Aplicar principios de confianza cero al chat de Microsoft Copilot
Resumen: Para aplicar principios de confianza cero al chat de Microsoft Copilot, debe:
- Implementar protecciones de seguridad para solicitudes basadas en web a Internet.
- Agregar protecciones de seguridad para el resumen del explorador Microsoft Edge.
Introducción
Copilot Chat es un compañero de IA en la aplicación Copilot de Microsoft 365, en Edge y en las siguientes direcciones URL: M365copilot.com y Copilot.cloud.microsoft. Se proporciona para los usuarios de la cuenta de Entra con una licencia apta. Copilot Chat incluye protección de datos empresariales. La protección de datos empresariales no se incluye en El chat de Copilot para uso personal (versión del consumidor). Este artículo le ayuda a implementar protecciones de seguridad para mantener la organización y los datos seguros al usar El chat de Copilot. Al implementar estas protecciones, va a crear una base de Confianza cero.
Las recomendaciones de seguridad de Confianza Cero para el chat de Copilot se centran en la protección de las cuentas de usuario, los dispositivos de usuario y los datos de su organización que Copilot Chat en Edge puede resumir.
¿Cómo ayuda Confianza cero con la inteligencia artificial?
La seguridad, especialmente la protección de datos, suele ser una preocupación importante al introducir herramientas de inteligencia artificial en una organización. Confianza cero es una estrategia de seguridad que comprueba todos los usuarios, dispositivos y solicitudes de recursos para asegurarse de que se permite cada uno de estos. El término "confianza cero" hace referencia a la estrategia de tratar cada conexión y solicitud de recursos como si se origina en una red no controlada y un actor incorrecto. Independientemente de dónde se origina la solicitud o de los recursos a los que accede, la confianza cero nos enseña a "desconfiar y comprobar siempre".
Como líder en seguridad, Microsoft proporciona una guía práctica y clara para implementar Confianza cero. El conjunto de Copilots de Microsoft se basa en plataformas existentes, que heredan las protecciones aplicadas a esas plataformas. Para obtener información detallada sobre cómo aplicar Confianza cero a las plataformas de Microsoft, consulte el Centro de instrucciones de confianza cero. Al implementar estas protecciones, va a crear una base de seguridad de Confianza cero.
Este artículo se basa en esa guía para recetar las protecciones de confianza cero relacionadas con Copilot.
Lo que se incluye en este artículo
En este artículo se describen las recomendaciones de seguridad que se aplican en dos fases. Esto proporciona una ruta de acceso para introducir Copilot Chat en su entorno mientras aplica protecciones de seguridad para usuarios, dispositivos y los datos a los que accede Copilot.
Fase | Configuración | Componentes para proteger |
---|---|---|
1 | Solicitudes basadas en web a Internet | Higiene básica de seguridad para los usuarios y dispositivos mediante directivas de identidad y acceso. |
2 | Solicitudes basadas en web a Internet con el resumen de página del explorador Edge habilitado | Los datos de la organización en ubicaciones locales, intranet y en la nube que Copilot en Edge pueden resumir. |
Fase 1. Comience con recomendaciones de seguridad para solicitudes basadas en web a Internet
La configuración más sencilla de Copilot proporciona asistencia de inteligencia artificial con avisos basados en web.
En la ilustración:
- Los usuarios pueden interactuar con El chat de Copilot a través de M365copilot.com, Copilot.cloud.microsoft, la aplicación Copilot de Microsoft 365 y Edge.
- Las indicaciones están basadas en web. El chat de Copilot solo usa datos disponibles públicamente para responder a las solicitudes.
- El resumen de página del explorador Edge no está habilitado.
Con esta configuración, los datos de la organización no se incluyen en el ámbito de los datos a los que hace referencia El chat de Copilot. Sin embargo, debe asegurarse de que el resumen de la página del explorador no esté habilitado. Como administrador, puede hacerlo mediante la configuración de directiva de grupo EdgeEntraCopilotPageContext.
Use esta fase para implementar directivas de identidad y acceso para usuarios y dispositivos para evitar que los actores incorrectos usen Copilot. Como mínimo, debe configurar directivas de acceso condicional que requieran:
Recomendaciones adicionales para Microsoft 365 E3
- Para la autenticación y el acceso de la cuenta de usuario, configure también las directivas de identidad y acceso para Bloquear clientes que no admiten la autenticación moderna.
- Use las funcionalidades de protección de Windows.
Recomendaciones adicionales para Microsoft 365 E5
Implemente las recomendaciones para E3 y configure las siguientes directivas de identidad y acceso:
- Requerir MFA cuando el riesgo de inicio de sesión es medio o alto
- Los usuarios de alto riesgo deben cambiar su contraseña
Fase 2. Adición de protecciones de seguridad para el resumen del explorador Edge
Desde la barra lateral de Microsoft Edge, El chat de Microsoft Copilot le ayuda a obtener respuestas e inspiraciones desde toda la web y, si está habilitada, desde algunos tipos de información que se muestran en pestañas abiertas del explorador.
Si ha deshabilitado el resumen de la página del explorador, debe volver a habilitar esta característica. Como administrador, puede hacerlo mediante la configuración de directivas de grupo EdgeEntraCopilotPageContext.
Estos son algunos ejemplos de páginas web privadas u organizativas y tipos de documento que Copilot en Edge puede resumir:
- Sitios de intranet como SharePoint, excepto documentos insertados de Office
- Outlook Web App
- Archivos PDF, incluidos los almacenados en el dispositivo local
- Sitios no protegidos por directivas DLP de Microsoft Purview, directivas de administración de aplicaciones móviles (MAM) o directivas MDM
Nota:
Para obtener la lista actual de tipos de documentos admitidos por Copilot en Edge para su análisis y resumen, consulte Comportamiento de resumen de páginas web de Copilot en Edge.
Los sitios y documentos de la organización potencialmente confidenciales que Copilot en Edge pueden resumirse podrían almacenarse en ubicaciones locales, intranets o en la nube. Estos datos de la organización se pueden exponer a un atacante que tiene acceso al dispositivo y usa Copilot en Edge para generar rápidamente resúmenes de documentos y sitios.
Los datos de la organización que puede resumir Copilot en Edge pueden incluir:
Recursos locales en el equipo del usuario
Archivos PDF o información que se muestran en una pestaña del explorador Edge mediante aplicaciones locales que no están protegidas con directivas MAM
Recursos de intranet
Archivos PDF o sitios para aplicaciones y servicios internos que no están protegidos por directivas DLP de Microsoft Purview, directivas MAM o directivas MDM
Sitios de Microsoft 365 que no están protegidos por directivas DLP de Microsoft Purview, directivas MAM o directivas MDM
Recursos de Microsoft Azure
Archivos PDF en máquinas virtuales o sitios para aplicaciones SaaS que no están protegidas por directivas DLP de Microsoft Purview, directivas MAM o directivas MDM
Sitios de productos en la nube de terceros para aplicaciones y servicios SaaS basados en la nube que no están protegidos por directivas DLP de Microsoft Purview, directivas MAM o directivas de MDA
Use esta fase para implementar niveles de seguridad para evitar que los actores incorrectos usen Copilot para detectar y acceder más rápidamente a datos confidenciales. Como mínimo, debe:
- Implementar protecciones de cumplimiento y seguridad de datos con Microsoft Purview
- Configurar permisos mínimos de usuario para los datos
- Implementar la protección contra amenazas para aplicaciones en la nube con Microsoft Defender for Cloud Apps
Para obtener más información sobre Copilot en Edge, consulte:
Recomendaciones para E3 y E5
Implemente directivas de protección de aplicaciones (APP) de Intune para la protección de datos. APP puede evitar la copia involuntaria o intencionada del contenido generado por Copilot en aplicaciones de un dispositivo que no se incluye en la lista de aplicaciones permitidas. Además, puede limitar el radio de explosión de un atacante mediante un dispositivo en peligro.
Active Microsoft Defender para Office 365 Plan 1, que incluye Exchange Online Protection (EOP) para datos adjuntos seguros, vínculos seguros, umbrales de suplantación de identidad avanzados y protección de suplantación y detecciones en tiempo real.
Pasos siguientes
Consulte estos artículos adicionales para conocer sobre Confianza cero y Copilots de Microsoft:
Referencias
Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.