Použití principů nulová důvěra (Zero Trust) na Microsoft Copilot

Shrnutí: Pokud chcete použít zásady nulová důvěra (Zero Trust) na Microsoft Copilot, musíte:

1. Implementujte ochranu zabezpečení pro webové výzvy k internetu.
2. Přidání ochrany zabezpečení pro shrnutí prohlížeče Microsoft Edge
3. Dokončete doporučenou ochranu zabezpečení pro Microsoft 365 Copilot.
4. Udržujte ochranu zabezpečení při společném používání Microsoft Copilotu a Microsoftu 365 Copilotu.

Úvod

Microsoft Copilot nebo Copilot je společníkem umělé inteligence v copilot.microsoft.com, Windows, Edgi, Bingu a mobilní aplikaci Copilot. Tento článek vám pomůže implementovat ochranu zabezpečení, aby vaše organizace a data byly při používání Copilotu v bezpečí. Implementací těchto ochrany vytváříte základ nulová důvěra (Zero Trust).

nulová důvěra (Zero Trust) doporučení zabezpečení pro Copilot se zaměřují na ochranu uživatelských účtů, uživatelských zařízení a dat, která jsou v oboru pro způsob konfigurace Copilotu.

Funkci Copilot můžete zavést ve fázích, od povolení webových výzev k internetu, aby umožňovaly výzvy založené na webu i microsoft 365 Graphu na internet i na data vaší organizace. Tento článek vám pomůže pochopit rozsah každé konfigurace a následně doporučení pro přípravu prostředí s odpovídajícími bezpečnostními ochranami.

Jak nulová důvěra (Zero Trust) pomoci s AI?

Zabezpečení, zejména ochrana dat, je často hlavním problémem při zavádění nástrojů AI do organizace. nulová důvěra (Zero Trust) je strategie zabezpečení, která ověřuje všechny požadavky na uživatele, zařízení a prostředky, aby se zajistilo, že je každá z těchto možností povolená. Pojem nulový vztah důvěryhodnosti označuje strategii zacházení s jednotlivými požadavky na připojení a prostředky, jako by vznikla z nekontrolovatelné sítě a špatného aktéra. Bez ohledu na to, odkud žádost pochází nebo k jakému prostředku přistupuje, nulová důvěra (Zero Trust) nás naučí, že "nikdy nedůvěřujete, vždy ověřte".

Jako vedoucí v oblasti zabezpečení poskytuje Microsoft praktický plán a jasné pokyny pro implementaci nulová důvěra (Zero Trust). Sada copilotů společnosti Microsoft je postavená na existujících platformách, které dědí ochranu použitou na těchto platformách. Podrobnosti o použití nulová důvěra (Zero Trust) na platformy Microsoftu najdete v centru nulová důvěra (Zero Trust) pokyny. Implementací těchto ochrany vytváříte základ zabezpečení nulová důvěra (Zero Trust).

Tento článek vychází z těchto pokynů k předepisování nulová důvěra (Zero Trust) ochrany, které se týkají Copilotu.

Co je součástí tohoto článku

Tento článek vás provede doporučeními zabezpečení, která platí ve čtyřech fázích. To vám poskytne cestu k zavedení Copilotu do vašeho prostředí, když použijete ochranu zabezpečení pro uživatele, zařízení a data, ke které přistupuje Copilot.

Fáze	Konfigurace	Součásti pro zabezpečení
0	Webové uzemněné výzvy k internetu	Základní hygiena zabezpečení pro uživatele a zařízení používající zásady identit a přístupu
2	Webové výzvy k internetu s povolenou sumarizaci stránek prohlížeče Edge	Data vaší organizace na místních, intranetových a cloudových umístěních, která copilot v Edgi můžou shrnout.
3	Web-grounded prompts to the Internet and access to Microsoft 365 Copilot	Všechny komponenty ovlivněné Microsoftem 365 Copilot.
4	Webové výzvy k internetu a přístup ke službě Microsoft 365 Copilot s povolenou sumarizaci stránek prohlížeče Edge	Všechny výše uvedené komponenty.

Fáze 1. Začínáme s doporučeními zabezpečení pro výzvy k internetu

Nejjednodušší konfigurace Copilotu poskytuje pomoc s výzvami založenými na webu.

Na obrázku:

• Uživatelé můžou pracovat s Copilotem prostřednictvím copilot.microsoft.com, Windows, Bingu, prohlížeče Edge a mobilní aplikace Copilot.
• Výzvy jsou založené na webu. Copilot používá pouze veřejně dostupná data k odpovídání na výzvy.

Díky této konfiguraci nejsou data vaší organizace zahrnutá v oboru dat, která copilot odkazuje.

Tato fáze slouží k implementaci zásad identit a přístupu pro uživatele a zařízení, aby ho znemožnilo použití Copilotu. Minimálně musíte nakonfigurovat zásady podmíněného přístupu, které vyžadují:

• Vícefaktorové ověřování pro všechny uživatele
• Důvěryhodná a v pořádku zařízení

Další doporučení pro Microsoft 365 E3

• Pro ověřování uživatelských účtů a přístup také nakonfigurujte zásady identity a přístupu tak, aby blokovaly klienty, kteří nepodporují moderní ověřování.
• Používejte možnosti ochrany systému Windows.

Další doporučení pro Microsoft 365 E5

Implementujte doporučení pro E3 a nakonfigurujte následující zásady identit a přístupu:

• Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké
• Uživatelé s vysokým rizikem musí změnit heslo

Fáze 2. Přidání ochrany zabezpečení pro souhrn prohlížeče Edge

Na bočním panelu Microsoft Edge vám Microsoft Copilot pomůže získat odpovědi a inspiraci z celého webu a pokud je to povolené, z některých typů informací zobrazených na otevřených kartách prohlížeče.

Tady je několik příkladů webových stránek a typů dokumentů soukromého nebo organizačního uspořádání, které copilot v Edgi můžou shrnout:

• Intranetové weby, jako je SharePoint, s výjimkou vložených dokumentů Office
• Outlook Web App
• Soubory PDF, včetně souborů uložených na místním zařízení
• Weby, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami správy mobilních aplikací (MAM) nebo zásadami MDM

Poznámka:

Aktuální seznam typůdokumentůch

Potenciálně citlivé weby a dokumenty organizace, které Copilot v Edgi můžou shrnout, můžou být uložené v místních, intranetových nebo cloudových umístěních. Tato data organizace mohou být vystavena útočníkovi, který má přístup k zařízení a používá Copilot v Edgi k rychlému vytváření souhrnů dokumentů a webů.

Data organizace, která lze sumarizovat pomocí Copilotu v Edgi, můžou zahrnovat:

• Místní prostředky na počítači uživatele

  Soubory PDF nebo informace zobrazené na kartě prohlížeče Edge místními aplikacemi, které nejsou chráněné zásadami MAM

• Intranetové prostředky

  Soubory PDF nebo weby pro interní aplikace a služby, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami MAM nebo zásadami MDM

• Weby Microsoftu 365, které nejsou chráněné zásadami ochrany před únikem informací v Microsoft Purview, zásadami MAM nebo zásadami MDM

• Prostředky Microsoft Azure

  Soubory PDF na virtuálních počítačích nebo webech pro aplikace SaaS, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami MAM nebo zásadami MDM

• Weby cloudových produktů třetích stran pro cloudové aplikace a služby SaaS, které nejsou chráněné zásadami ochrany před únikem informací od Microsoft Purview, zásadami MAM nebo zásadami MDA

Pomocí této fáze implementujte úrovně zabezpečení, abyste zabránili špatným subjektům v používání Copilotu k rychlejšímu zjišťování citlivých dat a přístupu k citlivým datům. Minimálně musíte:

• Nasazení ochrany zabezpečení dat a dodržování předpisů pomocí Microsoft Purview
• Konfigurace minimálních uživatelských oprávnění k datům
• Nasazení ochrany před hrozbami pro cloudové aplikace pomocí Microsoft Defenderu pro Cloud Apps

Další informace o Copilotu v Edgi najdete tady:

• Copilot v Edgi
• Chování souhrnu zkopírovaného objektu na webové stránce Edge

Tento obrázek ukazuje datové sady dostupné pro Microsoft Copilot v Edgi s povolenou sumarizaci prohlížeče.

Doporučení pro E3 a E5

• Implementujte zásady ochrany aplikací Intune (APP) pro ochranu dat. APLIKACE může zabránit neúmyslným nebo úmyslným kopírováním obsahu generovaného pomocí Copilotu do aplikací na zařízení, které nejsou zahrnuté v seznamu povolených aplikací. APLIKACE může omezit poloměr výbuchu útočníka pomocí ohroženého zařízení.

• Zapněte Microsoft Defender pro Office 363 Plan 1, který zahrnuje Exchange Online Protection (EOP) pro bezpečné přílohy, bezpečné odkazy, pokročilé prahové hodnoty útoku phishing a ochranu zosobnění a detekci v reálném čase.

Fáze 3. Kompletní ochrana zabezpečení doporučená pro Microsoft 365 Copilot

Microsoft 365 Copilot může ke zpracování výzev založených na Graphu použít následující datové sady:

• Data tenanta Microsoftu 365
• Internetová data prostřednictvím vyhledávání Bingu (pokud je povolená)
• Data používaná moduly plug-in a konektory s podporou Copilotu

Další informace najdete v tématu Použití principů nulová důvěra (Zero Trust) u Microsoftu 365 Copilot.

Doporučení pro E3

Implementujte následující:

• Zásady požadavků na správu zařízení a dodržování předpisů zařízením v Intune

• Ochrana dat v tenantovi Microsoftu 365

  • Štítky utajení

  • Zásady ochrany před únikem informací

  • Zásady uchovávání informací

• Zapnutí Microsoft Defenderu pro koncový bod

Doporučení pro E5

Implementujte doporučení pro E3 a následující:

• K vyhledání citlivých informací použijte větší rozsah klasifikátorů.
• Automatizujte popisky uchovávání informací.
• Vyzkoušejte možnosti Plánu 2 v Defender pro Office 365, mezi které patří vyšetřování po porušení zabezpečení, proaktivní vyhledávání a reakce, automatizace a simulace.
• Zapněte Microsoft Defender for Cloud Apps.
• Nakonfigurujte Defender for Cloud Apps tak, aby objevovaly cloudové aplikace a monitorovaly a auditovaly jejich chování.

Fáze 4. Zachování ochrany zabezpečení při společném používání Microsoft Copilotu a Microsoftu 365 Copilotu

S licencí pro Microsoft 365 Copilot se v prohlížeči Edge, Ve Windows a vyhledávání Bingu zobrazí přepínač Work/Web , který umožňuje přepínat mezi těmito funkcemi:

• Výzvy založené na grafu, které se odesílají do Microsoftu 365 Copilot (přepínač nastavený na Work).
• Výzvy založené na webu, které primárně používají internetová data (přepínač nastavený na web).

Tady je příklad pro copilot.microsoft.com.

Tento obrázek znázorňuje tok výzev grafů a webových výzev.

V diagramu:

• Uživatelé na zařízeních s licencí pro Microsoft 365 Copilot můžou pro výzvy Microsoft Copilot zvolit pracovní nebo webový režim.
• Pokud je vybrána funkce Work , posílají se výzvy založené na grafu do Microsoftu 365 Copilot ke zpracování.
• Pokud zvolíte web , budou výzvy zadané prostřednictvím Windows, Bingu nebo Edge při zpracování používat internetová data.
• V případě Edge a když je tato možnost povolená, obsahuje Windows Copilot některé typy dat na otevřených kartách Edge při zpracování.

Pokud uživatel nemá licenci pro Microsoft 365 Copilot, nezobrazí se přepínač Work/Web a všechny výzvy jsou založené na webu.

Tady jsou sady přístupných dat organizace pro Microsoft Copilot, které zahrnují výzvy založené na Graphu i na webu.

Na obrázku jsou žluté stínované bloky určené pro data vaší organizace, která jsou přístupná prostřednictvím Copilotu. Přístup k datům uživatelem prostřednictvím Copilotu závisí na oprávněních k datům přiřazeným k uživatelskému účtu. Může také záviset na stavu zařízení uživatele, pokud je podmíněný přístup nakonfigurovaný pro uživatele nebo pro přístup k prostředí, ve kterém se data nacházejí. Podle principů nulová důvěra (Zero Trust) se jedná o data, která chcete chránit v případě, že útočník naruší uživatelský účet nebo zařízení.

• U výzev založených na grafu (přepínač nastavený na Funkci) patří:

  • Data tenanta Microsoftu 365

  • Data pro moduly plug-in a konektory s podporou Copilotu

  • Internetová data (pokud je povolený webový modul plug-in)

• U webových výzev z prohlížeče Edge s povolenou možností sumarizace otevřených karet prohlížeče (přepínač nastavený na web) to může zahrnovat data organizace, která lze shrnout pomocí Copilotu v Edgi z místních, intranetových a cloudových umístění.

Pomocí této fáze ověřte implementaci následujících úrovní zabezpečení, abyste zabránili špatným hercům v přístupu k citlivým datům pomocí Copilotu:

• Nasazení ochrany zabezpečení dat a dodržování předpisů pomocí Microsoft Purview
• Konfigurace minimálních uživatelských oprávnění k datům
• Nasazení ochrany před hrozbami pro cloudové aplikace pomocí Microsoft Defenderu pro Cloud Apps

Doporučení pro E3

• Zkontrolujte konfiguraci a funkce Defender pro Office 365 Plan 1 a Defender for Endpoint Plan 1 a podle potřeby implementujte další funkce.
• Nastavte odpovídající úrovně ochrany pro Microsoft Teams.

Doporučení pro E5

Implementujte doporučení pro E3 a rozšiřte možnosti XDR ve vašem tenantovi Microsoftu 365:

• Zapněte Microsoft Defender for Identity.

• Zkontrolujte konfiguraci a podle potřeby implementujte další funkce, abyste zvýšili ochranu před hrozbami pomocí úplné sady XDR v programu Microsoft Defender:

  • Defender for Endpoint

  • Defender pro Office 365

  • Defender for Identity

  • Defender for Cloud Apps

  • Konfigurace zásad relací pro Defender for Cloud Apps

Souhrn konfigurace

Tento obrázek shrnuje konfigurace Microsoft Copilotu a výsledná přístupná data, která Copilot používá k odpovídání na výzvy.

Tato tabulka obsahuje nulová důvěra (Zero Trust) doporučení pro zvolenou konfiguraci.

Konfigurace	Přístupná data	nulová důvěra (Zero Trust) doporučení
Bez licencí Microsoft 365 Copilot (přepínač Work/Web není k dispozici) A Shrnutí stránky prohlížeče Edge zakázáno	U výzev založených na webu jsou pouze internetová data.	Nevyžaduje se, ale důrazně doporučujeme pro celkovou hygienu zabezpečení.
Bez licencí Microsoft 365 Copilot (přepínač Work/Web není k dispozici) A Povoleno shrnutí stránky prohlížeče Edge	Pro výzvy založené na webu: - Internetová data – Data organizace v místních, intranetových a cloudových umístěních, která Copilot v Edgi můžou shrnout	Informace o vašem tenantovi Microsoftu 365 najdete v tématu nulová důvěra (Zero Trust) pro Microsoft 365 Copilot a použijte ochranu nulová důvěra (Zero Trust). Informace o datech organizace v místních, intranetových a cloudových umístěních najdete v tématu Správa zařízení pomocí Přehled Intune pro zásady MAM a MDM. Viz také Správa ochrany osobních údajů a ochrany dat pomocí microsoft Priva a Microsoft Purview pro zásady ochrany před únikem informací.
S licencemi Microsoft 365 Copilot (k dispozici přepínač Práce/web ) A Shrnutí stránky prohlížeče Edge zakázáno	U výzev založených na grafech: – Data tenanta Microsoftu 365 – Internetová data, pokud je povolený webový modul plug-in - Data pro moduly plug-in a konektory s podporou Copilotu U výzev založených na webu jsou pouze internetová data.	Informace o vašem tenantovi Microsoftu 365 najdete v tématu nulová důvěra (Zero Trust) pro Microsoft 365 Copilot a použijte ochranu nulová důvěra (Zero Trust).
S licencemi Microsoft 365 Copilot (k dispozici přepínač Práce/web ) A Povoleno shrnutí stránky prohlížeče Edge	U výzev založených na grafech: – Data tenanta Microsoftu 365 – Internetová data, pokud je povolený webový modul plug-in - Data pro moduly plug-in a konektory s podporou Copilotu Pro výzvy založené na webu: - Internetová data – Data organizace, která se dají vykreslit na stránce prohlížeče Edge, včetně místních, cloudových a intranetových prostředků	Informace o vašem tenantovi Microsoftu 365 najdete v tématu nulová důvěra (Zero Trust) pro Microsoft 365 Copilot a použijte ochranu nulová důvěra (Zero Trust). Informace o datech organizace v místních, intranetových a cloudových umístěních najdete v tématu Správa zařízení pomocí Přehled Intune pro zásady MAM a MDM. Viz také Správa ochrany osobních údajů a ochrany dat pomocí microsoft Priva a Microsoft Purview pro zásady ochrany před únikem informací.

Další kroky

Podívejte se na tyto další články o nulová důvěra (Zero Trust) a copilotech Microsoftu:

• Přehled
• Microsoft Microsoft 365 Copilot
• Microsoft Copilot for Security

Reference

V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.

• Copilot v Edgi
• Chování souhrnu zkopírovaného objektu na webové stránce Edge
• Správa Copilotu ve Windows
• Správa přístupu k veřejnému webovému obsahu v odpovědích Microsoft Microsoft 365 Copilot
• Data, ochrana osobních údajů a zabezpečení pro Microsoft 365 Copilot