Поделиться через

Рекомендуемая конфигурация для выравнивания Copilot по схеме ASD

  • Статья

Руководство по настройке и планированию Copilot для Microsoft 365 предназначено для чувствительных и регулируемых отраслевых клиентов в Австралии и Новой Зеландии и соответствует рекомендациям по настройке Microsoft 365 Австралийского управления сигналов (ASD) для безопасного облака .

В этом разделе описывается рекомендуемая конфигурация. Рекомендуемые элементы относятся к конфигурации, которая считается подходящей и подходящей по назначению для конфиденциальной среды. Отклонение от этих рекомендаций не препятствует работе Copilot, но может уменьшить общую функциональность и увеличить риск.

Канал выпуска Office

Copilot для Microsoft 365 требует Приложения Microsoft 365 версии Office и не поддерживается в более старых версиях. Copilot для Microsoft 365 доступен на каналах обновления Current и Monthly Enterprise Приложения Microsoft 365.

Клиенты выбирают свой канал обновления на основе своих требований пользователей и оценки рисков, балансируя доступ к новейшим функциям (Current) и более стабильной версии сборки (Monthly Enterprise). Оба варианта подходят для конфиденциальных сред и могут применяться к группам пользователей или отдельным пользователям.

Настройка центра развертывания Office для канала обновления.

Дополнительные сведения о настройке канала обновления см. в статье Изменение канала для Copilot.

Центр развертывания Office доступен для создания конфигурации Приложения Microsoft 365, включая выбор канала обновления.

Клиенты также должны убедиться, что задача "Компонент Office Обновления" включена, чтобы приложения Office продолжали работать с Copilot правильно. Функция Office Обновления задача проверяет наличие обновлений подключенных интерфейсов в Microsoft 365, таких как Copilot.

Примеры отзывов

Хотя в конфиденциальных средах это стандартная практика отключения механизмов обратной связи в продукте, стоит еще раз отметить, что советы в отношении Copilot для Microsoft 365, так как взаимодействия и реагирования могут быть отправлены в корпорацию Майкрософт, если включена политика Разрешить пользователям включать файлы журналов и примеры содержимого при отправке обратной связи в Майкрософт .

По этой причине рекомендуется отключить политику Разрешить пользователям включать файлы журналов и примеры содержимого при отправке отзывов в Корпорацию Майкрософт .

Хотя это можно настроить с помощью групповая политика в домен Active Directory подключенных средах, его необходимо как минимум настроить в политике облака Microsoft 365, учитывая, что веб-интерфейсы и современные приложения контролируются исключительно облачной политикой. Расширенные клиентские приложения Office (приложения Win32) могут управляться как групповая политика, так и облачной политикой, при этом групповая политика имеют приоритет при использовании обоих приложений. Для организаций, использующих сочетание групповая политика и облачной политики, рекомендуется поддерживать их в соответствии друг с другом, чтобы избежать путаницы.

Облачная политика обратной связи.

Облачная политика обратной связи настраивается на портале Microsoft 365

Дополнительные сведения о политиках обратной связи см. в разделе Управление политиками обратной связи.

Примечание.

Политика подключенных возможностей также контролируется механизмами групповая политика и облачной политики, которые управляют обратной связью.

Microsoft Teams

Одной из самых популярных функций Copilot для Microsoft 365 является интеграция с Microsoft Teams. Copilot интегрируется с Teams двумя различными способами:

  1. Чтобы помочь в выполнении повседневных задач, таких как обобщение & повторное проведение собраний и помощь в ответе на вопросы в чатах и каналах.
  2. Как автономный чат Copilot.

Интерфейс чата Copilot, который отображается в Microsoft Teams, называется его полным именем как Microsoft Copilot с чатом на основе Graph, что отражено в элементе лицензии, который управляет доступностью функции в более широком смысле.

Это беседа общего назначения в чате Copilot, доступ к которому можно получить не только через Microsoft Teams, но и в веб-интерфейсах Copilot, в браузере Microsoft Edge, на рабочем столе Windows и в мобильных приложениях Copilot.

При включении Copilot для интеграции Microsoft 365 с Microsoft Teams клиентам рекомендуется учитывать следующие элементы конфигурации:

Собрания Teams

Copilot в Teams собрания позволяют пользователям быстро получать сведения о собраниях, к которым они опаздывают, чтобы присоединиться, и получить структурированное резюме собрания с заметками о завершенных собраниях. Пользователи также могут задавать вопросы о содержимом и обсуждении, которые имели место в ходе собрания.

Чтобы Copilot мог работать на собрании, должна быть расшифровка, созданная Teams. Это создает решение для организаций, чтобы рассмотреть принцип работы Teams в этом сценарии. Существует два основных способа, которыми Copilot может работать с транскрибированием: сохраненные стенограммы и временные стенограммы.

Сохраненные расшифровки

Сохраненные расшифровки могут быть запущены пользователем в собрании или автоматически по конфигурации собрания. Стенограммы создаются и сохраняются вместе с собранием в соответствии с параметрами хранения организации.

Эти расшифровки могут быть доступны пользователям, скачанные и сохраненные или удаленные в течение периода времени, который выбирает организация.

Это наиболее функциональный интерфейс, так как он позволяет Copilot продолжать отвечать на вопросы и справочные сведения о собрании до тех пор, пока стенограмма сохраняется.

Временные расшифровки

Для организаций, которые беспокоят о хранении и возможности обнаружения расшифровок, этот параметр создает временную расшифровку только для Copilot. Он недоступен для обнаружения или скачивания и безвозвратно удаляется по завершении собрания.

После того как Copilot завершит работу с заметками о собрании, стенограмма будет уничтожена. Это дает преимущества организациям, которые не хотят, чтобы расшифровка была создана таким образом, чтобы пользователи или процессы обнаружения могли получить. Но компромисс заключается в том, что после завершения встречи Copilot больше не может использоваться для обсуждения содержимого собрания.

Метод транскрибирования

Решение о том, какой метод расшифровки следует использовать, не определяется классификацией среды. В конфиденциальной среде может использоваться любой метод транскрибирования. Австралийские принципы конфиденциальности и Закон о конфиденциальности не предписывают метод, выбранный организацией. Каждый клиент решает, какая модель лучше всего соответствует его потребности в хранении и удалении расшифровок собраний для удовлетворения своих собственных обязательств и желаний по хранению и обнаружению.

Гибкость политик собраний Teams означает, что разные пользователи могут быть подвержены различным требованиям, что обеспечивает организациям высокую степень настройки для предоставления различных параметров для разных групп пользователей.

Политики собраний Teams

Политики собраний Teams настраиваются на портале администрирования Microsoft Teams.

Политики собраний Teams можно настроить для широкого спектра потребностей клиентов, поэтому важно хорошо понимать доступные функции и параметры, чтобы получить правильную конфигурацию в соответствии с требованиями вашей организации.

Политики собраний Teams для Copilot.

Параметр транскрибирования политики собраний определяет возможность пользователя активировать создание сохраненной расшифровки.

В частности, если параметр транскрибирования имеет значение Выкл. , затронутые пользователи не смогут активировать создание сохраненной расшифровки.

То, как это влияет на Copilot, определяется двумя параметрами: параметром Copilot политики собрания для пользователя и параметрами записи & расшифровки собрания, выбранных при создании собрания.

Параметр Copilot политики собраний может иметь значение Включено только с сохраненным расшифровкой или Включено. Это позволяет администратору требовать сохранения расшифровок для доступа пользователя к Copilot или разрешить пользователю взаимодействовать с Copilot с помощью сохраненной или временной расшифровки. Объединяя этот параметр с параметром расшифровки политики собраний, можно настроить ряд сценариев на основе конкретных требований отдельных организаций и групп пользователей.

Третий элемент, изменяющий способ работы Copilot в собрании, — это выбор организатора собрания при настройке параметров "Запись & расшифровки " самого запланированного собрания.

Параметр "Запись и транскрибирование собрания" доступен автоматически , если для политики собрания, для которого пользователь имеет значение "Транскрибирование", включено. Если запись и транскрибирование включены автоматически , он создает сохраненную стенограмму сразу же после начала собрания. Copilot доступен лицензированным пользователям на таком собрании.

Если автоматическая запись и транскрибирование не включены, то параметры Кто может записывать и транскрибировать и Разрешить copilot становятся доступными для настройки и повлияют на работу Copilot.

Параметр Кто может записывать и транскрибировать определяет, кто может включить запись и транскрибирование.

Параметр Разрешить copilot имеет два варианта:

  • Только во время собрания. Этот параметр предписывает Copilot создать временную стенограмму при начале собрания и удалить ее в конце собрания. Таким образом, Copilot не будет доступен после завершения собрания, если пользователь не включает транскрибирование во время собрания. При этом создается сохраненная расшифровка, которую Copilot может использовать после завершения собрания.
  • Во время и после собрания. Этот параметр позволяет пользователю в собрании включать транскрибирование, создавая сохраненную расшифровку, которую Copilot использует для предоставления функциональных возможностей во время и после завершения собрания.

Дополнительные сведения о конфигурации Copilot для собраний Teams см. в разделе Параметры транскрибирования.

Чат Copilot

Copilot для Microsoft 365 предлагает чат ИИ непосредственно в Microsoft Teams. Это интерфейс чата общего назначения, который позволяет отвечать на вопросы, выполнять исследования и проектировать содержимое. Чтобы убедиться, что это доступно для пользователей Copilot, необходимо убедиться, что интеграция приложений Teams не заблокирована любой политикой блокировки приложений, которую вы можете использовать.

Проверьте доступность приложения, перейдя на портал Teams Администратор, а затем в меню "Приложения Teams", "Управление приложениями". Найдите и выберите интеграцию с приложением Copilot.

Приложение Copilot для Microsoft Teams.

Примечание.

Вы можете использовать поле поиска на странице Управление приложениями, чтобы сузить список доступных приложений, введя "Copilot".

После перехода на страницу сведений о приложении, если вы обнаружите, что приложение заблокировано, разблокируйте приложение, выбрав Разблокировать приложение:

Приложение Copilot Teams заблокировано политикой.

Если приложение Teams разблокировано и разрешено, пользователи с поддержкой Copilot найдут приложение для чата Copilot, закрепленное в верхней части вкладки Чат в Microsoft Teams:

Чат Copilot в Microsoft Teams.

Доступ к веб-содержимому (интеграция Bing)

Copilot для Microsoft 365 поставляется с интеграцией веб-содержимого от Microsoft Bing для расширения обученных знаний службы и информации, собираемой в среде Microsoft 365, с общедоступным веб-содержимым из Bing. Дополнительные сведения см. в разделе Архитектура службы.

Эта интеграция действует на этапе заземления процесса Copilot в качестве механизма для доступа к актуальной общественной информации из Интернета. Это делается путем перезаписи взаимодействия с пользователем на ключевые слова поиска, которые отправляются в Bing анонимно. Затем соответствующие результаты Bing используются вместе с внутренними данными для создания ответа в модели большого языка.

Например, ниже вы можете увидеть взаимодействие "Кто выиграл самую последнюю серию Ashes? Запуск Copilot сначала с отключенным веб-содержимым, а затем с включенным.

Copilot не может ответить на этот вопрос с отключенным веб-содержимым:

Copilot не может ответить на этот вопрос с отключенным веб-содержимым.

Copilot может ответить с включенным веб-содержимым:

Copilot может отвечать с включенным веб-содержимым.

Хотя Copilot для Microsoft 365 работает в пределах границы службы Microsoft 365, подключаемые модули работают за пределами этой границы. Это справедливо и для встроенного подключаемого модуля веб-содержимого. Хотя Bing является сторонней службой Майкрософт, которая подключается по сети Майкрософт, она находится за пределами границы службы Microsoft 365 и не была оценена по протоколу IRAP. Поэтому корпорация Майкрософт не может утверждать, что Bing подходит для обработки классифицированного материала.

Copilot для Microsoft 365 не будет отправлять в Bing следующие сведения:

  • Исходное взаимодействие пользователя
  • Все файлы Microsoft 365 (то есть целые документы или сообщения электронной почты)
  • Идентификация информации из объекта Microsoft Entra ID пользователя, например имя пользователя, домен, идентификатор пользователя или идентификатор клиента

Важно отметить, что и в соответствии с использованием Microsoft Copilot с коммерческой защитой данных поисковые запросы, созданные Copilot для Microsoft 365 и отправленные В Bing:

  • Не хранятся в и не имеют отношения к параметрам ранжирования Поиск Bing индекса.
  • Не становятся доступными с помощью средств Bing для веб-мастеров или любых других средств, предоставляемых третьим лицам (включая партнеров или рекламодателей Майкрософт).

Тем не менее, хотя корпорация Майкрософт принимает строгие меры для защиты данных клиентов, конфиденциальности и соответствия требованиям, Bing в настоящее время не оценивается на пригодность для обработки классифицированных материалов. Клиенты с конфиденциальными средами должны учитывать это.

Первоначально рекомендуется, чтобы пользователи знакомились с Copilot для Microsoft 365, эта функция отключена для всех пользователей, обрабатывающих конфиденциальные материалы.

Параметр подключаемого модуля веб-содержимого на уровне клиента.

Параметр подключаемого модуля веб-содержимого на уровне клиента настраивается на портале администрирования Microsoft 365.

Как только пользователи ознакомятся с Copilot для Microsoft 365, может быть целесообразно внедрить интеграцию веб-содержимого с соответствующим обучением персонала. При включении администраторами веб-содержимое может быть включено или выключено конечным пользователем по мере необходимости. Это позволяет конечному пользователю управлять моментом отправки информации из текущего сеанса в Bing.

Параметр веб-содержимого для конечных пользователей.

Так как пользователи могут включать и отключать подключаемый модуль веб-содержимого по мере необходимости, эту функцию можно использовать ответственно. Это похоже на то, что конечный пользователь решает, что и когда следует взаимодействовать с общедоступной поисковой системой сегодня. Однако с подключаемым модулем веб-содержимого Copilot для Microsoft 365 применяется больше элементов управления конфиденциальностью, чем при поиске в Интернете потребителей.

Рекомендуется, чтобы сотрудники использовали подключаемый модуль веб-содержимого в сеансах, позволяя подключаемому модулю взаимодействовать с материалами из Интернета, а затем отключать его в начале "Нового чата" для взаимодействия с более конфиденциальной информацией.

Чат Copilot с видимой кнопкой Создать чат.

Дополнительные сведения о возможностях Copilot с веб-содержимым см. в разделе Microsoft Copilot с коммерческой защитой данных.

Microsoft Copilot с коммерческой защитой данных

Microsoft Copilot с коммерческой защитой данных — это отдельный интерфейс Copilot, который не является частью Copilot для Microsoft 365 и не может подключаться к данным Microsoft 365. Он подключен к Интернету через Bing. Коммерческая защита данных основана на опыте Microsoft Copilot потребителей, добавляя определенные обязательства по защите данных для коммерческих клиентов.

Каждый клиент Copilot для Microsoft 365 имеет доступ к коммерческому предложению защиты данных через соответствующие Office 365 или лицензирование Microsoft 365.

Microsoft Copilot с коммерческой защитой данных обеспечивает более строгие обязательства по безопасности, соответствию требованиям и конфиденциальности помимо того, что может предоставить служба потребителей, например:

  • Обязательство не обучать базовую модель ИИ для взаимодействия и данных.
  • Взаимодействия и ответы шифруются и не видны сотрудникам Корпорации Майкрософт.
  • Нет ссылок на взаимодействие пользователей с ними или вашей организацией.

Важно отметить, что и в соответствии с использованием Copilot для Microsoft 365 поисковые запросы, созданные Microsoft Copilot с коммерческой защитой данных и отправленные в Bing:

  • Не хранятся в и не имеют отношения к параметрам ранжирования Поиск Bing индекса.
  • Не становятся доступными с помощью средств Bing для веб-мастеров или любых других средств, предоставляемых третьим лицам (включая партнеров или рекламодателей Майкрософт).

Microsoft Copilot не был включен в оценку IRAP Copilot для Microsoft 365 и неразрывно связан с Bing для доступа к Интернету. Поэтому не подходит для обработки классифицированного материала.

Тем не менее, так же, как многие организации позволяют сотрудникам получать доступ к поисковой системе в Интернете сегодня, обучая своих сотрудников избегать ввода конфиденциальной информации в поисковую систему, Microsoft Copilot с коммерческой защитой данных может обеспечить безопасный, безопасный и частный способ доступа к функциям генерирования ИИ без использования общедоступной интернет-службы потребительского уровня, которая рискует подвергать правительственную информацию неизвестным третьим лицам. или обучение модели ИИ с использованием данных.

По этим причинам клиентам рекомендуется Microsoft Copilot с коммерческой защитой данных, которые разрешают доступ к общедоступной поисковой системе в Интернете из вычислительной среды конечного пользователя в качестве альтернативы менее безопасным общедоступным службам генеративного ИИ.

Чтобы настроить Microsoft Copilot с коммерческой защитой данных, клиенты должны выполнить действия по реализации по этой ссылке.

Принудительное применение коммерческой защиты данных

Чтобы убедиться, что пользователи взаимодействуют только с Microsoft Copilot, когда активна коммерческая защита данных, а не со службой потребителей, требуется настройка. Конфигурация, которая должна быть применена, перенаправляет пользователей из службы потребителей в службу коммерческой защиты данных.

Существует три способа принудительного применения коммерческой защиты данных:

  1. DNS CNAME: создайте перенаправления DNS для различных точек входа Copilot:

    • Для Copilot в Bing, Copilot в Microsoft Edge и Copilot в Windows: обновите конфигурацию DNS, задав запись DNS для <www.bing.com> как CNAME для nochat.bing.com.
    • Для copilot.microsoft.com и мобильного приложения Copilot обновите конфигурацию DNS, задав запись DNS для copilot.microsoft.com как CNAME для cdp.copilot.microsoft.com.

    Дополнительные сведения о конфигурации DNS доменные службы Active Directory см. в разделе доменные службы Active Directory конфигурации DNS.

  2. Внедрение заголовка. Добавьте следующий http-заголовок ко всем исходящим запросам www.bing.com<>, edgeservices.bing.com и copilot.microsoft.com:

    • x-ms-entraonly-copilot: 1

  3. Преобразование сетевых адресов назначения (DNAT): используйте корпоративный брандмауэр для выполнения преобразования сетевых адресов назначения (DNAT):

    • Для Copilot в Bing, Copilot в Microsoft Edge и Copilot в Windows: разрешение <www.bing.com> и edgeservices.bing.com nochat.bing.com IP-адреса DNAT.
    • Для copilot.microsoft.com и мобильного приложения Copilot: разрешение copilot.microsoft.com cdp.copilot.microsoft.com ip-адреса DNAT.

Применение пользовательской лицензии

Каждый пользователь, которому требуется доступ к Microsoft Copilot с коммерческой защитой данных, должен иметь элемент лицензии "Коммерческая защита данных для Microsoft Copilot" (идентификатор лицензии: 0d0c0d31-fae7-41f2-b909-eaf4d7f26dba) к объекту пользователя Microsoft Entra ID.

Примените коммерческую защиту данных для Microsoft Copilot лицензионного элемента.

Элемент лицензии "Коммерческая защита данных для Microsoft Copilot" входит в состав необходимых типов лицензий Copilot для Microsoft 365 для Office 365 корпоративный и Frontline, а также Microsoft 365 корпоративный, бизнеса, frontline и education.

Аудит, обнаружение и хранение

При реализации любой новой технологии важно учитывать аудит использования, существующие процессы поиска и обнаружения, а также политики, применяемые к хранению материала. Copilot для Microsoft 365 ничем не отличается, хотя, так как он интегрирован в Microsoft 365, это скорее вопрос понимания того, куда идти и что вы найдете, а не необходимость настраивать какой-либо новый механизм, который у вас еще нет.

Быстрый доступ к параметрам аудита, обнаружения и хранения (а также меткам конфиденциальности и параметрам соответствия данным ) предоставляется на странице параметров Copilot на портале администрирования Microsoft 365.

Быстрые ссылки для обеспечения безопасности данных и соответствия требованиям.

Администраторы организации могут получить доступ к кратким ссылкам для обеспечения безопасности и соответствия данных Copilot на портале администрирования Microsoft 365.

Аудит

Каждое взаимодействие с Copilot создает запись журнала аудита так же, как и действия пользователей в SharePoint, OneDrive или Teams. Стандартные журналы аудита Microsoft 365 теперь включают категорию записи аудита для Copilot с именем Copilot Interaction.

Данные журнала аудита для взаимодействия с Copilot.

В данных журнала аудита над сведениями о действиях, операциях и рабочей нагрузке все указывает на взаимодействие Copilot, а полезные данные JSON записи CopilotEventData указывают, к каким ресурсам был получен доступ в рамках взаимодействия, исходному ведущему приложению и идентификатору потока чата. Эти сведения можно использовать для доступа к взаимодействию с пользователем и ответу Copilot. Дополнительные сведения см. в разделе Хранение и обнаружение.

Хранение

Взаимодействие с запросами и ответами Copilot для Microsoft 365 хранится в виде сообщений Microsoft Teams так же, как сообщения чата между двумя пользователями хранятся в Teams сегодня. Эти данные хранятся в хранилище почтового ящика пользователя и применяются к политикам хранения и удаления Microsoft 365 так же, как и в чатах Teams.

Организациям, реализующим Copilot для Microsoft 365, следует учитывать требования к хранению и удалению для таких взаимодействий и обеспечить наличие политик хранения и (или) удаления, чтобы обеспечить обнаружение и извлечение взаимодействия пользователей с Copilot при необходимости.

Настройка политики хранения для чатов Teams и взаимодействий Copilot.

Как и в случае с другими политиками хранения, чаты Teams и взаимодействия с Copilot можно хранить в течение любого выбранного срока, в том числе на неопределенный срок, и при необходимости автоматически удаляться по истечении срока хранения. Copilot для клиентов Microsoft 365 следует выбрать подходящий срок хранения и применить соответствующую политику для сопоставления на портале Microsoft Purview.

Продолжение настройки политики хранения для чатов Teams и взаимодействий с Copilot.

Обнаружение электронных данных

Так как взаимодействия Copilot для Microsoft 365 хранятся так же, как сообщения чата из Microsoft Teams, клиентам доступны те же функции поиска контента и обнаружения электронных данных .

Copilot для Microsoft 365 представляет новый тип контента для функций обнаружения в Microsoft 365 под названием Взаимодействие с Copilot.

При выполнении поиска контента использование типа взаимодействия Copilot позволяет администратору или сотруднику по обнаружению электронных данных найти конкретные взаимодействия конкретного пользователя или группы или найти определенное взаимодействие, которое было определено с помощью журналов аудита.

Независимо от того, являетесь ли вы администратором или руководителем дела обнаружения электронных данных, взаимодействия Copilot записываются и могут быть получены в течение срока хранения по умолчанию или в рамках политики хранения.