Aplicar os princípios do Zero Trust ao Microsoft Copilot
Resumo: Para aplicar os princípios do Zero Trust ao Microsoft Copilot, você precisa:
- Implemente proteções de segurança para prompts com base na Web para a Internet.
- Adicione proteções de segurança para o resumo do navegador Microsoft Edge.
- Proteções de segurança recomendadas completas para o Microsoft 365 Copilot.
- Mantenha as proteções de segurança ao usar o Microsoft Copilot e o Microsoft 365 Copilot juntos.
Introdução
O Microsoft Copilot ou Copilot é um companheiro de IA no copilot.microsoft.com, Windows, Edge, Bing e no aplicativo móvel Copilot. Este artigo ajuda você a implementar proteções de segurança para manter sua organização e dados seguros ao usar o Copilot. Ao implementar essas proteções, você está construindo uma base do Zero Trust.
As recomendações de segurança do Zero Trust para o Copilot concentram-se na proteção de contas de usuário, dispositivos de usuário e os dados que estão no escopo para a maneira como você configura o Copilot.
Você pode introduzir o Copilot em estágios, desde permitir prompts com base na Web para a Internet até permitir prompts com base na Web e com base no Microsoft 365 Graph-grounded para a Internet e para os dados da sua organização. Este artigo ajuda você a entender o escopo de cada configuração e, consequentemente, as recomendações para preparar seu ambiente com proteções de segurança adequadas.
Como o Zero Trust ajuda com a IA?
A segurança, especialmente a proteção de dados, é muitas vezes uma das principais preocupações ao introduzir ferramentas de IA em uma organização. O Zero Trust é uma estratégia de segurança que verifica cada solicitação de usuário, dispositivo e recurso para garantir que cada um deles seja permitido. O termo "zero trust" refere-se à estratégia de tratar cada conexão e solicitação de recurso como se tivesse origem em uma rede descontrolada e um ator mal-intencionado. Independentemente da origem do pedido ou do recurso a que acede, o Zero Trust ensina-nos a "nunca confiar, verificar sempre".
Como líder em segurança, a Microsoft fornece um roteiro prático e orientações claras para a implementação do Zero Trust. O conjunto de Copilots da Microsoft é construído sobre plataformas existentes, que herdam as proteções aplicadas a essas plataformas. Para obter os detalhes da aplicação do Zero Trust às plataformas da Microsoft, consulte o Centro de Orientação do Zero Trust. Ao implementar essas proteções, você está construindo uma base de segurança Zero Trust.
Este artigo baseia-se nessa orientação para prescrever as proteções Zero Trust relacionadas ao Copilot.
O que está incluído neste artigo
Este artigo apresenta as recomendações de segurança que se aplicam em quatro estágios. Isso fornece um caminho para você introduzir o Copilot em seu ambiente enquanto aplica proteções de segurança para usuários, dispositivos e dados acessados pelo Copilot.
| Fase | Configuração | Componentes para proteger |
|---|---|---|
| 1 | Prompts com base na Web para a Internet | Higiene básica de segurança para usuários e dispositivos usando políticas de identidade e acesso. |
| 2 | Prompts com base na Web para a Internet com o resumo de página do navegador Edge habilitado | Os dados da sua organização em locais locais, intranet e na nuvem que o Copilot in Edge pode resumir. |
| 3 | Prompts com base na Web para a Internet e acesso ao Microsoft 365 Copilot | Todos os componentes afetados pelo Microsoft 365 Copilot. |
| 4 | Prompts com base na Web para a Internet e acesso ao Microsoft 365 Copilot com resumo de página do navegador Edge habilitado | Todos os componentes listados acima. |
Estágio 1. Comece com recomendações de segurança para prompts com base na Web para a Internet
A configuração mais simples do Copilot fornece assistência de IA com prompts fundamentados na web.
Na ilustração:
- Os usuários podem interagir com o Copilot por meio do copilot.microsoft.com, Windows, Bing, navegador Edge e aplicativo móvel Copilot.
- Os prompts são fundamentados na Web. O Copilot usa apenas dados disponíveis publicamente para responder a solicitações.
Com essa configuração, os dados da sua organização não são incluídos no escopo dos dados aos quais o Copilot faz referência.
Use este estágio para implementar políticas de identidade e acesso para usuários e dispositivos para evitar que agentes mal-intencionados usem o Copilot. No mínimo, você deve configurar políticas de Acesso Condicional que exijam:
Recomendações adicionais para o Microsoft 365 E3
- Para autenticação e acesso de conta de usuário, configure também as políticas de identidade e acesso para Bloquear clientes que não oferecem suporte à autenticação moderna.
- Use os recursos de proteção do Windows.
Recomendações adicionais para o Microsoft 365 E5
Implemente as recomendações para o E3 e configure as seguintes políticas de identidade e acesso:
- Exigir MFA quando o risco de entrada for médio ou alto
- Usuários de alto risco devem alterar sua senha
Estágio 2. Adicionar proteções de segurança para o resumo do navegador Edge
Na barra lateral do Microsoft Edge, o Microsoft Copilot ajuda você a obter respostas e inspirações de toda a Web e, se habilitado, de alguns tipos de informações exibidas em guias abertas do navegador.
Aqui estão alguns exemplos de páginas da Web privadas ou de organização e tipos de documentos que o Copilot no Edge pode resumir:
- Sites de intranet, como o SharePoint, exceto documentos do Office incorporados
- Outlook Online
- PDFs, incluindo aqueles armazenados no dispositivo local
- Sites não protegidos por políticas de DLP do Microsoft Purview, políticas de Gerenciamento de Aplicativos Móveis (MAM) ou políticas de MDM
Nota
Para obter a lista atual de tipos de documentos suportados pelo Copilot no Edge para análise e sumarização, consulte Comportamento de resumo do Copilot na página da Web do Edge.
Sites e documentos de organização potencialmente confidenciais que o Copilot in Edge pode resumir podem ser armazenados em locais locais, intranet ou na nuvem. Esses dados da organização podem ser expostos a um invasor que tem acesso ao dispositivo e usa o Copilot in Edge para produzir rapidamente resumos de documentos e sites.
Os dados da organização que podem ser resumidos pelo Copilot no Edge podem incluir:
Recursos locais no computador do usuário
PDFs ou informações exibidas em uma guia do navegador Edge por aplicativos locais que não estão protegidos com políticas de MAM
Recursos da intranet
PDFs ou sites para aplicativos e serviços internos que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDM
Sites do Microsoft 365 que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDM
Recursos do Microsoft Azure
PDFs em máquinas virtuais ou sites para aplicativos SaaS que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDM
Sites de produtos na nuvem de terceiros para aplicações e serviços SaaS baseados na nuvem que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDA
Use este estágio para implementar níveis de segurança para evitar que agentes mal-intencionados usem o Copilot para descobrir e acessar dados confidenciais mais rapidamente. No mínimo, deve:
- Implante proteções de conformidade e segurança de dados com o Microsoft Purview
- Configurar permissões mínimas de usuário para dados
- Implante a proteção contra ameaças para aplicativos na nuvem com o Microsoft Defender for Cloud Apps
Para obter mais informações sobre o Copilot no Edge, consulte:
Esta ilustração mostra os conjuntos de dados disponíveis para o Microsoft Copilot no Edge com a sumarização do navegador habilitada.
Recomendações para E3 e E5
Implemente políticas de proteção de aplicativos (APP) do Intune para proteção de dados. O APP pode impedir a cópia inadvertida ou intencional de conteúdo gerado pelo Copilot para aplicativos em um dispositivo que não estão incluídos na lista de aplicativos permitidos. O APP pode limitar o raio de explosão de um invasor usando um dispositivo comprometido.
Ative o Microsoft Defender para Office 363 Plano 1, que inclui a Proteção do Exchange Online (EOP) para Anexos Seguros, Links Seguros, limites avançados de phishing e proteção contra representação e deteções em tempo real.
Estágio 3. Proteções de segurança completas recomendadas para o Microsoft 365 Copilot
O Microsoft 365 Copilot pode usar os seguintes conjuntos de dados para processar prompts com base em gráficos:
- Os seus dados de inquilino do Microsoft 365
- Dados da Internet através da pesquisa do Bing (se ativada)
- Os dados usados por plug-ins e conectores habilitados para Copilot
Para obter mais informações, consulte Aplicar princípios de Zero Trust ao Microsoft Microsoft 365 Copilot.
Recomendações para a E3
Implemente o seguinte:
Gerenciamento de dispositivos do Intune e políticas de requisitos de conformidade de dispositivos
Proteção de dados no seu inquilino do Microsoft 365
Etiquetas de confidencialidade
Políticas de prevenção contra perda de dados (DLP)
Políticas de retenção
Recomendações para E5
Implementar as recomendações para E3 e o seguinte:
- Use uma gama maior de classificadores para encontrar informações confidenciais.
- Automatize suas etiquetas de retenção.
- Experimente os recursos do Plano 2 no Defender para Office 365, que incluem investigação pós-violação, busca e resposta, automação e simulação.
- Ative o Microsoft Defender for Cloud Apps.
- Configure o Defender for Cloud Apps para descobrir aplicativos na nuvem e monitorar e auditar seu comportamento.
Estágio 4. Mantenha as proteções de segurança enquanto usa o Microsoft Copilot e o Microsoft 365 Copilot juntos
Com uma licença para o Microsoft 365 Copilot, você verá um controle de alternância Trabalho/Web no navegador Edge, Windows e pesquisa do Bing que permite alternar entre o uso:
- Prompts com base em gráficos que são enviados para o Microsoft 365 Copilot (alterne para Trabalho).
- Prompts com base na Web que usam principalmente dados da Internet (alternar para Web).
Aqui está um exemplo para copilot.microsoft.com.
Esta ilustração mostra o fluxo de prompts com base em gráficos e na Web.
No diagrama:
- Os usuários em dispositivos com uma licença para o Microsoft 365 Copilot podem escolher o modo Trabalho ou Web para prompts do Microsoft Copilot.
- Se o Trabalho for escolhido, os prompts com base em gráficos serão enviados ao Microsoft 365 Copilot para processamento.
- Se a Web for escolhida, os prompts com base na Web inseridos via Windows, Bing ou Edge usam dados da Internet em seu processamento.
- No caso do Edge e quando habilitado, o Windows Copilot inclui alguns tipos de dados em guias abertas do Edge em seu processamento.
Se o usuário não tiver uma licença para o Microsoft 365 Copilot, a alternância Trabalho/Web não será exibida e todos os prompts serão fundamentados na Web.
Aqui estão os conjuntos de dados de organização acessíveis para o Microsoft Copilot, que incluem prompts com base em gráficos e na Web.
Na ilustração, os blocos sombreados amarelos são para os dados da sua organização que podem ser acessados por meio do Copilot. O acesso a esses dados por um usuário através do Copilot depende das permissões para os dados atribuídos à conta de usuário. Também pode depender do status do dispositivo do usuário se o acesso condicional estiver configurado para o usuário ou para acesso ao ambiente onde os dados residem. Seguindo os princípios do Zero Trust, esses são dados que você deseja proteger caso um invasor comprometa uma conta de usuário ou dispositivo.
Para prompts com aterramento em gráfico (alternar definido para Trabalho), isso inclui:
Os seus dados de inquilino do Microsoft 365
Dados para plug-ins e conectores habilitados para Copilot
Dados da Internet (se o plug-in da Web estiver ativado)
Para prompts com base na Web do navegador Edge com o resumo da guia do navegador aberto habilitado (alternar para Web), isso pode incluir dados da organização que podem ser resumidos pelo Copilot no Edge de locais locais, intranet e na nuvem.
Use esta etapa para verificar sua implementação dos seguintes níveis de segurança para evitar que agentes mal-intencionados usem o Copilot para acessar seus dados confidenciais:
- Implante proteções de conformidade e segurança de dados com o Microsoft Purview
- Configurar permissões mínimas de usuário para dados
- Implante a proteção contra ameaças para aplicativos na nuvem com o Microsoft Defender for Cloud Apps
Recomendações para a E3
- Revise sua configuração e os recursos do Defender para Office 365 Plano 1 e do Defender para Endpoint Plano 1 e implemente recursos adicionais conforme necessário.
- Configure níveis adequados de proteção para o Microsoft Teams.
Recomendações para E5
Implemente as recomendações para o E3 e estenda os recursos XDR em seu locatário do Microsoft 365:
Ative o Microsoft Defender for Identity.
Revise sua configuração e implemente recursos adicionais conforme necessário para aumentar sua proteção contra ameaças com o pacote completo do Microsoft Defender XDR:
Configurar políticas de sessão para o Defender for Cloud Apps
Resumo da configuração
Esta figura resume as configurações do Microsoft Copilot e os dados acessíveis resultantes que o Copilot usa para responder a prompts.
Esta tabela inclui recomendações de Zero Trust para a configuração escolhida.
| Configuração | Dados acessíveis | Recomendações Zero Trust |
|---|---|---|
| Sem licenças do Microsoft 365 Copilot (alternância Trabalho/Web não disponível) E AINDA Resumo da página do navegador de borda desativado |
Para prompts com base na Web, somente dados da Internet | Nenhum necessário, mas altamente recomendado para a higiene geral de segurança. |
| Sem licenças do Microsoft 365 Copilot (alternância Trabalho/Web não disponível) E AINDA Resumo de página do navegador de borda habilitado |
Para prompts com base na Web: - Dados da Internet - Dados da organização em locais locais, intranet e nuvem que o Copilot in Edge pode resumir |
Para seu locatário do Microsoft 365, consulte Zero Trust for Microsoft 365 Copilot e aplique proteções Zero Trust. Para obter dados da organização em locais locais, intranet e na nuvem, consulte Gerenciar dispositivos com a Visão geral do Intune para políticas de MAM e MDM. Consulte também Gerir a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para obter políticas de DLP. |
| Com licenças do Microsoft 365 Copilot (alternância Trabalho/Web disponível) E AINDA Resumo da página do navegador de borda desativado |
Para prompts com base em gráficos: - Dados do locatário do Microsoft 365 - Dados da Internet se o plug-in da Web estiver ativado - Dados para plug-ins e conectores habilitados para Copilot Para prompts com base na Web, apenas dados da Internet |
Para seu locatário do Microsoft 365, consulte Zero Trust for Microsoft 365 Copilot e aplique proteções Zero Trust. |
| Com licenças do Microsoft 365 Copilot (alternância Trabalho/Web disponível) E AINDA Resumo de página do navegador de borda habilitado |
Para prompts com base em gráficos: - Dados do locatário do Microsoft 365 - Dados da Internet, se o plug-in da Web estiver habilitado - Dados para plug-ins e conectores habilitados para Copilot Para prompts com base na Web: - Dados da Internet - Dados da organização que podem ser renderizados em uma página do navegador Edge, incluindo recursos locais, na nuvem e na intranet |
Para seu locatário do Microsoft 365, consulte Zero Trust for Microsoft 365 Copilot e aplique proteções Zero Trust. Para obter dados da organização em locais locais, intranet e na nuvem, consulte Gerenciar dispositivos com a Visão geral do Intune para políticas de MAM e MDM. Consulte também Gerir a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para obter políticas de DLP. |
Próximos passos
Consulte estes artigos adicionais para Zero Trust e Copilots da Microsoft:
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.