מודלים של פיקוח וניהול

כדי לשמור על אבטחה ושליטה בעת פריסת סוכנים ב- Microsoft 365, עליך להבין את מודלי הפיקוח והניהל המשמשים תחילה. Microsoft 365 מציע שתי גישות אדריכליות נפרדות, שכל אחת מהן תיכלל בפקדי אבטחה שונים, מנגנוני הסכמה ויכולות ניהול שונות.

באפשרותך לפרוס סוכנים כבוטים של Teams, ב- Microsoft 365 Copilot ו- Copilot Chat. בנוסף, באפשרותך לארח סוכנים בשירות עצמי בפלטפורמות בבעלותך, כגון פורטל אינטרנט או אפליקציה למכשירים ניידים.

הבחירה בין מודלים אלה משפיעה על האופן שבו הארגון שלך מנהל גישה לנתונים, הרשאות משתמש ושילובי שירות חיצוניים. מאמר זה משווה את מודל היישום של Teams סוכן Copilot כדי לעזור לך להבין את השלכות האבטחה שלהם ולקבוע איזו גישה מתאימה ביותר לדרישות הארגוניות שלך.

מודל יישום Teams

אפליקציות קיימות של Teams ו- Power Platform מספקות שליטה על כל אפליקציה ועל פי רמת מחבר, כלומר הסכמת מנהל מערכת מתרחשת בעת הרכישה. לדוגמה, אפליקציות Teams מבקשות הסכמה להתקנה, ולא ניתן לרכוש מחברים של Power Platform אם מדיניות נתונים חסמה אותם.

מודל היישום של Teams מיישם בקרות אבטחה מחוץ ל- כאשר הסכמה ניהולית מתרחשת בזמן רכישת היישום. מודל זה מספק שליטה פרטנית על גישת שירות חיצוני לגבולות Microsoft 365 הדייר.

מודל זה מאפשר להגדיר תוכן ועומס עבודה אובייקטים פרטניים, כגון הודעות Teams, הודעות דואר אלקטרוני ונתונים Microsoft Entra חיצוניים, כגון Service Now.

דיאגרמה המציגה מודל אבטחה של יישום Teams עם זרימת בקרה חיצונית, הסכמת מנהל מערכת בזמן רכישה ואימות שירות לשירות בין Microsoft לבין יישומים חיצוניים.

במודל זה, שירותים חיצוניים דורשים הרשאה מפורשת לגישה לנתונים של דיירים, גם כאשר הם אינם משתמשים בהרשאות שהוענקו באופן פעיל. גישה זו מאפשרת תוכן פרטני והגדרות עומס עבודה, כולל הודעות Teams, הודעות דואר אלקטרוני ומקורות נתונים חיצוניים עם שער Entra-gated.

מנגנון האימות של השירות לשירות מצמצם סיכונים מהרעלת DNS (מערכת שמות תחומים) או מתקפות חטיפת תחום, מאחר שנדרשת התפשרות על שירות היישום עצמו כדי להשיג אישורי יישום. עם זאת, השגת צפיפות תוכן מתאימה עבור דרישות לקוח מגוונות (לכל תיבת דואר, לכל אתר וכן הלאה) עשויה להיות מאתגרת.

סוכן Copilot מודל

במודל זה, המשתמשים מספקים הסכמה בנקודת ההצבעות. בכל פעם שהיישום שולח נתונים, המשתמש מתבקש לאפשר גישה אל נקודת הקצה שצוינה. לא ניתן לבודד תוכן או משימות במודל זה מכיוון שכל התוכן הופך לסוג Copilot Chat לאחר העיבוד. ה-URL החיצוני הופך לאובייקט פרטני או לתחום שליטה, עם רשימות אישור קישורים ובדיקת חבילת יישום.

מודל סוכן Copilot משתמש בפקדי אבטחה פנימיים שבהם המשתמשים מעניקים הסכמה בנקודת ההצבעות. המשתמשים מקבלים בקשות לאפשר שיתוף נתונים בכל פעם שמידע יוצא מגבול הדייר לשירותים חיצוניים.

דיאגרמת דיאגרמות להמחשת מודל אבטחה של סוכן Copilot עם זרימת בקרה מוכללת, הסכמה מבוססת משתמש בזמן ההצבעות ואישור לכל הודעה עבור גישה לשירות חיצוני.

מודל זה אינו כולל אישורי אימות ברמת השירות, לכן יש ליישם הקשחת אבטחת API מתאימה. מנהלי מערכת יכולים רק למנוע את עזיבת סוגי התוכן מהדייר על-ידי לחסום את הצריכה שלהם ב-Copilot במלואו באמצעות תוויות למניעת אובדן נתונים.

המודל מאפשר הסכמה פרטנית ברמת לכל הודעה או לכל בקשה, אך מסתמך לחלוטין על החלטות המשתמשים ללא יכולות התערבות ניהולית.

השלב הבא

הבנת זרימות נתוני סוכנים כדי לזהות גבולות אבטחה, דרישות אמינות ופגיעויות פוטנציאליות במערכות סוכנים.

הפניה לזרימות נתונים ולמודלים של איומים עבור הערכות אבטחה

  • Last updated on