Udostępnij za pośrednictwem


Stosowanie zasad zero Trust do czatu copilot platformy Microsoft 365

Podsumowanie: Aby zastosować zasady zero trustu do czatu copilot platformy Microsoft 365, musisz:

  1. Zaimplementuj zabezpieczenia dla monitów opartych na sieci w Internecie.
  2. Dodaj zabezpieczenia podsumowywania przeglądarki Microsoft Edge.

Wprowadzenie

Microsoft 365 Copilot Chat to towarzysz sztucznej inteligencji w aplikacji Platformy Microsoft 365 Copilot, w przeglądarce Edge i na następujących adresach URL — M365copilot.com i Copilot.cloud.microsoft. Jest udostępniany użytkownikom konta Entra z kwalifikującą się licencją . Funkcja Copilot Chat obejmuje ochronę danych przedsiębiorstwa. Ochrona danych przedsiębiorstwa nie jest uwzględniana w aplikacji Copilot Chat do użytku osobistego (wersja konsumenta). Ten artykuł pomaga zaimplementować zabezpieczenia w celu zapewnienia bezpieczeństwa organizacji i danych podczas korzystania z czatu Copilot. Wdrażając te zabezpieczenia, tworzysz fundament zero trustu.

Zalecenia dotyczące zabezpieczeń Zero Trust dla aplikacji Copilot Chat koncentrują się na ochronie kont użytkowników, urządzeń użytkowników i danych organizacji, które mogą być podsumowane przez aplikację Copilot Chat w przeglądarce Edge.

W jaki sposób usługa Zero Trust pomaga w użyciu sztucznej inteligencji?

Zabezpieczenia, zwłaszcza ochrona danych, często są głównym problemem podczas wprowadzania narzędzi sztucznej inteligencji do organizacji. Zero Trust to strategia zabezpieczeń, która weryfikuje każdego użytkownika, urządzenia i żądania zasobów, aby upewnić się, że każdy z nich jest dozwolony. Termin "zero trust" odnosi się do strategii traktowania każdego połączenia i żądania zasobów, tak jakby pochodził z niekontrolowanych sieci i złego aktora. Niezależnie od tego, skąd pochodzi żądanie i do jakiego zasobu uzyskuje dostęp, model Zero Trust nakazuje „nigdy nie ufać, zawsze weryfikować”.

Jako lider w zakresie zabezpieczeń firma Microsoft udostępnia praktyczny plan działania i jasne wskazówki dotyczące implementowania modelu Zero Trust. Zestaw copilotów firmy Microsoft jest oparty na istniejących platformach, które dziedziczą zabezpieczenia stosowane na tych platformach. Aby uzyskać szczegółowe informacje na temat wdrażania modelu Zero Trust do platform firmy Microsoft, zobacz Centrum wskazówek Zero Trust. Wdrażając te zabezpieczenia, tworzysz podstawę zabezpieczeń zero trust.

Ten artykuł czerpie z tych wskazówek, aby zalecać zabezpieczenia Zero Trust związane z Copilot.

Co znajduje się w tym artykule

W tym artykule przedstawiono zalecenia dotyczące zabezpieczeń stosowane w dwóch etapach. Zapewnia to ścieżkę do wprowadzenia funkcji Copilot Chat do środowiska podczas stosowania ochrony zabezpieczeń dla użytkowników, urządzeń i danych, do których uzyskuje dostęp Copilot.

Etap Konfigurowanie Składniki do zabezpieczenia
1 Podpowiedzi internetowe w Internecie Podstawowa higiena zabezpieczeń dla użytkowników i urządzeń korzystających z zasad tożsamości i dostępu.
2 Poprzez przeglądarkę Edge z włączonym podsumowaniem strony, masz dostęp do podpowiedzi opartych na internecie. Dane Twojej organizacji w lokalizacjach lokalnych, intranetowych i w chmurze, które Copilot w przeglądarce Edge może podsumowywać.

Etap 1. Rozpocznij od zaleceń dotyczących bezpieczeństwa w przypadku promptów opartych na sieci internetowej.

Najprostsza konfiguracja narzędzia Copilot zapewnia pomoc w zakresie sztucznej inteligencji z monitami internetowymi.

Diagram Microsoft Copilot i przetwarzanie monitów opartych na sieci Web.

Na ilustracji:

  • Użytkownicy mogą korzystać z czatu copilot za pośrednictwem M365copilot.com, Copilot.cloud.microsoft, aplikacji Platformy Microsoft 365 Copilot i przeglądarki Edge.
  • Prompty są oparte na Internecie. Copilot Chat używa tylko publicznie dostępnych danych do odpowiadania na zapytania.
  • Podsumowanie strony przeglądarki Edge nie jest włączone.

W przypadku tej konfiguracji dane organizacji nie są uwzględniane w zakresie danych, do których odwołuje się czat Copilot. Należy jednak upewnić się, że podsumowania stron przeglądarki nie są włączone. Jako administrator możesz to zrobić przy użyciu ustawienia zasad grupy EdgeEntraCopilotPageContext.

Ten etap służy do implementowania zasad tożsamości i dostępu dla użytkowników i urządzeń, aby uniemożliwić nieprawidłowym aktorom korzystanie z rozwiązania Copilot. Należy co najmniej skonfigurować zasady dostępu warunkowego, które wymagają:

Dodatkowe zalecenia dotyczące platformy Microsoft 365 E3

Dodatkowe zalecenia dotyczące platformy Microsoft 365 E5

Zaimplementuj zalecenia dotyczące usługi E3 i skonfiguruj następujące zasady tożsamości i dostępu:

Etap 2. Dodaj zabezpieczenia dla funkcji podsumowania w przeglądarce Edge

Na pasku bocznym przeglądarki Microsoft Edge, Czat Copilot platformy Microsoft 365 pomaga uzyskać odpowiedzi i inspiracje z całego internetu oraz, jeśli jest włączony, z niektórych typów informacji wyświetlanych na otwartych kartach przeglądarki.

Diagram monitów opartych na sieci Web w Edge z włączonym podsumowywaniem kart przeglądarki.

Jeśli wyłączono podsumowanie strony przeglądarki, należy ponownie włączyć tę funkcję. Jako administrator możesz to zrobić przy użyciu ustawienia zasad grupy EdgeEntraCopilotPageContext.

Oto kilka przykładów prywatnych lub organizacyjnych stron internetowych i typów dokumentów, które Copilot w przeglądarce Edge może podsumować.

  • Witryny intranetowe, takie jak SharePoint, z wyjątkiem osadzonych dokumentów pakietu Office
  • Outlook Web App
  • Pliki PDF, w tym pliki PDF przechowywane na urządzeniu lokalnym
  • Witryny nie są chronione przez zasady DLP usługi Microsoft Purview, zasady zarządzania aplikacjami mobilnymi (MAM) lub zasady zarządzania urządzeniami przenośnymi

Uwaga

Aby uzyskać bieżącą listę typów dokumentów obsługiwanych przez Copilot w przeglądarce Edge do analizy i podsumowania, zobacz Zachowanie streszczania stron internetowych przez Copilot w Edge.

Potencjalnie poufne witryny i dokumenty organizacji, które Copilot w przeglądarce Edge może podsumowywać, mogą być przechowywane w lokalizacjach lokalnych, intranetowych lub w chmurze. Te dane organizacji mogą być widoczne dla osoby atakującej, która ma dostęp do urządzenia i używa narzędzia Copilot w przeglądarce Edge do szybkiego tworzenia podsumowań dokumentów i witryn.

Dane organizacji, które mogą być podsumowane przez Copilot w przeglądarce Edge, mogą obejmować:

  • Zasoby lokalne na komputerze użytkownika

    Pliki PDF lub informacje wyświetlane na karcie przeglądarki Edge przez lokalne aplikacje, które nie są chronione za pomocą zasad zarządzania aplikacjami mobilnymi

  • Zasoby intranetowe

    Pliki PDF lub witryny dla wewnętrznych aplikacji i usług, które nie są chronione przez zasady DLP Microsoft Purview, zasady MAM lub zasady MDM.

  • Witryny platformy Microsoft 365, które nie są chronione przez zasady Microsoft Purview DLP, zasady MAM lub zasady MDM

  • Zasoby platformy Microsoft Azure

    Pliki PDF na maszynach wirtualnych lub w witrynach dla aplikacji SaaS, które nie są chronione przez zasady DLP Microsoft Purview, zasady MAM (zarządzania aplikacjami mobilnymi) ani zasady MDM (zarządzania urządzeniami przenośnymi)

  • Witryny produktów w chmurze od innych dostawców dla aplikacji i usług SaaS działających w chmurze, które nie są chronione przez zasady DLP Microsoft Purview, zasady zarządzania aplikacjami mobilnymi (MAM) lub zasady dostępu do urządzeń mobilnych (MDA).

Ten etap służy do implementowania poziomów zabezpieczeń, aby zapobiec złośliwym użytkownikom w szybszym odkrywaniu i uzyskiwaniu dostępu do poufnych danych. Co najmniej musisz:

Aby uzyskać więcej informacji na temat narzędzia Copilot w przeglądarce Edge, zobacz:

Zalecenia dotyczące E3 i E5

  • Zaimplementuj zasady ochrony aplikacji usługi Intune (APP) na potrzeby ochrony danych. Aplikacja może uniemożliwić niezamierzone lub zamierzone kopiowanie zawartości wygenerowanej przez Copilot do aplikacji na urządzeniu, które nie znajdują się na liście dozwolonych aplikacji. Aplikacja może ograniczyć zakres działania osoby atakującej przy użyciu naruszonego urządzenia.

  • Włącz usługę Microsoft Defender dla usługi Office 363 (plan 1), która obejmuje usługę Exchange Online Protection (EOP) dla bezpiecznych załączników, bezpiecznych linków, zaawansowanych progów wyłudzania informacji i ochrony personifikacji oraz wykrywania w czasie rzeczywistym.

Następne kroki

Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi rozwiązań Zero Trust i Copilots firmy Microsoft:

Bibliografia

Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.