A Teljes felügyelet alapelveinek alkalmazása a Microsoft Copilotra
Összefoglalás: Ha Teljes felügyelet elveket szeretne alkalmazni a Microsoft Copilotra, a következőkre van szüksége:
- Az internetre irányuló webes kérések biztonsági védelmének megvalósítása.
- Biztonsági védelem hozzáadása a Microsoft Edge böngészőösszesítéséhez.
- Végezze el a Microsoft 365 Copilot ajánlott biztonsági védelmét.
- Biztonsági védelem fenntartása a Microsoft Copilot és a Microsoft 365 Copilot együttes használatakor.
Bevezetés
A Microsoft Copilot vagy Copilot AI-társ a copilot.microsoft.com, a Windows, az Edge, a Bing és a Copilot mobilalkalmazásban. Ez a cikk segít a biztonsági védelem megvalósításában, hogy a Copilot használata során a szervezet és az adatok biztonságban legyenek. A védelem megvalósításával a Teljes felügyelet alapjait építi ki.
Teljes felügyelet Copilot biztonsági ajánlásai a felhasználói fiókok, a felhasználói eszközök és a Copilot konfigurálásának hatókörébe tartozó adatok védelmére összpontosítanak.
A Copilotot szakaszosan vezethető be, a webes kérések internetre való engedélyezésétől kezdve a webes és a Microsoft 365 Graph-alapú kérések engedélyezésétől kezdve mind az internetre, mind a szervezeti adatokra. Ez a cikk segít megérteni az egyes konfigurációk hatókörét, és következésképpen a környezet megfelelő biztonsági védelemmel való előkészítésére vonatkozó javaslatokat.
Hogyan segít Teljes felügyelet az AI-ben?
A biztonság, különösen az adatvédelem gyakran a legfontosabb szempont, amikor AI-eszközöket vezet be egy szervezetbe. Teljes felügyelet egy biztonsági stratégia, amely ellenőrzi az összes felhasználót, eszközt és erőforrás-kérést, hogy ezek mindegyike engedélyezve legyen. A "nulla megbízhatóság" kifejezés az egyes kapcsolatok és erőforrás-kérések kezelésének stratégiájára utal, mintha egy ellenőrizetlen hálózatból és egy rossz szereplőből származik. Függetlenül attól, hogy honnan származik a kérés, vagy milyen erőforráshoz fér hozzá, Teljes felügyelet megtanít minket arra, hogy "soha ne bízzunk meg, mindig ellenőrizzük".
A Microsoft biztonsági vezetőként gyakorlati ütemtervet és egyértelmű útmutatást nyújt a Teljes felügyelet megvalósításához. A Microsoft Copilot-készlete a meglévő platformokra épül, amelyek öröklik az ezeken a platformokon alkalmazott védelmet. A Teljes felügyelet Microsoft-platformokra való alkalmazásának részleteiért tekintse meg a Teljes felügyelet útmutatót. A védelem megvalósításával a Teljes felügyelet biztonság alapjait építi ki.
Ez a cikk ebből az útmutatóból merít a Copilothoz kapcsolódó Teljes felügyelet védelem előírásához.
A cikk tartalma
Ez a cikk végigvezeti azokat a biztonsági javaslatokat, amelyek négy szakaszban érvényesek. Ez lehetőséget nyújt a Copilot környezetbe való bevezetésére, miközben biztonsági védelmet alkalmaz a felhasználókra, eszközökre és a Copilot által elért adatokra.
Szakasz | Konfiguráció | Biztonságos összetevők |
---|---|---|
0 | Webes kérések az internetre | Alapvető biztonsági higiénia identitás- és hozzáférési szabályzatokat használó felhasználók és eszközök számára. |
2 | Webalapú kérések az internetre az Edge böngészőlap összegzésének engedélyezésével | A szervezet adatai helyi, intranetes és felhőbeli helyeken, amelyeket a Copilot az Edge-ben összegzhet. |
3 | Webalapú kérések az internethez és a Microsoft 365 Copilothoz való hozzáférés | A Microsoft 365 Copilot által érintett összes összetevő. |
4 | Webes kérések az internethez és a Microsoft 365 Copilothoz való hozzáférés az Edge böngészőoldal-összegzés engedélyezésével | A fent felsorolt összes összetevő. |
1. szakasz. Kezdje az internetre irányuló webes kérésekkel kapcsolatos biztonsági javaslatokkal
A Copilot legegyszerűbb konfigurációja AI-segítséget nyújt a webes kérésekhez.
Az ábrán:
- A felhasználók copilot.microsoft.com, Windows, Bing, Edge böngésző és a Copilot mobilalkalmazás segítségével kezelhetik a Copilototot.
- A parancssorok webalapúak. A Copilot csak nyilvánosan elérhető adatokat használ a kérésekre való válaszadáshoz.
Ezzel a konfigurációval a szervezeti adatok nem szerepelnek a Copilot által hivatkozott adatok hatókörében.
Ezen a szakaszon identitás- és hozzáférési szabályzatokat valósíthat meg a felhasználók és az eszközök számára, hogy megakadályozza, hogy a rossz szereplők használják a Copilotot. Legalább olyan feltételes hozzáférési szabályzatokat kell konfigurálnia, amelyek a következőket igénylik:
További javaslatok a Microsoft 365 E3-hoz
- A felhasználói fiókok hitelesítéséhez és eléréséhez konfigurálja az identitás- és hozzáférési szabályzatokat is a modern hitelesítést nem támogató ügyfelek blokkolására.
- Használja a Windows védelmi képességeit.
További javaslatok a Microsoft 365 E5-höz
Implementálja az E3-ra vonatkozó javaslatokat, és konfigurálja a következő identitás- és hozzáférési szabályzatokat:
- MFA megkövetelése, ha a bejelentkezési kockázat közepes vagy magas
- A magas kockázatú felhasználóknak módosítaniuk kell a jelszavukat
2. szakasz. Biztonsági védelem hozzáadása az Edge böngészőösszesítéséhez
A Microsoft Edge oldalsávon a Microsoft Copilot segít válaszokat és inspirációkat kapni a weben, és ha engedélyezve van, bizonyos típusú információk jelennek meg a megnyitott böngészőlapokon.
Íme néhány példa privát vagy szervezeti weblapokra és dokumentumtípusokra, amelyeket a Copilot az Edge-ben összefoglalhat:
- Intranetes webhelyek, például a SharePoint, a beágyazott Office-dokumentumok kivételével
- Az Outlook Web App
- PDF-fájlok, beleértve a helyi eszközön tároltakat is
- A Microsoft Purview DLP-szabályzatok, a mobilalkalmazás-kezelési (MAM) szabályzatok vagy az MDM-szabályzatok által nem védett webhelyek
Feljegyzés
A Copilot által az Edge-ben támogatott dokumentumtípusok aktuális listájáért az elemzéshez és az összegzéshez lásd : Copilot in Edge weblap összegzési viselkedése.
Az Edge-ben a Copilot által összegzett potenciálisan bizalmas szervezeti webhelyek és dokumentumok helyi, intranetes vagy felhőbeli helyeken tárolhatók. Ezek a szervezeti adatok közzétehetők egy támadó számára, aki hozzáfér az eszközhöz, és az Edge-ben a Copilot használatával gyorsan összegzi a dokumentumokat és a webhelyeket.
Az Edge-ben a Copilot által összegzhető szervezeti adatok a következők lehetnek:
Helyi erőforrások a felhasználó számítógépén
A MAM-szabályzatokkal nem védett helyi alkalmazások pdf-fájlokat vagy információkat jelenítenek meg egy Edge böngészőlapon
Intranetes erőforrások
A Microsoft Purview DLP-szabályzatok, MAM-szabályzatok vagy MDM-szabályzatok által nem védett belső alkalmazások és szolgáltatások PDF-fájljai vagy webhelyei
Microsoft 365-webhelyek, amelyeket nem védenek a Microsoft Purview DLP-szabályzatai, MAM-szabályzatai vagy MDM-szabályzatai
Microsoft Azure-erőforrások
PDF-fájlok virtuális gépeken vagy webhelyeken olyan SaaS-alkalmazásokhoz, amelyeket nem véd a Microsoft Purview DLP-szabályzata, MAM-szabályzata vagy MDM-szabályzata
Külső felhőtermék-webhelyek olyan felhőalapú SaaS-alkalmazásokhoz és -szolgáltatásokhoz, amelyeket nem védenek a Microsoft Purview DLP-szabályzatai, MAM-szabályzatai vagy MDA-szabályzatai
Ezzel a fázissal biztonsági szinteket valósíthat meg annak érdekében, hogy a rossz szereplők ne használják a Copilotot a bizalmas adatok gyorsabb felderítéséhez és eléréséhez. Legalább a következőt kell tennie:
- Adatbiztonsági és megfelelőségi védelem üzembe helyezése a Microsoft Purview-nal
- Minimális felhasználói engedélyek konfigurálása az adatokhoz
- Veszélyforrások elleni védelem üzembe helyezése felhőalkalmazásokhoz a Felhőhöz készült Microsoft Defender-alkalmazásokkal
További információ a Copilotról az Edge-ben:
Ez az ábra a Microsoft Copilot által az Edge-ben elérhető adatkészleteket mutatja be, és engedélyezve van a böngészőösszesítés.
Javaslatok az E3-hoz és az E5-höz
Intune-alkalmazásvédelmi szabályzatok (APP) implementálása az adatvédelemhez. Az APP megakadályozhatja a Copilot által létrehozott tartalom véletlen vagy szándékos másolását olyan eszközökön lévő alkalmazásokba, amelyek nem szerepelnek az engedélyezett alkalmazások listájában. Az APP egy feltört eszköz használatával korlátozhatja a támadó robbanási sugarát.
Kapcsolja be az Office 363-hoz készült Microsoft Defender 1. csomagját, amely magában foglalja a Exchange Online Védelmi szolgáltatás (EOP) biztonságos mellékletekhez, a biztonságos hivatkozásokhoz, a speciális adathalászati küszöbértékekhez és a megszemélyesítési védelemhez, valamint a valós idejű észlelésekhez.
3. szakasz. A Microsoft 365 Copilothoz ajánlott teljes körű biztonsági védelem
A Microsoft 365 Copilot a következő adatkészletekkel dolgozhatja fel a gráfalapú kéréseket:
- A Microsoft 365-ös bérlői adatok
- Internetes adatok a Bing-keresésen keresztül (ha engedélyezve van)
- A Copilot-kompatibilis beépülő modulok és összekötők által használt adatok
További információ: A Teljes felügyelet alapelveinek alkalmazása a Microsoft Microsoft 365 Copilot-ra.
Javaslatok az E3-hoz
Hajtsa végre a következőket:
Az Intune eszközfelügyeleti és eszközmegfelelési követelményeire vonatkozó szabályzatok
Adatvédelem a Microsoft 365-bérlőben
Bizalmassági címkék
Adatveszteség-megelőzési (DLP-) szabályzatok
Adatmegőrzési házirendek
Javaslatok az E5-höz
Hajtsa végre az E3-ra vonatkozó javaslatokat és a következőket:
- Használjon több osztályozót a bizalmas információk megkereséséhez.
- Automatizálja a megőrzési címkéket.
- Próbálja ki a 2. terv képességeit Office 365-höz készült Defender, amelyek magukban foglalják a incidens utáni vizsgálatot, a vadászatot és a reagálást, az automatizálást és a szimulációt.
- Kapcsolja be a Felhőhöz készült Microsoft Defender-alkalmazásokat.
- Konfigurálja a Felhőhöz készült Defender-alkalmazásokat a felhőalkalmazások felderítésére, valamint a viselkedésük monitorozására és naplózására.
4. szakasz. Biztonsági védelem fenntartása a Microsoft Copilot és a Microsoft 365 Copilot együttes használata során
A Microsoft 365 Copilot licencével az Edge böngészőben, a Windowsban és a Bing-keresésben megjelenik a Work/Web kapcsoló vezérlőelem, amely lehetővé teszi a váltást a következő módok között:
- A Microsoft 365 Copilotnak küldött gráfalapú kérések (a munka beállításának beállítása)
- Webalapú kérések, amelyek elsősorban internetes adatokat használnak (a webre váltógomb).
Íme egy példa a copilot.microsoft.com.
Ez az ábra a gráf- és webalapú kérések folyamatát mutatja be.
A diagramon:
- A Microsoft 365 Copilot licenccel rendelkező eszközökön lévő felhasználók a Microsoft Copilot-kérések munkahelyi vagy webes módját választhatják.
- Ha a Work lehetőséget választja, a rendszer gráfalapú kéréseket küld a Microsoft 365 Copilotnak feldolgozás céljából.
- Ha a webet választja, a Windowson, a Bingen vagy az Edge-en keresztül beírt webes kérések internetes adatokat használnak a feldolgozásuk során.
- Az Edge esetében és ha engedélyezve van, a Windows Copilot bizonyos típusú adatokat tartalmaz az Open Edge-lapokban a feldolgozás során.
Ha a felhasználó nem rendelkezik a Microsoft 365 Copilot licencével, akkor a Work/Web kapcsoló nem jelenik meg, és az összes kérés webalapú.
Íme a Microsoft Copilot akadálymentes szervezeti adatainak készlete, amelyek a Graph- és a Web-alapú kéréseket is tartalmazzák.
Az ábrán a sárga árnyékolt blokkok a Copiloton keresztül elérhető szervezeti adatokhoz tartoznak. Az adatokhoz való hozzáférés a Felhasználó által a Copiloton keresztül a felhasználói fiókhoz rendelt adatok engedélyétől függ. Az is függhet a felhasználó eszközének állapotától, ha a feltételes hozzáférés a felhasználóhoz vagy ahhoz a környezethez való hozzáféréshez van konfigurálva, ahol az adatok találhatók. A Teljes felügyelet alapelveit követve ezeket az adatokat védeni kell, ha egy támadó feltör egy felhasználói fiókot vagy eszközt.
Gráfalapú kérések esetén (a váltógomb a Work értékre van állítva) a következőket foglalja magában:
A Microsoft 365-ös bérlői adatok
Copilot-kompatibilis beépülő modulok és összekötők adatai
Internetes adatok (ha a webes beépülő modul engedélyezve van)
Ha az Edge böngészőből érkező webes kérések engedélyezve van a megnyitott böngészőlap-összegzéssel (webre állítással), ezek közé tartozhatnak azok a szervezeti adatok, amelyeket a Copilot az Edge-ben a helyi, intranetes és felhőbeli helyekről összegzhet.
Ezzel a lépéssel ellenőrizheti a következő biztonsági szintek megvalósítását, hogy a rossz szereplők ne használják a Copilotot a bizalmas adatok eléréséhez:
- Adatbiztonsági és megfelelőségi védelem üzembe helyezése a Microsoft Purview-nal
- Minimális felhasználói engedélyek konfigurálása az adatokhoz
- Veszélyforrások elleni védelem üzembe helyezése felhőalkalmazásokhoz a Felhőhöz készült Microsoft Defender-alkalmazásokkal
Javaslatok az E3-hoz
- Tekintse át a konfigurációt és az Office 365-höz készült Defender 1. csomag és az 1. végponthoz készült Defender funkcióit, és szükség szerint implementáljon további képességeket.
- Állítsa be a Megfelelő védelmi szinteket a Microsoft Teamshez.
Javaslatok az E5-höz
Implementálja az E3-ra vonatkozó javaslatokat, és bővítse az XDR-képességeket a Microsoft 365-bérlőben:
Kapcsolja be a Microsoft Defender for Identity szolgáltatást.
Tekintse át a konfigurációt, és szükség szerint implementáljon további képességeket a fenyegetésvédelem növeléséhez a Teljes Microsoft Defender XDR csomaggal:
Munkamenet-szabályzatok konfigurálása Felhőhöz készült Defender-alkalmazásokhoz
Konfiguráció összefoglalása
Ez az ábra összefoglalja a Microsoft Copilot konfigurációit, valamint azokat az elérhető adatokat, amelyeket a Copilot a kérésekre való válaszadáshoz használ.
Ez a táblázat Teljes felügyelet javaslatokat tartalmaz a választott konfigurációhoz.
Konfiguráció | Akadálymentes adatok | Teljes felügyelet javaslatok |
---|---|---|
Microsoft 365 Copilot-licencek nélkül (a Munkahelyi/webes kapcsoló nem érhető el) ÉS Az Edge böngészőlap-összegzése le van tiltva |
Webalapú kérések esetén csak internetes adatok | Nincs szükség, de erősen ajánlott az általános biztonsági higiénia érdekében. |
Microsoft 365 Copilot-licencek nélkül (a Munkahelyi/webes kapcsoló nem érhető el) ÉS Engedélyezve van az Edge böngészőlap-összegzése |
Webalapú kérések esetén: - Internetes adatok – Szervezeti adatok helyi, intranetes és felhőbeli helyeken, amelyeket a Copilot az Edge-ben összegzhet |
A Microsoft 365-bérlőjéhez tekintse meg a Microsoft 365 Copilot Teljes felügyelet című témakört, és alkalmazza a Teljes felügyelet védelmet. A helyi, intranetes és felhőbeli helyeken tárolt szervezeti adatokért lásd : Eszközök kezelése az Intune-nal – áttekintés MAM- és MDM-szabályzatokhoz. Lásd még: Adatvédelem és adatvédelem kezelése a Microsoft Priva és a Microsoft Purview for DLP-szabályzatokkal. |
Microsoft 365 Copilot-licencekkel (Munka/Web kapcsoló érhető el) ÉS Az Edge böngészőlap-összegzése le van tiltva |
Gráfalapú kérések esetén: – Microsoft 365-bérlői adatok – Internetes adatok, ha a webes beépülő modul engedélyezve van - Copilot-kompatibilis beépülő modulok és összekötők adatai Webalapú kérések esetén csak internetes adatok |
A Microsoft 365-bérlőjéhez tekintse meg a Microsoft 365 Copilot Teljes felügyelet című témakört, és alkalmazza a Teljes felügyelet védelmet. |
Microsoft 365 Copilot-licencekkel (Munka/Web kapcsoló érhető el) ÉS Engedélyezve van az Edge böngészőlap-összegzése |
Gráfalapú kérések esetén: – Microsoft 365-bérlői adatok – Internetes adatok, ha a webes beépülő modul engedélyezve van - Copilot-kompatibilis beépülő modulok és összekötők adatai Webalapú kérések esetén: - Internetes adatok – Az Edge böngészőlapján megjeleníthető szervezeti adatok, beleértve a helyi, a felhőbeli és az intranetes erőforrásokat |
A Microsoft 365-bérlőjéhez tekintse meg a Microsoft 365 Copilot Teljes felügyelet című témakört, és alkalmazza a Teljes felügyelet védelmet. A helyi, intranetes és felhőbeli helyeken tárolt szervezeti adatokért lásd : Eszközök kezelése az Intune-nal – áttekintés MAM- és MDM-szabályzatokhoz. Lásd még: Adatvédelem és adatvédelem kezelése a Microsoft Priva és a Microsoft Purview for DLP-szabályzatokkal. |
Következő lépések
További cikkek Teljes felügyelet és a Microsoft Copilots szolgáltatásához:
Hivatkozások
Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.