Tillämpa principerna för Noll förtroende på Microsoft Copilot Chat
Sammanfattning: För att tillämpa principerna för Zero Trust på Microsoft Copilot Chat, behöver du:
- Implementera säkerhetsskydd för webbaserade uppmaningar till Internet.
- Lägg till säkerhetsskydd för microsoft Edge-webbläsarsammanfattning.
Introduktion
Copilot Chat är en AI-följeslagare i Microsoft 365 Copilot-appen, i Edge och på följande URL:er – M365copilot.com och Copilot.cloud.microsoft. Det tillhandahålls för Entra-kontoanvändare med en kvalificerande licens. Copilot Chat innehåller företagsdataskydd. Företagsdataskydd ingår inte i Copilot Chat för personligt bruk (konsumentversion). Den här artikeln hjälper dig att implementera säkerhetsskydd för att skydda din organisation och dina data när du använder Copilot Chat. Genom att implementera dessa skydd skapar du en grund för Zero Trust.
Säkerhetsrekommendationer för Zero Trust för Copilot Chat fokuserar på skydd för användarkonton, användares enheter och din organisationsdata som kan sammanfattas av Copilot Chat i Edge.
Hur hjälper Nolltillit med AI?
Säkerhet, särskilt dataskydd, är ofta ett stort problem när du introducerar AI-verktyg i en organisation. Nolltillit är en säkerhetsstrategi som verifierar varje användare, enhet och resursbegäran för att säkerställa att var och en av dessa tillåts. Termen "noll förtroende" avser strategin att behandla varje anslutnings- och resursbegäran som om den kom från ett okontrollerat nätverk och en dålig aktör. Oavsett var begäran kommer från eller vilken resurs den kommer åt lär Nolltillit oss att "aldrig lita på, alltid verifiera".
Microsoft är ledande inom säkerhet och tillhandahåller en praktisk översikt och tydlig vägledning för att implementera Nolltillit. Microsofts uppsättning Copilots bygger på befintliga plattformar, som ärver de skydd som tillämpas på dessa plattformar. Mer information om hur du tillämpar Nolltillit på Microsofts plattformar finns i Nolltillit Guidance Center. Genom att implementera dessa skydd skapar du en grund för Zero Trust-säkerhet.
Den här artikeln bygger på den vägledningen för att föreskriva de Nolltillit skydd som är relaterade till Copilot.
Vad ingår i den här artikeln
Den här artikeln går igenom säkerhetsrekommendationerna som gäller i två steg. På så sätt kan du introducera Copilot Chat i din miljö medan du tillämpar säkerhetsskydd för användare, enheter och de data som används av Copilot.
| Fas | Konfiguration | Komponenter som ska skyddas |
|---|---|---|
| 1 | Webbaserade uppmaningar till Internet | Grundläggande säkerhetshygien för användare och enheter som använder identitets- och åtkomstprinciper. |
| 2 | Webbaserade uppmaningar till Internet med edge-webbläsarsidans sammanfattning aktiverad | Dina organisationsdata på lokala platser, intranät och molnplatser som Copilot i Edge kan sammanfatta. |
Steg 1. Börja med säkerhetsrekommendationer för webbaserade uppmaningar till Internet
Den enklaste konfigurationen av Copilot ger AI-hjälp med webbaserade frågor.
I bilden:
- Användare kan interagera med Copilot Chat via M365copilot.com, Copilot.cloud.microsoft, Microsoft 365 Copilot-appen och Edge.
- Prompter är webbaserade. Copilot Chat använder endast offentligt tillgängliga data för att svara på frågor.
- Sammanfattningen av edge-webbläsarsidan är inte aktiverad.
Med den här konfigurationen ingår inte organisationsdata i omfånget för data som Copilot Chat refererar till. Du måste dock se till att sammanfattningen av webbläsarsidan inte är aktiverad. Som administratör kan du göra detta med hjälp av EdgeEntraCopilotPageContext gruppolicyinställning.
Använd det här steget för att implementera identitets- och åtkomstprinciper för användare och enheter för att förhindra att dåliga aktörer använder Copilot. Du måste minst konfigurera principer för villkorsstyrd åtkomst som kräver:
Ytterligare rekommendationer för Microsoft 365 E3
- För autentisering och åtkomst för användarkonton konfigurerar du även identitets- och åtkomstprinciperna till Blockera klienter som inte stöder modern autentisering.
- Använd Windows-skyddsfunktioner.
Ytterligare rekommendationer för Microsoft 365 E5
Implementera rekommendationerna för E3 och konfigurera följande identitets- och åtkomstprinciper:
Steg 2. Lägga till säkerhetsskydd för edge-webbläsarsammanfattning
Från Microsoft Edge-sidofältet hjälper Microsoft Copilot Chat dig att få svar och inspiration från webben och, om det är aktiverat, från vissa typer av information som visas på öppna webbläsarflikar.
Om du har inaktiverat sammanfattningen av webbläsarsidan måste du återaktivera den här funktionen. Som administratör kan du göra detta med hjälp av EdgeEntraCopilotPageContext grupppolicyinställning.
Här är några exempel på privata webbsidor eller organisationswebbsidor och dokumenttyper som Copilot i Edge kan sammanfatta:
- Intranätwebbplatser som SharePoint, förutom inbäddade Office-dokument
- Outlook-webbprogrammet
- PDF-filer, inklusive de som lagras på den lokala enheten
- Webbplatser som inte skyddas av Microsoft Purview DLP-principer, MAM-principer (Mobile Application Management) eller MDM-principer
Kommentar
Den aktuella listan över dokumenttyper som stöds av Copilot i Edge för analys och sammanfattning finns i Sammanfattningsbeteende för Copilot på Edge-webbsidan.
Potentiellt känsliga organisationswebbplatser och dokument som Copilot i Edge kan sammanfatta kan lagras på lokala platser, intranät eller molnplatser. Dessa organisationsdata kan exponeras för en angripare som har åtkomst till enheten och använder Copilot i Edge för att snabbt skapa sammanfattningar av dokument och webbplatser.
Organisationsdata som kan sammanfattas av Copilot i Edge kan innehålla:
Lokala resurser på användarens dator
PDF-filer eller information som visas på en edge-webbläsarflik av lokala appar som inte skyddas med MAM-principer
Intranätresurser
PDF-filer eller webbplatser för interna appar och tjänster som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDM-principer
Microsoft 365-webbplatser som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDM-principer
Microsoft Azure-resurser
PDF-filer på virtuella datorer eller webbplatser för SaaS-appar som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDM-principer
Molnproduktwebbplatser från tredje part för molnbaserade SaaS-appar och -tjänster som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDA-principer
Använd det här steget för att implementera säkerhetsnivåer för att förhindra att dåliga aktörer använder Copilot för att snabbare identifiera och komma åt känsliga data. Du måste minst:
- Distribuera dataskydd och efterlevnadsskydd med Microsoft Purview
- Konfigurera minsta användarbehörighet för data
- Distribuera skydd mot hot för molnappar med Microsoft Defender för molnet Apps
Mer information om Copilot i Edge finns i:
Rekommendationer för E3 och E5
Implementera Intune-appskyddsprinciper (APP) för dataskydd. APP kan förhindra oavsiktlig eller avsiktlig kopiering av Copilot-genererat innehåll till appar på en enhet som inte ingår i listan över tillåtna appar. APP kan begränsa en angripares explosionsradie med hjälp av en komprometterad enhet.
Aktivera Microsoft Defender för Office 363 Plan 1, som omfattar Exchange Online Protection (EOP) för säkra bifogade filer, säkra länkar, avancerade tröskelvärden för nätfiske och personifieringsskydd samt identifieringar i realtid.
Nästa steg
Se följande ytterligare artiklar för Nolltillit och Microsofts Copilots:
Referenser
Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.