A Teljes felügyelet alapelveinek alkalmazása a Microsoft Copilotra

Összefoglalás: Ha Teljes felügyelet elveket szeretne alkalmazni a Microsoft Copilotra, a következőkre van szüksége:

1. Az internetre irányuló webes kérések biztonsági védelmének megvalósítása.
2. Biztonsági védelem hozzáadása a Microsoft Edge böngészőösszesítéséhez.
3. Teljes körű ajánlott biztonsági védelem a Microsoft 365-höz készült Copilothoz.
4. A Microsoft Copilot és a Copilot együttes használata esetén a biztonsági védelem fenntartása a Microsoft 365-höz.

Bevezetés

A Microsoft Copilot vagy Copilot AI-társ a copilot.microsoft.com, a Windows, az Edge, a Bing és a Copilot mobilalkalmazásban. Ez a cikk segít a biztonsági védelem megvalósításában, hogy a Copilot használata során a szervezet és az adatok biztonságban legyenek. A védelem megvalósításával a Teljes felügyelet alapjait építi ki.

Teljes felügyelet Copilot biztonsági ajánlásai a felhasználói fiókok, a felhasználói eszközök és a Copilot konfigurálásának hatókörébe tartozó adatok védelmére összpontosítanak.

A Copilotot szakaszosan vezethető be, a webes kérések internetre való engedélyezésétől kezdve a webes és a Microsoft 365 Graph-alapú kérések engedélyezésétől kezdve mind az internetre, mind a szervezeti adatokra. Ez a cikk segít megérteni az egyes konfigurációk hatókörét, és következésképpen a környezet megfelelő biztonsági védelemmel való előkészítésére vonatkozó javaslatokat.

Hogyan segít Teljes felügyelet az AI-ben?

A biztonság, különösen az adatvédelem gyakran a legfontosabb szempont, amikor AI-eszközöket vezet be egy szervezetbe. Teljes felügyelet egy biztonsági stratégia, amely ellenőrzi az összes felhasználót, eszközt és erőforrás-kérést, hogy ezek mindegyike engedélyezve legyen. A "nulla megbízhatóság" kifejezés az egyes kapcsolatok és erőforrás-kérések kezelésének stratégiájára utal, mintha egy ellenőrizetlen hálózatból és egy rossz szereplőből származik. Függetlenül attól, hogy honnan származik a kérés, vagy milyen erőforráshoz fér hozzá, Teljes felügyelet megtanít minket arra, hogy "soha ne bízzunk meg, mindig ellenőrizzük".

A Microsoft biztonsági vezetőként gyakorlati ütemtervet és egyértelmű útmutatást nyújt a Teljes felügyelet megvalósításához. A Microsoft Copilot-készlete a meglévő platformokra épül, amelyek öröklik az ezeken a platformokon alkalmazott védelmet. A Teljes felügyelet Microsoft-platformokra való alkalmazásának részleteiért tekintse meg a Teljes felügyelet útmutatót. A védelem megvalósításával a Teljes felügyelet biztonság alapjait építi ki.

Ez a cikk ebből az útmutatóból merít a Copilothoz kapcsolódó Teljes felügyelet védelem előírásához.

A cikk tartalma

Ez a cikk végigvezeti azokat a biztonsági javaslatokat, amelyek négy szakaszban érvényesek. Ez lehetőséget nyújt a Copilot környezetbe való bevezetésére, miközben biztonsági védelmet alkalmaz a felhasználókra, eszközökre és a Copilot által elért adatokra.

Szakasz	Konfiguráció	Biztonságos összetevők
0	Webes kérések az internetre	Alapvető biztonsági higiénia identitás- és hozzáférési szabályzatokat használó felhasználók és eszközök számára.
2	Webalapú kérések az internetre az Edge böngészőlap összegzésének engedélyezésével	A szervezet adatai helyi, intranetes és felhőbeli helyeken, amelyeket a Copilot az Edge-ben összegzhet.
3	Webes kérések az internethez és a Microsoft 365-höz készült Copilothoz való hozzáférés	A Microsoft 365-höz készült Copilot által érintett összes összetevő.
4	Webalapú kérések az internetre és a Microsoft 365-höz készült Copilothoz való hozzáférés az Edge böngészőoldal-összegzés engedélyezésével	A fent felsorolt összes összetevő.

1. szakasz. Kezdje az internetre irányuló webes kérésekkel kapcsolatos biztonsági javaslatokkal

A Copilot legegyszerűbb konfigurációja AI-segítséget nyújt a webes kérésekhez.

Az ábrán:

• A felhasználók copilot.microsoft.com, Windows, Bing, Edge böngésző és a Copilot mobilalkalmazás segítségével kezelhetik a Copilototot.
• A parancssorok webalapúak. A Copilot csak nyilvánosan elérhető adatokat használ a kérésekre való válaszadáshoz.

Ezzel a konfigurációval a szervezeti adatok nem szerepelnek a Copilot által hivatkozott adatok hatókörében.

Ezen a szakaszon identitás- és hozzáférési szabályzatokat valósíthat meg a felhasználók és az eszközök számára, hogy megakadályozza, hogy a rossz szereplők használják a Copilotot. Legalább olyan feltételes hozzáférési szabályzatokat kell konfigurálnia, amelyek a következőket igénylik:

• Többtényezős hitelesítés minden felhasználó számára
• Megbízható és kifogástalan eszközök

További javaslatok a Microsoft 365 E3-hoz

• A felhasználói fiókok hitelesítéséhez és eléréséhez konfigurálja az identitás- és hozzáférési szabályzatokat is a modern hitelesítést nem támogató ügyfelek blokkolására.
• Használja a Windows védelmi képességeit.

További javaslatok a Microsoft 365 E5-höz

Implementálja az E3-ra vonatkozó javaslatokat, és konfigurálja a következő identitás- és hozzáférési szabályzatokat:

• MFA megkövetelése, ha a bejelentkezési kockázat közepes vagy magas
• A magas kockázatú felhasználóknak módosítaniuk kell a jelszavukat

2. szakasz. Biztonsági védelem hozzáadása az Edge böngészőösszesítéséhez

A Microsoft Edge oldalsávon a Microsoft Copilot segít válaszokat és inspirációkat kapni a weben, és ha engedélyezve van, bizonyos típusú információk jelennek meg a megnyitott böngészőlapokon.

Íme néhány példa privát vagy szervezeti weblapokra és dokumentumtípusokra, amelyeket a Copilot az Edge-ben összefoglalhat:

• Intranetes webhelyek, például a SharePoint, a beágyazott Office-dokumentumok kivételével
• Outlook Web App
• PDF-fájlok, beleértve a helyi eszközön tároltakat is
• A Microsoft Purview DLP-szabályzatok, a mobilalkalmazás-kezelési (MAM) szabályzatok vagy az MDM-szabályzatok által nem védett webhelyek

Feljegyzés

A Copilot által az Edge-ben támogatott dokumentumtípusok aktuális listájáért az elemzéshez és az összegzéshez lásd : Copilot in Edge weblap összegzési viselkedése.

Az Edge-ben a Copilot által összegzett potenciálisan bizalmas szervezeti webhelyek és dokumentumok helyi, intranetes vagy felhőbeli helyeken tárolhatók. Ezek a szervezeti adatok közzétehetők egy támadó számára, aki hozzáfér az eszközhöz, és az Edge-ben a Copilot használatával gyorsan összegzi a dokumentumokat és a webhelyeket.

Az Edge-ben a Copilot által összegzhető szervezeti adatok a következők lehetnek:

• Helyi erőforrások a felhasználó számítógépén

  A MAM-szabályzatokkal nem védett helyi alkalmazások pdf-fájlokat vagy információkat jelenítenek meg egy Edge böngészőlapon

• Intranetes erőforrások

  A Microsoft Purview DLP-szabályzatok, MAM-szabályzatok vagy MDM-szabályzatok által nem védett belső alkalmazások és szolgáltatások PDF-fájljai vagy webhelyei

• Microsoft 365-webhelyek, amelyeket nem védenek a Microsoft Purview DLP-szabályzatai, MAM-szabályzatai vagy MDM-szabályzatai

• Microsoft Azure-erőforrások

  PDF-fájlok virtuális gépeken vagy webhelyeken olyan SaaS-alkalmazásokhoz, amelyeket nem véd a Microsoft Purview DLP-szabályzata, MAM-szabályzata vagy MDM-szabályzata

• Külső felhőtermék-webhelyek olyan felhőalapú SaaS-alkalmazásokhoz és -szolgáltatásokhoz, amelyeket nem védenek a Microsoft Purview DLP-szabályzatai, MAM-szabályzatai vagy MDA-szabályzatai

Ezzel a fázissal biztonsági szinteket valósíthat meg annak érdekében, hogy a rossz szereplők ne használják a Copilotot a bizalmas adatok gyorsabb felderítéséhez és eléréséhez. Legalább a következőt kell tennie:

• Adatbiztonsági és megfelelőségi védelem üzembe helyezése a Microsoft Purview-nal
• Minimális felhasználói engedélyek konfigurálása az adatokhoz
• Veszélyforrások elleni védelem üzembe helyezése felhőalkalmazásokhoz a Felhőhöz készült Microsoft Defender-alkalmazásokkal

További információ a Copilotról az Edge-ben:

• Copilot az Edge-ben
• A Copilot az Edge-weblapok összegzési viselkedésében

Ez az ábra a Microsoft Copilot által az Edge-ben elérhető adatkészleteket mutatja be, és engedélyezve van a böngészőösszesítés.

E3 és E5 Javaslatok

• Intune-alkalmazásvédelmi szabályzatok (APP) implementálása az adatvédelemhez. Az APP megakadályozhatja a Copilot által létrehozott tartalom véletlen vagy szándékos másolását olyan eszközökön lévő alkalmazásokba, amelyek nem szerepelnek az engedélyezett alkalmazások listájában. Az APP egy feltört eszköz használatával korlátozhatja a támadó robbanási sugarát.

• Kapcsolja be az Office 363-hoz készült Microsoft Defender 1. csomagját, amely magában foglalja a Exchange Online Védelmi szolgáltatás (EOP) funkciót Széf mellékletekhez, Széf hivatkozásokhoz, speciális adathalászati küszöbértékekhez és megszemélyesítési védelemhez, valamint valós idejű észleléshez.

3. szakasz. A Microsoft 365-höz készült Copilot teljes körű biztonsági védelme

A Microsoft 365-höz készült Copilot a következő adatkészletekkel dolgozhatja fel a gráfalapú kéréseket:

• A Microsoft 365-ös bérlői adatok
• Internetes adatok a Bing-keresésen keresztül (ha engedélyezve van)
• A Copilot-kompatibilis beépülő modulok és összekötők által használt adatok

További információt a Microsoft 365-höz készült Microsoft Copilot Teljes felügyelet alapelveinek alkalmazása című témakörben talál.

Javaslatok az E3-hoz

Hajtsa végre a következőket:

• Az Intune eszközfelügyeleti és eszközmegfelelési követelményeire vonatkozó szabályzatok

• Adatvédelem a Microsoft 365-bérlőben

  • Bizalmassági címkék

  • Adatveszteség-megelőzési (DLP-) szabályzatok

  • Adatmegőrzési házirendek

• A Végponthoz készült Microsoft Defender bekapcsolása

Javaslatok az E5-höz

Hajtsa végre az E3-ra vonatkozó javaslatokat és a következőket:

• Használjon több osztályozót a bizalmas információk megkereséséhez.
• Automatizálja a megőrzési címkéket.
• Próbálja ki a 2. terv képességeit Office 365-höz készült Defender, amelyek magukban foglalják a incidens utáni vizsgálatot, a vadászatot és a reagálást, az automatizálást és a szimulációt.
• Kapcsolja be a Felhőhöz készült Microsoft Defender-alkalmazásokat.
• Konfigurálja a Felhőhöz készült Defender-alkalmazásokat a felhőalkalmazások felderítésére, valamint a viselkedésük monitorozására és naplózására.

4. szakasz. Biztonsági védelem fenntartása a Microsoft Copilot és a Copilot együttes használata során

A Microsoft 365-höz készült Copilot licencével megjelenik egy Work/Web kapcsoló vezérlőelem az Edge böngészőben, a Windowsban és a Bing-keresésben, amely lehetővé teszi a váltást a következő módok között:

• A Microsoft 365-höz a Copilotnak küldött gráfalapú kérések (a kapcsoló a Work értékre van állítva).
• Webalapú kérések, amelyek elsősorban internetes adatokat használnak (a webre váltógomb).

Íme egy példa a copilot.microsoft.com.

Ez az ábra a gráf- és webalapú kérések folyamatát mutatja be.

A diagramon:

• A Microsoft 365-höz készült Copilot-licenccel rendelkező eszközökön lévő felhasználók a Microsoft Copilot-parancssorok Munkahelyi vagy Webes módját választhatják.
• Ha a Work lehetőséget választja, a rendszer gráfalapú kéréseket küld a Microsoft 365-höz készült Copilotnak feldolgozás céljából.
• Ha a webet választja, a Windowson, a Bingen vagy az Edge-en keresztül beírt webes kérések internetes adatokat használnak a feldolgozásuk során.
• Az Edge esetében és ha engedélyezve van, a Windows Copilot bizonyos típusú adatokat tartalmaz az Open Edge-lapokban a feldolgozás során.

Ha a felhasználó nem rendelkezik a Microsoft 365-höz készült Copilot-licenccel, a Work/Web kapcsoló nem jelenik meg, és az összes kérés webalapú.

Íme a Microsoft Copilot akadálymentes szervezeti adatainak készlete, amelyek a Graph- és a Web-alapú kéréseket is tartalmazzák.

Az ábrán a sárga árnyékolt blokkok a Copiloton keresztül elérhető szervezeti adatokhoz tartoznak. Az adatokhoz való hozzáférés a Felhasználó által a Copiloton keresztül a felhasználói fiókhoz rendelt adatok engedélyétől függ. Az is függhet a felhasználó eszközének állapotától, ha a feltételes hozzáférés a felhasználóhoz vagy ahhoz a környezethez való hozzáféréshez van konfigurálva, ahol az adatok találhatók. A Teljes felügyelet alapelveit követve ezeket az adatokat védeni kell, ha egy támadó feltör egy felhasználói fiókot vagy eszközt.

• Gráfalapú kérések esetén (a váltógomb a Work értékre van állítva) a következőket foglalja magában:

  • A Microsoft 365-ös bérlői adatok

  • Copilot-kompatibilis beépülő modulok és összekötők adatai

  • Internetes adatok (ha a webes beépülő modul engedélyezve van)

• Ha az Edge böngészőből érkező webes kérések engedélyezve van a megnyitott böngészőlap-összegzéssel (webre állítással), ezek közé tartozhatnak azok a szervezeti adatok, amelyeket a Copilot az Edge-ben a helyi, intranetes és felhőbeli helyekről összegzhet.

Ezzel a lépéssel ellenőrizheti a következő biztonsági szintek megvalósítását, hogy a rossz szereplők ne használják a Copilotot a bizalmas adatok eléréséhez:

• Adatbiztonsági és megfelelőségi védelem üzembe helyezése a Microsoft Purview-nal
• Minimális felhasználói engedélyek konfigurálása az adatokhoz
• Veszélyforrások elleni védelem üzembe helyezése felhőalkalmazásokhoz a Felhőhöz készült Microsoft Defender-alkalmazásokkal

Javaslatok az E3-hoz

• Tekintse át a konfigurációt és az Office 365-höz készült Defender 1. csomag és az 1. végponthoz készült Defender funkcióit, és szükség szerint implementáljon további képességeket.
• Állítsa be a Megfelelő védelmi szinteket a Microsoft Teamshez.

Javaslatok az E5-höz

Implementálja az E3-ra vonatkozó javaslatokat, és bővítse az XDR-képességeket a Microsoft 365-bérlőben:

• Kapcsolja be a Microsoft Defender for Identity szolgáltatást.

• Tekintse át a konfigurációt, és szükség szerint implementáljon további képességeket a fenyegetésvédelem növeléséhez a Teljes Microsoft Defender XDR csomaggal:

  • Végponthoz készült Defender

  • Office 365-höz készült Defender

  • Defender for Identity

  • Felhőhöz készült Defender-alkalmazások

  • Munkamenet-szabályzatok konfigurálása Felhőhöz készült Defender-alkalmazásokhoz

Konfiguráció összefoglalása

Ez az ábra összefoglalja a Microsoft Copilot konfigurációit, valamint azokat az elérhető adatokat, amelyeket a Copilot a kérésekre való válaszadáshoz használ.

Ez a táblázat Teljes felügyelet javaslatokat tartalmaz a választott konfigurációhoz.

Konfiguráció	Akadálymentes adatok	Teljes felügyelet javaslatok
A Microsoft 365-licencekhez készült Copilot nélkül (a Munkahelyi/webes kapcsoló nem érhető el) ÉS Az Edge böngészőlap-összegzése le van tiltva	Webalapú kérések esetén csak internetes adatok	Nincs szükség, de erősen ajánlott az általános biztonsági higiénia érdekében.
A Microsoft 365-licencekhez készült Copilot nélkül (a Munkahelyi/webes kapcsoló nem érhető el) ÉS Engedélyezve van az Edge böngészőlap-összegzése	Webalapú kérések esetén: - Internetes adatok – Szervezeti adatok helyi, intranetes és felhőbeli helyeken, amelyeket a Copilot az Edge-ben összegzhet	A Microsoft 365-ös bérlőjéhez tekintse meg a Microsoft 365-höz készült Copilot Teljes felügyelet című témakört, és alkalmazza Teljes felügyelet védelmet. A helyi, intranetes és felhőbeli helyeken tárolt szervezeti adatokért lásd : Eszközök kezelése az Intune-nal – áttekintés MAM- és MDM-szabályzatokhoz. Lásd még: Adatvédelem és adatvédelem kezelése a Microsoft Priva és a Microsoft Purview for DLP-szabályzatokkal.
A Microsoft 365-licencekhez készült Copilot (Munka/Web kapcsoló elérhető) ÉS Az Edge böngészőlap-összegzése le van tiltva	Gráfalapú kérések esetén: – Microsoft 365-bérlői adatok – Internetes adatok, ha a webes beépülő modul engedélyezve van - Copilot-kompatibilis beépülő modulok és összekötők adatai Webalapú kérések esetén csak internetes adatok	A Microsoft 365-ös bérlőjéhez tekintse meg a Microsoft 365-höz készült Copilot Teljes felügyelet című témakört, és alkalmazza Teljes felügyelet védelmet.
A Microsoft 365-licencekhez készült Copilot (Munka/Web kapcsoló elérhető) ÉS Engedélyezve van az Edge böngészőlap-összegzése	Gráfalapú kérések esetén: – Microsoft 365-bérlői adatok – Internetes adatok, ha a webes beépülő modul engedélyezve van - Copilot-kompatibilis beépülő modulok és összekötők adatai Webalapú kérések esetén: - Internetes adatok – Az Edge böngészőlapján megjeleníthető szervezeti adatok, beleértve a helyi, a felhőbeli és az intranetes erőforrásokat	A Microsoft 365-bérlőjéhez tekintse meg a Microsoft 365-höz készült Copilot Teljes felügyelet, és alkalmazza a Teljes felügyelet védelmet. A helyi, intranetes és felhőbeli helyeken tárolt szervezeti adatokért lásd : Eszközök kezelése az Intune-nal – áttekintés MAM- és MDM-szabályzatokhoz. Lásd még: Adatvédelem és adatvédelem kezelése a Microsoft Priva és a Microsoft Purview for DLP-szabályzatokkal.

Következő lépések

További cikkek Teljes felügyelet és a Microsoft Copilots szolgáltatásához:

• Áttekintés
• Microsoft Copilot for Microsoft 365
• Microsoft Copilot for Security

Hivatkozások

Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.

• Copilot az Edge-ben
• A Copilot az Edge-weblapok összegzési viselkedésében
• A Copilot kezelése a Windowsban
• Nyilvános webes tartalmakhoz való hozzáférés kezelése a Microsoft Copilotban a Microsoft 365-válaszokhoz
• Adatok, adatvédelem és biztonság a Microsoft Copilot for Microsoft 365-höz