Condividi tramite

Dati, privacy e sicurezza per Microsoft Copilot per Microsoft 365

  • Articolo

Microsoft Copilot per Microsoft 365 è un motore di elaborazione e orchestrazione sofisticato che offre funzionalità di produttività basate su intelligenza artificiale coordinando i componenti seguenti:

  • Modelli linguistici di grandi dimensioni (Large Language Model, LLM)
  • Contenuto di Microsoft Graph, come messaggi di posta elettronica, chat e documenti a cui si ha l'autorizzazione ad accedere.
  • Le app di produttività di Microsoft 365 che utilizzi quotidianamente, come Word e PowerPoint.

Per una panoramica del funzionamento di questi tre componenti, vedi Panoramica di Microsoft Copilot per Microsoft 365. Per collegamenti ad altri contenuti correlati a Microsoft Copilot per Microsoft 365, vedi Documentazione di Microsoft Copilot per Microsoft 365.

Importante

  • Microsoft Copilot per Microsoft 365 è conforme agli impegni esistenti in materia di privacy, sicurezza e conformità per i clienti commerciali di Microsoft 365, tra cui il Regolamento generale sulla protezione dei dati (GDPR) e European Union (EU) Data Boundary.
  • Le richieste, le risposte e i dati a cui si accede tramite Microsoft Graph non vengono utilizzati per formare i LLM di base, compresi quelli utilizzati da Microsoft Copilot per Microsoft 365.
  • Microsoft Copilot per Microsoft 365 opera con più protezioni, che includono, a titolo esemplificativo, il blocco di contenuti dannosi, il rilevamento di materiale protetto e il blocco delle iniezioni di richieste (attacchi jailbreak).

Le informazioni contenute in questo articolo intendono fornire una risposta alle seguenti domande:

Nota

Microsoft Copilot per Microsoft 365 continuerà a evolversi nel tempo con nuove funzionalità. Per restare aggiornato su Microsoft Copilot per Microsoft 365 o per domande, visita la community Microsoft 365 Copilot nella Microsoft Tech Community.

In che modo Microsoft Copilot per Microsoft 365 utilizza i dati dell’organizzazione proprietaria?

Microsoft Copilot per Microsoft 365 fornisce un valore aggiunto collegando gli LLM ai dati dell'organizzazione. Microsoft Copilot per Microsoft 365 accede ai contenuti e al contesto attraverso Microsoft Graph. È in grado di generare risposte ancorate ai dati organizzativi, come i documenti degli utenti, i messaggi di posta elettronica, il calendario, le chat, le riunioni e i contatti. Microsoft Copilot per Microsoft 365 combina questi contenuti con il contesto lavorativo, ad esempio la riunione in cui si trova l'utente, gli scambi di messaggi di e-mail su un argomento o le conversazioni in chat della settimana precedente. Microsoft Copilot per Microsoft 365 utilizza questa combinazione di contenuti e contesto per fornire risposte accurate, pertinenti e contestuali.

Importante

Le richieste, le risposte e i dati a cui si accede tramite Microsoft Graph non vengono utilizzati per formare i LLM di base, compresi quelli utilizzati da Microsoft Copilot per Microsoft 365.

Microsoft Copilot per Microsoft 365 visualizza solo i dati dell’organizzazione per i quali i singoli utenti dispongono almeno di autorizzazioni di visualizzazione. È importante usare i modelli di autorizzazione disponibili nei servizi di Microsoft 365, ad esempio SharePoint, per garantire che gli utenti o i gruppi giusti abbiano il tipo di accesso opportuno al contenuto dell'organizzazione. Sono incluse le autorizzazioni concesse agli utenti esterni all'organizzazione tramite soluzioni di collaborazione tra tenant, ad esempio canali condivisi in Microsoft Teams.

Quando inserisci i prompt utilizzando Microsoft Copilot per Microsoft 365, le informazioni contenute nei prompt, i dati recuperati e le risposte generate rimangono all'interno del perimetro del servizio Microsoft 365, in conformità con i nostri attuali impegni in materia di privacy, sicurezza e conformità. Microsoft Copilot per Microsoft 365 usa per l'elaborazione i servizi OpenAI di Azure, non i servizi di OpenAI disponibili pubblicamente. Azure OpenAI non memorizza nella cache i contenuti dei clienti e le richieste modificate da Copilot per Copilot per Microsoft 365.

Nota

  • Quando si usano plug-in per aiutare Copilot per Microsoft 365 a fornire informazioni più rilevanti, controllare l'informativa sulla privacy e le condizioni per l'utilizzo del plug-in per determinare come gestirà i dati dell'organizzazione. Per informazioni, vedi Estendibilità di Microsoft Copilot per Microsoft 365.
  • Quando il plug-in contenuto Web è abilitato, Copilot per Microsoft 365 analizza la richiesta dell'utente e identifica come potrebbe migliorare la qualità della risposta basata sul Web. In base a questi termini, Copilot genera una query di ricerca che invia al servizio Ricerca Microsoft Bing. Per altre informazioni vedere Dati, privacy e sicurezza per le query Web in Copilot per Microsoft 365.

Il monitoraggio degli abusi per Microsoft Copilot per Microsoft 365 avviene in tempo reale, senza fornire a Microsoft alcun accesso permanente ai dati dei clienti, sia per la revisione umana che automatizzata. Anche se la moderazione degli abusi, che include la revisione umana del contenuto, è disponibile in Azure OpenAI, i servizi Microsoft Copilot per Microsoft 365 hanno scelto di non farne uso. I dati di Microsoft 365 non vengono raccolti o archiviati da Azure OpenAI.

Nota

Potremmo utilizzare il feedback dei clienti, che è facoltativo, per migliorare Microsoft Copilot per Microsoft 365, così come utilizziamo il feedback dei clienti per migliorare gli altri servizi Microsoft 365 e le app di produttività Microsoft 365. Non utilizziamo questo feedback per formare i LLM di base utilizzati da Microsoft Copilot per Microsoft 365. I clienti possono gestire il feedback tramite i controlli di amministrazione. Per altre informazioni, vedi Gestire il feedback Microsoft per l'organizzazione e Come fornire feedback su Microsoft Copilot per Microsoft 365.

Dati archiviati sulle interazioni degli utenti con Microsoft Copilot per Microsoft 365

Quando un utente interagisce con le app di Microsoft Copilot per Microsoft 365, (usando app come Word, PowerPoint, Excel, OneNote, Loop o Whiteboard), i dati relativi a queste interazioni vengono archiviati. I dati archiviati includono la richiesta dell'utente e la risposta di Copilot, incluse le citazioni a tutte le informazioni usate come base per la risposta di Copilot. Si fa riferimento alla richiesta dell'utente e alla relativa risposta di Copilot come "contenuto delle interazioni" e la registrazione di tali interazioni è la cronologia delle interazioni Copilot con l’utente. Ad esempio, i dati archiviati forniscono agli utenti la cronologia delle interazioni Copilot in Microsoft Copilot con chat basata su Graph e riunioni in Microsoft Teams. Questi dati vengono elaborati e archiviati in linea con gli impegni contrattuali con gli altri contenuti dell'organizzazione in Microsoft 365. I dati vengono crittografati durante l'archiviazione e non vengono usati per eseguire il training delle VM di base, incluse quelle usate da Microsoft Copilot per Microsoft 365.

Per visualizzare e gestire questi dati archiviati, gli amministratori possono usare Ricerca contenuto o Microsoft Purview. Gli amministratori possono anche usare Microsoft Purview per impostare i criteri di conservazione per i dati correlati alle interazioni tramite chat con Copilot. Per altre informazioni, vedere gli articoli seguenti:

Per le chat di Microsoft Teams con Copilot, gli amministratori possono anche usare le API di esportazione di Microsoft Teams per visualizzare i dati archiviati.

Eliminazione della cronologia delle interazioni degli utenti con Microsoft Copilot per Microsoft 365

Gli utenti possono eliminare la cronologia delle interazioni di Copilot, che include le richieste e le risposte restituite da Copilot, accedendo al portale Account personale. Per altre informazioni, vedi Eliminare la cronologia delle interazioni di Microsoft Copilot.

Microsoft Copilot per Microsoft 365 ed EU Data Boundary

Le chiamate di Microsoft Copilot per Microsoft 365 al LLM vengono indirizzate ai data center più vicini nell'area geografica, ma nei periodi di utilizzo elevato il sistema può chiamare anche altre aree in cui sia disponibile capacità.

Per gli utenti dell'Unione Europea (UE), disponiamo di salvaguardie aggiuntive per conformarci al Confine dei dati dell'UE. Il traffico dell'Europa rimane all'interno del Confine dei dati dell'Europa, mentre il traffico mondiale può essere inviato all'Europa e ad altri paesi o aree geografiche per l'elaborazione di LLM.

Microsoft Copilot per Microsoft 365 e residenza dei dati

Gli impegni di Copilot per Microsoft 365 relativamente alla residenza dei dati sono indicati nelle Condizioni del prodotto Microsoft e nell’addendum per la protezione dei dati. Copilot per Microsoft 365 è stato aggiunto come carico di lavoro coperto negli impegni di residenza dei dati nelle Condizioni del prodotto Microsoft il 1° marzo 2024.

Le offerte di Microsoft Advanced Data Residency (ADR) e Multi-Geo Capabilities includono impegni di residenza dei dati per i clienti Copilot per Microsoft 365 a partire dal 1° marzo 2024. Per i clienti dell'UE, Copilot per Microsoft 365 è un servizio EU Data Boundary. Le query dei clienti al di fuori dell'UE possono essere elaborate negli Stati Uniti, nell'UE o in altre aree.

Estendibilità di Microsoft Copilot per Microsoft 365

Mentre Microsoft Copilot per Microsoft 365 è già in grado di utilizzare le app e i dati all'interno dell'ecosistema Microsoft 365, molte organizzazioni dipendono ancora da vari strumenti e servizi esterni per la gestione del lavoro e la collaborazione. Le esperienze Microsoft Copilot per Microsoft 365 possono fare riferimento a strumenti e servizi di terze parti nel rispondere alla richiesta di un utente usando plug-in o connettori di Microsoft Graph. I dati dei connettori di Graph possono essere restituiti nelle risposte di Microsoft Copilot per Microsoft 365 se l'utente dispone dell'autorizzazione per accedere a tali informazioni.

Quando i plug-in sono abilitati, Microsoft Copilot per Microsoft 365 determina se deve usare un plug-in specifico per fornire una risposta pertinente all'utente. Se è necessario un plug-in, Microsoft Copilot per Microsoft 365 genera una query di ricerca da inviare al plug-in per conto dell'utente. La query si basa sulla richiesta dell'utente, sulla cronologia delle interazioni Copilot e sui dati a cui l'utente ha accesso in Microsoft 365.

Nella sezione App integrate dell'interfaccia di amministrazione di Microsoft 365, gli amministratori possono visualizzare le autorizzazioni e l'accesso ai dati richiesti da un plug-in, nonché le condizioni per l'utilizzo e l'informativa sulla privacy del plug-in. Gli amministratori hanno il controllo completo per selezionare i plug-in consentiti nell'organizzazione. Un utente può accedere solo ai plug-in consentiti dall'amministratore e che l'utente ha installato o è assegnato. Microsoft Copilot per Microsoft 365 usa solo plug-in attivati dall'utente.

Nota

Le impostazioni del criterio che controllano l'uso di esperienze connesse facoltative in Microsoft 365 Apps non si applicano ai plug-in.

Per altre informazioni, vedere gli articoli seguenti:

In che modo Microsoft Copilot per Microsoft 365 protegge i dati dell'organizzazione?

Il modello di autorizzazioni configurato all'interno del tenant di Microsoft 365 consente di garantire che i dati non vengano involontariamente diffusi tra utenti, gruppi e tenant. Microsoft Copilot per Microsoft 365 presenta solo i dati a cui ogni persona può accedere usando gli stessi controlli sottostanti per l'accesso ai dati che vengono usati in altri servizi di Microsoft 365. L'indice semantico rispetta il limite di accesso basato sull'identità, in modo che il processo di grounding acceda solo al contenuto a cui l'utente corrente è autorizzato ad accedere. Per altre informazioni, vedere l'informativa sulla privacy e la documentazione sui servizi di Microsoft.

Quando si dispone di dati crittografati da Microsoft Purview Information Protection, Microsoft Copilot per Microsoft 365 rispetta i diritti di utilizzo concessi all'utente. La crittografia può essere applicata tramite etichette di riservatezza o autorizzazioni limitate nelle app di Microsoft 365 utilizzando la Gestione dei diritti delle informazioni (IRM). Per ulteriori informazioni sull'utilizzo di Microsoft Purview con Microsoft Copilot per Microsoft 365, vedi Protezione della sicurezza dei dati e della conformità di Microsoft Purview per le app di intelligenza artificiale generativa.

Implementiamo già più forme di protezione per evitare che i clienti possano compromettere i servizi e le applicazioni di Microsoft 365 oppure ottenere l'accesso non autorizzato ad altri tenant o al sistema Microsoft 365 stesso. Ecco alcuni esempi di queste forme di protezione:

  • L'isolamento logico dei contenuti dei clienti all'interno di ciascun tenant per i servizi Microsoft 365 è ottenuto grazie all'autorizzazione Microsoft Entra e al controllo degli accessi basato sui ruoli. Per altre informazioni, vedere Controlli di isolamento di Microsoft 365.

  • Microsoft usa una sicurezza fisica rigorosa, lo screening in background e una strategia di crittografia a più livelli per proteggere la riservatezza e l'integrità del contenuto dei clienti.

  • Microsoft 365 usa tecnologie lato servizio che crittografano il contenuto dei clienti sia inattivo che in transito, tra cui BitLocker, crittografia per file, TLS (Transport Layer Security) e IPSec (Internet Protocol Security). Per informazioni specifiche sulla crittografia in Microsoft 365, vedere Crittografia in Microsoft Cloud.

  • Il controllo sui propri dati è rafforzato dall'impegno di Microsoft a rispettare normative sulla privacy ampiamente applicabili, ad esempio il GDPR, e standard di privacy diffusi come ISO/IEC 27018, il primo codice di condotta internazionale al mondo per la privacy nel cloud.

  • Per i contenuti a cui si accede tramite i plug-in di Microsoft Copilot per Microsoft 365, la crittografia può escludere l'accesso programmatico, limitando così il plug-in dall'accesso ai contenuti. Per altre informazioni, vedere Configurare i diritti di utilizzo per Azure Information Protection.

Soddisfare i requisiti di conformità alla normativa

Man mano che le normative in materia di intelligenza artificiale si evolveranno, Microsoft continuerà ad adattarsi e a rispondere per soddisfare i requisiti normativi futuri.

Microsoft Copilot per Microsoft 365 si basa sugli attuali impegni di Microsoft in materia di sicurezza e privacy dei dati nell'azienda. Non sono previste modifiche a questi impegni. Microsoft 365 Copilot è integrato in Microsoft 365 e si attiene a tutti gli impegni esistenti in materia di privacy, sicurezza e conformità per i clienti commerciali di Microsoft 365. Per altre informazioni, vedere Conformità Microsoft.

Oltre a rispettare le normative, diamo priorità a un dialogo aperto con i nostri clienti, i partner e le autorità di regolamentazione per comprendere e affrontare al meglio i problemi, favorendo così un ambiente di fiducia e cooperazione. Riconosciamo che la privacy, la sicurezza e la trasparenza non sono solo caratteristiche, ma prerequisiti nel panorama guidato dall'IA di Microsoft.

Informazioni aggiuntive

Microsoft Copilot per Microsoft 365 e le impostazioni del criterio per le esperienze connesse

Se disattivi le esperienze connesse che analizzano il contenuto per Microsoft 365 Apps nei dispositivi Windows o Mac dell'organizzazione, le funzionalità Microsoft Copilot per Microsoft 365 non saranno disponibili per gli utenti nelle app seguenti:

  • Excel
  • PowerPoint
  • OneNote
  • Word

Analogamente, le funzionalità Microsoft Copilot per Microsoft 365 in tali app nei dispositivi Windows o Mac non saranno disponibili se disattivi l'uso di esperienze connesse per Microsoft 365 Apps.

Per altre informazioni su queste impostazioni dei criteri, vedi gli articoli seguenti:

Informazioni sui contenuti creati da Microsoft Copilot per Microsoft 365

Non è garantito che le risposte generate dall'IA siano reali al 100%. Anche se continuiamo a migliorare le risposte, gli utenti devono comunque usare il loro giudizio nel rivedere i risultati prima di inviarli ad altri. Le nostre funzionalità di Microsoft Copilot per Microsoft 365 forniscono bozze e riepiloghi utili per aiutarti a ottenere di più, dandoti la possibilità di rivedere l'IA generata piuttosto che automatizzare completamente queste attività.

Continuiamo a migliorare gli algoritmi per affrontare in modo proattivo i problemi, come la cattiva informazione e la disinformazione, il blocco dei contenuti, la sicurezza dei dati e la prevenzione della promozione di contenuti dannosi o discriminatori, in linea con i nostri principi per l'intelligenza artificiale responsabile.

Microsoft non rivendica la proprietà dei risultati del servizio. Detto questo, non siamo noi a stabilire se la produzione di un cliente è protetta da copyright o se può essere fatta valere nei confronti di altri utenti. Questo perché i sistemi di intelligenza artificiale generativa possono produrre risposte simili a richieste o domande simili da parte di più clienti. Di conseguenza, più clienti possono avere o rivendicare diritti su contenuti uguali o sostanzialmente simili.

Se una terza parte cita in giudizio un cliente commerciale per violazione del copyright per aver utilizzato i Copilot di Microsoft o l'output da essi generato, difenderemo il cliente e pagheremo l'importo di eventuali sentenze o patteggiamenti sfavorevoli risultanti dalla causa, a condizione che il cliente abbia utilizzato i guardrail e i filtri per i contenuti che abbiamo integrato nei nostri prodotti. Per ulteriori informazioni, vedere Microsoft annuncia il nuovo impegno di copyright Copilot per i clienti.

In che modo Copilot blocca il contenuto dannoso?

Il Servizio OpenAI di Azure include un sistema di filtro del contenuto che funziona insieme ai modelli di base. I modelli di filtro del contenuto per le categorie Odio e equità, Contenuti sessuali, Violenza e Autolesionismo sono stati sottoposti a training e test specifici in varie lingue. Questo sistema funziona eseguendo sia la richiesta di input che la risposta tramite modelli di classificazione progettati per identificare e bloccare l'output di contenuto dannoso.

I danni correlati a odio e equità fanno riferimento a qualsiasi contenuto che usi un linguaggio peggiorativo o discriminatorio basato su attributi come razza, etnia, nazionalità, identità ed espressione di genere, orientamento sessuale, religione, stato di immigrazione, stato di abilità, aspetto personale e dimensioni del corpo. L'equità si occupa di garantire che i sistemi di IA trattino tutti i gruppi di persone in modo equo senza contribuire alle disuguaglianze sociali esistenti. Il contenuto sessuale riguarda discussioni su organi riproduttivi umani, relazioni romantiche, atti rappresentati in termini erotici o amorosi, gravidanza, atti sessuali fisici, inclusi quelli rappresentati come aggressioni o violenze sessuali, prostituzione, pornografia e abuso. La violenza descrive il linguaggio correlato ad azioni fisiche destinate a danneggiare o uccidere, incluse azioni, armi ed entità correlate. Il linguaggio autolesionistico si riferisce ad azioni intenzionali che hanno lo scopo di ferirsi o uccidersi.

Scopri di più sul filtro del contenuto di OpenAI di Azure.

Copilot fornisce il rilevamento di materiali protetti?

Sì, Copilot per Microsoft 365 fornisce il rilevamento per i materiali protetti, che include testo soggetto a copyright e codice soggetto a restrizioni di licenza. Non tutte queste mitigazioni sono rilevanti per tutti gli scenari Copilot per Microsoft 365.

Copilot blocca gli attacchi di prompt injection (jailbreak)?

Gli attacchi jailbreak sono richieste degli utenti progettate per provocare nel modello di IA generativa comportamenti che è stato addestrato a non eseguire o per violare le regole che è stato addestrato a seguire. Microsoft Copilot per Microsoft 365 è progettato per la protezione dagli attacchi di prompt injection. Scopri di più sugli attacchi jailbreak e su come usare Sicurezza dei contenuti di Azure AI per rilevarli.

Impegno per l'IA responsabile

Poiché l'IA è destinata a trasformare le nostre vite, dobbiamo definire collettivamente nuove regole, norme e procedure per l'uso e l'impatto di questa tecnologia. Microsoft ha avviato un percorso per l'intelligenza artificiale responsabile dal 2017, quando abbiamo definito i nostri principi e il nostro approccio per garantire che questa tecnologia venga usata in un modo conforme a principi etici che mettono le persone al primo posto.

Microsoft è guidata dai suoi principi per l'intelligenza artificiale, dallo standard per l'IA responsabile e da decenni di ricerca sull'intelligenza artificiale, il grounding e la preservazione della privacy nell'apprendimento automatico. Un team multidisciplinare di ricercatori, ingegneri ed esperti di criteri esamina i sistemi di intelligenza artificiale per individuare potenziali danni e mitigazioni, perfezionando i dati di training, filtrando per limitare i contenuti dannosi, bloccando le query e i risultati per gli argomenti sensibili e applicando tecnologie Microsoft come InterpretML e Fairlearn per rilevare e correggere la distorsione dei dati. Spieghiamo chiaramente in che modo il sistema prende decisioni notando le limitazioni, inserendo collegamenti alle fonti e invitando gli utenti a rivedere, verificare i fatti e modificare il contenuto in base alle proprie competenze in materia. Per altre informazioni, vedere Governance dell'intelligenza artificiale: un progetto per il futuro.

Il nostro obiettivo è aiutare i clienti a usare i nostri prodotti di intelligenza artificiale in modo responsabile, condividendo le nostre conoscenze e creando partnership basate sulla fiducia. Per questi nuovi servizi, vogliamo fornire ai clienti informazioni sugli usi previsti, le funzionalità e le limitazioni previsti del servizio della piattaforma di intelligenza artificiale, in modo che dispongano delle conoscenze necessarie per effettuare scelte di distribuzione responsabili. Condividiamo inoltre risorse e modelli con gli sviluppatori all'interno delle organizzazioni e con i fornitori indipendenti di software (ISV), per aiutarli a costruire soluzioni di IA efficaci, sicure e trasparenti.