Menerapkan prinsip Zero Trust ke Microsoft Copilot

Ringkasan: Untuk menerapkan prinsip Zero Trust ke Microsoft Copilot, Anda perlu:

1. Terapkan perlindungan keamanan untuk permintaan web-grounded ke Internet.
2. Tambahkan perlindungan keamanan untuk ringkasan browser Microsoft Edge.
3. Lengkapi perlindungan keamanan yang direkomendasikan untuk Microsoft 365 Copilot.
4. Pertahankan perlindungan keamanan saat menggunakan Microsoft Copilot dan Microsoft 365 Copilot bersama-sama.

Pendahuluan

Microsoft Copilot atau Copilot adalah pendamping AI di copilot.microsoft.com, Windows, Edge, Bing, dan aplikasi seluler Copilot. Artikel ini membantu Anda menerapkan perlindungan keamanan untuk menjaga organisasi dan data Anda tetap aman saat menggunakan Copilot. Dengan menerapkan perlindungan ini, Anda membangun fondasi Zero Trust.

Rekomendasi keamanan Zero Trust untuk Copilot berfokus pada perlindungan untuk akun pengguna, perangkat pengguna, dan data yang berada dalam cakupan cara Anda mengonfigurasi Copilot.

Anda dapat memperkenalkan Copilot secara bertahap, mulai dari mengizinkan permintaan web-grounded ke Internet hingga memungkinkan permintaan berbasis Web dan Microsoft 365 Graph ke Internet dan ke data organisasi Anda. Artikel ini membantu Anda memahami cakupan setiap konfigurasi dan, akibatnya, rekomendasi untuk menyiapkan lingkungan Anda dengan perlindungan keamanan yang sesuai.

Bagaimana Zero Trust membantu AI?

Keamanan, terutama perlindungan data, sering kali menjadi perhatian utama saat memperkenalkan alat AI ke dalam organisasi. Zero Trust adalah strategi keamanan yang memverifikasi setiap permintaan pengguna, perangkat, dan sumber daya untuk memastikan bahwa masing-masing hal ini diizinkan. Istilah 'zero trust' mengacu pada strategi memperlakukan setiap koneksi dan permintaan sumber daya seolah-olah berasal dari jaringan yang tidak terkendali dan aktor yang buruk. Terlepas dari mana permintaan berasal atau sumber daya apa yang diaksesnya, Zero Trust mengajarkan kita untuk "jangan pernah percaya, selalu verifikasi."

Sebagai pemimpin dalam keamanan, Microsoft menyediakan peta jalan praktis dan panduan yang jelas untuk menerapkan Zero Trust. Set Copilot Microsoft dibangun di atas platform yang ada, yang mewarisi perlindungan yang diterapkan pada platform tersebut. Untuk detail penerapan Zero Trust ke platform Microsoft, lihat Pusat Panduan Zero Trust. Dengan menerapkan perlindungan ini, Anda membangun fondasi keamanan Zero Trust.

Artikel ini mengambil dari panduan tersebut untuk meresepkan perlindungan Zero Trust yang terkait dengan Copilot.

Apa yang disertakan dalam artikel ini

Artikel ini menjelaskan rekomendasi keamanan yang berlaku dalam empat tahap. Ini menyediakan jalur bagi Anda untuk memperkenalkan Copilot ke lingkungan Anda saat Anda menerapkan perlindungan keamanan untuk pengguna, perangkat, dan data yang diakses oleh Copilot.

Tahap	Konfigurasi	Komponen yang akan diamankan
1	Permintaan web-grounded ke Internet	Kebersihan keamanan dasar untuk pengguna dan perangkat yang menggunakan kebijakan identitas dan akses.
2	Permintaan web-grounded ke Internet dengan ringkasan halaman browser Edge diaktifkan	Data organisasi Anda di lokasi lokal, intranet, dan cloud yang dapat dirangkum Copilot di Edge.
3	Permintaan web-grounded ke Internet dan akses ke Microsoft 365 Copilot	Semua komponen yang terpengaruh oleh Microsoft 365 Copilot.
4	Permintaan web-grounded ke Internet dan akses ke Microsoft 365 Copilot dengan ringkasan halaman browser Edge diaktifkan	Semua komponen yang tercantum di atas.

Tahap 1. Mulailah dengan rekomendasi keamanan untuk permintaan web-grounded ke Internet

Konfigurasi Copilot yang paling sederhana memberikan bantuan AI dengan perintah web-grounded.

Dalam ilustrasi:

• Pengguna dapat berinteraksi dengan Copilot melalui copilot.microsoft.com, Windows, Bing, browser Edge, dan aplikasi seluler Copilot.
• Perintah adalah Web-grounded. Copilot hanya menggunakan data yang tersedia untuk umum untuk merespons perintah.

Dengan konfigurasi ini, data organisasi Anda tidak disertakan dalam cakupan data yang dirujuk Copilot.

Gunakan tahap ini untuk menerapkan kebijakan identitas dan akses bagi pengguna dan perangkat untuk mencegah pelaku jahat menggunakan Copilot. Minimal, Anda harus mengonfigurasi kebijakan Akses Bersyarat yang memerlukan:

• Autentikasi multifaktor untuk semua pengguna
• Perangkat tepercaya dan sehat

Rekomendasi tambahan untuk Microsoft 365 E3

• Untuk autentikasi dan akses akun pengguna, konfigurasikan juga identitas dan kebijakan akses ke Blokir klien yang tidak mendukung autentikasi modern.
• Gunakan kemampuan perlindungan Windows.

Rekomendasi tambahan untuk Microsoft 365 E5

Terapkan rekomendasi untuk E3 dan konfigurasikan kebijakan identitas dan akses berikut:

• Memerlukan MFA ketika risiko masuk sedang atau tinggi
• Pengguna berisiko tinggi harus mengubah kata sandi mereka

Tahap 2. Menambahkan perlindungan keamanan untuk ringkasan browser Edge

Dari bilah sisi Microsoft Edge, Microsoft Copilot membantu Anda mendapatkan jawaban dan inspirasi dari seluruh web dan, jika diaktifkan, dari beberapa jenis informasi yang ditampilkan di tab browser terbuka.

Berikut adalah beberapa contoh halaman web privat atau organisasi dan jenis dokumen yang dapat dirangkum oleh Copilot di Edge:

• Situs intranet seperti SharePoint, kecuali dokumen Office yang disematkan
• Outlook Web App
• PDF, termasuk yang disimpan di perangkat lokal
• Situs yang tidak dilindungi oleh kebijakan DLP Microsoft Purview, kebijakan Manajemen Aplikasi Seluler (MAM), atau kebijakan MDM

Catatan

Untuk daftar jenis dokumen saat ini yang didukung oleh Copilot di Edge untuk analisis dan ringkasan, lihat Perilaku ringkasan salinan di halaman web Edge.

Situs dan dokumen organisasi yang berpotensi sensitif yang dapat dirangkum Copilot di Edge dapat disimpan di lokasi lokal, intranet, atau cloud. Data organisasi ini dapat diekspos ke penyerang yang memiliki akses ke perangkat dan menggunakan Copilot di Edge untuk menghasilkan ringkasan dokumen dan situs dengan cepat.

Data organisasi yang dapat dirangkum oleh Copilot di Edge dapat mencakup:

• Sumber daya lokal di komputer pengguna

  PDF atau informasi yang ditampilkan di tab browser Edge oleh aplikasi lokal yang tidak dilindungi dengan kebijakan MAM

• Sumber daya intranet

  PDF atau situs untuk aplikasi dan layanan internal yang tidak dilindungi oleh kebijakan DLP Microsoft Purview, kebijakan MAM, atau kebijakan MDM

• Situs Microsoft 365 yang tidak dilindungi oleh kebijakan DLP Microsoft Purview, kebijakan MAM, atau kebijakan MDM

• Sumber daya Microsoft Azure

  PDF pada komputer atau situs virtual untuk aplikasi SaaS yang tidak dilindungi oleh kebijakan DLP Microsoft Purview, kebijakan MAM, atau kebijakan MDM

• Situs produk cloud pihak ketiga untuk aplikasi dan layanan SaaS berbasis cloud yang tidak dilindungi oleh kebijakan DLP Microsoft Purview, kebijakan MAM, atau kebijakan MDA

Gunakan tahap ini untuk menerapkan tingkat keamanan untuk mencegah pelaku jahat menggunakan Copilot untuk menemukan dan mengakses data sensitif dengan lebih cepat. Minimal, Anda harus:

• Menyebarkan perlindungan keamanan dan kepatuhan data dengan Microsoft Purview
• Mengonfigurasi izin pengguna minimum ke data
• Menyebarkan perlindungan ancaman untuk aplikasi cloud dengan aplikasi Microsoft Defender untuk Cloud

Untuk informasi selengkapnya tentang Copilot di Edge, lihat:

• Salinan di Edge
• Tiruan di perilaku ringkasan halaman web Edge

Ilustrasi ini menunjukkan himpunan data yang tersedia untuk Microsoft Copilot di Edge dengan ringkasan browser diaktifkan.

Rekomendasi untuk E3 dan E5

• Terapkan kebijakan perlindungan aplikasi Intune (APP) untuk perlindungan data. APP dapat mencegah penyalinan konten yang dihasilkan Copilot secara tidak disengaja atau disengaja ke aplikasi di perangkat yang tidak disertakan dalam daftar aplikasi yang diizinkan. APP dapat membatasi radius ledakan penyerang menggunakan perangkat yang disusupi.

• Aktifkan Pertahanan Microsoft untuk Office 363 Paket 1, yang mencakup Proteksi Exchange Online (EOP) untuk Lampiran Aman, Tautan Aman, ambang batas pengelabuan tingkat lanjut dan perlindungan peniruan identitas, dan deteksi real time.

Tahap 3. Perlindungan keamanan lengkap yang direkomendasikan untuk Microsoft 365 Copilot

Microsoft 365 Copilot dapat menggunakan himpunan data berikut untuk memproses perintah Graph-grounded:

• Data penyewa Microsoft 365 Anda
• Data internet melalui pencarian Bing (jika diaktifkan)
• Data yang digunakan oleh plug-in dan konektor dengan dukungan Copilot

Untuk informasi selengkapnya, lihat Menerapkan prinsip Zero Trust ke Microsoft Microsoft 365 Copilot.

Rekomendasi untuk E3

Terapkan hal-hal berikut:

• Kebijakan persyaratan manajemen perangkat dan kepatuhan perangkat Intune

• Perlindungan data di penyewa Microsoft 365 Anda

  • Label sensitivitas

  • Kebijakan Pencegahan Kehilangan Data (DLP)

  • Kebijakan retensi

• Aktifkan Microsoft Defender untuk Titik Akhir

Rekomendasi untuk E5

Terapkan rekomendasi untuk E3 dan berikut ini:

• Gunakan berbagai pengklasifikasi yang lebih besar untuk menemukan info sensitif.
• Mengotomatiskan label retensi Anda.
• Cobalah kemampuan Paket 2 dalam Defender untuk Office 365, yang mencakup investigasi pasca-pelanggaran, perburuan, dan respons, otomatisasi, dan simulasi.
• Aktifkan aplikasi Microsoft Defender untuk Cloud.
• Konfigurasikan aplikasi Defender untuk Cloud untuk menemukan aplikasi cloud dan memantau serta mengaudit perilakunya.

Tahap 4. Menjaga perlindungan keamanan saat Anda menggunakan Microsoft Copilot dan Microsoft 365 Copilot bersama-sama

Dengan lisensi untuk Microsoft 365 Copilot, Anda akan melihat kontrol tombol Work/Web di browser Edge, Windows, dan pencarian Bing yang memungkinkan Anda beralih antara menggunakan:

• Perintah Graph-grounded yang dikirim ke Microsoft 365 Copilot (alihkan diatur ke Work).
• Permintaan web-grounded yang terutama menggunakan data internet (beralih diatur ke Web).

Berikut adalah contoh untuk copilot.microsoft.com.

Ilustrasi ini menunjukkan alur perintah Graph- dan Web-grounded.

Dalam diagram:

• Pengguna di perangkat dengan lisensi untuk Microsoft 365 Copilot dapat memilih Mode kerja atau Web untuk perintah Microsoft Copilot.
• Jika Pekerjaan dipilih, perintah Graph-grounded dikirim ke Microsoft 365 Copilot untuk diproses.
• Jika Web dipilih, permintaan web-grounded dimasukkan melalui Windows, Bing, atau Edge menggunakan data internet dalam pemrosesannya.
• Dalam kasus Edge dan ketika diaktifkan, Windows Copilot menyertakan beberapa jenis data di tab Edge terbuka dalam pemrosesannya.

Jika pengguna tidak memiliki lisensi untuk Microsoft 365 Copilot, tombol Kerja/Web tidak ditampilkan dan semua perintah beralasan Web.

Berikut adalah kumpulan data organisasi yang dapat diakses untuk Microsoft Copilot, yang mencakup perintah Graph- dan Web-grounded.

Dalam ilustrasi, blok ber bayangan kuning adalah untuk data organisasi Anda yang dapat diakses melalui Copilot. Akses ke data ini oleh pengguna melalui Copilot bergantung pada izin ke data yang ditetapkan ke akun pengguna. Ini juga dapat bergantung pada status perangkat pengguna jika akses bersyarkat dikonfigurasi untuk pengguna atau untuk akses ke lingkungan tempat data berada. Mengikuti prinsip Zero Trust, ini adalah data yang ingin Anda lindungi jika penyerang membahayakan akun pengguna atau perangkat.

• Untuk perintah Graph-grounded (alihkan ke Work), ini termasuk:

  • Data penyewa Microsoft 365 Anda

  • Data untuk plug-in dan konektor dengan dukungan Copilot

  • Data internet (jika plug-in web diaktifkan)

• Untuk perintah Web-grounded dari browser Edge dengan ringkasan tab browser terbuka diaktifkan (alihkan diatur ke Web), ini dapat menyertakan data organisasi yang dapat dirangkum oleh Copilot di Edge dari lokasi lokal, intranet, dan cloud.

Gunakan tahap ini untuk memverifikasi implementasi tingkat keamanan berikut untuk mencegah pelaku jahat menggunakan Copilot untuk mengakses data sensitif Anda:

• Menyebarkan perlindungan keamanan dan kepatuhan data dengan Microsoft Purview
• Mengonfigurasi izin pengguna minimum ke data
• Menyebarkan perlindungan ancaman untuk aplikasi cloud dengan aplikasi Microsoft Defender untuk Cloud

Rekomendasi untuk E3

• Tinjau konfigurasi Anda dan fitur Defender untuk Office 365 Paket 1 dan Defender untuk Titik Akhir Paket 1 dan terapkan kemampuan tambahan sesuai kebutuhan.
• Siapkan tingkat perlindungan yang sesuai untuk Microsoft Teams.

Rekomendasi untuk E5

Terapkan rekomendasi untuk E3 dan perluas kemampuan XDR di penyewa Microsoft 365 Anda:

• Aktifkan Microsoft Defender untuk Identitas.

• Tinjau konfigurasi Anda dan terapkan kemampuan tambahan sesuai kebutuhan untuk meningkatkan perlindungan ancaman Anda dengan rangkaian XDR Pertahanan Microsoft lengkap:

  • Pertahanan untuk Titik Akhir

  • Microsoft Defender for Office 365

  • Pertahanan untuk Identitas

  • Aplikasi Defender untuk Cloud

  • Mengonfigurasi kebijakan sesi untuk aplikasi Defender untuk Cloud

Ringkasan konfigurasi

Gambar ini merangkum konfigurasi Microsoft Copilot dan data yang dapat diakses yang dihasilkan yang digunakan Copilot untuk merespons permintaan.

Tabel ini menyertakan rekomendasi Zero Trust untuk konfigurasi yang Anda pilih.

Konfigurasi	Data yang dapat diakses	Rekomendasi Zero Trust
Tanpa lisensi Microsoft 365 Copilot (tombol Kerja/Web tidak tersedia) DAN Ringkasan halaman browser Edge dinonaktifkan	Untuk permintaan web-grounded, hanya data internet	Tidak diperlukan, tetapi sangat disarankan untuk kebersihan keamanan secara keseluruhan.
Tanpa lisensi Microsoft 365 Copilot (tombol Kerja/Web tidak tersedia) DAN Ringkasan halaman browser Edge diaktifkan	Untuk permintaan web-grounded: - Data internet - Data organisasi di lokasi lokal, intranet, dan cloud yang dapat diringkas oleh Copilot di Edge	Untuk penyewa Microsoft 365 Anda, lihat Zero Trust untuk Microsoft 365 Copilot dan menerapkan perlindungan Zero Trust. Untuk data organisasi di lokasi lokal, intranet, dan cloud, lihat Mengelola perangkat dengan Gambaran Umum Intune untuk kebijakan MAM dan MDM. Lihat juga Mengelola privasi data dan perlindungan data dengan Microsoft Priva dan Microsoft Purview untuk kebijakan DLP.
Dengan lisensi Microsoft 365 Copilot (tersedia tombol Work/Web ) DAN Ringkasan halaman browser Edge dinonaktifkan	Untuk perintah Graph-grounded: - Data penyewa Microsoft 365 - Data internet jika plug-in web diaktifkan - Data untuk plug-in dan konektor yang didukung Copilot Untuk permintaan web-grounded, hanya data internet	Untuk penyewa Microsoft 365 Anda, lihat Zero Trust untuk Microsoft 365 Copilot dan menerapkan perlindungan Zero Trust.
Dengan lisensi Microsoft 365 Copilot (tersedia tombol Work/Web ) DAN Ringkasan halaman browser Edge diaktifkan	Untuk perintah Graph-grounded: - Data penyewa Microsoft 365 - Data internet jika plug-in web diaktifkan - Data untuk plug-in dan konektor yang didukung Copilot Untuk permintaan web-grounded: - Data internet - Data organisasi yang dapat dirender di halaman browser Edge, termasuk sumber daya lokal, cloud, dan intranet	Untuk penyewa Microsoft 365 Anda, lihat Zero Trust untuk Microsoft 365 Copilot dan menerapkan perlindungan Zero Trust. Untuk data organisasi di lokasi lokal, intranet, dan cloud, lihat Mengelola perangkat dengan Gambaran Umum Intune untuk kebijakan MAM dan MDM. Lihat juga Mengelola privasi data dan perlindungan data dengan Microsoft Priva dan Microsoft Purview untuk kebijakan DLP.

Langkah berikutnya

Lihat artikel tambahan ini untuk Zero Trust dan Microsoft's Copilots:

• Ringkasan
• Microsoft Microsoft 365 Copilot
• Microsoft Copilot for Security

Referensi

Lihat tautan ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.

• Salinan di Edge
• Tiruan di perilaku ringkasan halaman web Edge
• Mengelola Copilot di Windows
• Mengelola akses ke konten web publik dalam respons Microsoft Microsoft 365 Copilot
• Data, Privasi, dan Keamanan untuk Microsoft Microsoft 365 Copilot