Protezioni della sicurezza e della conformità dei dati di Microsoft Purview per Microsoft Copilot

  • Articolo

Linee guida sulle licenze di Microsoft 365 per la sicurezza & conformità

Anche se gli strumenti di produttività basati sull'intelligenza artificiale sbloccano informazioni preziose e migliorano la produttività degli utenti, introducono anche nuove attività utente e producono molti dati. Analogamente ad altre attività e dati aziendali, richiedono la gestione della sicurezza e della conformità.

Le funzionalità seguenti di Microsoft Purview rafforzano la sicurezza e la conformità dei dati per Microsoft Copilot per Microsoft 365:

Nota

Per verificare se i piani di licenza dell'organizzazione supportano queste funzionalità, vedere il collegamento alle linee guida sulle licenze nella parte superiore della pagina. Per informazioni sulle licenze per Microsoft Copilot per Microsoft 365 stesso, vedere la descrizione del servizio per Microsoft Copilot per Microsoft 365.

Usare le sezioni seguenti per altre informazioni su come queste funzionalità di Microsoft Purview forniscono controlli aggiuntivi di sicurezza e conformità dei dati per accelerare l'adozione di Microsoft Copilot da parte dell'organizzazione. Se non si ha familiarità con Microsoft Purview, è anche possibile trovare una panoramica del prodotto utile: Informazioni su Microsoft Purview.

Per informazioni più generali sui requisiti di sicurezza e conformità per Copilot per Microsoft 365, vedere Dati, privacy e sicurezza per Microsoft Copilot per Microsoft 365.

Microsoft Purview rafforza la protezione delle informazioni per Copilot

Copilot usa i controlli esistenti per assicurarsi che i dati archiviati nel tenant non vengano mai restituiti all'utente o usati da un modello LLM (Large Language Model) se l'utente non ha accesso a tali dati. Quando i dati hanno etichette di riservatezza dell'organizzazione applicate al contenuto, esiste un ulteriore livello di protezione:

  • Quando un file è aperto in Word, Excel, PowerPoint o in modo analogo un evento di posta elettronica o calendario è aperto In Outlook, la riservatezza dei dati viene visualizzata agli utenti dell'app con il nome dell'etichetta e i contrassegni di contenuto (ad esempio intestazione o testo del piè di pagina) configurati per l'etichetta.

  • Quando l'etichetta di riservatezza applica la crittografia, gli utenti devono avere il diritto di utilizzo EXTRACT, nonché VIEW, affinché Copilot restituisca i dati.

  • Questa protezione si estende ai dati archiviati all'esterno del tenant di Microsoft 365 quando è aperta in un'app di Office (dati in uso). Ad esempio, archiviazione locale, condivisioni di rete e archiviazione cloud.

Consiglio

Se non è già stato fatto, è consigliabile abilitare le etichette di riservatezza per SharePoint e OneDrive e acquisire familiarità con i tipi di file e le configurazioni delle etichette che questi servizi possono elaborare. Quando le etichette di riservatezza non sono abilitate per questi servizi, i file crittografati a cui Copilot per Microsoft 365 possono accedere sono limitati ai dati in uso dalle app di Office in Windows.

Per istruzioni, vedere Abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive.

Inoltre, quando si usa la chat basata su Microsoft Copilot Graph (in precedenza Microsoft 365 Chat) che può accedere ai dati da un'ampia gamma di contenuti, la riservatezza dei dati etichettati restituiti da Copilot per Microsoft 365 viene resa visibile agli utenti con l'etichetta di riservatezza visualizzata per le citazioni e gli elementi elencati nella risposta. Usando il numero di priorità delle etichette di riservatezza definito nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview, la risposta più recente in Copilot visualizza l'etichetta di riservatezza con priorità più alta dai dati usati per la chat copilot.

Anche se gli amministratori della conformità definiscono la priorità di un'etichetta di riservatezza, un numero di priorità più alto indica in genere una maggiore riservatezza del contenuto, con autorizzazioni più restrittive. Di conseguenza, le risposte copilot vengono etichettate con l'etichetta di riservatezza più restrittiva.

Nota

Se gli elementi vengono crittografati da Microsoft Purview Information Protection ma non hanno un'etichetta di riservatezza, Microsoft Copilot per Microsoft 365 non restituirà questi elementi agli utenti se la crittografia non include i diritti di utilizzo EXTRACT o VIEW per l'utente.

Se non si usano già etichette di riservatezza, vedere Introduzione alle etichette di riservatezza.

Anche se i criteri DLP non supportano ancora le interazioni per Microsoft Copilot per Microsoft 365, la classificazione dei dati per i tipi di informazioni sensibili e i classificatori sottoponibili a training sono supportati per identificare i dati sensibili nelle richieste degli utenti a Copilot e nelle risposte.

Protezione copilot con ereditarietà dell'etichetta di riservatezza

Quando si usa Copilot per creare nuovo contenuto in base a un elemento a cui è applicata un'etichetta di riservatezza, l'etichetta di riservatezza del file di origine viene ereditata automaticamente, con le impostazioni di protezione dell'etichetta.

Ad esempio, un utente seleziona Bozza con Copilot in Word e quindi Fare riferimento a un file. In alternativa, un utente seleziona Create presentazione dal file in PowerPoint. Il contenuto di origine ha l'etichetta di riservatezza Confidential\Anyone (senza restrizioni) applicata e tale etichetta è configurata per applicare un piè di pagina che visualizza "Riservato". Il nuovo contenuto viene automaticamente etichettato Riservato\Chiunque (senza restrizioni) con lo stesso piè di pagina.

Per visualizzare un esempio di questo problema in azione, watch la demo seguente della sessione di Ignite 2023, Getting your enterprise ready for Microsoft 365 Copilot.To see an example of this in action, watch the following demo from the Ignite 2023 session, Getting your enterprise ready for Microsoft 365 Copilot. La demo mostra come l'etichetta di riservatezza predefinita General viene sostituita con un'etichetta Confidential quando un utente esegue la bozza con Copilot e fa riferimento a un file etichettato. La barra delle informazioni nella barra multifunzione informa l'utente che il contenuto creato da Copilot ha comportato l'applicazione automatica della nuova etichetta:

Se vengono usati più file per creare nuovo contenuto, l'etichetta di riservatezza con la priorità più alta viene usata per l'ereditarietà delle etichette.

Come per tutti gli scenari di etichettatura automatica, l'utente può sempre eseguire l'override e sostituire un'etichetta ereditata (o rimuovere, se non si usa l'etichettatura obbligatoria).

Protezione di Microsoft Purview senza etichette di riservatezza

Anche se non viene applicata un'etichetta di riservatezza al contenuto, i servizi e i prodotti potrebbero usare le funzionalità di crittografia del servizio Azure Rights Management. Di conseguenza, Copilot per Microsoft 365 può comunque verificare i diritti di utilizzo VIEW ed EXTRACT prima di restituire dati e collegamenti a un utente, ma non esiste un'ereditarietà automatica della protezione per i nuovi elementi.

Consiglio

Si otterrà la migliore esperienza utente quando si usano sempre etichette di riservatezza per proteggere i dati e la crittografia viene applicata da un'etichetta.

Esempi di prodotti e servizi che possono usare le funzionalità di crittografia del servizio Azure Rights Management senza etichette di riservatezza:

  • Crittografia dei messaggi di Microsoft Purview
  • Microsoft Information Rights Management (IRM)
  • Connettore Microsoft Rights Management
  • Microsoft Rights Management SDK

Per altri metodi di crittografia che non usano il servizio Azure Rights Management:

  • I messaggi di posta elettronica protetti da S/MIME non verranno restituiti da Copilot e Copilot non è disponibile in Outlook quando è aperto un messaggio di posta elettronica protetto S/MIME.

  • I documenti protetti da password non possono essere accessibili da Copilot per Microsoft 365 a meno che non siano già aperti dall'utente nella stessa app (dati in uso). Le password non vengono ereditate da un elemento di destinazione.

Come per altri servizi di Microsoft 365, ad esempio eDiscovery e la ricerca, gli elementi crittografati con Microsoft Purview Customer Key o la propria chiave radice (BYOK) sono supportati e idonei per essere restituiti da Copilot per Microsoft 365.

Copilot rispetta la protezione esistente con il diritto di utilizzo EXTRACT

Anche se non si ha familiarità con i singoli diritti di utilizzo per il contenuto crittografato, sono stati circa un lungo periodo di tempo. Da Windows Server Rights Management, ad Active Directory Rights Management, alla versione cloud che è diventata Azure Information Protection con il servizio Azure Rights Management.

Se hai ricevuto un messaggio di posta elettronica "Non inoltrare", usa i diritti di utilizzo per impedirti di inoltrare il messaggio dopo l'autenticazione. Come per altri diritti di utilizzo in bundle mappati a scenari aziendali comuni, un messaggio di posta elettronica Non inoltrare concede ai destinatari diritti di utilizzo che controllano le operazioni che possono eseguire con il contenuto e non include il diritto di utilizzo FORWARD. Oltre a non inoltrare, non è possibile stampare questo messaggio di posta elettronica Non inoltrare o copiare testo da esso.

Il diritto di utilizzo che concede l'autorizzazione per la copia del testo è EXTRACT, con il nome più semplice e comune di Copia. È questo diritto di utilizzo che determina se Copilot per Microsoft 365 può visualizzare testo all'utente da contenuto crittografato.

Nota

Poiché il diritto di utilizzo Controllo completo (OWNER) include tutti i diritti di utilizzo, EXTRACT viene incluso automaticamente con controllo completo.

Quando si usa il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview per configurare un'etichetta di riservatezza per applicare la crittografia, la prima scelta consiste nell'assegnare le autorizzazioni ora o consentire agli utenti di assegnare le autorizzazioni. Se si assegnano ora, configurare le autorizzazioni selezionando un livello di autorizzazione predefinito con un gruppo predefinito di diritti di utilizzo, ad esempio Co-Author o Revisore. In alternativa, è possibile selezionare autorizzazioni personalizzate in cui è possibile selezionare singolarmente i diritti di utilizzo disponibili.

Nel portale il diritto di utilizzo EXTRACT viene visualizzato come Copia ed estrai contenuto (EXTRACT).In the portal, the EXTRACT usage right is displayed as Copy and extract content(EXTRACT). Ad esempio, il livello di autorizzazione predefinito selezionato è Co-Autore, in cui è incluso Copia ed estrai contenuto (EXTRACT). Di conseguenza, il contenuto protetto con questa configurazione di crittografia può essere restituito da Copilot per Microsoft 365:

Configurazione dei diritti di utilizzo per un'etichetta di riservatezza in cui le autorizzazioni includono EXTRACT.

Se si seleziona Personalizzato dalla casella a discesa e quindi Controllo completo (PROPRIETARIO) dall'elenco, questa configurazione concederà anche il diritto di utilizzo EXTRACT.

Nota

La persona che applica la crittografia ha sempre il diritto di utilizzo EXTRACT, perché è il proprietario di Rights Management. Questo ruolo speciale include automaticamente tutti i diritti di utilizzo e alcune altre azioni, il che significa che il contenuto crittografato da un utente è sempre idoneo per essere restituito da Copilot per Microsoft 365.This special role automatically includes all usage rights and some other actions, that that that content a user has encrypted themselves is always eligible to be returned to them by Copilot per Microsoft 365. Le restrizioni di utilizzo configurate si applicano ad altre persone autorizzate ad accedere al contenuto.

In alternativa, se si seleziona la configurazione di crittografia per consentire agli utenti di assegnare le autorizzazioni, per Outlook questa configurazione include autorizzazioni predefinite per Non inoltrare e Crittografa solo. L'opzione Encrypt-Only, a differenza di Non inoltrare, include il diritto di utilizzo EXTRACT.

Quando si selezionano autorizzazioni personalizzate per Word, Excel e PowerPoint, gli utenti selezionano le proprie autorizzazioni nell'app di Office quando applicano l'etichetta di riservatezza. Le due selezioni informano che Read non include l'autorizzazione per copiare il contenuto, ma cambia . Questi riferimenti da copiare fanno riferimento al diritto di utilizzo EXTRACT. Se l'utente seleziona Altre opzioni, può aggiungere il diritto di utilizzo EXTRACT a Lettura selezionando Consenti agli utenti con accesso in lettura di copiare il contenuto.

Finestra di dialogo Utente per selezionare le autorizzazioni che includono il diritto di utilizzo EXTRACT.

Consiglio

Se è necessario verificare se un documento autorizzato a visualizzare include il diritto di utilizzo EXTRACT, aprirlo nell'app di Windows Office e personalizzare la barra di stato per visualizzare Autorizzazioni. Selezionare l'icona accanto al nome dell'etichetta di riservatezza per visualizzare l'autorizzazione personale. Visualizzare il valore di Copy, mappato al diritto di utilizzo EXTRACT, e verificare se viene visualizzato o No.

Per i messaggi di posta elettronica, se le autorizzazioni non vengono visualizzate nella parte superiore del messaggio in Outlook per Windows, selezionare il banner informativo con il nome dell'etichetta e quindi selezionare Visualizza autorizzazione.

Copilot rispetta il diritto di utilizzo EXTRACT per un utente, tuttavia è stato applicato al contenuto. La maggior parte delle volte, quando il contenuto è etichettato, i diritti di utilizzo concessi all'utente corrispondono a quelli della configurazione dell'etichetta di riservatezza. Esistono tuttavia alcune situazioni che possono comportare la differenza tra i diritti di utilizzo del contenuto e la configurazione dell'etichetta applicata:

Per altre informazioni sulla configurazione di un'etichetta di riservatezza per la crittografia, vedere Limitare l'accesso al contenuto usando etichette di riservatezza per applicare la crittografia.

Per informazioni tecniche sui diritti di utilizzo, vedere Configurare i diritti di utilizzo per Azure Information Protection.

Microsoft Purview supporta la gestione della conformità per Copilot

Usare le funzionalità di conformità di Microsoft Purview per supportare i requisiti di rischio e conformità per Copilot per Microsoft 365.

Le interazioni con Copilot possono essere monitorate per ogni utente nel tenant. Di conseguenza, è possibile usare la classificazione di Purview (tipi di informazioni sensibili e classificatori sottoponibili a training), la ricerca del contenuto, la conformità alle comunicazioni, il controllo, eDiscovery e le funzionalità di conservazione ed eliminazione automatiche usando i criteri di conservazione.

Per la conformità delle comunicazioni, è possibile analizzare le richieste degli utenti e le risposte copilot per rilevare interazioni inappropriate o rischiose o condividere informazioni riservate. Per altre informazioni, vedere Configurare criteri di conformità delle comunicazioni da rilevare per le interazioni Copilot per Microsoft 365.

communication-compliance-microsoft-365-copilot.

Per il controllo, i dettagli vengono acquisiti quando gli utenti interagiscono con Copilot. Gli eventi includono come e quando gli utenti interagiscono con Copilot, in cui si è svolta l'attività del servizio Microsoft 365, e riferimenti ai file archiviati in Microsoft 365 a cui è stato eseguito l'accesso durante l'interazione. Se questi file hanno un'etichetta di riservatezza applicata, anche questa viene acquisita. Nella soluzione Audit del portale di Microsoft Purview o del Portale di conformità di Microsoft Purview selezionare Attività Copilot e Interagire con Copilot. È anche possibile selezionare Copilot come carico di lavoro. Ad esempio, dal portale di conformità:

Opzioni di controllo per identificare le interazioni degli utenti con Microsoft Copilot per Microsoft 365.

Per la ricerca di contenuto, poiché le richieste dell'utente a Copilot e le risposte da Copilot vengono archiviate nella cassetta postale di un utente, possono essere ricercate e recuperate quando la cassetta postale dell'utente è selezionata come origine per una query di ricerca. Selezionare e recuperare questi dati dalla cassetta postale di origine selezionando Aggiungi interazionicon tipo di> condizione >Copilot.

Analogamente per eDiscovery, si usa lo stesso processo di query per selezionare le cassette postali e recuperare le richieste degli utenti a Copilot e le risposte da Copilot. Dopo la creazione della raccolta e l'origine della fase di revisione in eDiscovery (Premium), questi dati sono disponibili per l'esecuzione di tutte le azioni di revisione esistenti. Queste raccolte e questi set di revisione possono quindi essere ulteriormente sospesi o esportati. Se è necessario eliminare questi dati, vedere Search per ed eliminare i dati per Microsoft Copilot per Microsoft 365.

Per i criteri di conservazione che supportano la conservazione e l'eliminazione automatica, le richieste degli utenti a Copilot e le risposte di Copilot sono identificate dalle chat di Teams e dalle interazioni copilot. In precedenza denominate solo chat di Teams, gli utenti non devono usare la chat di Teams per applicare questi criteri. Tutti i criteri di conservazione esistenti configurati in precedenza per le chat di Teams ora includono automaticamente richieste e risposte degli utenti da e verso Microsoft Copilot per Microsoft 365:

È stato aggiornato il percorso di conservazione delle chat di Teams per includere le interazioni per Microsoft Copilot per Microsoft 365.

Per informazioni dettagliate sul funzionamento di questa conservazione, vedere Informazioni sulla conservazione per Microsoft Copilot per Microsoft 365.

Come per tutti i criteri e i blocchi di conservazione, se più criteri per la stessa posizione si applicano a un utente, i principi di conservazione resolvono eventuali conflitti. Ad esempio, i dati vengono conservati per la durata più lunga di tutti i criteri di conservazione applicati o dei blocchi di eDiscovery.

Per consentire alle etichette di conservazione di conservare automaticamente i file a cui si fa riferimento in Copilot, selezionare l'opzione per gli allegati cloud con un criterio di etichetta di conservazione automatica: Applicare l'etichetta agli allegati cloud e ai collegamenti condivisi in Exchange, Teams, Viva Engage e Copilot. Come per tutti gli allegati cloud conservati, la versione del file al momento in cui viene fatto riferimento viene mantenuta.

Opzione aggiornata per gli allegati cloud per l'applicazione automatica dell'etichetta di conservazione per includere le interazioni per Copilot.

Per informazioni dettagliate sul funzionamento di questa conservazione, vedere Funzionamento della conservazione con gli allegati cloud.

Per istruzioni di configurazione:

Altra documentazione per Copilot

Per informazioni più dettagliate, vedere Considerazioni sulla distribuzione delle protezioni per la sicurezza e la conformità dei dati di Microsoft Purview per Copilot.

Per altre informazioni su Copilot per Microsoft 365 e su come l'organizzazione può usare questo copilot per il lavoro, vedere la documentazione Microsoft Copilot per Microsoft 365.

Per informazioni su come applicare Zero Trust a Copilot per Microsoft 365, vedere Applicare i principi di Zero Trust a Microsoft Copilot per Microsoft 365.