Applicare i principi di Zero Trust a Microsoft Copilot Chat

riepilogo : Per applicare i principi Zero Trust a Microsoft Copilot Chat, è necessario:

1. Implementare le protezioni di sicurezza per le richieste basate sul Web su Internet.
2. Aggiungere protezioni di sicurezza per il riepilogo del browser Microsoft Edge.

Introduzione

Copilot Chat è un compagno di intelligenza artificiale nell'app Microsoft 365 Copilot, in Edge e negli URL seguenti, M365copilot.com e Copilot.cloud.microsoft. Viene fornito agli utenti dell'account Entra con una licenza idonea . La chat di Copilot include la protezione dei dati aziendali. La protezione dei dati aziendali non è inclusa in Copilot Chat per uso personale (versione consumer). Questo articolo illustra come implementare protezioni di sicurezza per proteggere l'organizzazione e i dati durante l'uso di Copilot Chat. Implementando queste protezioni, si sta creando una base di Zero Trust.

Le raccomandazioni di sicurezza Zero Trust per Copilot Chat si concentrano sulla protezione degli account utente, dei dispositivi utente e sui dati dell'organizzazione che possono essere riepilogati da Copilot Chat in Edge.

In che modo Zero Trust aiuta l'intelligenza artificiale?

La sicurezza, in particolare la protezione dei dati, è spesso un problema principale quando si introducono strumenti di intelligenza artificiale in un'organizzazione. Zero Trust è una strategia di sicurezza che verifica ogni utente, dispositivo e richiesta di risorse per assicurarsi che ognuno di questi elementi sia consentito. Il termine "zero trust" si riferisce alla strategia di considerare ogni connessione e richiesta di risorsa come se provenise da una rete non controllata e da un cattivo attore. Indipendentemente dall'origine della richiesta o dalla risorsa a cui accede, l’approccio Zero Trust ci insegna a non fidarci mai e a verificare sempre.

In qualità di leader nella sicurezza, Microsoft fornisce una roadmap pratica e indicazioni chiare per l'implementazione di Zero Trust. Il set di Copilots di Microsoft si basa su piattaforme esistenti, che ereditano le protezioni applicate a tali piattaforme. Per informazioni dettagliate sull'applicazione di Zero Trust alle piattaforme di Microsoft, vedere il Centro linee guida Zero Trust. Implementando queste protezioni, si sta creando una base della sicurezza Zero Trust.

Questo articolo deriva da tale materiale sussidiario per prescrivere le protezioni Zero Trust correlate a Copilot.

Elementi inclusi in questo articolo

Questo articolo illustra le raccomandazioni sulla sicurezza che si applicano in due fasi. Questo fornisce un percorso per introdurre Copilot Chat nell'ambiente mentre si applicano protezioni di sicurezza per utenti, dispositivi e i dati a cui si accede da Copilot.

Fase	Impostazione	Componenti da proteggere
1	Richieste basate sul Web su Internet	Igiene di sicurezza di base per utenti e dispositivi che usano criteri di identità e accesso.
2	Richieste basate sul Web su Internet con il riepilogo delle pagine del browser Edge abilitato	I dati dell'organizzazione in posizioni locali, Intranet e cloud che Copilot in Edge possono riepilogare.

Passaggio 1. Iniziare con le raccomandazioni sulla sicurezza per le richieste a base Web a Internet

La configurazione più semplice di Copilot offre assistenza per l'intelligenza artificiale con richieste basate sul Web.

Nell'illustrazione:

• Gli utenti possono interagire con Copilot Chat tramite M365copilot.com, Copilot.cloud.microsoft, l'app Microsoft 365 Copilot e Edge.
• I prompt sono basati sul Web. La chat di Copilot usa solo i dati disponibili pubblicamente per rispondere alle richieste.
• Il riepilogo delle pagine del browser Edge non è abilitato.

Con questa configurazione, i dati dell'organizzazione non sono inclusi nell'ambito dei dati a cui fa riferimento Copilot Chat. Tuttavia, è necessario assicurarsi che il riepilogo delle pagine del browser non sia abilitato. Gli amministratori possono eseguire questa operazione usando l'impostazione di criteri di gruppo EdgeEntraCopilotPageContext.

Usare questa fase per implementare criteri di identità e accesso per utenti e dispositivi per impedire che gli attori malintenzionati usino Copilot. È necessario configurare almeno i criteri di accesso condizionale che richiedono:

• Autenticazione a più fattori per tutti gli utenti
• Dispositivi attendibili e integri

Consigli aggiuntivi per Microsoft 365 E3

• Per l'autenticazione e l'accesso dell'account utente, configurare anche i criteri di identità e accesso in Bloccare i client che non supportano l'autenticazione moderna.
• Usare le funzionalità di protezione di Windows.

Consigli aggiuntivi per Microsoft 365 E5

Implementare le raccomandazioni per E3 e configurare i criteri di identità e accesso seguenti:

• Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto
• Gli utenti ad alto rischio devono modificare la password

Passaggio 2. Aggiungere protezioni di sicurezza per il riepilogo del browser Edge

Dalla barra laterale di Microsoft Edge, Microsoft Copilot Chat consente di ottenere risposte e ispirazione da tutto il Web e, se abilitato, da alcuni tipi di informazioni visualizzate nelle schede del browser aperte.

Se il riepilogo delle pagine del browser è stato disabilitato, è necessario riabilitare questa funzionalità. Gli amministratori possono eseguire questa operazione usando l'impostazione di criteri di gruppo EdgeEntraCopilotPageContext.

Ecco alcuni esempi di pagine Web private o dell'organizzazione e tipi di documento che Copilot in Edge può riepilogare:

• Siti Intranet come SharePoint, ad eccezione dei documenti di Office incorporati
• Outlook Web App
• PDF, inclusi quelli archiviati nel dispositivo locale
• Siti non protetti da criteri DLP di Microsoft Purview, criteri di gestione delle applicazioni mobili (MAM) o criteri MDM

Nota

Per l'elenco corrente dei tipi di documento supportati da Copilot in Edge per l'analisi e il riepilogo, vedere Comportamento di riepilogo delle pagine Web di Copilot in Edge.

I siti e i documenti dell'organizzazione potenzialmente sensibili che Copilot in Edge possono riepilogare possono essere archiviati in posizioni locali, Intranet o cloud. Questi dati dell'organizzazione possono essere esposti a un utente malintenzionato che ha accesso al dispositivo e usa Copilot in Edge per produrre rapidamente riepiloghi di documenti e siti.

I dati dell'organizzazione che possono essere riepilogati da Copilot in Edge possono includere:

• Risorse locali nel computer dell'utente

  PDF o informazioni visualizzate in una scheda del browser Edge da app locali non protette con i criteri MAM

• Risorse Intranet

  PDF o siti per app e servizi interni che non sono protetti dai criteri DLP di Microsoft Purview, criteri MAM o criteri MDM

• Siti di Microsoft 365 non protetti da criteri DLP di Microsoft Purview, criteri MAM o criteri MDM

• risorse di Microsoft Azure

  PDF in macchine virtuali o siti per app SaaS non protette da criteri DLP di Microsoft Purview, criteri MAM o criteri MDM

• Siti di prodotti cloud di terze parti per app e servizi SaaS basati sul cloud che non sono protetti dai criteri di prevenzione della perdita dei dati, dai criteri MAM o dai criteri MDA di Microsoft Purview

Usare questa fase per implementare livelli di sicurezza per impedire agli attori malintenzionati di usare Copilot per individuare e accedere più rapidamente ai dati sensibili. Come minimo, è necessario:

• Distribuire le protezioni di sicurezza e conformità dei dati con Microsoft Purview
• Configurare le autorizzazioni utente minime per i dati
• Distribuire la protezione dalle minacce per le app cloud con app Microsoft Defender per il cloud

Per altre informazioni su Copilot in Edge, vedere:

• Copilot in Edge
• Comportamento di riepilogo della pagina Web di Copilot in Edge

Raccomandazioni per E3 ed E5

• Implementare i criteri di protezione delle app di Intune per la protezione dei dati. L'APP può impedire la copia accidentale o intenzionale del contenuto generato da Copilot nelle app in un dispositivo che non sono incluse nell'elenco delle app consentite. L'APP può limitare il raggio di esplosione di un utente malintenzionato usando un dispositivo compromesso.

• Attivare Microsoft Defender per Office 363 Piano 1, che include Exchange Online Protection (EOP) per allegati sicuri, collegamenti sicuri, soglie di phishing avanzate e protezione della rappresentazione e rilevamenti in tempo reale.

Passaggi successivi

Vedere questi articoli aggiuntivi per Zero Trust e Copilots di Microsoft:

• Sintesi
• Microsoft Microsoft 365 Copilot
• Microsoft Copilot per la sicurezza

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.

• Copilot in Edge
• Comportamento di riepilogo della pagina Web di Copilot in Edge
• Gestire l'accesso ai contenuti Web pubblici nelle risposte di Microsoft 365 Copilot
• Dati, privacy e sicurezza per Microsoft 365 Copilot