Anwenden von Prinzipien von Zero Trust auf Microsoft Copilot Chat

Zusammenfassung: Um Zero Trust-Prinzipien auf Microsoft Copilot Chat anzuwenden, müssen Sie:

1. Implementieren Sie Sicherheitsschutzmaßnahmen für webbasierte Prompts für das Internet.
2. Fügen Sie Sicherheitsschutzmaßnahmen für die Microsoft Edge-Browserzusammenfassung hinzu.

Einführung

Copilot Chat ist ein KI-Begleiter in der Microsoft 365 Copilot-App, in Edge und unter den folgenden URLs – M365copilot.com und Copilot.cloud.microsoft. Die Funktion wird Entra-Kontobenutzern zur Verfügung gestellt, die eine qualifizierende Lizenz besitzen. Copilot Chat umfasst Unternehmensdatenschutz. Der Schutz von Unternehmensdaten ist nicht im Copilot-Chat für die persönliche Nutzung (Verbraucherversion) enthalten. Dieser Artikel hilft Ihnen beim Implementieren von Sicherheitsschutzmechanismen, um Ihre Organisation und Ihre Daten während der Verwendung von Copilot Chat sicher zu halten. Durch die Implementierung dieser Schutzmaßnahmen erstellen Sie eine Grundlage von Zero Trust.

Zero Trust-Sicherheitsempfehlungen für Copilot Chat konzentrieren sich auf den Schutz für Benutzerkonten, Benutzergeräte und Ihre Organisationsdaten, die von Copilot Chat in Edge zusammengefasst werden können.

Wie hilft Zero Trust bei KI?

Sicherheit, insbesondere der Schutz von Daten, ist häufig ein wichtiges Anliegen bei der Einführung von KI-Tools in einer Organisation. Zero Trust ist eine Sicherheitsstrategie, bei der jede Benutzer-, Geräte- und Ressourcenanforderung überprüft wird, um sicherzustellen, dass jede dieser Anforderungen zulässig ist. Der Begriff "Zero Trust" bezieht sich auf die Strategie, jede Verbindung und Ressourcenanforderung so zu behandeln, als ob sie von einem unkontrollierten Netzwerk und einem schlechten Akteur stammte. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: "Niemals vertrauen, immer überprüfen."

Als führender Sicherheitsexperte bietet Microsoft eine praktische Roadmap und verständliche Anleitungen für die Implementierung von Zero Trust. Die Copilots von Microsoft basieren auf vorhandenen Plattformen, die die auf diese Plattformen angewendeten Schutzmaßnahmen erben. Details zum Anwenden von Zero Trust auf Microsoft-Plattformen finden Sie im Zero Trust Guidance Center. Durch die Implementierung dieser Schutzmaßnahmen erstellen Sie eine Grundlage der Zero Trust-Sicherheit.

Dieser Artikel stützt sich auf diesen Leitfaden, um die Zero Trust-Schutzmaßnahmen im Zusammenhang mit Copilot zu beschreiben.

Inhalt dieses Artikels

In diesem Artikel werden die Sicherheitsempfehlungen beschrieben, die in zwei Phasen gelten. Dies bietet einen Weg für Sie, Copilot Chat in Ihre Umgebung einzuführen, während Sie Sicherheitsschutz für Benutzer, Geräte und die Daten anwenden, auf die Copilot zugegriffen hat.

Phase	Konfiguration	Zu schützende Komponenten
1	Webbasierte Prompts für das Internet	Grundlegende Sicherheit für Benutzer und Geräte mithilfe von Identitäts- und Zugriffsrichtlinien
2	Webbasierte Prompts für das Internet mit aktivierter Zusammenfassung der Edge-Browserseite	Ihre Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud, die Copilot in Edge zusammenfassen kann

Phase 1. Beginnen Sie mit Sicherheitsempfehlungen für webbasierte Prompts für das Internet

Die einfachste Konfiguration von Copilot bietet KI-Unterstützung bei webbasierten Prompts.

In der Abbildung:

• Benutzer können mit Copilot Chat über M365copilot.com, Copilot.cloud.microsoft, die Microsoft 365 Copilot-App und Edge interagieren.
• Eingabeaufforderungen sind webbasiert. Copilot Chat verwendet nur öffentlich verfügbare Daten, um auf Eingabeaufforderungen zu reagieren.
• Die Zusammenfassung der Edgebrowserseite ist nicht aktiviert.

Bei dieser Konfiguration sind Ihre Organisationsdaten nicht im Umfang der Daten enthalten, auf die Copilot Chat verweist. Sie müssen jedoch sicherstellen, dass die Zusammenfassung der Browserseiten nicht aktiviert ist. Als Administrator können Sie dazu die EdgeEntraCopilotPageContext Gruppenrichtlinieneinstellung verwenden.

Verwenden Sie diese Phase, um Identitäts- und Zugriffsrichtlinien für Benutzer und Geräte zu implementieren und zu verhindern, dass böswillige Akteure Copilot verwenden. Sie müssen zumindest Richtlinien für bedingten Zugriff konfigurieren, die Folgendes voraussetzen:

• Multi-Faktor-Authentifizierung für alle Benutzer
• Vertrauenswürdige und fehlerfreie Geräte

Weitere Empfehlungen für Microsoft 365 E3

• Konfigurieren Sie für die Authentifizierung von und den Zugriff auf Benutzerkonten auch die Identitäts- und Zugriffsrichtlinien zum Blockieren von Clients, die keine moderne Authentifizierung unterstützen.
• Verwenden der Windows-Schutzfunktionen

Weitere Empfehlungen für Microsoft 365 E5

Implementieren Sie die Empfehlungen für E3, und konfigurieren Sie die folgenden Identitäts- und Zugriffsrichtlinien:

• Festlegen, dass bei mittlerem oder hohem Anmelderisiko Multi-Faktor-Authentifizierung verwendet werden muss
• Benutzer mit hohem Risiko müssen das Kennwort ändern.

Phase 2. Hinzufügen von Sicherheitsmaßnahmen für die Edge-Browserzusammenfassung

Über die Microsoft Edge-Seitenleiste hilft Ihnen Microsoft Copilot Chat, Antworten und Inspirationen aus dem Internet zu erhalten und (falls das Feature aktiviert ist), aus einigen Arten von Informationen, die auf geöffneten Browserregisterkarten angezeigt werden.

Wenn Sie die Zusammenfassung der Browserseite deaktiviert haben, müssen Sie dieses Feature erneut aktivieren. Als Administrator können Sie dazu die EdgeEntraCopilotPageContext Gruppenrichtlinieneinstellung verwenden.

Hier sind einige Beispiele für private Webseiten oder Organisationswebseiten und Dokumenttypen, die Copilot in Edge zusammenfassen kann:

• Intranetsites wie SharePoint, mit Ausnahme eingebetteter Office-Dokumente
• Outlook Web App
• PDF-Dateien, einschließlich auf dem lokalen Gerät gespeicherter Dateien
• Websites, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien (Mobile Application Management, Verwaltung mobiler Anwendungen) oder MDM-Richtlinien geschützt sind

Hinweis

Die aktuelle Liste der Dokumenttypen, für die die Analyse und Zusammenfassung durch Copilot in Edge unterstützt wird, finden Sie unter Verhalten bei der Webseitenzusammenfassung von Copilot in Edge.

Potenziell vertrauliche Unternehmenswebsites und Dokumente, die Copilot in Edge zusammenfassen kann, können an Speicherorten in der lokalen Umgebung sowie im Intranet oder in der Cloud gespeichert werden. Diese Organisationsdaten können einem Angreifer offengelegt werden, der Zugriff auf das Gerät hat und Copilot in Edge verwendet, um schnell Zusammenfassungen von Dokumenten und Websites zu generieren.

Die Organisationsdaten, die von Copilot in Edge zusammengefasst werden können, können Folgendes umfassen:

• Lokale Ressourcen auf dem Computer des Benutzers

  PDF-Dateien oder Informationen, die auf einer Edge-Browserregisterkarte von lokalen Apps angezeigt werden, die nicht durch MAM-Richtlinien geschützt sind

• Intranetressourcen

  PDF-Dateien oder Websites für interne Apps und Dienste, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind

• Microsoft 365-Websites, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind

• Microsoft Azure-Ressourcen

  PDF-Dateien auf VMs oder Websites für SaaS-Apps, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind

• Cloudproduktwebsites von Drittanbietern für cloudbasierte SaaS-Apps und -Dienste, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDA-Richtlinien geschützt sind

Implementieren Sie in dieser Phase Sicherheitsstufen, um zu verhindern, dass böswillige Akteure Copilot verwenden, um vertrauliche Daten schneller zu finden und darauf zuzugreifen. Sie müssen mindestens folgende Aktionen ausführen:

• Bereitstellen von Datenschutz und Complianceschutz mit Microsoft Purview
• Konfigurieren von Mindestbenutzerberechtigungen für Daten
• Bereitstellen von Bedrohungsschutz für Cloud-Apps mit Microsoft Defender for Cloud-Apps

Weitere Informationen zu Copilot in Edge finden Sie hier:

• Copilot in Edge
• Verhalten bei der Webseitenzusammenfassung von Copilot in Edge

Empfehlungen für E3 und E5

• Implementieren Sie für den Schutz von Daten Intune-App-Schutzrichtlinien (App Protection Policies, APP). App-Schutzrichtlinien können das versehentliche oder absichtliche Kopieren der von Copilot generierten Inhalte in Apps auf einem Gerät verhindern, die nicht in der Liste der zulässigen Apps enthalten sind. ASR kann den Strahlradius eines Angreifers mit einem kompromittierten Gerät einschränken.

• Aktivieren Sie Plan 1 für Microsoft Defender für Office 363, der Exchange Online Protection (EOP) für sichere Anlagen, sichere Links, erweiterte Phishingschwellenwerte und Identitätswechselschutz sowie Echtzeiterkennungen beinhaltet.

Nächste Schritte

Weitere Artikel finden Sie in den folgenden Artikeln zu Zero Trust und Copilots von Microsoft:

• Übersicht
• Microsoft 365 Copilot
• Microsoft Copilot für Security

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.

• Copilot in Edge
• Verhalten bei der Webseitenzusammenfassung von Copilot in Edge
• Verwalten des Zugriffs auf öffentliche Webinhalte in Reaktionen von Microsoft 365 Copilot
• Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot