共用方式為


將 零信任 原則套用至 Microsoft Copilot

摘要:若要將 零信任 原則套用至 Microsoft Copilot,您需要:

  1. 針對因特網的網頁式提示實作安全性保護。
  2. 新增 Microsoft Edge 瀏覽器摘要的安全性保護。
  3. 完成 Microsoft 365 Copilot 的建議安全性保護。
  4. 使用 Microsoft Copilot 並同時Microsoft 365 Copilot 時,維護安全性保護。

簡介

Microsoft Copilot 或 Copilot 是 copilot.microsoft.com、Windows、Edge、Bing 和 Copilot 行動裝置應用程式中的 AI 隨附專案。 本文可協助您實作安全性保護,以在使用 Copilot 時保護您的組織和數據安全。 藉由實作這些保護,您會建置 零信任 的基礎。

零信任 Copilot 的安全性建議著重於保護使用者帳戶、用戶裝置,以及您設定 Copilot 的方式範圍內的數據。

您可以分階段介紹 Copilot,從允許以 Web 為基礎的提示到因特網,以允許以 Web 為基礎的和Microsoft 365 圖形為基礎的提示同時對因特網和貴組織數據。 本文可協助您瞭解每個設定的範圍,因此,建議使用適當的安全性保護來準備環境。

零信任 如何協助 AI?

在將 AI 工具引入組織時,安全性,特別是數據保護,通常是最關心的問題。 零信任 是一種安全性策略,可驗證每個使用者、裝置和資源要求,以確保允許這些要求。 「零信任」一詞是指將每個連線和資源要求視為源自不受控制的網路和不良動作專案的策略。 無論要求來自何處或存取何種資源,零信任總是指導我們要「永不信任、永遠驗證」。

身為安全性領導者,Microsoft提供實作 零信任 的實際藍圖和明確的指引。 Microsoft的 Copilots 集合建置在現有平臺上,以繼承套用至這些平台的保護。 如需將 零信任 套用至Microsoft平臺的詳細數據,請參閱 零信任 指引中心。 藉由實作這些保護,您會建置 零信任 安全性的基礎。

本文取自該指導方針,以規定與 Copilot 相關的 零信任 保護。

本文包含的內容

本文將逐步解說四個階段中套用的安全性建議。 這可讓您在為 Copilot 存取的使用者、裝置和數據套用安全性保護時,將 Copilot 引入您的環境。

階段 組態 要保護的元件
1 以網路為基礎的提示到因特網 使用身分識別和存取原則的用戶和裝置的基本安全性衛生。
2 已啟用 Edge 瀏覽器頁面摘要的因特網網頁停工提示 您在 Edge 中 Copilot 的本機、內部網路和雲端位置上的組織數據可以摘要說明。
3 以網路為基礎的提示到因特網,並存取Microsoft 365 Copilot 受 Microsoft 365 Copilot 影響的所有元件。
4 以 Web 為基礎的因特網提示,並存取已啟用 Edge 瀏覽器頁面摘要的 Microsoft 365 Copilot 上面所列的所有元件。

階段 1。 從網頁式提示到因特網的安全性建議開始

Copilot 最簡單的設定提供 AI 協助,並提供網頁式提示。

Microsoft Copilot 的圖表和網頁式提示的處理。

在圖例中:

  • 用戶可以透過 copilot.microsoft.com、Windows、Bing、Edge 瀏覽器和 Copilot 行動應用程式來與 Copilot 互動。
  • 提示會以 Web 為基礎。 Copilot 只會使用公開可用的數據來回應提示。

使用此設定時,您的組織數據不會包含在 Copilot 參考的數據範圍內。

使用此階段來實作使用者和裝置的身分識別和存取原則,以防止不良執行者使用 Copilot。 您至少必須設定需要下列條件式存取原則:

Microsoft 365 E3 的其他建議

Microsoft 365 E5 的其他建議

實作 E3 的建議,並設定下列身分識別和存取原則:

階段 2。 新增 Edge 瀏覽器摘要的安全性保護

從 Microsoft Edge 提要字段中,Microsoft Copilot 可協助您從網路上取得答案和靈感,如果啟用,則會從開啟瀏覽器索引卷標中顯示的某些資訊類型取得答案和靈感。

Edge 中已啟用瀏覽器索引標籤摘要的網頁式提示圖表。

以下是一些私人或組織網頁和Edge中 Copilot 可摘要說明的文件類型範例:

  • SharePoint 等內部網路網站,但內嵌 Office 檔除外
  • Outlook Web App
  • PDF,包括儲存在本機裝置上的 PDF
  • 不受Microsoft Purview DLP 原則、行動應用程式管理(MAM) 原則或 MDM 原則保護的網站

注意

如需適用於分析和摘要之 Copilot In Edge 中支援的文件類型目前清單,請參閱 Edge 網頁摘要行為中的 Copilot。

Edge 中 Copilot 可能摘要的敏感性組織網站和檔可以儲存在本機、內部網路或雲端位置。 此組織數據可以公開給具有裝置存取權的攻擊者,並使用Edge中的 Copilot 快速產生檔和網站的摘要。

由 Copilot 在 Edge 中摘要的組織數據可以包括:

  • 用戶電腦上的本機資源

    未受 MAM 原則保護的本機應用程式在 Edge 瀏覽器索引標籤中顯示的 PDF 或資訊

  • 內部網路資源

    不受 Microsoft purview DLP 原則、MAM 原則或 MDM 原則保護之內部應用程式和服務的 PDF 或網站

  • Microsoft 365 個網站,不受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護

  • Microsoft Azure 資源

    不受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護之 SaaS 應用程式的虛擬機或站臺上的 PDF

  • 不受 Microsoft purview DLP 原則、MAM 原則或 MDA 原則保護之雲端式 SaaS 應用程式和服務的第三方雲端產品網站

使用此階段來實作安全性層級,以防止不良執行者使用 Copilot 更快速地探索和存取敏感數據。 您至少必須:

如需Edge中 Copilot 的詳細資訊,請參閱:

此圖顯示可在Edge中Microsoft Copilot且啟用瀏覽器摘要的數據集。

可在 Edge 中Microsoft Copilot 的數據集圖表。

E3 和 E5 的建議

  • 實作 Intune 應用程式保護原則 (APP) 以進行數據保護。 APP 可防止意外或刻意將 Copilot 產生的內容複製到未包含在允許應用程式清單中的裝置上的應用程式。 APP 可以使用遭入侵的裝置來限制攻擊者的爆破半徑。

  • 開啟 適用於 Office 363 的 Defender 方案 1 Microsoft,其中包括適用於安全附件的 Exchange Online Protection (EOP),安全鏈接,進階網路釣魚閾值和模擬保護,以及即時偵測。

Microsoft 365 Copilot 可以使用下列數據集來處理圖形地面提示:

  • 您的Microsoft 365 租用戶數據
  • 透過 Bing 搜尋的因特網資料(如果 已啟用
  • 已啟用 Copilot 的外掛程式和連接器所使用的數據

Microsoft 365 Copilot 和圖形地面提示處理的圖表。

如需詳細資訊,請參閱將 零信任 原則套用至 Microsoft 365 Copilot Microsoft。

E3 的建議

實作下列專案:

E5 的建議

實作 E3 和下列建議:

階段 4. 當您同時使用 Microsoft Copilot 和 Microsoft 365 Copilot 時,維護安全性保護

使用 Microsoft 365 Copilot 的授權,您會 在 Edge 瀏覽器、Windows 和 Bing 搜尋中看到工作/Web 切換控件,可讓您在兩者之間切換:

  • 傳送至 Microsoft 365 Copilot (切換為 Work) 的圖形地面提示。
  • 以網頁為基礎的提示,主要使用因特網數據(切換設定為 Web)。

以下是 copilot.microsoft.com 的範例。

Microsoft Bing 中 Copilot 的範例螢幕快照。

此圖顯示圖形和網頁式提示的流程。

Microsoft Copilot 邏輯架構的圖表,其中顯示圖形和網頁式提示。

在此圖表中:

  • 具有 Microsoft 365 Copilot 授權之裝置上的使用者可以選擇 [工作] 或 [Web 模式] 來Microsoft Copilot 提示。
  • 如果 選擇 [工作 ],則會將圖形地面提示傳送至 Microsoft 365 Copilot 進行處理。
  • 如果選擇 Web ,則透過 Windows、Bing 或 Edge 輸入的網頁式提示會在其處理中使用因特網數據。
  • 在Edge和啟用時,Windows Copilot 會在開啟的Edge索引標籤中包含某些類型的數據,並在其處理中。

如果用戶沒有 Microsoft 365 Copilot 的授權, 則不會顯示 [工作/Web ] 切換,而且所有提示都是以 Web 為基礎的。

以下是適用於 Microsoft Copilot 的可存取組織數據集,其中包含 Graph 和網頁式提示。

圖表圖表:圖表和網頁式提示Microsoft Copilot 的可存取組織數據集。

在此圖中,黃色陰影區塊適用於可透過 Copilot 存取的組織數據。 使用者透過 Copilot 存取此資料,取決於指派給使用者帳戶的數據許可權。 如果已針對使用者設定條件式存取或存取數據所在的環境,它也可以視使用者裝置的狀態而定。 遵循 零信任 原則,這是您想要保護的數據,以防攻擊者入侵用戶帳戶或裝置。

  • 針對圖形地面提示(切換為 Work),這包括:

    • 您的Microsoft 365 租用戶數據

    • 已啟用 Copilot 的外掛程式和連接器的數據

    • 因特網資料(如果已啟用 Web 外掛程式)

  • 針對已啟用開啟瀏覽器索引標籤摘要的Edge瀏覽器網頁式提示(切換為 Web),這可以包含組織數據,這些數據可由來自本機、內部網路和雲端位置的 Copilot in Edge 摘要。

使用此階段來驗證下列安全性層級的實作,以防止不良執行者使用 Copilot 來存取敏感數據:

E3 的建議

  • 檢閱您的設定和適用於端點的Defender方案1和適用於端點的Defender方案1 的適用於 Office 365 的 Defender功能,並視需要實作其他功能。
  • 為 Microsoft Teams 設定適當的保護層級。

E5 的建議

實作 E3 的建議,並擴充您Microsoft 365 租使用者中的 XDR 功能:

組態摘要

此圖摘要說明Microsoft Copilot 組態,以及 Copilot 用來回應提示的結果可存取數據。

顯示Microsoft Copilot 組態的數據表,以及Web和 Grapg 地面提示所產生的可存取數據。

下表包含所選組態的 零信任 建議。

組態 可存取的數據 零信任 建議
沒有Microsoft 365 Copilot 授權(無法使用工作/網頁 切換)



已停用 Edge 瀏覽器頁面摘要
針對網頁式提示,僅限因特網數據 不需要,但強烈建議用於整體安全性衛生。
沒有Microsoft 365 Copilot 授權(無法使用工作/網頁 切換)



已啟用 Edge 瀏覽器頁面摘要
針對以 Web 為基礎的提示:

- 因特網數據
- 在 Edge 中 Copilot 的本機、內部網路和雲端位置上組織數據可以摘要說明
如需Microsoft 365 租使用者,請參閱 零信任 Microsoft 365 Copilot 並套用 零信任 保護。

如需本機、內部網路和雲端位置上的組織數據,請參閱 使用 Intune 概觀 管理 MAM 和 MDM 原則的裝置。 另請參閱 使用 Microsoft Priva 管理數據隱私權和數據保護,以及 DLP 原則Microsoft Purview
Microsoft 365 Copilot 授權 (工作/網頁 切換可用)



已停用 Edge 瀏覽器頁面摘要
針對圖形地面提示:

- Microsoft 365 租用戶數據
- 如果已啟用 Web 外掛程式,則為因特網數據
- 已啟用 Copilot 的外掛程式和連接器的數據

針對網頁式提示,只有因特網數據
如需Microsoft 365 租使用者,請參閱 Microsoft 365 Copilot 的 零信任 並套用 零信任 保護。
Microsoft 365 Copilot 授權 (工作/網頁 切換可用)



已啟用 Edge 瀏覽器頁面摘要
針對圖形地面提示:

- Microsoft 365 租用戶數據
- 如果已啟用 Web 外掛程式,則為因特網數據
- 已啟用 Copilot 的外掛程式和連接器的數據

針對以 Web 為基礎的提示:

- 因特網數據
- 可在Edge瀏覽器頁面中轉譯的組織數據,包括本機、雲端和內部網路資源
如需Microsoft 365 租使用者,請參閱 零信任 Microsoft 365 Copilot 並套用 零信任 保護。

如需本機、內部網路和雲端位置上的組織數據,請參閱 使用 Intune 概觀 管理 MAM 和 MDM 原則的裝置。 另請參閱 使用 Microsoft Priva 管理數據隱私權和數據保護,以及 DLP 原則Microsoft Purview

下一步

如需 零信任 和Microsoft的 Copilots,請參閱下列其他文章:

參考資料

請參閱這些連結,以瞭解本文所述的各種服務和技術。