Compartilhar via


Aplicar os princípios de Confiança Zero ao Microsoft 365 Copilot

Resumo: para aplicar os princípios de Confiança Zero ao Microsoft 365 Copilot, você precisa aplicar sete camadas de proteção no locatário do Microsoft 365:

  1. Proteção de dados
  2. Identidade e acesso
  3. Proteção de aplicativo
  4. Gerenciamento e proteção de dispositivos
  5. Proteção contra ameaças
  6. Colaboração segura com o Teams
  7. Permissões de usuário para dados

Introdução

Antes de introduzir o Microsoft 365 Copilot (Copilot) no seu ambiente, a Microsoft recomenda que você crie uma base sólida de segurança. Felizmente, a orientação para uma base de segurança sólida existe na forma de Confiança Zero. A estratégia de segurança Confiança Zero trata cada conexão e solicitação de recurso como se tivesse se originado de uma rede descontrolada e de um ator mal-intencionado. Independentemente de onde a solicitação se origina ou qual recurso acessa, a Confiança Zero nos ensina a "nunca confiar, sempre verificar".

Este artigo fornece etapas para aplicar os princípios de segurança Confiança Zero para preparar seu ambiente para o Copilot das seguintes maneiras:

Princípio de Confiança Zero Definição Atendido por
Verificação explícita Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. Imponha a validação de credenciais de usuário, requisitos de dispositivo e permissões e comportamentos de aplicativo.
Usar o acesso de privilégio mínimo Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados. Valide o JEA em toda a sua organização para eliminar o compartilhamento excessivo, garantindo que as permissões corretas sejam atribuídas a arquivos, pastas, equipes e email. Use rótulos de confidencialidade e políticas de prevenção contra perda de dados para proteger os dados.
Pressupor a violação Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. Use os serviços Proteção do Exchange Online (EOP) e Microsoft Defender XDR para prevenir automaticamente ataques comuns e para detectar e responder a incidentes de segurança.

Para obter os conceitos básicos do Copilot, consulte a visão geral e como começar.

Arquitetura lógica

Você aplica os princípios de Confiança Zero para o Copilot em toda a arquitetura, desde usuários e dispositivos até os dados do aplicativo aos quais eles têm acesso. O diagrama a seguir mostra os componentes da arquitetura lógica.

Diagrama da arquitetura lógica para Copilot.

No diagrama:

  • Os dispositivos do usuário têm aplicativos do Microsoft 365 instalados a partir dos quais os usuários podem iniciar prompts do Copilot
  • Os componentes do Copilot incluem:
    • O serviço Copilot, que orquestra as respostas aos prompts do usuário
    • O LLM (grande modelo de linguagem) que o Copilot faz referência para produzir a melhor resposta para um usuário
    • Uma instância do Microsoft Graph para os dados do seu locatário do Microsoft 365
  • Seu locatário do Microsoft 365 que contém os dados da organização
  • Os resultados do Copilot para um usuário contêm apenas dados que o usuário tem permissão para acessar

O que você encontrará neste artigo

Este artigo orienta você pelas etapas para aplicar os princípios do Confiança Zero para preparar seu ambiente do Microsoft 365 para o Copilot.

Etapa Tarefa Princípios de confiança zero aplicados
1 Implantar ou validar sua proteção de dados Verificação explícita
Usar o acesso de privilégio mínimo
2 Implantar ou validar suas políticas de identidade e acesso Verificação explícita
Usar o acesso de privilégio mínimo
3 Implantar ou validar suas políticas de Proteção de Aplicativo Usar o acesso de privilégio mínimo
Pressupor a violação
4 Implantar ou validar o gerenciamento e a proteção de dispositivos Verificação explícita
5 Implantar ou validar seus serviços de proteção contra ameaças Pressupor a violação
6 Implantar ou validar a colaboração segura com o Teams Verificação explícita
Usar o acesso de privilégio mínimo
7 Implantar ou validar permissões de usuário para dados Usar o acesso de privilégio mínimo

Introdução ao E3 e próximos passos com o E5

Para ajudar você a progredir, as etapas deste artigo são organizadas da seguinte maneira:

  • Introdução aos recursos do E3
  • Próximos passos com os recursos do E5

Trabalho com a equipe do Microsoft FastTrack

Se você estiver trabalhando com a equipe do Microsoft FastTrack para introduzir o Copilot em seu ambiente, você se familiarizará com três estágios: Linha de Base, Núcleo e Melhor da Categoria. Essa abordagem funciona bem com essa orientação.

Diagrama que mostra os três estágios de implantação do Microsoft 365 Copilot recomendados pela equipe do Microsoft FastTrack.

No diagrama, a equipe do Microsoft FastTrack adota uma abordagem de três estágios para implantar o Copilot:

  • Linha de base — Configuração do Copilot
  • Core — Introdução às proteções do E3
  • Melhor da categoria — Próximos passos com o E5

Para mais informações sobre como configurar o Copilot, confira Introdução ao Microsoft 365 Copilot.

Adaptação dessas orientações para sua organização

Como diferentes organizações podem estar em vários estágios de implantação de proteções Confiança Zero, em cada uma destas etapas:

  • Se você NÃO estiver utilizando nenhuma das proteções descritas na etapa, reserve um tempo para pilotá-las e implantá-las antes de atribuir licenças do Copilot.
  • Se você estiver usando algumas das proteções descritas na etapa, use as informações da etapa como uma lista de verificação e verifique se cada proteção declarada foi testada e implantada antes de atribuir licenças do Copilot.

Para obter o suporte mais recente do Copilot para recursos relacionados à segurança e outros recursos do Microsoft 365, consulte Requisitos do Copilot.

Observação

A partir de 1º de janeiro de 2024, o Copilot estará disponível para o corpo docente do Microsoft 365 A3 e A5. Consulte esta postagem da comunidade técnica para obter mais informações.

Etapa 1. Implantar ou validar sua proteção de dados

Para evitar que os dados da sua organização corram o risco de superexposição ou compartilhamento excessivo, a próxima etapa é proteger os dados no seu locatário do Microsoft 365. É necessário verifica se:

  • Seus dados são categorizados com níveis de sensibilidade.
  • Os rótulos de sensibilidade representam seus níveis de sensibilidade que são aplicados pelos usuários ou automaticamente.
  • É possível exibir como os rótulos de sensibilidade estão sendo usados no seu locatário do Microsoft 365.

Esses recursos de proteção de dados também podem ser usados para garantir que sua organização esteja em conformidade com os regulamentos de dados, como aqueles que lidam com a proteção de informações pessoais.

As seguintes funcionalidades do Microsoft Purview reforçam a segurança e a conformidade de seus dados para o Copilot:

  • Rótulos de confidencialidade e conteúdo criptografado pela Proteção de Informações do Microsoft Purview
  • Classificação de dados
  • Chave de Cliente
  • Conformidade de comunicações
  • Auditoria
  • Pesquisa de conteúdo
  • descoberta eletrônica
  • Retenção e exclusão
  • Sistema de Proteção de Dados do Cliente

Para obter mais informações, confira Proteções de segurança e conformidade de dados do Microsoft Purview para o Microsoft Copilot e Considerações sobre a implantação de proteções de segurança e conformidade de dados do Microsoft Purview para o Copilot.

Introdução ao E3

Etiquetas de sensibilidade formam a base da proteção dos seus dados. Antes de criar os rótulos para indicar a sensibilidade dos itens e as ações de proteção aplicadas, você deve entender a taxonomia de classificação existente da sua organização e como ela é mapeada para os rótulos que os usuários veem e aplicam nos aplicativos. Depois de criar os rótulos de sensibilidade, publique-os e forneça orientação aos usuários sobre como e quando aplicá-los no Word, Excel, PowerPoint e Outlook.

Para saber mais, veja:

Considere aumentar a rotulagem manual utilizando as configurações de política de rótulo de sensibilidade de um rótulo padrão e rotulagem obrigatória. Um rótulo padrão ajuda a definir um nível básico de configurações de proteção que você deseja aplicar a todo o seu conteúdo. A rotulagem obrigatória garante que os usuários rotulem documentos e e-mails. No entanto, sem treinamento abrangente do usuário e outros controles, essas configurações podem resultar em rotulagem imprecisa.

Consulte estes recursos adicionais para proteger os dados da sua organização:

Próximos passos com o E5

Com o Microsoft 365 E5, você pode expandir a rotulagem de sensibilidade para proteger mais conteúdo e mais métodos de rotulagem. Por exemplo, rotular sites do SharePoint e equipes utilizando rótulos de contêiner e rotulando automaticamente itens no Microsoft 365 e posterior. Para obter mais informações, consulte uma lista de cenários de rotulagem comuns e como eles se alinham às metas de negócios.

Considere estes recursos adicionais do Microsoft 365 E5:

  • Estenda suas políticas de prevenção de perda de dados para mais locais e utilize uma maior variedade de classificadores para encontrar informações confidenciais.
  • Rótulos de retenção podem ser aplicados automaticamente quando são encontradas informações confidenciais que precisam de configurações diferentes das políticas de retenção ou de um nível mais alto de gerenciamento.
  • Para ajudar a entender melhor seus dados confidenciais e como eles estão sendo rotulados, utilize gerenciador de atividades e todos os recursos do explorador de conteúdo.

Etapa 2. Implantar ou validar suas políticas de identidade e acesso

Para evitar que agentes mal-intencionados usem o Copilot para descobrir e acessar dados confidenciais mais rapidamente, o primeiro passo é impedir que eles tenham acesso. É necessário verifica se:

  • Os usuários são obrigados a utilizar autenticação forte que não pode ser comprometida apenas adivinhando senhas de usuário.
  • As tentativas de autenticação são avaliadas quanto ao seu risco e têm mais requisitos impostos.
  • É possível executar revisões do acesso concedido a contas de usuário para evitar o compartilhamento excessivo.

Introdução ao E3

O Microsoft 365 E3 inclui licenças Microsoft Entra ID P1. Com esse plano, a Microsoft recomenda o uso de diretivas comuns de Acesso Condicional, que são as seguintes:

Certifique-se de incluir os Serviços do Microsoft 365 e seus outros aplicativos SaaS no escopo dessas políticas.

Se o seu ambiente incluir identidades híbridas com os Serviços de Domínio Active Directory locais, implante a Proteção por Senha do Microsoft Entra. Esse recurso detecta e bloqueia senhas fracas conhecidas e suas variantes e também pode bloquear termos mais fracos em senhas específicas da sua organização.

Próximos passos com o E5

O Microsoft 365 E5 inclui licenças Microsoft Entra ID P2. Comece a implementar o conjunto recomendado de Acesso Condicional da Microsoft e políticas relacionadas, incluindo:

  • Exigir MFA quando o risco de entrada é médio ou alto.
  • Exigir que usuários de alto risco alterna suas senhas (aplicável quando você não estiver usando autenticação sem senha).

Para obter mais informações sobre como implementar a proteção para identidade e acesso com base no seu plano de licenciamento, consulte Aumentar a segurança de entrada para trabalhadores híbridos com MFA.

O Microsoft 365 E5 e o Microsoft Entra ID P2 incluem mais proteção para contas privilegiadas. Implemente os recursos resumidos na tabela a seguir.

Funcionalidade Recursos
PIM (Privileged Identity Management) Fornece proteções para contas privilegiadas que acessam recursos, incluindo recursos no Microsoft Entra ID, Azure e outros serviços online da Microsoft, como Microsoft 365 ou Microsoft Intune. Consulte Planejar uma implantação do Privileged Identity Management.
Gerenciamento de Acesso Privilegiado do Microsoft Purview Permite o controle de acesso granular sobre tarefas de administração privilegiadas do Exchange Online no Office 365. Ele ajuda a proteger sua organização contra violações que usam contas de administrador existentes com privilégios de acesso permanente a dados confidenciais ou definições de configuração críticas. Consulte Visão geral do gerenciamento de acesso privilegiado.

Finalmente, considere implementar revisões de acesso como parte de sua estratégia geral de JEA. As revisões de acesso permitem que sua organização gerencie com eficiência as associações a grupos, o acesso a aplicativos empresariais e a atribuição de função. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso apropriado contínuo.

Etapa 3. Implantar ou validar suas políticas de Proteção de Aplicativo

Para o Microsoft 365 E3 e E5, utilize políticas de Proteção de Aplicativo (APP) do Intune, regras que garantem que os dados de uma organização permaneçam seguros ou contidos em um aplicativo gerenciado.

Com o APP, o Intune cria um muro entre os dados da sua organização e os dados pessoais. O APP garante que os dados da organização em aplicativos especificados não possam ser copiados e colados em outros aplicativos no dispositivo, mesmo que o dispositivo não seja gerenciado.

O APP pode impedir a cópia inadvertida ou intencional de conteúdo gerado pelo Copilot para aplicativos em um dispositivo que não estejam incluídos na lista de aplicativos permitidos. O APP pode limitar o raio de explosão de um invasor utilizando um dispositivo comprometido.

Para obter mais informações consulte Criar políticas de proteção de aplicativo.

Etapa 4. Implantar ou validar o gerenciamento e a proteção de dispositivos

Para evitar que agentes mal-intencionados comprometam dispositivos ou usem dispositivos comprometidos para obter acesso ao Copilot, a próxima etapa é utilizar os recursos de gerenciamento e proteção de dispositivos do Microsoft 365. É necessário verifica se:

  • Os dispositivos estão registrados no Microsoft Intune e devem atender aos requisitos de integridade e conformidade.
  • É possível administrar configurações e recursos em dispositivos.
  • É possível monitorar seus dispositivos quanto ao nível de risco deles.
  • É possível prevenir proativamente a perda de dados.

Introdução ao E3

O Microsoft 365 E3 inclui o Microsoft Intune para gerenciar dispositivos.

Em seguida, comece a registrar dispositivos no gerenciamento. Depois de inscrito, configure políticas de conformidade e, em seguida, exija dispositivos íntegros e compatíveis. Finalmente, você pode implantar perfis de dispositivo, também conhecidos como perfis de configuração, para gerenciar configurações e recursos em dispositivos.

Para implantar essas proteções, utilize o seguinte conjunto de artigos.

Próximos passos com o E5

O Microsoft 365 E5 também inclui o Microsoft Defender para Ponto de Extremidade. Depois de implantar o Microsoft Defender for Endpoint, você pode obter mais insights e proteção de seus dispositivos integrando o Microsoft Intune ao Defender for Endpoint. Para dispositivos móveis, isso inclui a capacidade de monitorar o risco do dispositivo como condição para o acesso. Para dispositivos Windows, você pode monitorar a conformidade desses dispositivos com as linhas de base de segurança.

O Microsoft 365 E5 também inclui a prevenção de perda de dados de ponto de extremidade (DLP). Se sua organização já entende seus dados, desenvolveu um esquema de sensibilidade de dados e aplicou o esquema, talvez você esteja pronto para estender elementos desse esquema para pontos de extremidade utilizando políticas DLP do Microsoft Purview.

Para implantar esses recursos de gerenciamento e proteção de dispositivos, utilize os seguintes artigos:

Etapa 5. Implantar ou validar seus serviços de proteção contra ameaças

Para detectar as atividades de agentes mal-intencionados e impedi-los de obter acesso ao Copilot, o próximo passo é utilizar os serviços de proteção contra ameaças do Microsoft 365. É necessário verifica se:

  • É possível impedir automaticamente tipos comuns de ataques baseados em e-mail e dispositivo.
  • É possível usar recursos para reduzir a área de superfície de ataque de dispositivos Windows.
  • É possível detectar e responder a incidentes de segurança com um conjunto abrangente de serviços de proteção contra ameaças.

Introdução ao E3

O Microsoft 365 E3 inclui vários recursos importantes no Defender para Office 365 e no Defender para Endpoint. Além disso, o Windows 11 e o Windows 10 incluem muitos recursos de proteção contra ameaças.

P1 do Microsoft Defender para Office 365

O Microsoft Defender para Office 365 P1 inclui a Proteção do Exchange Online (EOP), que está incluída no Microsoft 365 E3. O EOP ajuda a proteger seu e-mail e ferramentas de colaboração contra phishing, falsificação de identidade e outras ameaças. Utilize estes recursos para configurar a proteção antimalware, antispam e antiphishing:

Defender para Ponto de Extremidade P1

O Microsoft 365 E3 inclui o Microsoft Defender para Endpoint P1, que inclui os seguintes recursos:

  • Proteção de última geração: ajuda a proteger seus dispositivos contra ameaças emergentes em tempo real. Esse recurso inclui o Microsoft Defender Antivirus, que verifica continuamente seu dispositivo utilizando o monitoramento de comportamento de arquivos e processos.
  • Redução da superfície de ataque: evita que ataques aconteçam em primeiro lugar, definindo configurações que bloqueiam automaticamente atividades potencialmente suspeitas.

Utilize estes recursos para configurar o Defender for Endpoint Plan 1:

Recursos de proteção do Windows

Por padrão, o Windows inclui segurança e proteções fortes em hardware, sistema operacional, aplicativos e muito mais. Consulte Introdução à segurança do Windows para saber mais. A tabela a seguir lista os recursos importantes de proteção contra ameaças do cliente Windows incluídos no Microsoft 365 E3.

Funcionalidade Recursos
Windows Hello Visão geral do Windows Hello para Empresas
Microsoft Defender Firewall Documentação do Firewall do Windows Defender
Microsoft Defender SmartScreen Visão geral do Microsoft Defender SmartScreen
Controle de Aplicativo para Windows Controle de Aplicativo para Windows
BitLocker Visão geral da Criptografia do Dispositivo BitLocker no Windows
Microsoft Defender Application Guard para Borda Microsoft Defender Application Guard

Esses recursos podem ser configurados diretamente no cliente, utilizando GPOs (Objetos de Política de Grupo) ou uma ferramenta de gerenciamento de dispositivos, incluindo o Intune. No entanto, você pode gerenciar configurações em dispositivos no Intune somente implantando perfis de configuração, que são um recurso do Microsoft 365 E5.

Próximos passos com o E5

Para obter uma proteção contra ameaças mais abrangente, teste e implante o Microsoft Defender XDR, que inclui:

  • Defender para Identidade
  • Defender para Office 365 P2
  • Defender para Ponto de Extremidade P2
  • Defender para Aplicativos de nuvem

A Microsoft recomenda habilitar os componentes do Microsoft 365 na ordem ilustrada:

Diagrama do processo para avaliar e implantar componentes do Microsoft Defender XDR.

Para obter mais informações e uma descrição desta ilustração, confira Avaliar e pilotar o Microsoft Defender XDR.

Após a implantação do Microsoft Defender XDR, integre essas ferramentas de detecção e resposta estendidas (XDR) ao Microsoft Sentinel. O Microsoft Sentinel é licenciado e cobrado separadamente do Microsoft 365 E5. Para obter mais informações, use os seguintes recursos:

Etapa 6. Implantar ou validar a colaboração segura para o Microsoft Teams

A Microsoft fornece orientações para proteger suas equipes em três níveis diferentes – linha de base, confidencial e altamente sensível. Apresentar o Copilot é um bom momento para revisar seu ambiente e garantir que a proteção apropriada esteja configurada. Use estas etapas:

  1. Identifique equipes ou projetos que garantam proteção altamente sensível. Configure proteções para esse nível. Muitas organizações não têm dados que exijam esse nível de proteção.
  2. Identifique equipes ou projetos que garantam proteção confidencial e aplique essa proteção.
  3. Certifique-se de que todas as equipes e projetos estejam configurados para proteção de linha de base, no mínimo.

Para obter mais informações, confira os seguintes recursos:

Compartilhamento externo

Apresentar o Copilot é um bom momento para revisar suas políticas de compartilhamento de arquivos com pessoas de fora da organização e para permitir colaboradores externos. As contas de convidado não estão licenciadas para utilizar o Copilot.

Para compartilhar com pessoas de fora da sua organização, talvez seja necessário compartilhar informações de qualquer sensibilidade. Confira os seguintes recursos:

Para colaborar com pessoas de fora da sua organização, consulte estes recursos:

Etapa 7. Implantar ou validar permissões mínimas de usuário para dados

Para evitar que os dados da sua organização corram o risco de superexposição ou compartilhamento excessivo, a próxima etapa é garantir que todos os usuários tenham acesso suficiente (JEA) para executar seus trabalhos e não mais. Os usuários não devem descobrir dados que não deveriam ser capazes de exibir ou compartilhar dados que não deveriam compartilhar.

Para evitar o compartilhamento excessivo, implemente os requisitos de permissões e as políticas organizacionais que todos os usuários devem seguir e treine seus usuários para usá-los. Por exemplo, implemente controles, como exigir revisões de acesso ao site pelos proprietários do site ou restringir o acesso a grupos de segurança definidos a partir de um local central.

Para detectar o compartilhamento excessivo existente:

  • No nível dos arquivos

    Utilize a Proteção de Informações do Microsoft Purview e seus controles de classificação de dados, rotulagem de conteúdo integrada e políticas de prevenção de perda de dados correspondentes.

    Esses recursos podem ajudá-lo a identificar arquivos no Microsoft Teams, sites do SharePoint, locais do OneDrive, em emails, em conversas de bate-papo, na sua infraestrutura local e em dispositivos de ponto de extremidade que contenham informações confidenciais ou conteúdo classificado e, em seguida, aplicar controles automaticamente para limitar seu acesso.

  • No nível da equipe do site e do contêiner no Microsoft Teams e no SharePoint

    É possível auditar o acesso ao conteúdo compartilhado no nível do site e da equipe e impor restrições que limitam a descoberta de informações apenas àqueles que devem ter acesso.

    Para ajudar a automatizar ainda mais esse processo, o Microsoft Syntex – SharePoint Advanced Management ajuda você a encontrar possíveis compartilhamentos excessivos com seus arquivos do SharePoint e do Microsoft Teams.

Aplicando proteções e implantando o Copilot em paralelo

Para agilizar a atribuição de licenças Copilot no seu locatário com as proteções apropriadas em vigor, você faz as duas coisas em paralelo. O diagrama a seguir mostra como é possível migrar através das fases de distribuição das proteções antes de atribuir licenças do Copilot a contas individuais de usuários e seus dispositivos, uma vez protegidos.

Diagrama de aplicação de proteções e implantação do Copilot em paralelo.

Como o diagrama também mostra, você pode implementar a proteção de informações em toda a sua organização enquanto implanta proteções de identidade e acesso a dispositivos.

Treinamento

Introdução ao Copilot

Treinamento Introdução ao Copilot
Este caminho de aprendizagem orienta você pelos conceitos básicos do Copilot, mostra sua versatilidade em vários aplicativos do Microsoft 365 e oferece conselhos sobre como maximizar seu potencial.
Treinamento Preparar sua organização para o Copilot
Este roteiro de aprendizado examina o design do Copilot, seus recursos de segurança e conformidade e fornece instruções sobre como implementar o Copilot.

Próximas etapas

Assista ao vídeo Como se preparar para o Copilot.

Consulte estes artigos adicionais para Confiança Zero e Copilots da Microsoft:

Veja também:

Pôster resumido

Para obter um resumo visual das informações contidas neste artigo, confira o pôster Arquitetura e implantação do Copilot.

Miniatura do pôster da arquitetura do Copilot

PDF | Visio

Utilize o arquivo do Visio para personalizar essas ilustrações para seu próprio uso.

Para mais ilustrações técnicas de Confiança Zero, consulte Ilustrações Confiança Zero para arquitetos e implementadores de TI.

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.