Применение принципов нулевого доверия к чату Microsoft 365 Copilot
Сводка: Чтобы применить принципы нулевого доверия к чату Microsoft 365 Copilot, вам нужно:
- Реализуйте механизмы безопасности для веб-подсказок в Интернете.
- Добавьте средства защиты для браузера Microsoft Edge.
Введение
Microsoft 365 Copilot Chat — это компаньон искусственного интеллекта в приложении Microsoft 365 Copilot, в Edge и на следующих URL-адресах— M365copilot.com и Copilot.cloud.microsoft. Он предоставляется для пользователей учетной записи Entra с соответствующей лицензией. Copilot Chat включает корпоративную защиту данных. Защита корпоративных данных не включена в Copilot Chat для личного использования (версия потребителя). В этой статье показано, как реализовать защиту безопасности для обеспечения безопасности организации и данных при использовании Copilot Chat. Реализуя эти защиты, вы создаете основу нулевого доверия.
Рекомендации по безопасности, основанной на принципе нулевого доверия, для Copilot Chat сосредоточены на защите учетных записей пользователей, устройств пользователей и данных вашей организации, которые могут быть обобщены в Copilot Chat в браузере Edge.
Как нулевое доверие помогает работе с искусственным интеллектом?
Безопасность, особенно защита данных, часто является основной проблемой при внедрении средств искусственного интеллекта в организацию. Zero Trust — это стратегия безопасности, которая проверяет всех пользователей, устройств и запросов ресурсов, чтобы гарантировать, что каждая из них разрешена. Термин "нулевое доверие" относится к стратегии обращения с каждым запросом на подключение и ресурс, как если бы он исходил из неконтролируемой сети и плохого субъекта. Независимо от того, откуда исходит запрос или к какому ресурсу он обращается, модель нулевого доверия учит нас "никогда не доверять, всегда проверять".
В качестве лидера в области безопасности корпорация Майкрософт предоставляет практическую стратегию и четкое руководство по реализации нулевого доверия. Комплект Копилотов Майкрософт построен на основе существующих платформ, которые наследуют защиту, применяемую к этим платформам. Сведения о применении нулевого доверия к платформам Майкрософт см. в центре рекомендаций по нулю доверия. Реализуя эти средства защиты, вы создаете основу безопасности нулевого доверия.
Эта статья основывается на руководстве, чтобы определить меры защиты по принципу нулевого доверия, которые имеют отношение к Copilot.
Сведения, включенные в эту статью
В этой статье рассматриваются рекомендации по безопасности, которые применяются на двух этапах. Это обеспечивает путь для внедрения Copilot Chat в среду при применении защиты безопасности для пользователей, устройств и данных, к которым обращается Copilot.
Этап | Настройка | Компоненты для защиты |
---|---|---|
1 | Веб-запросы в Интернет | Базовая гигиена безопасности для пользователей и устройств посредством использования политик идентификации и доступа. |
2 | Веб-запросы к Интернету с включенной сводкой страниц браузера Edge | Данные вашей организации о локальных, внутрикорпоративных и облачных расположениях, которые могут быть суммированы в Copilot в приложении Edge. |
Этап 1. Начните с работы над рекомендациями по безопасности для веб-ориентированных подсказок в Интернет.
Простейшая конфигурация Copilot обеспечивает помощь ИИ с подсказками, основанными на веб-данных.
На рисунке:
- Пользователи могут взаимодействовать с Copilot Chat через M365copilot.com, Copilot.cloud.microsoft, приложение Microsoft 365 Copilot и Edge.
- Запросы основаны на вебе. Copilot Chat использует только общедоступные данные для реагирования на запросы.
- Сводка страниц браузера Edge не включена.
С этой конфигурацией данные организации не включаются в область данных, на которые ссылается Copilot Chat. Однако необходимо убедиться, что сводка страниц браузера не включена. Как администратор, вы можете сделать это с помощью параметра групповой политики EdgeEntraCopilotPageContext.
Используйте этот этап для реализации политик идентификации и доступа для пользователей и устройств, чтобы предотвратить использование Copilot плохих субъектов. Как минимум, необходимо настроить политики условного доступа, которые требуют:
Дополнительные рекомендации по Microsoft 365 E3
- Для проверки подлинности и доступа учетных записей пользователей также настройте политики удостоверения и доступа для блокировки клиентов, которые не поддерживают современную проверку подлинности.
- Используйте возможности защиты Windows.
Дополнительные рекомендации для Microsoft 365 E5
Реализуйте рекомендации для E3 и настройте следующие политики идентификации и доступа:
- Требовать многофакторную проверку подлинности, если риск входа является средним или высоким
- Пользователи с высоким уровнем риска должны изменить пароль
Этап 2. Добавление средств защиты для сводки браузера Edge
На боковой панели Microsoft Edge Microsoft 365 Copilot Chat помогает получать ответы и вдохновения из интернета и, если они включены, из некоторых типов сведений, отображаемых на открытых вкладках браузера.
Если вы отключили сводку страниц браузера, необходимо повторно включить эту функцию. Как администратор, вы можете сделать это с помощью параметра групповой политики EdgeEntraCopilotPageContext.
Ниже приведены некоторые примеры частных или корпоративных веб-страниц и типов документов, которые Copilot в Edge могут суммировать:
- Сайты интрасети, такие как SharePoint, кроме внедренных документов Office
- Outlook Web App
- PDF-файлы, включая хранящиеся на локальном устройстве
- Сайты, не защищенные политиками защиты от потери данных Microsoft Purview, политиками управления мобильными приложениями (MAM) или политиками MDM
Примечание.
Текущий список типов документов, поддерживаемых Copilot в Edge для анализа и суммирования, см. на странице Поведение суммирования веб-страниц Copilot в Edge.
Потенциально конфиденциальные сайты и документы организации, которые Copilot в Edge могут обобщать, могут храниться в локальных, интрасети или облачных расположениях. Эти данные организации могут предоставляться злоумышленнику, который имеет доступ к устройству и использует Copilot в Edge для быстрого создания сводных данных документов и сайтов.
Данные организации, которые Copilot в Edge может обобщить, могут включать:
Локальные ресурсы на компьютере пользователя
PDF-файлы или сведения, отображаемые на вкладке браузера Edge локальными приложениями, которые не защищены политиками MAM
Ресурсы интрасети
PDF-файлы или сайты для внутренних приложений и служб, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDM
Сайты Microsoft 365, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDM
Ресурсы Microsoft Azure
PDF-файлы на виртуальных машинах или сайтах для приложений SaaS, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDM
Сторонние облачные сайты продуктов для облачных приложений и служб SaaS, которые не защищены политиками защиты от потери данных Microsoft Purview, политиками MAM или политиками MDA
Используйте этот этап для реализации уровней безопасности, чтобы предотвратить использование Copilot плохих субъектов для более быстрого обнаружения и доступа к конфиденциальным данным. Как минимум, вы должны:
- Развертывание защиты данных и соответствия требованиям с помощью Microsoft Purview
- Настройка минимальных разрешений пользователей для данных
- Развертывание защиты от угроз для облачных приложений с помощью приложений Microsoft Defender для облака
Дополнительные сведения о Copilot в Edge см. в следующем разделе:
Рекомендации по E3 и E5
Реализуйте политики защиты приложений Intune (APP) для защиты данных. ПРИЛОЖЕНИЕ может предотвратить непреднамеренное или преднамеренное копирование содержимого, созданного Copilot, в приложения на устройстве, которые не входят в список разрешённых приложений. ПРИЛОЖЕНИЕ может ограничить радиус воздействия злоумышленника в случае использования скомпрометированного устройства.
Включите Microsoft Defender для Office 365 План 1, который включает Exchange Online Protection (EOP) для безопасных вложений, безопасных ссылок, расширенных порогов фишинга, защиты от олицетворения и обнаружения в режиме реального времени.
Следующие шаги
Для получения дополнительной информации о Zero Trust и Microsoft Copilots, ознакомьтесь со следующими статьями:
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.