Stosowanie zasad zero Trust do czatu copilot platformy Microsoft 365
Podsumowanie: Aby zastosować zasady zero trustu do czatu copilot platformy Microsoft 365, musisz:
- Zaimplementuj zabezpieczenia dla monitów opartych na sieci w Internecie.
- Dodaj zabezpieczenia podsumowywania przeglądarki Microsoft Edge.
Wprowadzenie
Microsoft 365 Copilot Chat to towarzysz sztucznej inteligencji w aplikacji Platformy Microsoft 365 Copilot, w przeglądarce Edge i na następujących adresach URL — M365copilot.com i Copilot.cloud.microsoft. Jest udostępniany użytkownikom konta Entra z kwalifikującą się licencją . Funkcja Copilot Chat obejmuje ochronę danych przedsiębiorstwa. Ochrona danych przedsiębiorstwa nie jest uwzględniana w aplikacji Copilot Chat do użytku osobistego (wersja konsumenta). Ten artykuł pomaga zaimplementować zabezpieczenia w celu zapewnienia bezpieczeństwa organizacji i danych podczas korzystania z czatu Copilot. Wdrażając te zabezpieczenia, tworzysz fundament zero trustu.
Zalecenia dotyczące zabezpieczeń Zero Trust dla aplikacji Copilot Chat koncentrują się na ochronie kont użytkowników, urządzeń użytkowników i danych organizacji, które mogą być podsumowane przez aplikację Copilot Chat w przeglądarce Edge.
W jaki sposób usługa Zero Trust pomaga w użyciu sztucznej inteligencji?
Zabezpieczenia, zwłaszcza ochrona danych, często są głównym problemem podczas wprowadzania narzędzi sztucznej inteligencji do organizacji. Zero Trust to strategia zabezpieczeń, która weryfikuje każdego użytkownika, urządzenia i żądania zasobów, aby upewnić się, że każdy z nich jest dozwolony. Termin "zero trust" odnosi się do strategii traktowania każdego połączenia i żądania zasobów, tak jakby pochodził z niekontrolowanych sieci i złego aktora. Niezależnie od tego, skąd pochodzi żądanie i do jakiego zasobu uzyskuje dostęp, model Zero Trust nakazuje „nigdy nie ufać, zawsze weryfikować”.
Jako lider w zakresie zabezpieczeń firma Microsoft udostępnia praktyczny plan działania i jasne wskazówki dotyczące implementowania modelu Zero Trust. Zestaw copilotów firmy Microsoft jest oparty na istniejących platformach, które dziedziczą zabezpieczenia stosowane na tych platformach. Aby uzyskać szczegółowe informacje na temat wdrażania modelu Zero Trust do platform firmy Microsoft, zobacz Centrum wskazówek Zero Trust. Wdrażając te zabezpieczenia, tworzysz podstawę zabezpieczeń zero trust.
Ten artykuł czerpie z tych wskazówek, aby zalecać zabezpieczenia Zero Trust związane z Copilot.
Co znajduje się w tym artykule
W tym artykule przedstawiono zalecenia dotyczące zabezpieczeń stosowane w dwóch etapach. Zapewnia to ścieżkę do wprowadzenia funkcji Copilot Chat do środowiska podczas stosowania ochrony zabezpieczeń dla użytkowników, urządzeń i danych, do których uzyskuje dostęp Copilot.
Etap | Konfigurowanie | Składniki do zabezpieczenia |
---|---|---|
1 | Podpowiedzi internetowe w Internecie | Podstawowa higiena zabezpieczeń dla użytkowników i urządzeń korzystających z zasad tożsamości i dostępu. |
2 | Poprzez przeglądarkę Edge z włączonym podsumowaniem strony, masz dostęp do podpowiedzi opartych na internecie. | Dane Twojej organizacji w lokalizacjach lokalnych, intranetowych i w chmurze, które Copilot w przeglądarce Edge może podsumowywać. |
Etap 1. Rozpocznij od zaleceń dotyczących bezpieczeństwa w przypadku promptów opartych na sieci internetowej.
Najprostsza konfiguracja narzędzia Copilot zapewnia pomoc w zakresie sztucznej inteligencji z monitami internetowymi.
Na ilustracji:
- Użytkownicy mogą korzystać z czatu copilot za pośrednictwem M365copilot.com, Copilot.cloud.microsoft, aplikacji Platformy Microsoft 365 Copilot i przeglądarki Edge.
- Prompty są oparte na Internecie. Copilot Chat używa tylko publicznie dostępnych danych do odpowiadania na zapytania.
- Podsumowanie strony przeglądarki Edge nie jest włączone.
W przypadku tej konfiguracji dane organizacji nie są uwzględniane w zakresie danych, do których odwołuje się czat Copilot. Należy jednak upewnić się, że podsumowania stron przeglądarki nie są włączone. Jako administrator możesz to zrobić przy użyciu ustawienia zasad grupy EdgeEntraCopilotPageContext.
Ten etap służy do implementowania zasad tożsamości i dostępu dla użytkowników i urządzeń, aby uniemożliwić nieprawidłowym aktorom korzystanie z rozwiązania Copilot. Należy co najmniej skonfigurować zasady dostępu warunkowego, które wymagają:
- Uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników
- Urządzenia zaufane i w dobrej kondycji
Dodatkowe zalecenia dotyczące platformy Microsoft 365 E3
- W przypadku uwierzytelniania i dostępu do konta użytkownika należy również skonfigurować zasady tożsamości i dostępu do pozycji Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania.
- Korzystanie z funkcji ochrony systemu Windows.
Dodatkowe zalecenia dotyczące platformy Microsoft 365 E5
Zaimplementuj zalecenia dotyczące usługi E3 i skonfiguruj następujące zasady tożsamości i dostępu:
- Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie
- Użytkownicy wysokiego ryzyka muszą zmienić swoje hasło
Etap 2. Dodaj zabezpieczenia dla funkcji podsumowania w przeglądarce Edge
Na pasku bocznym przeglądarki Microsoft Edge, Czat Copilot platformy Microsoft 365 pomaga uzyskać odpowiedzi i inspiracje z całego internetu oraz, jeśli jest włączony, z niektórych typów informacji wyświetlanych na otwartych kartach przeglądarki.
Jeśli wyłączono podsumowanie strony przeglądarki, należy ponownie włączyć tę funkcję. Jako administrator możesz to zrobić przy użyciu ustawienia zasad grupy EdgeEntraCopilotPageContext.
Oto kilka przykładów prywatnych lub organizacyjnych stron internetowych i typów dokumentów, które Copilot w przeglądarce Edge może podsumować.
- Witryny intranetowe, takie jak SharePoint, z wyjątkiem osadzonych dokumentów pakietu Office
- Outlook Web App
- Pliki PDF, w tym pliki PDF przechowywane na urządzeniu lokalnym
- Witryny nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi (MAM) lub zasady zarządzania urządzeniami przenośnymi
Uwaga
Aby uzyskać bieżącą listę typów dokumentów obsługiwanych przez Copilot w przeglądarce Edge do analizy i podsumowania, zobacz Zachowanie streszczania stron internetowych przez Copilot w Edge.
Potencjalnie poufne witryny i dokumenty organizacji, które Copilot w przeglądarce Edge może podsumowywać, mogą być przechowywane w lokalizacjach lokalnych, intranetowych lub w chmurze. Te dane organizacji mogą być widoczne dla osoby atakującej, która ma dostęp do urządzenia i używa narzędzia Copilot w przeglądarce Edge do szybkiego tworzenia podsumowań dokumentów i witryn.
Dane organizacji, które mogą być podsumowane przez Copilot w przeglądarce Edge, mogą obejmować:
Zasoby lokalne na komputerze użytkownika
Pliki PDF lub informacje wyświetlane na karcie przeglądarki Edge przez lokalne aplikacje, które nie są chronione za pomocą zasad zarządzania aplikacjami mobilnymi
Zasoby intranetowe
Pliki PDF lub witryny dla wewnętrznych aplikacji i usług, które nie są chronione przez zasady DLP Microsoft Purview, zasady MAM lub zasady MDM.
Witryny platformy Microsoft 365, które nie są chronione przez zasady Microsoft Purview DLP, zasady MAM lub zasady MDM
Zasoby platformy Microsoft Azure
Pliki PDF na maszynach wirtualnych lub w witrynach dla aplikacji SaaS, które nie są chronione przez zasady DLP Microsoft Purview, zasady MAM (zarządzania aplikacjami mobilnymi) ani zasady MDM (zarządzania urządzeniami przenośnymi)
Witryny produktów w chmurze od innych dostawców dla aplikacji i usług SaaS działających w chmurze, które nie są chronione przez zasady DLP Microsoft Purview, zasady zarządzania aplikacjami mobilnymi (MAM) lub zasady dostępu do urządzeń mobilnych (MDA).
Ten etap służy do implementowania poziomów zabezpieczeń, aby zapobiec złośliwym użytkownikom w szybszym odkrywaniu i uzyskiwaniu dostępu do poufnych danych. Co najmniej musisz:
- Wdrażanie zabezpieczeń danych i ochrony zgodności za pomocą usługi Microsoft Purview
- Konfigurowanie minimalnych uprawnień użytkownika do danych
- Wdrażanie ochrony przed zagrożeniami dla aplikacji w chmurze za pomocą usługi Microsoft Defender dla aplikacji w chmurze
Aby uzyskać więcej informacji na temat narzędzia Copilot w przeglądarce Edge, zobacz:
- Copilot w przeglądarce Edge
- Zachowanie funkcji Copilot w przeglądarce Edge dotyczące podsumowania strony internetowej
Zalecenia dotyczące E3 i E5
Zaimplementuj zasady ochrony aplikacji usługi Intune (APP) na potrzeby ochrony danych. Aplikacja może uniemożliwić niezamierzone lub zamierzone kopiowanie zawartości wygenerowanej przez Copilot do aplikacji na urządzeniu, które nie znajdują się na liście dozwolonych aplikacji. Aplikacja może ograniczyć zakres działania osoby atakującej przy użyciu naruszonego urządzenia.
Włącz usługę Microsoft Defender dla usługi Office 363 (plan 1), która obejmuje usługę Exchange Online Protection (EOP) dla bezpiecznych załączników, bezpiecznych linków, zaawansowanych progów wyłudzania informacji i ochrony personifikacji oraz wykrywania w czasie rzeczywistym.
Następne kroki
Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi rozwiązań Zero Trust i Copilots firmy Microsoft:
Bibliografia
Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.