indem Sie die Richtlinie für eingeschränkte Zugriffssteuerung verwenden. Benutzer, die nicht Mitglieder der angegebenen Gruppe sind, können nicht auf die Website oder inhalte zugreifen, auch wenn sie über vorherige Berechtigungen oder einen freigegebenen Link verfügten. Diese Richtlinie kann mit Microsoft 365-Websites verwendet werden, die mit Microsoft 365, mit Microsoft 365- und Teams verbunden sind, und websites, die nicht gruppengebunden sind.

   Weitere Informationen finden Sie unter:

   • Richtlinie für die eingeschränkte Zugriffssteuerung in SharePoint
   • OneDrive-Richtlinie für eingeschränkte Zugriffssteuerung

7. Microsoft Purview enthält Funktionen zum Einschränken der übermäßigen Freigabe:

   • Verwenden Sie Microsoft Purview-Vertraulichkeitsbezeichnungen , die Verschlüsselung anwenden, um einzuschränken, auf welche Dateien Copilot zugreifen kann. Der Benutzer muss über die Nutzungsrechte EXTRACT und VIEW verfügen, damit Copilot die Daten zusammenfassen kann.

   • Verwenden Sie Data Loss Prevention (DLP) für Microsoft 365 Copilot, um zu verhindern, dass Copilot auf Inhalte zugreifen kann, auf die bestimmte Vertraulichkeitsbezeichnungen angewendet wurden.

Wo Copilot-Nutzungsdaten gespeichert werden und wie Sie sie überwachen können

Copilot-Nutzungsdaten werden an mehreren Orten gespeichert. Sie können die mit Microsoft 365 E5 bereitgestellten Tools verwenden, um Aufbewahrungsrichtlinien zu ermitteln, zu überwachen und anzuwenden.

Das folgende Diagramm enthält eine visuelle Darstellung der verschiedenen Features in Ihrer Microsoft 365 E5-Lizenz, die Ihnen beim Suchen und Überwachen von Copilot-Daten helfen.

Sehen wir uns folgendes an:

1. Verwenden Sie Microsoft Purview-Überwachungsprotokolle , um zu ermitteln, wie, wann und wo Copilot-Interaktionen stattgefunden haben und auf welche Elemente zugegriffen wurde, einschließlich aller Vertraulichkeitsbezeichnungen für diese Elemente.

2. Verwenden Sie Microsoft Purview-eDiscovery, um in Copilot-Eingabeaufforderungen und Antworten nach Schlüsselwörtern zu suchen, die möglicherweise unangemessen sind. Sie können diese Informationen auch in einen eDiscovery-Fall einschließen, um diese Daten für eine laufende rechtliche Untersuchung zu überprüfen, zu exportieren oder zurückzustellen.

3. Verwenden Sie Microsoft Purview-Kommunikationscompliance, um unangemessene oder riskante Copilot-Eingabeaufforderungen und Antworten wie personenbezogene Daten oder streng vertrauliche Informationen zu erkennen und zu benachrichtigen.

4. Verwenden Sie Microsoft Purview-Aufbewahrungsrichtlinien , um eine Kopie gelöschter Copilot-Unterhaltungen aufzubewahren, damit sie für eDiscovery verfügbar sind.

   Wenn Sie eine Complianceanforderung zum Löschen von Daten nach einem bestimmten Zeitraum haben, verwenden Sie Aufbewahrungsrichtlinien, um Copilot-Eingabeaufforderungen und -Antworten automatisch zu löschen.

5. Während einer Copilot-Eingabeaufforderungs- und -Antwortsitzung (interaktionen genannt) kann Copilot Links zu den Quelldateien bereitstellen. Diese eingebetteten Links werden als Cloudanlagen bezeichnet.

   Wenn eine Aufbewahrungsbezeichnung automatisch angewendet wird, wird die spezifische Version der in der Interaktion verwendeten Cloudanlagen beibehalten. Die Version wird auch dann beibehalten, wenn die ursprüngliche Datei aus SharePoint oder OneDrive bearbeitet oder gelöscht wird.

   Diese ursprüngliche oder gelöschte Version der Datei wird in der permanenten Aufbewahrungsbibliothek in SharePoint oder OneDrive gespeichert. Es bleibt für eDiscovery-Suchvorgänge zugänglich.

6. In einer Copilot-Interaktion können Benutzer lokale Dateien hochladen. Diese hochgeladenen Dateien werden automatisch im Ordner Microsoft Copilot Chatdateien auf dem OneDrive des Benutzers gespeichert.

   Wie bei anderen Dateien in OneDrive sind copilot-bezogene Dateien für eDiscovery-Suchvorgänge zugänglich und können automatisch mit einer Aufbewahrungsrichtlinie aufbewahrt oder gelöscht werden.

7. Von Copilot Pages erstellte Inhalte werden in einem benutzereigenen SharePoint Embedded-Container (einen pro Benutzer) gespeichert. Wie bei anderen Dateien in SharePoint ist auch dieser Copilot-bezogene Inhalt für eDiscovery-Suchvorgänge zugänglich und kann automatisch mit einer Aufbewahrungsrichtlinie aufbewahrt oder gelöscht werden.

Weitere Informationen finden Sie unter Informationen zur Aufbewahrung für Copilot.

Verwandte Inhalte

• Microsoft 365 Copilot Architektur und deren Funktionsweise
• Informieren Sie sich über Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot
• Vergleichsliste der Microsoft 365-Lizenzfeatures für Microsoft 365 Copilot