共用方式為

針對與 ASD 藍圖對齊的 Copilot 建議設定

  • 發行項

適用於 Microsoft 365 的 Copilot 設定和規劃指南適用於澳大利亞和紐西蘭敏感且受管制的產業客戶,並且與 Microsoft 365 的安全雲端設定藍圖 (ASD) 藍圖 一致。

本節指的是建議的設定。 建議 的元素會解決視為適當且適合敏感性環境用途的組態。 偏離這些建議並不會阻止 Copilot 運作,但可能會降低整體功能,並增加風險暴露。

Office 發行通道

適用於 Microsoft 365 的 Copilot 需要 Microsoft 365 Apps 版的 Office,舊版不支援。 適用於 Microsoft 365 的 Copilot 可在 Microsoft 365 Apps 的目前和每月企業更新通道上取得。

客戶會根據其使用者需求和風險評估來選擇其更新通道、平衡最新功能的存取 (目前) ,以及 (每月企業版) 更穩定的組建版本。 兩者都適用於敏感性環境,而且可以套用至使用者群組或個別使用者。

更新通道的 Office 自定義工具組態。

如需如何設定更新通道的詳細資訊,請參閱 如何變更 Copilot 的通道

Office 自定義工具可協助您建置 Microsoft 365 Apps 組態,包括選擇更新通道。

客戶也必須確定 Office 功能 匯報 工作已啟用,Office 應用程式才能繼續正確地使用 Copilot。 Office 功能 匯報 工作會檢查 Microsoft 365 中聯機體驗的更新,例如 Copilot。

意見反應範例

雖然在敏感性環境中停用產品內意見反應機制是標準做法,但值得重新提出與 Copilot for Microsoft 365 相關的建議,因為如果啟用將意見反應 提交至Microsoft原則時,允許使用者包含記錄檔和內容 範例,則可以將互動和響應互動提交至Microsoft。

基於這個理由,建議您停用允許 使用者在將意見反應提交至Microsoft原則時包含記錄檔和內容範例

雖然這可以在 Active Directory 網域 連線環境中使用 群組原則 來設定,但必須至少在 Microsoft 365 的雲端原則中設定,因為 Web 體驗和新式應用程式完全由雲端原則控制。 (Win32 應用程式) 的豐富用戶端 Office 應用程式可以由 群組原則 和雲端原則控制,群組原則 優先使用兩者。 對於使用 群組原則 和雲端原則組合的組織,建議它們保持彼此一致,以避免混淆。

意見反應雲端原則。

意見反應雲端原則是從 Microsoft 365 入口網站設定

如需意見反應原則的詳細資訊,請 參閱管理意見反應原則

注意事項

聯機體驗原則也由控制意見反應的 群組原則 和雲端原則機制所控制。

Microsoft Teams

適用於 Microsoft 365 的 Copilot 其中一個最受歡迎的功能是與 Microsoft Teams 整合。 Copilot 以兩種不同的方式整合到 Teams:

  1. 協助日常工作,例如摘要 & 重新快取會議,以及協助回答聊天和頻道中的問題。
  2. 作為獨立 Copilot 聊天體驗。

Microsoft Teams 中呈現的 Copilot 聊天體驗會以其全名稱為 Graph 式聊天 Microsoft Copilot,這反映在授權元素中,可更廣泛地控制功能的可用性。

這是交談式一般用途的 Copilot 聊天體驗,不僅可透過 Microsoft Teams 存取,也可以透過 Web 型 Copilot 體驗Microsoft Edge 瀏覽器、Windows 桌面Copilot 行動裝置應用程式來存取。

在啟用 Copilot 以Microsoft 365 與 Microsoft Teams 整合時,建議客戶考慮下列設定元素:

Teams 會議

Copilot in Teams 會議可讓使用者快速開始參與延遲加入的會議,並取得結構化會議回顧,其中包含已完成會議的附註。 使用者也可以詢問 Copilot 有關會議內所發生內容和討論的問題。

若要讓 Copilot 能夠在會議中工作,Teams 必須產生文字記錄。 這會建立一個決策,讓組織考慮Teams在此案例中的運作方式。 基本上,Copilot 有兩種方式可以使用轉譯:保留的文字記錄和暫存文字記錄。

保留文字記錄

保留的文字記錄可由會議中的用戶啟動,或是透過會議設定自動啟動,文字記錄會根據組織的保留設定與會議一起建立和儲存。

這些文字記錄可由使用者存取、下載,以及在組織選擇的時間範圍內保留或刪除。

這是功能最豐富的體驗,因為只要文字記錄保留下來,Copilot 就可以繼續回答會議的問題和參考詳細數據。

暫存文字記錄

對於對於文字記錄保留期和可探索性有疑慮的組織,此選項只會建立 Copilot 的暫時文字記錄。 它無法探索或下載,而且會在會議完成時無法復原地移除。

Copilot 完成會議筆記之後,文字記錄就會終結。 這對不想以使用者或探索程式可以擷取的方式建立文字記錄的組織有利。 但缺點是,一旦會議完成,便無法再使用 Copilot 來討論會議內容。

轉譯方法

關於要使用哪一個文字記錄方法的決定,不是由環境的分類所決定。 敏感性環境可能會利用任一轉譯方法。 澳大利亞隱私權原則和隱私法不是組織所選擇之方法的規範。 每位客戶決定哪一種模型最符合其保留需求,而非處置會議記錄,以符合自己的保留和探索義務和需求。

Teams 會議原則的彈性表示不同的使用者可能會受限於不同的需求,讓組織有高度的可設定性,為不同的使用者群組提供不同的設定。

Teams 會議原則

Teams 會議原則是在 Microsoft Teams 系統管理入口網站中設定。

Teams 會議原則 可以針對各種客戶需求進行設定,因此請務必充分瞭解可用的功能和設定,以取得適合您組織需求的設定。

Copilot 的 Teams 會議原則。

會議原則轉譯設定會決定使用者觸發建立保留文字記錄的能力。

具體而言,如果轉譯設定為 [關閉] ,則受影響的使用者將無法觸發保留文字記錄的建立。

這會如何影響 Copilot,接著是根據兩個設定:使用者的會議原則 Copilot 設定,以及建立會議時選擇的錄製 & 文字記錄會議選項。

[會議原則][Copilot] 設定可以 是 [僅在保留文字記錄 中開啟] 或 [ 開啟]。 這可讓系統管理員要求保留文字記錄,使用者才能存取 Copilot,或允許使用者透過保留或暫存文字記錄與 Copilot 互動。 藉由結合此設定與會議原則文字記錄設定,可以根據個別組織和使用者群組的特定需求來建立一系列案例。

改變 Copilot 在會議內運作方式的第三個元素,是在設定已排程會議本身的[錄製 & 文字記錄] 設定 時,會議召集人的選擇。

如果使用者已將 [轉譯] 設定為 [開啟] 的會議原則,則會自動提供 [錄製和轉譯] 會議選項。 當自動啟用 記錄和轉譯 時,會在會議開始時立即建立保留的文字記錄。 Copilot 可供這類會議中的授權使用者使用。

如果未啟用自動錄製和轉譯,則 [誰可以錄製並轉譯 ] 和 [ 允許 Copilot ] 設定可供設定,並會影響 Copilot 的運作方式。

[誰可以錄製和轉譯] 設定會決定誰可以啟用錄製和轉譯。

[ 允許 Copilot ] 設定有兩個選項:

  • 只有在會議期間:此設定會指示 Copilot 在會議開始時建立暫時文字記錄,並在會議結束時處置它。 因此,除非使用者在會議期間開啟轉譯,否則無法在會議完成之後使用 Copilot。 這會建立 Copilot 可在會議完成後使用的保留文字記錄。
  • 會議期間和之後:此設定可讓會議中的用戶開啟轉譯,建立保留的文字記錄,而 Copilot 會使用此文字記錄在會議完成期間和之後提供功能。

如需Teams會議 Copilot 設定的詳細資訊,請參閱 轉譯設定

Copilot 聊天

適用於 Microsoft 365 的 Copilot 提供直接在 Microsoft Teams 內的 AI 聊天。 這是一般用途的聊天體驗,可讓您回答問題、執行研究及草稿內容。 若要確保 Copilot 使用者可以使用此功能,您必須確認 Teams 應用程式整合並未遭到任何您可能已備妥的應用程式封鎖原則封鎖。

流覽至 Teams 管理員 入口網站,然後流覽 Teams 應用程式的 [管理應用程式] 選單,以檢查應用程式可用性。 找出並選取 Copilot 應用程式整合。

適用於 Microsoft Teams 的 Copilot 應用程式。

注意事項

您可以使用 [管理應用程式] 頁面上的搜尋方塊,藉由輸入 'Copilot' 縮小可用應用程式清單的範圍

瀏覽至應用程式詳細數據頁面之後,如果您發現應用程式遭到封鎖,請選取 [ 解除封鎖應用程式] 來解除封鎖應用程式:

Copilot Teams 應用程式遭到原則封鎖。

如果 Teams 應用程式已解除封鎖並允許,則已啟用 Copilot 的使用者會在 Microsoft Teams 中找到釘選到 [聊天] 索引卷標頂端的 Copilot 聊天應用程式:

Microsoft Teams 中的 Copilot 聊天。

存取 Bing 整合 (Web 內容)

適用於 Microsoft 365 的 Copilot 隨附 來自 Microsoft Bing 的 Web 內容整合,以增強已定型的服務知識,以及從您的 Microsoft 365 環境中收集的資訊,以及來自 Bing 的公用 Web 內容。 如需詳細資訊,請參閱 服務架構

這項整合會在 Copilot 程式的基礎階段運作,作為從因特網存取相關最新公開信息的機制。 這可藉由將用戶互動重寫成匿名傳送至 Bing 的搜尋關鍵詞來完成。 然後,Bing 的相關結果會與內部數據一起使用,以在大型語言模型中建立回應。

例如,您可以在下方看到互動「誰贏得最近一次的函數系列?」 首先由 Copilot 執行,並停用 Web 內容,之後再啟用。

Copilot 無法在停用 Web 內容時回答此問題:

Copilot 無法在停用 Web 內容時回答此問題。

Copilot 可在啟用 Web 內容時回答:

Copilot 可在啟用 Web 內容時回答。

當適用於 Microsoft 365 的 Copilot 在 Microsoft 365 服務界限內執行時,外掛程式會在該界限之外運作。 對於整合式 Web 內容外掛程式也是如此。 雖然 Bing 是透過Microsoft網路連線的Microsoft第一方服務,但它不在Microsoft 365 服務界限之外,而且尚未評估 IRAP。 因此,Microsoft無法判斷 Bing 適合處理分類的數據。

適用於 Microsoft 365 的 Copilot 不會 將下列資訊傳送至 Bing:

  • 使用者的原始互動
  • 整Microsoft 365 個檔案 (,也就是整個文件或電子郵件)
  • 從使用者的 Microsoft Entra ID 對象識別資訊,例如使用者名稱、網域、使用者標識碼或租使用者標識碼

重要的是,與商業數據保護搭配使用 Microsoft Copilot 一致,Copilot 為 Microsoft 365 建立並傳送至 Bing 的搜尋查詢:

  • 不會儲存在 Bing 搜尋 索引的排名參數中,也不會有任何影響。
  • 無法透過 Bing Webmaster 工具或提供給第三方的任何其他工具存取, (包括Microsoft合作夥伴或廣告商) 。

不過,雖然Microsoft採取強式措施來保護客戶數據安全性、隱私權和合規性,但目前不會評估 Bing 是否適合處理分類的數據。 具有敏感性環境的客戶必須將此考慮納入考慮。

建議一開始,當使用者熟悉適用於 Microsoft 365 的 Copilot 時,任何處理敏感數據的用戶都會 用此功能。

租用戶層級 Web 內容外掛程式設定。

租用戶層級 Web 內容外掛程式設定是從 Microsoft 365 系統管理入口網站設定

一旦使用者熟悉適用於 Microsoft 365 的 Copilot,建議您引進與相關員工訓練的 Web 內容整合。 當系統管理員啟用時,用戶可以視需要開啟或關閉 Web 內容。 這可讓使用者控制目前會話的資訊何時可以傳送至 Bing。

使用者 Web 內容設定。

由於使用者可以隨選開啟和關閉 Web 內容外掛程式,因此可以負責任地使用這項功能。 這類似於用戶決定目前要與公用搜尋引擎互動的內容和時機。 不過,使用適用於 Microsoft 365 Web 內容外掛程式的 Copilot,套用的隱私權控制會比取用者 Web 搜尋更多。

建議員工依會話使用 Web 內容外掛程式,讓外掛程式能夠與來自網路的材料互動,然後在「新聊天」開始時停用它,以使用更敏感的資訊。

可看見 [新增聊天] 按鈕的 Copilot Chat。

如需有關使用 Web 內容的 Copilot 體驗的詳細資訊,請參閱使用商業數據保護 Microsoft Copilot。

使用商業數據保護 Microsoft Copilot

Microsoft Copilot 商業數據保護是個別的 Copilot 體驗,不屬於適用於 Microsoft 365 的 Copilot,且無法與 Microsoft 365 數據連線。 它會透過 Bing 連線到 Web。 商業數據保護是以消費者 Microsoft Copilot 體驗為基礎,為商業客戶新增特定的數據保護承諾。

每個適用於 Microsoft 365 客戶的 Copilot 都可透過其合格 Office 365 或Microsoft 365 授權來存取商業數據保護供應專案。

商業數據保護 Microsoft Copilot 提供更強大的安全性、合規性和隱私權承諾,超越取用者服務可能提供的功能,例如:

  • 承諾不要在您的互動和數據上定型基礎 AI 模型。
  • 互動和回應會加密,Microsoft人員看不到。
  • 不會將用戶的互動連結回他們或您的組織。

重要的是,與使用 Copilot 進行 Microsoft 365 一致,搜尋查詢是由 Microsoft Copilot 搭配商業數據保護所建立,並傳送至 Bing:

  • 不會儲存在 Bing 搜尋 索引的排名參數中,也不會有任何影響。
  • 無法透過 Bing Webmaster 工具或提供給第三方的任何其他工具存取, (包括Microsoft合作夥伴或廣告商) 。

Microsoft Copilot 未包含在 Microsoft 365 的 Copilot IRAP 評量中,且與 Bing 內部連結以存取 Web。 因此, 不適用於處理分類的數據。

不過,如同許多組織現在允許員工存取 Web 搜尋引擎一樣,訓練其員工避免在搜尋引擎中輸入敏感性資訊,Microsoft Copilot 商業數據保護可以提供安全、安全且私人的方式來存取產生的 AI 功能,而不需要使用消費者等級的公用因特網服務,而這可能會將政府資訊公開給未知的第三方。 或使用您的數據定型 AI 模型。

基於這些理由,建議客戶使用商業數據保護 Microsoft Copilot,以允許從其使用者計算環境存取公用 Web 搜尋引擎,以替代較不安全的公用產生 AI 服務。

若要使用商業數據保護來設定 Microsoft Copilot,客戶應該執行此連結中的實作步驟。

強制執行商業數據保護

若要確保使用者只在商業數據保護作用中,而不是使用取用者服務時,才會與 Microsoft Copilot 互動,則需要設定。 需要套用的組態會將使用者從取用者服務重新導向至商業數據保護服務。

有三種方式可強制使用商業數據保護:

  1. DNS CNAME:為各種 Copilot 進入點建立 DNS 重新導向:

    • 針對 Copilot in Bing、Microsoft Edge 中的 Copilot 和 Copilot in Windows:將 www.bing.com 的 DNS 專案設定為 <nochat.bing.com> 的 CNAME,以更新您的 DNS 組態。
    • 針對 copilot.microsoft.com 和 Copilot 行動應用程式:將 copilot.microsoft.com 的 DNS 專案設定為 cdp.copilot.microsoft.com 的 CNAME,以更新您的 DNS 組態。

    如需 Active Directory 網域服務 DNS 設定的詳細資訊,請參閱 Active Directory 網域服務 DNS 設定

  2. 標頭插入:將下列 HTTP 標頭附加至所有傳出要求,以 <www.bing.com>、edgeservices.bing.com 和 copilot.microsoft.com:

    • x-ms-entraonly-copilot: 1

  3. 目的地網路位址轉換 (DNAT) :使用公司防火牆執行目的地網路位址轉換 (DNAT) :

    • 針對 Copilot in Bing、Microsoft Edge 中的 Copilot,以及 Copilot in Windows:將 <www.bing.com> 和 edgeservices.bing.com 解析為 DNAT IP 位址 nochat.bing.com。
    • 針對 copilot.microsoft.com 和 Copilot 行動裝置應用程式:將 copilot.microsoft.com 解析為 DNAT IP 位址 cdp.copilot.microsoft.com。

套用用戶授權

要存取商業數據保護 Microsoft Copilot 的每位使用者,都必須將「Microsoft Copilot的商業數據保護」授權元素 (授權標識符:0d0c0d31-fae7-41f2-b909-eaf4d7f26dba) 套用至其 Microsoft Entra ID 用戶物件。

針對 Microsoft Copilot 授權專案套用商業數據保護。

Microsoft Copilot 授權專案的商業數據保護隨附於適用於 Office 365 企業版 和 Frontline Microsoft 365 必要條件授權類型的 Copilot,以及 Microsoft 365 企業版、Business、Frontline 和 Education。

稽核、探索和保留

實作任何新技術時,請務必考慮稽核使用方式、存在搜尋和探索程式,以及套用數據保留的原則。 適用於 Microsoft 365 的 Copilot 並無不同,不過因為它已整合到 Microsoft 365 中,這更多的是瞭解該前往何處和您找到的內容,而不是需要設定任何尚未具備的新機制。

您可以從 Microsoft 365 管理入口網站的 [Copilot 設定] 頁面,快速存取稽核、探索和保留設定 (以及 敏感度卷標通訊合規性 設定) 。

數據安全性與合規性快速連結。

組織系統管理員可以從 Microsoft 365 系統管理入口網站存取 Copilot 數據安全性與合規性快速連結。

稽核

每次與 Copilot 的互動都會以與 SharePoint、OneDrive 或 Teams 中的使用者動作相同的方式產生 稽核記錄專案 。 標準 Microsoft 365 稽核記錄 現在包含名為 Copilot Interaction 的 Copilot 稽核項目類別。

稽核 Copilot 互動的記錄數據。

在活動、作業和工作負載資訊上方的稽核記錄數據中,所有數據都指向 Copilot 互動, 而 CopilotEventData 專案的 JSON 承載會指出在互動過程中存取哪些資源、原始主機應用程式,以及聊天對話標識符。 此資訊可用來存取用戶互動和 Copilot 回應。 如需詳細資訊,請參閱 保留探索

保留

適用於 Microsoft 365 提示和響應互動的 Copilot 會儲存為Microsoft Teams 訊息,其方式與 Teams 目前儲存兩位使用者之間的聊天訊息相同。 此數據會保留在使用者的信箱記憶體中,並受限於Microsoft 365 保留和處置原則,方式與Teams聊天相同。

實作適用於 Microsoft 365 的 Copilot 的組織應該考慮這類互動的保留和處置需求,並確保保留和/或處置原則已就緒,以便視需要探索和擷取與 Copilot 的用戶互動。

設定 Teams 聊天和 Copilot 互動的保留原則。

如同其他保留原則,Teams 聊天和 Copilot 互動可以保留任何選擇的持續時間,包括無限期且選擇性地在保留期間結束時自動刪除。 適用於 Microsoft 365 客戶的 Copilot 應該決定適當的保留期限,並從 Microsoft Purview 入口網站套用適當的原則來比對。

繼續設定Teams聊天和 Copilot 互動的保留原則。

電子文件探索

由於適用於 Microsoft 365 互動的 Copilot 儲存方式與來自 Microsoft Teams 的聊天訊息相同,因此客戶可以使用相同的 內容搜尋電子檔探索 功能來存取這些功能。

適用於 Microsoft 365 的 Copilot 為 Microsoft 365 中的探索功能引進新的內容類型,稱為 Copilot 互動

執行內容搜尋時,使用 Copilot 互動類型可讓系統管理員或電子檔探索人員特別找出指定使用者或群組的互動,或是找出透過稽核記錄識別的特定互動。

不論您是電子檔探索案例的系統管理員或管理員,Copilot 互動都會記錄下來,而且可以在其預設保留期間內或由保留原則涵蓋時擷取。