將零信任的原則套用至 Microsoft Copilot Chat

摘要： 若要將零信任原則套用至 Microsoft Copilot Chat，您需要：

1. 針對因特網的網頁式提示實作安全性保護。
2. 新增 Microsoft Edge 瀏覽器摘要的安全性保護。

簡介

Copilot Chat 是 Microsoft 365 Copilot 應用程式、Edge 及下列 URL 中的 AI 小幫手，包括 M365copilot.com 和 Copilot.cloud.microsoft。 它提供給具有 合格授權的 Entra 帳戶使用者。 Copilot Chat 包含企業數據保護。 企業數據保護不包含在 Copilot Chat 中供個人使用（消費者版本）。 本文可協助您實作安全性保護，以在使用 Copilot Chat 時保護您的組織和數據安全。 藉由實作這些保護，您會建置零信任的基礎。

Copilot Chat 的零信任安全性建議著重於保護使用者帳戶、用戶裝置，以及您的組織數據，這些數據可由 Edge 中的 Copilot Chat 摘要說明。

零信任 如何協助 AI？

在將 AI 工具引入組織時，安全性，特別是數據保護，通常是最關心的問題。 零信任 是一種安全性策略，可驗證每個使用者、裝置和資源要求，以確保允許這些要求。 「零信任」一詞是指將每個連線和資源要求視為源自不受控制的網路和不良動作專案的策略。 無論要求來自何處或存取何種資源，零信任總是指導我們要「永不信任、永遠驗證」。

身為安全性領導者，Microsoft提供實作 零信任 的實際藍圖和明確的指引。 Microsoft的 Copilots 集合建置在現有平臺上，以繼承套用至這些平台的保護。 如需將 零信任 套用至Microsoft平臺的詳細數據，請參閱 零信任 指引中心。 藉由實作這些保護，您會建置零信任安全性的基礎。

本文取自該指導方針，以規定與 Copilot 相關的 零信任 保護。

本文包含的內容

本文會逐步解說兩個階段中套用的安全性建議。 這提供一個路徑，可讓您在為 Copilot 使用者、裝置和 Copilot 存取的數據套用安全性保護時，將 Copilot 聊天引入您的環境。

階段	組態	要保護的元件
1	以網路為基礎的提示到因特網	使用身分識別和存取原則的用戶和裝置的基本安全性衛生。
2	已啟用 Edge 瀏覽器頁面摘要的因特網網頁停工提示	您在 Edge 中 Copilot 的本機、內部網路和雲端位置上的組織數據可以摘要說明。

階段 1。 從網頁式提示到因特網的安全性建議開始

Copilot 最簡單的設定提供 AI 協助，並提供網頁式提示。

在圖例中：

• 用戶可以透過 M365copilot.com、Copilot.cloud.microsoft、Microsoft 365 Copilot 應用程式和 Edge 與 Copilot 聊天互動。
• 提示是基於網路的。 Copilot Chat 只會使用公開可用的數據來回應提示。
• 未啟用 Edge 瀏覽器頁面摘要。

使用此設定時，您的組織數據不會包含在 Copilot Chat 參考的數據範圍內。 不過，您必須確定未啟用瀏覽器頁面摘要。 身為系統管理員，您可以使用 EdgeEntraCopilotPageContext 組策略設定來執行此動作。

使用此階段來實作使用者和裝置的身分識別和存取原則，以防止不良執行者使用 Copilot。 您至少必須設定需要下列條件式存取原則：

• 所有使用者的多重要素驗證
• 受信任且狀況良好的裝置

Microsoft 365 E3 的其他建議

• 針對使用者帳戶驗證和存取，也會將身分識別和存取原則設定為 封鎖不支援新式驗證的用戶端。
• 使用 Windows 保護功能。

Microsoft 365 E5 的其他建議

實作 E3 的建議，並設定下列身分識別和存取原則：

• 登入風險為中或高時需要 MFA
• 高風險用戶必須變更其密碼

階段 2。 新增 Edge 瀏覽器摘要的安全性保護

從 Microsoft Edge 提要字段中，Microsoft Copilot Chat 可協助您從整個網路取得解答和靈感，如果啟用，則從開啟瀏覽器索引卷標中顯示的某些資訊類型取得答案和靈感。

如果您停用瀏覽器頁面摘要，則必須重新啟用此功能。 身為系統管理員，您可以使用 EdgeEntraCopilotPageContext 組策略設定來執行此動作。

以下是一些私人或組織網頁和Edge中 Copilot 可摘要說明的文件類型範例：

• SharePoint 等內部網路網站，但內嵌 Office 檔除外
• Outlook Web App
• PDF，包括儲存在本機裝置上的 PDF
• 不受Microsoft Purview DLP 原則、行動應用程式管理（MAM） 原則或 MDM 原則保護的網站

注意

如需適用於分析和摘要之 Copilot In Edge 中支援的文件類型目前清單，請參閱 Edge 網頁摘要行為中的 Copilot。

Edge 中 Copilot 可能摘要的敏感性組織網站和檔可以儲存在本機、內部網路或雲端位置。 此組織數據可以公開給具有裝置存取權的攻擊者，並使用Edge中的 Copilot 快速產生檔和網站的摘要。

由 Copilot 在 Edge 中摘要的組織數據可以包括：

• 用戶電腦上的本機資源

  未受 MAM 原則保護的本機應用程式在 Edge 瀏覽器索引標籤中顯示的 PDF 或資訊

• 內部網路資源

  不受 Microsoft purview DLP 原則、MAM 原則或 MDM 原則保護之內部應用程式和服務的 PDF 或網站

• Microsoft 365 個網站，不受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護

• Microsoft Azure 資源

  不受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護之 SaaS 應用程式的虛擬機或站臺上的 PDF

• 不受 Microsoft purview DLP 原則、MAM 原則或 MDA 原則保護之雲端式 SaaS 應用程式和服務的第三方雲端產品網站

使用此階段來實作安全性層級，以防止不良執行者使用 Copilot 更快速地探索和存取敏感數據。 您至少必須：

• 使用 purview Microsoft 部署數據安全性和合規性保護
• 設定數據的最低用戶權力
• 使用 適用於雲端的 Microsoft Defender Apps 部署雲端應用程式的威脅防護

如需Edge中 Copilot 的詳細資訊，請參閱：

• Edge 中的 Copilot
• Edge 網頁摘要行為的 Copilot

E3 和 E5 的建議

• 實作 Intune 應用程式保護原則 （APP） 以進行數據保護。 APP 可防止意外或刻意將 Copilot 產生的內容複製到未包含在允許應用程式清單中的裝置上的應用程式。 APP 可以使用遭入侵的裝置來限制攻擊者的爆破半徑。

• 開啟 適用於 Office 363 的 Defender 方案 1 Microsoft，其中包括適用於安全附件的 Exchange Online Protection （EOP），安全鏈接，進階網路釣魚閾值和模擬保護，以及即時偵測。

下一步

如需 零信任 和Microsoft的 Copilots，請參閱下列其他文章：

• 概觀
• Microsoft Microsoft 365 科皮洛特
• Microsoft Copilot for Security

參考資料

請參閱這些連結，以瞭解本文所述的各種服務和技術。

• Edge 中的 Copilot
• Edge 網頁摘要行為的 Copilot
• 在 Microsoft Microsoft 365 Copilot 回應中管理公用 Web 內容的存取權
• Microsoft Microsoft 365 Copilot 的數據、隱私權和安全性