Použití principů nulová důvěra (Zero Trust) na Microsoft Copilot
Shrnutí: Pokud chcete použít zásady nulová důvěra (Zero Trust) na Microsoft Copilot, musíte:
- Implementujte ochranu zabezpečení pro webové výzvy k internetu.
- Přidání ochrany zabezpečení pro shrnutí prohlížeče Microsoft Edge
- Dokončete doporučenou ochranu zabezpečení pro Copilot pro Microsoft 365.
- Udržujte ochranu zabezpečení při společném používání Microsoft Copilotu a Copilotu pro Microsoft 365.
Úvod
Microsoft Copilot nebo Copilot je společníkem umělé inteligence v copilot.microsoft.com, Windows, Edgi, Bingu a mobilní aplikaci Copilot. Tento článek vám pomůže implementovat ochranu zabezpečení, aby vaše organizace a data byly při používání Copilotu v bezpečí. Implementací těchto ochrany vytváříte základ nulová důvěra (Zero Trust).
nulová důvěra (Zero Trust) doporučení zabezpečení pro Copilot se zaměřují na ochranu uživatelských účtů, uživatelských zařízení a dat, která jsou v oboru pro způsob konfigurace Copilotu.
Funkci Copilot můžete zavést ve fázích, od povolení webových výzev k internetu, aby umožňovaly výzvy založené na webu i microsoft 365 Graphu na internet i na data vaší organizace. Tento článek vám pomůže pochopit rozsah každé konfigurace a následně doporučení pro přípravu prostředí s odpovídajícími bezpečnostními ochranami.
Jak nulová důvěra (Zero Trust) pomoci s AI?
Zabezpečení, zejména ochrana dat, je často hlavním problémem při zavádění nástrojů AI do organizace. nulová důvěra (Zero Trust) je strategie zabezpečení, která ověřuje všechny požadavky na uživatele, zařízení a prostředky, aby se zajistilo, že je každá z těchto možností povolená. Pojem nulový vztah důvěryhodnosti označuje strategii zacházení s jednotlivými požadavky na připojení a prostředky, jako by vznikla z nekontrolovatelné sítě a špatného aktéra. Bez ohledu na to, odkud žádost pochází nebo k jakému prostředku přistupuje, nulová důvěra (Zero Trust) nás naučí, že "nikdy nedůvěřujete, vždy ověřte".
Jako vedoucí v oblasti zabezpečení poskytuje Microsoft praktický plán a jasné pokyny pro implementaci nulová důvěra (Zero Trust). Sada copilotů společnosti Microsoft je postavená na existujících platformách, které dědí ochranu použitou na těchto platformách. Podrobnosti o použití nulová důvěra (Zero Trust) na platformy Microsoftu najdete v centru nulová důvěra (Zero Trust) pokyny. Implementací těchto ochrany vytváříte základ zabezpečení nulová důvěra (Zero Trust).
Tento článek vychází z těchto pokynů k předepisování nulová důvěra (Zero Trust) ochrany, které se týkají Copilotu.
Co je součástí tohoto článku
Tento článek vás provede doporučeními zabezpečení, která platí ve čtyřech fázích. To vám poskytne cestu k zavedení Copilotu do vašeho prostředí, když použijete ochranu zabezpečení pro uživatele, zařízení a data, ke které přistupuje Copilot.
| Fáze | Konfigurace | Součásti pro zabezpečení |
|---|---|---|
| 0 | Webové uzemněné výzvy k internetu | Základní hygiena zabezpečení pro uživatele a zařízení používající zásady identit a přístupu |
| 2 | Webové výzvy k internetu s povolenou sumarizaci stránek prohlížeče Edge | Data vaší organizace na místních, intranetových a cloudových umístěních, která copilot v Edgi můžou shrnout. |
| 3 | Web-grounded prompts to the Internet and access to Copilot for Microsoft 365 | Všechny komponenty ovlivněné copilotem pro Microsoft 365 |
| 4 | Webové výzvy k internetu a přístup ke službě Copilot pro Microsoft 365 s povolenou sumarizaci stránek prohlížeče Edge | Všechny výše uvedené komponenty. |
Fáze 1. Začínáme s doporučeními zabezpečení pro výzvy k internetu
Nejjednodušší konfigurace Copilotu poskytuje pomoc s výzvami založenými na webu.
Na obrázku:
- Uživatelé můžou pracovat s Copilotem prostřednictvím copilot.microsoft.com, Windows, Bingu, prohlížeče Edge a mobilní aplikace Copilot.
- Výzvy jsou založené na webu. Copilot používá pouze veřejně dostupná data k odpovídání na výzvy.
Díky této konfiguraci nejsou data vaší organizace zahrnutá v oboru dat, která copilot odkazuje.
Tato fáze slouží k implementaci zásad identit a přístupu pro uživatele a zařízení, aby ho znemožnilo použití Copilotu. Minimálně musíte nakonfigurovat zásady podmíněného přístupu, které vyžadují:
Další doporučení pro Microsoft 365 E3
- Pro ověřování uživatelských účtů a přístup také nakonfigurujte zásady identity a přístupu tak, aby blokovaly klienty, kteří nepodporují moderní ověřování.
- Používejte možnosti ochrany systému Windows.
Další doporučení pro Microsoft 365 E5
Implementujte doporučení pro E3 a nakonfigurujte následující zásady identit a přístupu:
- Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké
- Uživatelé s vysokým rizikem musí změnit heslo
Fáze 2. Přidání ochrany zabezpečení pro souhrn prohlížeče Edge
Na bočním panelu Microsoft Edge vám Microsoft Copilot pomůže získat odpovědi a inspiraci z celého webu a pokud je to povolené, z některých typů informací zobrazených na otevřených kartách prohlížeče.
Tady je několik příkladů webových stránek a typů dokumentů soukromého nebo organizačního uspořádání, které copilot v Edgi můžou shrnout:
- Intranetové weby, jako je SharePoint, s výjimkou vložených dokumentů Office
- Outlook Web App
- Soubory PDF, včetně souborů uložených na místním zařízení
- Weby, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami správy mobilních aplikací (MAM) nebo zásadami MDM
Potenciálně citlivé weby a dokumenty organizace, které Copilot v Edgi můžou shrnout, můžou být uložené v místních, intranetových nebo cloudových umístěních. Tato data organizace mohou být vystavena útočníkovi, který má přístup k zařízení a používá Copilot v Edgi k rychlému vytváření souhrnů dokumentů a webů.
Data organizace, která lze sumarizovat pomocí Copilotu v Edgi, můžou zahrnovat:
Místní prostředky na počítači uživatele
Soubory PDF nebo informace zobrazené na kartě prohlížeče Edge místními aplikacemi, které nejsou chráněné zásadami MAM
Intranetové prostředky
Soubory PDF nebo weby pro interní aplikace a služby, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami MAM nebo zásadami MDM
Weby Microsoftu 365, které nejsou chráněné zásadami ochrany před únikem informací v Microsoft Purview, zásadami MAM nebo zásadami MDM
Prostředky Microsoft Azure
Soubory PDF na virtuálních počítačích nebo webech pro aplikace SaaS, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami MAM nebo zásadami MDM
Weby cloudových produktů třetích stran pro cloudové aplikace a služby SaaS, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami MAM nebo zásadami MDA
Pomocí této fáze implementujte úrovně zabezpečení, abyste zabránili špatným subjektům v používání Copilotu k rychlejšímu zjišťování citlivých dat a přístupu k citlivým datům. Minimálně musíte:
- Nasazení ochrany zabezpečení dat a dodržování předpisů pomocí Microsoft Purview
- Konfigurace minimálních uživatelských oprávnění k datům
- Nasazení ochrany před hrozbami pro cloudové aplikace pomocí Microsoft Defenderu pro Cloud Apps
Další informace o Copilotu v Edgi najdete tady:
Tento obrázek ukazuje datové sady dostupné pro Microsoft Copilot v Edgi s povolenou sumarizaci prohlížeče.
Doporučení pro E3 a E5
Implementujte zásady ochrany aplikací Intune (APP) pro ochranu dat. APLIKACE může zabránit neúmyslným nebo úmyslným kopírováním obsahu generovaného pomocí Copilotu do aplikací na zařízení, které nejsou zahrnuté v seznamu povolených aplikací. APLIKACE může omezit poloměr výbuchu útočníka pomocí ohroženého zařízení.
Zapněte Microsoft Defender pro Office 363 Plan 1, který zahrnuje Exchange Online Protection (EOP) pro Sejf přílohy, Sejf Odkazy, pokročilé prahové hodnoty útoku phishing a ochranu zosobnění a detekci v reálném čase.
Fáze 3. Kompletní ochrana zabezpečení doporučená pro Copilot pro Microsoft 365
Copilot pro Microsoft 365 může ke zpracování výzev založených na Graphu použít následující datové sady:
- Data tenanta Microsoftu 365
- Internetová data prostřednictvím vyhledávání Bingu (pokud je povolená)
- Data používaná moduly plug-in a konektory s podporou Copilotu
Další informace najdete v tématu Použití principů nulová důvěra (Zero Trust) u Microsoft Copilotu pro Microsoft 365.
Doporučení pro E3
Implementujte následující:
Zásady požadavků na správu zařízení a dodržování předpisů zařízením v Intune
Ochrana dat v tenantovi Microsoftu 365
Štítky utajení
Zásady ochrany před únikem informací
Zásady uchovávání informací
Doporučení pro E5
Implementujte doporučení pro E3 a následující:
- K vyhledání citlivých informací použijte větší rozsah klasifikátorů.
- Automatizujte popisky uchovávání informací.
- Vyzkoušejte možnosti Plánu 2 v Defender pro Office 365, mezi které patří vyšetřování po porušení zabezpečení, proaktivní vyhledávání a reakce, automatizace a simulace.
- Zapněte Microsoft Defender for Cloud Apps.
- Nakonfigurujte Defender for Cloud Apps tak, aby objevovaly cloudové aplikace a monitorovaly a auditovaly jejich chování.
Fáze 4. Zachování ochrany zabezpečení při společném používání Microsoft Copilotu a Copilotu pro Microsoft 365
S licencí pro Copilot pro Microsoft 365 se v prohlížeči Edge, Ve Windows a vyhledávání Bingu zobrazí ovládací prvek přepínač Work/Web , který umožňuje přepínat mezi používáním:
- Výzvy založené na grafu, které se odesílají do Copilotu pro Microsoft 365 (přepínač nastavený na Work).
- Výzvy založené na webu, které primárně používají internetová data (přepínač nastavený na web).
Tady je příklad pro copilot.microsoft.com.
Tento obrázek znázorňuje tok výzev grafů a webových výzev.
V diagramu:
- Uživatelé na zařízeních s licencí pro Copilot pro Microsoft 365 můžou pro výzvy Microsoft Copilot zvolit pracovní nebo webový režim.
- Pokud je vybrána funkce Práce , posílají se výzvy založené na grafu do Copilotu pro Microsoft 365 ke zpracování.
- Pokud zvolíte web , budou výzvy zadané prostřednictvím Windows, Bingu nebo Edge při zpracování používat internetová data.
- V případě Edge a když je tato možnost povolená, obsahuje Windows Copilot některé typy dat na otevřených kartách Edge při zpracování.
Pokud uživatel nemá licenci pro Copilot pro Microsoft 365, nezobrazí se přepínač Work/Web a všechny výzvy jsou založené na webu.
Tady jsou sady přístupných dat organizace pro Microsoft Copilot, které zahrnují výzvy založené na Graphu i na webu.
Na obrázku jsou žluté stínované bloky určené pro data vaší organizace, která jsou přístupná prostřednictvím Copilotu. Přístup k datům uživatelem prostřednictvím Copilotu závisí na oprávněních k datům přiřazeným k uživatelskému účtu. Může také záviset na stavu zařízení uživatele, pokud je podmíněný přístup nakonfigurovaný pro uživatele nebo pro přístup k prostředí, ve kterém se data nacházejí. Podle principů nulová důvěra (Zero Trust) se jedná o data, která chcete chránit v případě, že útočník naruší uživatelský účet nebo zařízení.
U výzev založených na grafu (přepínač nastavený na Funkci) patří:
Data tenanta Microsoftu 365
Data pro moduly plug-in a konektory s podporou Copilotu
Internetová data (pokud je povolený webový modul plug-in)
U webových výzev z prohlížeče Edge s povolenou možností sumarizace otevřených karet prohlížeče (přepínač nastavený na web) to může zahrnovat data organizace, která lze shrnout pomocí Copilotu v Edgi z místních, intranetových a cloudových umístění.
Pomocí této fáze ověřte implementaci následujících úrovní zabezpečení, abyste zabránili špatným hercům v přístupu k citlivým datům pomocí Copilotu:
- Nasazení ochrany zabezpečení dat a dodržování předpisů pomocí Microsoft Purview
- Konfigurace minimálních uživatelských oprávnění k datům
- Nasazení ochrany před hrozbami pro cloudové aplikace pomocí Microsoft Defenderu pro Cloud Apps
Doporučení pro E3
- Zkontrolujte konfiguraci a funkce Defender pro Office 365 Plan 1 a Defender for Endpoint Plan 1 a podle potřeby implementujte další funkce.
- Nastavte odpovídající úrovně ochrany pro Microsoft Teams.
Doporučení pro E5
Implementujte doporučení pro E3 a rozšiřte možnosti XDR ve vašem tenantovi Microsoftu 365:
Zkontrolujte konfiguraci a podle potřeby implementujte další funkce, abyste zvýšili ochranu před hrozbami pomocí úplné sady XDR v programu Microsoft Defender:
Konfigurace zásad relací pro Defender for Cloud Apps
Souhrn konfigurace
Tento obrázek shrnuje konfigurace Microsoft Copilotu a výsledná přístupná data, která Copilot používá k odpovídání na výzvy.
Tato tabulka obsahuje nulová důvěra (Zero Trust) doporučení pro zvolenou konfiguraci.
| Konfigurace | Přístupná data | nulová důvěra (Zero Trust) doporučení |
|---|---|---|
| Bez copilotu pro licence Microsoftu 365 (přepínač Práce/web není k dispozici) A Shrnutí stránky prohlížeče Edge zakázáno |
U výzev založených na webu jsou pouze internetová data. | Nevyžaduje se, ale důrazně doporučujeme pro celkovou hygienu zabezpečení. |
| Bez copilotu pro licence Microsoftu 365 (přepínač Práce/web není k dispozici) A Povoleno shrnutí stránky prohlížeče Edge |
Pro výzvy založené na webu: - Internetová data – Data organizace v místních, intranetových a cloudových umístěních, která Copilot v Edgi můžou shrnout |
Informace o vašem tenantovi Microsoftu 365 najdete v tématu nulová důvěra (Zero Trust) pro Copilot pro Microsoft 365 a použijte ochranu nulová důvěra (Zero Trust). Informace o datech organizace v místních, intranetových a cloudových umístěních najdete v tématu Správa zařízení pomocí Přehled Intune pro zásady MAM a MDM. Viz také Správa ochrany osobních údajů a ochrany dat pomocí microsoft Priva a Microsoft Purview pro zásady ochrany před únikem informací. |
| S využitím Copilotu pro licence Microsoftu 365 (k dispozici přepínač Práce/web ) A Shrnutí stránky prohlížeče Edge zakázáno |
U výzev založených na grafech: – Data tenanta Microsoftu 365 – Internetová data, pokud je povolený webový modul plug-in - Data pro moduly plug-in a konektory s podporou Copilotu U výzev založených na webu jsou pouze internetová data. |
Informace o vašem tenantovi Microsoftu 365 najdete v tématu nulová důvěra (Zero Trust) pro Copilot pro Microsoft 365 a použijte ochranu nulová důvěra (Zero Trust). |
| S využitím Copilotu pro licence Microsoftu 365 (k dispozici přepínač Práce/web ) A Povoleno shrnutí stránky prohlížeče Edge |
U výzev založených na grafech: – Data tenanta Microsoftu 365 – Internetová data, pokud je povolený webový modul plug-in - Data pro moduly plug-in a konektory s podporou Copilotu Pro výzvy založené na webu: - Internetová data – Data organizace, která se dají vykreslit na stránce prohlížeče Edge, včetně místních, cloudových a intranetových prostředků |
Informace o vašem tenantovi Microsoftu 365 najdete v tématu nulová důvěra (Zero Trust) pro Copilot pro Microsoft 365 a použijte ochranu nulová důvěra (Zero Trust). Informace o datech organizace v místních, intranetových a cloudových umístěních najdete v tématu Správa zařízení pomocí Přehled Intune pro zásady MAM a MDM. Viz také Správa ochrany osobních údajů a ochrany dat pomocí microsoft Priva a Microsoft Purview pro zásady ochrany před únikem informací. |
Další kroky
Podívejte se na tyto další články o nulová důvěra (Zero Trust) a copilotech Microsoftu:
Reference
V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro