Stosowanie zasad zerowego zaufania do platformy Microsoft Copilot
Podsumowanie: Aby zastosować zasady Zero Trust do rozwiązania Microsoft Copilot, musisz:
- Zaimplementuj zabezpieczenia zabezpieczeń dla monitów o połączenie internetowe z Internetem.
- Dodaj zabezpieczenia podsumowywania przeglądarki Microsoft Edge.
- Ukończ zalecane zabezpieczenia dla rozwiązania Microsoft 365 Copilot.
- Zachowaj ochronę zabezpieczeń podczas korzystania ze środowiska Microsoft Copilot i rozwiązania Microsoft 365 Copilot razem.
Wprowadzenie
Microsoft Copilot lub Copilot jest towarzyszem sztucznej inteligencji w copilot.microsoft.com, Windows, Edge, Bing i aplikacji mobilnej Copilot. Ten artykuł pomaga zaimplementować zabezpieczenia w celu zapewnienia bezpieczeństwa organizacji i danych podczas korzystania z rozwiązania Copilot. Wdrażając te zabezpieczenia, tworzysz podstawę zero trustu.
Zalecenia dotyczące zabezpieczeń zero trust dla Copilot koncentrują się na ochronie kont użytkowników, urządzeń użytkowników i danych, które są w zakresie sposobu konfigurowania Copilot.
Możesz wprowadzić Copilot na etapach, od umożliwienia sieci Web uziemionych monitów do Internetu, aby umożliwić zarówno internetowi, jak i platformie Microsoft 365 Graph uziemione monity zarówno do Internetu, jak i do danych organizacji. Ten artykuł pomaga zrozumieć zakres każdej konfiguracji i w związku z tym zalecenia dotyczące przygotowywania środowiska z odpowiednimi zabezpieczeniami.
W jaki sposób usługa Zero Trust pomaga w użyciu sztucznej inteligencji?
Zabezpieczenia, zwłaszcza ochrona danych, często są głównym problemem podczas wprowadzania narzędzi sztucznej inteligencji do organizacji. Zero Trust to strategia zabezpieczeń, która weryfikuje każdego użytkownika, urządzenia i żądania zasobów, aby upewnić się, że każdy z nich jest dozwolony. Termin "zero trust" odnosi się do strategii traktowania każdego połączenia i żądania zasobu, tak jakby pochodził z niekontrolowanych sieci i złego aktora. Niezależnie od tego, skąd pochodzi żądanie i do jakiego zasobu uzyskuje dostęp, model Zero Trust nakazuje „nigdy nie ufać, zawsze weryfikować”.
Jako lider w zakresie zabezpieczeń firma Microsoft udostępnia praktyczny plan działania i jasne wskazówki dotyczące implementowania modelu Zero Trust. Zestaw copilotów firmy Microsoft jest oparty na istniejących platformach, które dziedziczą zabezpieczenia stosowane na tych platformach. Aby uzyskać szczegółowe informacje na temat stosowania relacji Zero Trust do platform firmy Microsoft, zobacz Centrum wskazówek dotyczących zerowego zaufania. Wdrażając te zabezpieczenia, tworzysz podstawę zabezpieczeń Zero Trust.
Ten artykuł pochodzi z tych wskazówek, aby określić ochronę zero trustów, które odnoszą się do Copilot.
Co znajduje się w tym artykule
W tym artykule przedstawiono zalecenia dotyczące zabezpieczeń stosowane w czterech etapach. Zapewnia to ścieżkę do wprowadzenia copilot do środowiska podczas stosowania ochrony zabezpieczeń dla użytkowników, urządzeń i danych, do których uzyskuje dostęp Copilot.
| Etap | Konfigurowanie | Składniki do zabezpieczenia |
|---|---|---|
| 1 | Monity uziemione w Internecie | Podstawowa higiena zabezpieczeń dla użytkowników i urządzeń korzystających z zasad tożsamości i dostępu. |
| 2 | Monity połączone z Internetem za pomocą podsumowania strony przeglądarki Edge są włączone | Dane organizacji w lokalizacjach lokalnych, intranetowych i w chmurze, które copilot w przeglądarce Edge mogą podsumowywać. |
| 3 | Web-grounded monituje do Internetu i dostęp do platformy Microsoft 365 Copilot | Wszystkie składniki, których dotyczy rozwiązanie Microsoft 365 Copilot. |
| 100 | Web-grounded monity do Internetu i dostęp do platformy Microsoft 365 Copilot z włączonym podsumowywaniem strony przeglądarki Edge | Wszystkie składniki wymienione powyżej. |
Etap 1. Rozpoczynanie pracy z zaleceniami dotyczącymi zabezpieczeń dla monitów internetowych
Najprostsza konfiguracja narzędzia Copilot zapewnia pomoc w zakresie sztucznej inteligencji z monitami internetowymi.
Na ilustracji:
- Użytkownicy mogą korzystać z rozwiązania Copilot za pośrednictwem copilot.microsoft.com, Windows, Bing, przeglądarki Edge i aplikacji mobilnej Copilot.
- Monity są uziemione w sieci Web. Copilot używa tylko publicznie dostępnych danych do odpowiadania na monity.
W przypadku tej konfiguracji dane organizacji nie są uwzględniane w zakresie danych, do których odwołuje się Copilot.
Ten etap służy do implementowania zasad tożsamości i dostępu dla użytkowników i urządzeń, aby uniemożliwić nieprawidłowym aktorom korzystanie z rozwiązania Copilot. Należy co najmniej skonfigurować zasady dostępu warunkowego, które wymagają:
- Uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników
- Urządzenia zaufane i w dobrej kondycji
Dodatkowe zalecenia dotyczące platformy Microsoft 365 E3
- W przypadku uwierzytelniania i dostępu do konta użytkownika należy również skonfigurować zasady tożsamości i dostępu do pozycji Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania.
- Korzystanie z funkcji ochrony systemu Windows.
Dodatkowe zalecenia dotyczące platformy Microsoft 365 E5
Zaimplementuj zalecenia dotyczące usługi E3 i skonfiguruj następujące zasady tożsamości i dostępu:
- Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie
- Użytkownicy wysokiego ryzyka muszą zmienić swoje hasło
Etap 2. Dodawanie ochrony zabezpieczeń dla podsumowania przeglądarki Edge
Na pasku bocznym przeglądarki Microsoft Edge rozwiązanie Microsoft Copilot ułatwia uzyskanie odpowiedzi i inspiracji z internetu oraz, jeśli jest włączone, z niektórych typów informacji wyświetlanych na otwartych kartach przeglądarki.
Oto kilka przykładów prywatnych lub organizacji stron internetowych i typów dokumentów, które copilot w przeglądarce Edge może podsumować:
- Witryny intranetowe, takie jak SharePoint, z wyjątkiem osadzonych dokumentów pakietu Office
- Outlook Web App
- Pliki PDF, w tym pliki PDF przechowywane na urządzeniu lokalnym
- Witryny nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi (MAM) lub zasady zarządzania urządzeniami przenośnymi
Uwaga
Aby uzyskać bieżącą listę typów dokumentów obsługiwanych przez copilot w przeglądarce Edge na potrzeby analizy i podsumowania, zobacz Copilot in Edge web podsumowania zachowania.
Potencjalnie poufne witryny i dokumenty organizacji, które copilot w przeglądarce Edge mogą być przechowywane w lokalizacjach lokalnych, intranetowych lub w chmurze. Te dane organizacji mogą być widoczne dla osoby atakującej, która ma dostęp do urządzenia i używa narzędzia Copilot w przeglądarce Edge do szybkiego tworzenia podsumowań dokumentów i witryn.
Dane organizacji, które mogą być podsumowane przez Copilot w przeglądarce Edge, mogą obejmować:
Zasoby lokalne na komputerze użytkownika
Pliki PDF lub informacje wyświetlane na karcie przeglądarki Edge przez lokalne aplikacje, które nie są chronione za pomocą zasad zarządzania aplikacjami mobilnymi
Zasoby intranetowe
Pliki PDF lub witryny dla wewnętrznych aplikacji i usług, które nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi lub zasady zarządzania urządzeniami przenośnymi
Witryny platformy Microsoft 365, które nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi lub zasady zarządzania urządzeniami przenośnymi
Zasoby platformy Microsoft Azure
Pliki PDF na maszynach wirtualnych lub w witrynach dla aplikacji SaaS, które nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi lub zasady zarządzania urządzeniami przenośnymi
Witryny produktów w chmurze innych firm dla aplikacji i usług SaaS opartych na chmurze, które nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi lub zasady MDA
Ten etap służy do implementowania poziomów zabezpieczeń, aby zapobiec szybszemu odnajdowaniu poufnych danych i uzyskiwaniu do nich dostępu przez złych aktorów. Co najmniej musisz:
- Wdrażanie zabezpieczeń danych i ochrony zgodności za pomocą usługi Microsoft Purview
- Konfigurowanie minimalnych uprawnień użytkownika do danych
- Wdrażanie ochrony przed zagrożeniami dla aplikacji w chmurze za pomocą usługi Microsoft Defender dla Chmury Apps
Aby uzyskać więcej informacji na temat narzędzia Copilot w przeglądarce Edge, zobacz:
Na tej ilustracji przedstawiono zestawy danych dostępne dla rozwiązania Microsoft Copilot w przeglądarce Edge z włączonym podsumowywaniem przeglądarki.
Zalecenia dotyczące E3 i E5
Zaimplementuj zasady ochrony aplikacji usługi Intune (APP) na potrzeby ochrony danych. Aplikacja może uniemożliwić niezamierzone lub zamierzone kopiowanie zawartości wygenerowanej przez copilot do aplikacji na urządzeniu, które nie znajduje się na liście dozwolonych aplikacji. Aplikacja może ograniczyć promień wybuchu osoby atakującej przy użyciu naruszonego urządzenia.
Włącz usługę Microsoft Defender dla usługi Office 363 (plan 1), która obejmuje usługę Exchange Online Protection (EOP) dla bezpiecznych załączników, bezpiecznych linków, zaawansowanych progów wyłudzania informacji i ochrony personifikacji oraz wykrywania w czasie rzeczywistym.
Etap 3. Pełne zabezpieczenia zalecane dla rozwiązania Microsoft 365 Copilot
Rozwiązanie Microsoft 365 Copilot może używać następujących zestawów danych do przetwarzania monitów o uziemienie grafu:
- Dane dzierżawy platformy Microsoft 365
- Dane internetowe za pośrednictwem wyszukiwania Bing (jeśli są włączone)
- Dane używane przez wtyczki i łączniki z obsługą rozwiązania Copilot
Aby uzyskać więcej informacji, zobacz Apply principles of Zero Trust to Microsoft 365 Copilot (Stosowanie zasad zero trustu do platformy Microsoft 365 Copilot).
Zalecenia dotyczące usługi E3
Zaimplementuj następujące elementy:
Zasady wymagań dotyczących zgodności urządzeń i zarządzania urządzeniami w usłudze Intune
Ochrona danych w dzierżawie platformy Microsoft 365
Etykiety wrażliwości
Zasady ochrony przed utratą danych (DLP)
Zasady przechowywania
Włączanie Ochrona punktu końcowego w usłudze Microsoft Defender
Zalecenia dotyczące E5
Zaimplementuj zalecenia dotyczące usługi E3 i następujące:
- Użyj większego zakresu klasyfikatorów, aby znaleźć poufne informacje.
- Automatyzowanie etykiet przechowywania.
- Wypróbuj możliwości planu 2 w Ochrona usługi Office 365 w usłudze Defender, które obejmują badanie po naruszeniu zabezpieczeń, wyszukiwanie zagrożeń i reagowanie, automatyzację i symulację.
- Włącz Microsoft Defender dla Chmury Apps.
- Skonfiguruj Defender dla Chmury Apps, aby odnajdywać aplikacje w chmurze i monitorować i przeprowadzać inspekcję ich zachowania.
Etap 4. Zachowaj ochronę zabezpieczeń, gdy razem używasz rozwiązań Microsoft Copilot i Microsoft 365 Copilot
Z licencją platformy Microsoft 365 Copilot zobaczysz kontrolkę przełącznika Work/Web w przeglądarce Edge, systemie Windows i usłudze Bing, która umożliwia przełączanie się między używaniem:
- Wykres uziemiony monity wysyłane do platformy Microsoft 365 Copilot (przełącznik ustawiony na Work).
- Web-grounded monity, które korzystają głównie z danych internetowych (przełącznik ustawiony na Sieć Web).
Oto przykład copilot.microsoft.com.
Na tej ilustracji przedstawiono przepływ monitów grafowych i internetowych.
Na diagramie:
- Użytkownicy na urządzeniach z licencją platformy Microsoft 365 Copilot mogą wybrać tryb służbowy lub internetowy dla monitów platformy Microsoft Copilot.
- W przypadku wybrania funkcji Praca do przetwarzania są wysyłane monity o uzięcie wykresu do platformy Microsoft 365 Copilot.
- W przypadku wybrania sieci Web monity wprowadzone za pośrednictwem systemu Windows, Bing lub Edge używają danych internetowych w przetwarzaniu.
- W przypadku przeglądarki Edge i po włączeniu system Windows Copilot zawiera niektóre typy danych na otwartych kartach przeglądarki Edge w przetwarzaniu.
Jeśli użytkownik nie ma licencji na rozwiązanie Microsoft 365 Copilot, przełącznik Work/Web nie jest wyświetlany, a wszystkie monity są uziemione w sieci Web .
Poniżej przedstawiono zestawy dostępnych danych organizacji dla rozwiązania Microsoft Copilot, które obejmują zarówno monity grafowe, jak i internetowe.
Na ilustracji żółte zacienione bloki są przeznaczone dla danych organizacji, które są dostępne za pośrednictwem Copilot. Dostęp do tych danych przez użytkownika za pośrednictwem narzędzia Copilot zależy od uprawnień do danych przypisanych do konta użytkownika. Może również zależeć od stanu urządzenia użytkownika, jeśli dostęp warunkowy jest skonfigurowany dla użytkownika lub dostępu do środowiska, w którym znajdują się dane. Zgodnie z zasadami zerowego zaufania są to dane, które chcesz chronić w przypadku naruszenia przez osobę atakującą konta użytkownika lub urządzenia.
W przypadku monitów uziemionych na wykresie (przełącznik ustaw wartość Work) obejmuje następujące elementy:
Dane dzierżawy platformy Microsoft 365
Dane dotyczące wtyczek i łączników z obsługą rozwiązania Copilot
Dane internetowe (jeśli wtyczka internetowa jest włączona)
W przypadku monitów sieci Web z przeglądarki Edge z włączonym podsumowywaniem otwartej karty przeglądarki (przełącznik ustawiony na Sieć Web) może to obejmować dane organizacji, które mogą być podsumowane przez Copilot w przeglądarce Edge z lokalizacji lokalnych, intranetowych i w chmurze.
Użyj tego etapu, aby zweryfikować implementację następujących poziomów zabezpieczeń, aby zapobiec używaniu złych podmiotów do uzyskiwania dostępu do poufnych danych:
- Wdrażanie zabezpieczeń danych i ochrony zgodności za pomocą usługi Microsoft Purview
- Konfigurowanie minimalnych uprawnień użytkownika do danych
- Wdrażanie ochrony przed zagrożeniami dla aplikacji w chmurze za pomocą usługi Microsoft Defender dla Chmury Apps
Zalecenia dotyczące usługi E3
- Przejrzyj konfigurację i funkcje Ochrona usługi Office 365 w usłudze Defender Plan 1 i Defender for Endpoint Plan 1 i w razie potrzeby zaimplementuj dodatkowe możliwości.
- Skonfiguruj odpowiednie poziomy ochrony dla usługi Microsoft Teams.
Zalecenia dotyczące E5
Zaimplementuj zalecenia dotyczące usługi E3 i rozszerz możliwości XDR w dzierżawie platformy Microsoft 365:
Włącz usługę Microsoft Defender for Identity.
Przejrzyj konfigurację i zaimplementuj dodatkowe możliwości w razie potrzeby, aby zwiększyć ochronę przed zagrożeniami za pomocą pełnego pakietu XDR usługi Microsoft Defender:
Konfigurowanie zasad sesji dla aplikacji Defender dla Chmury
Podsumowanie konfiguracji
Na tej ilustracji przedstawiono podsumowanie konfiguracji rozwiązania Microsoft Copilot i wynikowych dostępnych danych używanych przez Copilot do odpowiadania na monity.
Ta tabela zawiera zalecenia dotyczące zerowej relacji zaufania dla wybranej konfiguracji.
| Konfigurowanie | Dostępne dane | Zalecenia dotyczące zerowego zaufania |
|---|---|---|
| Bez licencji platformy Microsoft 365 Copilot (przełącznik służbowy/internetowy jest niedostępny) I Wyłączono podsumowywanie strony przeglądarki Edge |
W przypadku monitów internetowych tylko dane internetowe | Brak wymaganych, ale zdecydowanie zalecane w przypadku ogólnej higieny zabezpieczeń. |
| Bez licencji platformy Microsoft 365 Copilot (przełącznik służbowy/internetowy jest niedostępny) I Włączono podsumowywanie strony przeglądarki Edge |
W przypadku monitów z obsługą sieci Web: - Dane internetowe — Dane organizacji w lokalizacjach lokalnych, intranetowych i w chmurze, które copilot w przeglądarce Edge mogą podsumowywać |
W przypadku dzierżawy platformy Microsoft 365 zobacz Zero Trust for Microsoft 365 Copilot i zastosuj ochronę Zero Trust. Dane organizacji w lokalizacjach lokalnych, intranetowych i w chmurze można znaleźć w temacie Zarządzanie urządzeniami za pomocą usługi Intune — omówienie zasad zarządzania aplikacjami mobilnymi i zarządzaniem urządzeniami przenośnymi. Zobacz również Zarządzanie prywatnością danych i ochroną danych za pomocą usług Microsoft Priva i Microsoft Purview dla zasad DLP. |
| Dzięki licencjom platformy Microsoft 365 Copilot (dostępny przełącznik służbowy/internetowy ) I Wyłączono podsumowywanie strony przeglądarki Edge |
W przypadku monitów uziemionych na wykresie: — Dane dzierżawy platformy Microsoft 365 - Dane internetowe, jeśli wtyczka internetowa jest włączona — Dane dotyczące wtyczek i łączników z obsługą rozwiązania Copilot W przypadku monitów z obsługą sieci Web tylko dane internetowe |
W przypadku dzierżawy platformy Microsoft 365 zobacz Zero Trust for Microsoft 365 Copilot i zastosuj ochronę Zero Trust. |
| Dzięki licencjom platformy Microsoft 365 Copilot (dostępny przełącznik służbowy/internetowy ) I Włączono podsumowywanie strony przeglądarki Edge |
W przypadku monitów uziemionych na wykresie: — Dane dzierżawy platformy Microsoft 365 - Dane internetowe, jeśli wtyczka internetowa jest włączona — Dane dotyczące wtyczek i łączników z obsługą rozwiązania Copilot W przypadku monitów z obsługą sieci Web: - Dane internetowe — Dane organizacji, które można renderować na stronie przeglądarki Edge, w tym zasoby lokalne, chmurowe i intranetowe |
W przypadku dzierżawy platformy Microsoft 365 zobacz Zero Trust for Microsoft 365 Copilot i zastosuj ochronę Zero Trust. Dane organizacji w lokalizacjach lokalnych, intranetowych i w chmurze można znaleźć w temacie Zarządzanie urządzeniami za pomocą usługi Intune — omówienie zasad zarządzania aplikacjami mobilnymi i zarządzaniem urządzeniami przenośnymi. Zobacz również Zarządzanie prywatnością danych i ochroną danych za pomocą usług Microsoft Priva i Microsoft Purview dla zasad DLP. |
Następne kroki
Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi rozwiązań Zero Trust i Copilots firmy Microsoft:
Informacje
Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.
- Copilot w przeglądarce Edge
- Zachowanie podsumowania strony internetowej copilot w przeglądarce Edge
- Zarządzanie rozwiązaniem Copilot w systemie Windows
- Zarządzanie dostępem do publicznej zawartości internetowej w odpowiedziach platformy Microsoft 365 Copilot
- Dane, prywatność i zabezpieczenia dla rozwiązania Microsoft Microsoft 365 Copilot