将零信任原则应用于 Microsoft 365 Copilot

摘要:要将零信任原则应用于 Microsoft 365 Copilot,需要在 Microsoft 365 租户中应用七层保护:

  1. 数据保护
  2. 身份验证和访问控制
  3. 应用保护
  4. 设备管理和保护
  5. 威胁防护
  6. 使用 Teams 保护协作
  7. 用户对数据的权限

简介

在将 Microsoft 365 Copilot (Copilot) 引入环境之前,Microsoft 建议构建坚实的安全基础。 幸运的是,强大安全基础的指导以“零信任”的形式存在。 零信任安全策略将每个连接和资源请求都视为源自不受控制的网络和不良参与者。 无论请求来自何处或者它要访问哪些资源,零信任都教导我们“不要信任,始终验证”。

本文提供了应用“零信任”安全原则的步骤,以如下方式为 Copilot 准备环境:

零信任原则 定义 满足者
显式验证 始终根据所有可用的数据点进行身份验证和授权。 强制实施用户凭据的验证、设备要求以及应用权限和行为。
使用最低权限访问 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 通过确保为文件、文件夹、Teams 和电子邮件分配正确的权限,验证整个组织中的 JEA,以消除过度共享。 使用了敏感度标签和数据丢失防护策略。
假定数据泄露 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 使用 Exchange Online Protection (EOP) 和 Microsoft Defender XDR 服务自动防止常见攻击并检测和响应安全事件。

有关 Copilot 的基础知识,请参阅概述以及如何入门

逻辑体系结构

从用户和设备到他们有权访问的应用程序数据,在整个体系结构中对 Copilot 应用零信任原则。 下图显示了逻辑体系结构的组件。

Copilot 的逻辑体系结构示意图。

在图中:

  • 用户设备已安装 Microsoft 365 应用,用户可以从中启动 Copilot 提示
  • Copilot 组件包括:
    • Copilot 服务,可用于协调对用户提示的响应
    • Copilot 参考的大型语言模型 (LLM),用于为用户生成最佳响应
    • Microsoft 365 租户数据的 Microsoft Graph 实例
  • 包含组织数据的 Microsoft 365 租户
  • 用户的 Copilot 结果仅包含允许用户访问的数据

本文内容

本文将指导你完成应用零信任原则,以准备适用于 Copilot 的 Microsoft 365 环境的步骤。

步长 任务 已应用零信任原则
1 部署或验证数据保护 显式验证
使用最低权限访问
2 部署或验证身份验证和访问控制策略 显式验证
使用最低权限访问
3 部署或验证应用保护策略 使用最低特权访问
假定数据泄露
4 部署或验证设备管理和保护 显式验证
5 部署或验证威胁防护服务 假定数据泄露
6 使用 Teams 来部署或验证安全协作 显式验证
使用最低权限访问
7 部署或验证用户对数据的权限 使用最低权限访问

E3 入门和 E5 的后续步骤

为了帮助你取得进展,本文中的每个步骤都按以下方式进行组织:

  • E3 功能入门
  • E5 功能的后续步骤

与 Microsoft FastTrack 团队合作

如果与 Microsoft FastTrack 团队合作将 Copilot 引入环境,你将熟悉三个阶段:基线、核心和顶级。 此方法适用于本指南。

显示部署 Microsoft 365 Copilot 的三个阶段的图,由 Microsoft FastTrack 团队推荐。

图中,Microsoft FastTrack 团队采用三个阶段方法来部署 Copilot:

  • 基线 - 设置 Copilot
  • 核心 - E3 中的保护入门
  • 顶级 - E5 的后续步骤

有关设置 Copilot 的详细信息,请参阅 Microsoft 365 Copilot 入门

为组织调整本指南

由于不同的组织可能处于部署零信任保护的不同阶段,因此在以下步骤中:

  • 如果不使用步骤中描述的任何保护措施,请在分配 Copilot 许可证之前花时间进行试点和部署。
  • 如果使用步骤中所述的一些保护,请使用该步骤中的信息作为清单,在分配 Copilot 许可证之前验证所述的每项保护是否已进行试验和部署。

有关 Microsoft 365 与安全相关和其他功能的最新 Copilot 支持,请参阅 Copilot 要求

注意

从 2024 年 1 月 1 日起,Copilot 将提供面向 Microsoft 365 A3 和 A5 教职员工的正式发布版。 有关详细信息,请参阅此技术社区帖子

步骤 1. 部署或验证数据保护

为防止组织的数据面临过度曝光或过度共享的风险,下一步是保护 Microsoft 365 租户中的数据。 请务必确保:

  • 你的数据按敏感度级别进行分类。
  • 敏感度标签表示由用户应用或自动应用的敏感度级别。
  • 可以查看 Microsoft 365 租户中敏感度标签的使用方式。

这些数据保护功能还可用于确保组织遵守数据法规,如用于保护个人信息的法规。

Microsoft Purview 的以下功能增强了 Copilot 的数据安全性和合规性:

  • 由 Microsoft Purview 信息保护加密的敏感度标签和内容
  • 数据分类
  • 客户密钥
  • 通信合规性
  • 审核
  • 内容搜索
  • 电子数据展示
  • 保留和删除
  • 客户密码箱

有关详细信息,请参阅 Microsoft Copilot 的 Microsoft Purview 数据安全性和合规性保护为 Copilot 部署 Microsoft Purview 数据安全性和合规性保护的注意事项

E3 入门

敏感度标签构成了保护数据的基石。 在创建标签以表示项目的敏感度和应用的保护操作之前,必须了解组织的现有分类法,及其如何映射到用户在应用中查看和应用的标签。 创建并发布敏感度标签后,向用户提供在 Word、Excel、PowerPoint 和 Outlook 中应用的方式和时间的指导。

有关详细信息,请参阅:

请考虑使用默认标签和强制标签的敏感度标签策略设置,增强手动标记。 默认标签可帮助设置要应用于所有内容的保护设置的基本级别。 强制标记可确保用户标记文档与电子邮件。 但是,如果没有对用户进行全面培训以及采取其他控制措施,这些设置有可能导致标记不准确。

请参阅以下附加资源来保护组织的数据:

使用 E5 的后续步骤

借助 Microsoft 365 E5 可扩展敏感度标签,以保护更多内容和更多标记方法。 例如,使用容器标签标记 SharePoint 网站和 Teams,并在 Microsoft 365 及更高版本中自动标记项目。 有关详细信息,请参阅常见标记场景的列表,以及它们如何与业务目标保持一致。

请考虑以下附加 Microsoft 365 E5 功能:

  • 将数据丢失防护策略扩展到更多位置,并使用更广泛的分类器查找敏感的信息。
  • 当发现需要与保留策略不同的设置或具有更高管理级别的敏感信息时,可以自动应用保留标签
  • 为了帮助你更好地理解敏感数据及其标记的方式,请使用“活动资源管理器”,以及内容资源管理器的完整功能。

步骤 2. 部署或验证身份验证和访问控制策略

为防止不良参与者使用 Copilot 更快地发现和访问敏感数据,第一步是阻止他们获取访问权限。 请务必确保:

  • 用户需要使用强身份验证,不能仅通过猜测用户密码来破解该方法。
  • 身份验证尝试会评估其风险,并施加更多要求。
  • 你可以审核授予用户帐户的访问权限,以防止过度共享。

E3 入门

Microsoft 365 E3 包括 Microsoft Entra ID P1 授权。 借助此计划,Microsoft 建议使用常见的条件访问策略,如下所示:

确保在这些策略的范围内包括 Microsoft 365 服务和其他 SaaS 应用程序。

如果环境包含本地 Active Directory 域服务的混合标识,请确保部署 Microsoft Entra 密码保护。 此功能可以检测并阻止已知的弱密码及其变体,还可以阻止特定于你的组织的密码中的更多弱词。

使用 E5 的后续步骤

Microsoft 365 E5 包括 Microsoft Entra ID P2 授权。 开始实施 Microsoft 建议的条件访问和相关策略集,包括:

  • 登录风险为中或高时需要 MFA。
  • 要求高风险用户更改其密码(适用于不使用无密码身份验证时)。

有关根据许可计划实现身份验证和访问控制保护的详细信息,请参阅 使用 MFA 提高混合辅助角色的登录安全性

Microsoft 365 E5 和 Microsoft Entra ID P2 都包括对特权帐户的更多保护。 实现下表中汇总的功能。

功能 资源
Privileged Identity Management (PIM) 为访问资源的特权帐户提供保护,包括 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(例如 Microsoft 365 或 Microsoft Intune)中的资源。 请参阅规划 Privileged Identity Management 部署
Microsoft Purview 特权访问管理 允许对 Office 365 中的特权 Exchange Online 管理任务进行精细的访问控制。 它可以帮助贵组织免受入侵,这些入侵使用拥有现有访问权限的现有特权管理员帐户来访问敏感数据或关键配置设置。 请参阅 Privileged Access Management 概述

最后,请考虑将访问评审作为整体 JEA 策略的一部分实施。 访问评审可使你的组织有效地管理组成员身份、对企业应用程序的访问以及角色分配。 可以定期评审用户的访问权限,确保相应人员持续拥有适当访问权限。

步骤 3. 部署或验证应用保护策略

对于 Microsoft 365 E3 和 E5,请使用 Intune 应用保护策略 (APP),这些策略是确保组织的数据保持安全或包含在托管应用中的规则。

借助 APP,Intune 会在组织数据和个人数据之间建立一堵墙。 APP 确保无法将指定应用中的组织数据复制并粘贴到设备上的其他应用,即使设备未受托管也是如此。

APP 会阻止无意或有意地将 Copilot 生成的内容复制到设备上未包含在允许的应用列表中的应用。 APP 可使用受攻击的设备来限制攻击者的影响范围。

有关更多信息,请参阅创建应用保护策略

步骤 4. 部署或验证设备管理和保护

为了防止不良参与者破坏设备,或使用泄露的设备来访问 Copilot,下一步是使用 Microsoft 365 的设备管理和保护功能。 请务必确保:

  • 设备已在 Microsoft Intune 中注册,必须满足运行状况和符合性要求。
  • 你可以在设备上管理设置和功能。
  • 你可以监视设备的风险级别。
  • 你可以主动防止数据丢失。

E3 入门

Microsoft 365 E3 包括用来管理设备的 Microsoft Intune。

接下来,开始将设备注册到管理中。 注册后,设置符合性策略,然后要求能正常运行且合规的设备。 最后,可以部署设备配置文件(也称为配置文件),以管理设备上的设置和功能。

要部署这些保护,请使用以下一组文章。

使用 E5 的后续步骤

Microsoft 365 E5 还包括 Microsoft Defender for Endpoint。 部署 Microsoft Defender for Endpoint 后,可以通过将 Microsoft Intune 与 Defender for Endpoint 集成,获取对设备的更深入的见解和保护。 对于移动设备,这包括将监视设备风险作为访问条件的能力。 对于 Windows 设备,可以监视这些设备对安全基线的合规性。

Microsoft 365 E5 还包括终结点数据丢失防护 (DLP)。 如果你的组织已经了解了你的数据、开发并应用了数据敏感度架构,则可以使用 Microsoft Purview DLP 策略将此架构的元素扩展到终结点。

若要部署这些设备保护和管理功能,使用以下文章:

步骤 5。 部署或验证威胁防护服务

为了检测不良参与者的活动,并阻止他们访问 Copilot,下一步是使用 Microsoft 365 的威胁防护服务。 请务必确保:

  • 你可以自动防止常见类型的电子邮件和基于设备的攻击。
  • 你可以使用各种功能来减少 Windows 设备的攻击面区域。
  • 你可以使用一整套的威胁防护服务来检测和响应安全事件。

E3 入门

Microsoft 365 E3 包括 Defender for Office 365 和 Defender for Endpoint 中的多项关键功能。 此外,Windows 11 和 Windows 10 还包括诸多威胁防护功能。

Microsoft Defender for Office 365 计划 1

Microsoft Defender for Office 365 P1 包括位于 Microsoft 365 E3 中的 Exchange Online Protection (EOP)。 EOP 有助于保护电子邮件和协作工具免受网络钓鱼、模拟和其他威胁的影响。 使用这些资源来配置反恶意软件、反垃圾邮件和防钓鱼保护:

Defender for Endpoint P1

Microsoft 365 E3 包括 Microsoft Defender for Endpoint P1,其中包含以下功能:

  • 下一代保护 - 有助于实时保护设备免受新兴威胁的影响。 此功能包括 Microsoft Defender 防病毒,可使用文件和进程行为监视持续扫描设备。
  • 攻击面减少 - 通过配置自动阻止潜在可疑活动的设置,第一时间防止攻击发生。

使用这些资源来配置 Defender for Endpoint 计划 1:

Windows 保护功能

默认情况下,Windows 包括跨硬件、操作系统、应用等的强大安全性和保护措施。 有关详细信息,请参阅 Windows 安全性简介。 下表列出了 Microsoft 365 E3 附带的重要 Windows 客户端威胁防护功能。

功能 资源
Windows Hello Windows Hello 企业版概述
Microsoft Defender 防火墙 Windows Defender 防火墙文档
Microsoft Defender SmartScreen Microsoft Defender SmartScreen 概述
Windows 应用程序控制 Windows 应用程序控制
BitLocker BitLocker 设备加密概述
Edge 的 Microsoft Defender 应用程序防护 Microsoft Defender 应用程序防护 概述

通过使用组策略对象 (GPO),或使用设备管理工具(包括 Intune),这些功能可以直接在客户端上配置。 但是,只能通过部署“配置文件”(Microsoft 365 E5 的一项功能)来管理 Intune 中的设备上的设置。

使用 E5 的后续步骤

为了获得更全面的威胁防护,请试用和部署 Microsoft Defender XDR,其中包括:

  • Defender for Identity
  • Defender for Office 365 P2
  • Defender for Endpoint P2
  • Defender for Cloud Apps

Microsoft 建议按所示顺序启用 Microsoft 365 的组件:

评估和部署 Microsoft Defender XDR 组件的过程示意图。

有关详细信息和此图的说明,请参阅评估并试用 Microsoft Defender XDR

部署 Microsoft Defender XDR 后,将这些扩展检测和响应 (XDR) 工具与 Microsoft Sentinel 集成。 Microsoft Sentinel 与 Microsoft 365 E5 分开获得许可和计费。 有关详细信息,请使用这些资源:

步骤 6。 使用 Microsoft Teams 来部署或验证安全协作

Microsoft 提供了在三个不同级别保护 Teams 的指导 - 基线、敏感和高度敏感。 引入 Copilot 是查看环境并确保配置适当的保护的好时机。 使用以下步骤:

  1. 确定需要高度敏感保护的 Teams 或项目。 为此级别配置保护措施。 许多组织没有需要此级别保护的数据。
  2. 确定需要敏感保护并应用此保护的 Teams 或项目。
  3. 确保所有 Teams 和项目至少配置为基线保护。

有关详细信息,请参阅以下资源:

外部共享

引入 Copilot 是审查与组织外部人员共享文件以及允许外部贡献者的策略的好时机。 来宾帐户没有权限使用 Copilot。

要与组织外部的人员共享,可能需要共享任何敏感度的信息。 请参阅以下资源:

要与组织外部的人员开展协作,请参阅以下资源:

步骤 7. 部署或验证对数据的最低用户权限

为防止组织的数据面临过度曝光或过度共享的风险,下一步是确保所有用户都具有“刚好够的访问权限”(JEA) 来执行其工作,不过度提供权限。 用户不应发现本不应能查看的数据或共享本不应能共享的数据。

要防止过度共享,请实施所有用户必须遵循的权限要求和组织策略,并培训用户使用它们。 例如,制定控制措施,如要求网站所有者审查网站访问权限,或限制从一个中心位置访问定义的安全组。

检测现有的过度共享:

  • 在文件级别

    使用 Microsoft Purview 信息保护及其数据分类控制、集成内容标记和相应的数据丢失防护策略。

    这些功能可帮助你识别 Microsoft Teams、SharePoint 网站、OneDrive 位置、电子邮件、聊天对话、本地基础结构以及包含敏感信息或机密内容的终结点设备上的文件,然后自动应用控制来限制其访问权限。

  • 在 Microsoft Teams 和 SharePoint 内的网站团队和容器级别

    可以审核对网站和团队级别共享内容的访问,并强制实施限制,将信息发现限制为仅应具有访问权限的人员。

    为进一步帮助实现此过程的自动化,Microsoft Syntex – SharePoint 高级管理可帮助你找到与 SharePoint 和 Microsoft Teams 文件潜在的过度共享。

并行应用保护措施和部署 Copilot

要通过适当的保护简化租户中 Copilot 许可证的分配,请并行执行这两项操作。 下图显示了在将 Copilot 许可证分配给个人用户帐户及其设备使其受保护之前,如何完成推出保护的各个阶段。

应用保护及并行部署 Copilot 的关系图。

另外如图所示,在部署标识和设备访问保护时,可以在组织中推出信息保护。

培训

Copilot 入门

培训 Copilot 入门
此学习路径将引导你了解 Copilot 的基础知识,展示其跨各种 Microsoft 365 应用程序的多功能性,并提供有关最大化其潜力的建议。
培训 为组织做好使用 Copilot 的准备工作
此学习路径检查 Copilot 设计、其安全性和合规性功能,并提供有关如何实现 Copilot 的说明。

后续步骤

观看如何做好 Copilot 准备视频。

请参阅有关零信任和 Microsoft Copilot 的下述其他文章:

另请参阅:

摘要海报

有关本文中信息的可视化汇总,请参阅 Copilot 体系结构和部署海报。

Copilot 体系结构海报拇指

PDF | Visio

使用 Visio 文件自定义这些插图以供自己使用。

有关更多零信任技术插图,请参阅面向 IT 架构师和实现者的零信任插图

参考

请参阅以下链接,了解本文所述的各种服务和技术。