Condividi tramite


Considerazioni per Microsoft Purview AI Hub e le protezioni per la sicurezza e la conformità dei dati per Microsoft Copilot

Linee guida sulle licenze di Microsoft 365 per la sicurezza & conformità

Quando si comprende come usare Microsoft Purview AI Hub e altre funzionalità per gestire le protezioni di sicurezza e conformità dei dati per Copilot per Microsoft 365, usare le informazioni dettagliate seguenti per eventuali prerequisiti, considerazioni ed esenzioni che potrebbero essere applicabili all'organizzazione. Per Microsoft Copilot, assicurarsi di leggerli in combinazione con i requisiti di Microsoft Copilot per Microsoft 365.

Per informazioni sulle licenze per l'uso di queste funzionalità per Copilot, vedere i collegamenti relativi alle licenze e alla descrizione del servizio nella parte superiore della pagina. Per informazioni sulle licenze per Copilot, vedere la descrizione del servizio per Microsoft Copilot per Microsoft 365.

Prerequisiti e considerazioni dell'hub di intelligenza artificiale

Per la maggior parte, l'hub di intelligenza artificiale è facile da usare e autoesplicatore, guidando l'utente attraverso prerequisiti e report e criteri preconfigurati. Usare questa sezione per integrare tali informazioni e fornire altri dettagli che potrebbero essere necessari.

Prerequisiti per l'hub di intelligenza artificiale

Per usare l'hub di intelligenza artificiale dal portale di Microsoft Purview o dal portale di conformità di Microsoft Purview, è necessario disporre dei prerequisiti seguenti:

  • Si dispone delle autorizzazioni appropriate.

  • Obbligatorio per il monitoraggio delle interazioni con Copilot per Microsoft 365:

  • Obbligatorio per il monitoraggio delle interazioni con siti di IA generativi di terze parti:

    • I dispositivi vengono caricati in Microsoft Purview, necessari per:

      • Ottenere visibilità sulle informazioni sensibili condivise con siti di intelligenza artificiale generativa di terze parti. Ad esempio, un utente incolla i numeri di carta di credito in ChatGPT.
      • Applicazione di criteri di prevenzione della perdita dei dati degli endpoint per avvisare o impedire agli utenti di condividere informazioni riservate con siti di intelligenza artificiale generativi di terze parti. Ad esempio, un utente identificato come rischio elevato nella protezione adattiva è bloccato con l'opzione di sostituzione quando incolla i numeri di carta di credito in ChatGPT.
    • L'estensione del browser Microsoft Purview viene distribuita agli utenti e deve individuare le visite ai siti di intelligenza artificiale generativa di terze parti.

Sono disponibili altre informazioni sui prerequisiti per il controllo, l'onboarding dei dispositivi e l'estensione del browser nell'hub di intelligenza artificiale stessa: passare alla sezione Attivitàiniziali di Analisi>.

Per un elenco delle app di intelligenza artificiale di terze parti attualmente supportate, vedere Siti di intelligenza artificiale supportati da Microsoft Purview per le protezioni di sicurezza e conformità dei dati.

Autorizzazioni per l'hub di intelligenza artificiale

I membri dei team di sicurezza e conformità responsabili della gestione delle app per intelligenza artificiale devono avere le autorizzazioni per l'hub di intelligenza artificiale quando accedono al portale di Microsoft Purview o accedono al portale di conformità di Microsoft Purview.

Attività dell'hub di intelligenza artificiale Membro di uno di questi gruppi di ruoli
Tutte le attività - Amministratore conformità Microsoft Entra
- Amministratore globale di Microsoft Entra
- Amministratore della conformità di Microsoft Purview *
Visualizzare gli eventi di gestione dei rischi Insider in Esplora attività - Insider Risk Management Analyst
- Insider Risk Management Investigators

* Per attivare il controllo e visualizzarne lo stato, è necessario anche il ruolo Log di controllo dall'interfaccia di amministrazione di Exchange.

Per assegnare le autorizzazioni appropriate agli utenti, usare le indicazioni seguenti, a seconda del portale in uso:

Criteri con un clic dall'hub di intelligenza artificiale

Dopo aver creato i criteri predefiniti, è possibile visualizzarli e modificarli in qualsiasi momento dalle rispettive aree della soluzione nel portale. Ad esempio, si vuole definire l'ambito dei criteri per utenti specifici durante il test o per i requisiti aziendali. In alternativa, si vogliono aggiungere o rimuovere classificatori usati per rilevare informazioni riservate. Usare la pagina Criteri per passare rapidamente alla posizione corretta nel portale.

Per le etichette di riservatezza e i relativi criteri, visualizzarli e modificarli in modo indipendente dall'hub di intelligenza artificiale, passando a Information Protection nel portale. Per altre informazioni, usare i collegamenti di configurazione in Etichette e criteri predefiniti per proteggere i dati.

Nota

I criteri di prevenzione della perdita dei dati supportano il rilevamento delle informazioni sensibili incollate in un browser o caricate in siti di terze parti, ma attualmente non supportano il rilevamento di informazioni sensibili digitate in richieste o risposte restituite.

Per altre informazioni sulle azioni DLP supportate e sulle piattaforme che le supportano, vedere le prime due righe della tabella dalle attività endpoint su cui è possibile monitorare ed eseguire azioni.

Criteri predefiniti per l'individuazione dei dati per l'intelligenza artificiale

  • Criteri di prevenzione della perdita dei dati: hub di intelligenza artificiale Microsoft - Individuare le richieste sensibili negli assistenti all'intelligenza artificiale

    Questo criterio individua i contenuti sensibili incollati o caricati in Edge, Chrome e Firefox in altri assistenti di intelligenza artificiale. Questo criterio copre tutti gli utenti e i gruppi dell'organizzazione solo in modalità di controllo.

  • Criteri di gestione dei rischi Insider: hub di intelligenza artificiale Microsoft - Esplorazione negli assistenti all'intelligenza artificiale

    Questo criterio crea un criterio di gestione dei rischi Insider per rilevare quando gli utenti usano il browser per visitare altri assistenti di intelligenza artificiale.

Criteri predefiniti della sicurezza dei dati per proteggere i dati sensibili usati nell'intelligenza artificiale generativa

  • Hub dei criteri di prevenzione della perdita dei dati microsoft per intelligenza artificiale - Protezione adattiva negli assistenti all'intelligenza artificiale

    Questo criterio usa Protezione adattiva per fornire un avviso con override agli utenti a rischio elevato che tentano di incollare o caricare informazioni sensibili in altri assistenti di intelligenza artificiale in Edge, Chrome e Firefox. Questo criterio copre tutti gli utenti e i gruppi dell'organizzazione in modalità test.

    Protezione adattiva è attivata se non è già attivata, usando i livelli di rischio predefiniti per tutti gli utenti e i gruppi per applicare dinamicamente le azioni di protezione. Per altre informazioni, vedere Configurazione rapida.

  • Azure Information Protection

    Questa opzione crea etichette di riservatezza predefinite e criteri di etichetta di riservatezza.

    Se sono già state configurate le etichette di riservatezza e i relativi criteri, questa configurazione viene ignorata.

Eventi di Esplora attività

Usare le informazioni seguenti per comprendere gli eventi che potrebbero essere visualizzati in Esplora attività dell'hub di intelligenza artificiale. I riferimenti a un sito di intelligenza artificiale generativa possono includere Siti di intelligenza artificiale di Microsoft Copilot e di terze parti.

Evento Descrizione
Interazione con l'intelligenza artificiale L'utente ha interagito con un sito di intelligenza artificiale generativa.
Visita all'intelligenza artificiale L'utente è stato visualizzato in un sito di intelligenza artificiale generativa.
Classificazione contrassegnata I tipi di informazioni sensibili sono stati trovati mentre un utente interagisce con un sito di intelligenza artificiale generativa.
Corrispondenza della regola DLP Una regola di prevenzione della perdita dei dati è stata abbinata quando un utente ha interagito con un sito di intelligenza artificiale generativa.

Problemi noti per l'anteprima:

  • L'evento Classification stamped non visualizza il livello di rischio dell'utente
  • La corrispondenza della regola DLP e gli eventi di visita dell'intelligenza artificiale non visualizzano il carico di lavoro
  • L'evento di corrispondenza della regola DLP non viene visualizzato per i siti secondari. Ad esempio, non verrà visualizzato per bing.com/chat perché /chat è un sito secondario di bing.com.

Considerazioni sulla protezione delle informazioni per Copilot

Microsoft Copilot per Microsoft 365 ha la possibilità di accedere ai dati archiviati nel tenant di Microsoft 365, incluse le cassette postali in Exchange Online e i documenti in SharePoint o OneDrive.

Oltre ad accedere al contenuto di Microsoft 365, Copilot può anche usare il contenuto del file specifico su cui si sta lavorando nel contesto di una sessione di app di Office, indipendentemente dalla posizione in cui è archiviato il file. Ad esempio, archiviazione locale, condivisioni di rete, archiviazione cloud o una chiavetta USB. Quando i file vengono aperti da un utente all'interno di un'app, l'accesso viene spesso definito dati in uso.

Prima di distribuire Copilot per Microsoft 365, assicurarsi di avere familiarità con i dettagli seguenti che consentono di rafforzare le soluzioni di protezione dei dati:

  • Se il contenuto concede a un utente i diritti di utilizzo VIEW ma non EXTRACT:

    • Quando un utente ha aperto questo contenuto in un'app, non sarà in grado di usare Copilot.
    • Copilot non riepiloga questo contenuto, ma può farvi riferimento con un collegamento in modo che l'utente possa quindi aprire e visualizzare il contenuto all'esterno di Copilot.
  • Proprio come le app di Office, Copilot per Microsoft 365 può accedere alle etichette di riservatezza dall'organizzazione, ma non da altre organizzazioni. Per altre informazioni sul supporto per l'etichettatura tra le organizzazioni, vedere Supporto per utenti esterni e contenuto etichettato.

  • Un'impostazione avanzata di PowerShell per le etichette di riservatezza può impedire alle app di Office di inviare contenuto ad alcune esperienze connesse, tra cui Copilot per Microsoft 365.

  • Finché SharePoint e OneDrive non supportano la ricerca di dati inattivi etichettati e crittografati con autorizzazioni definite dall'utente, Copilot non sarà in grado di accedere a questi documenti. Copilot può accedere ai documenti crittografati con autorizzazioni definite dall'utente quando vengono aperti nell'app (dati in uso).

  • Le etichette di riservatezza applicate a gruppi e siti (note anche come "etichette contenitore") non vengono ereditate dagli elementi in tali contenitori. Di conseguenza, gli elementi non visualizzano l'etichetta del contenitore in Copilot e non possono supportare l'ereditarietà delle etichette di riservatezza. Ad esempio, i messaggi di chat del canale di Teams riepilogati da un team etichettato come Riservato non visualizzeranno tale etichetta per il contesto di riservatezza nella chat basata su Graph di Microsoft Copilot. Analogamente, il contenuto delle pagine e degli elenchi del sito di SharePoint non visualizzerà l'etichetta di riservatezza dell'etichetta del contenitore.

  • Se si usano le impostazioni della libreria IRM (Information Rights Management) di SharePoint che impediscono agli utenti di copiare testo, tenere presente che i diritti di utilizzo vengono applicati quando i file vengono scaricati e non quando vengono creati o caricati in SharePoint. Se non si vuole che Copilot riepiloghi questi file quando sono inattivi, usare etichette di riservatezza che applicano la crittografia senza il diritto di utilizzo EXTRACT.

  • A differenza di altri scenari di etichettatura automatica, un'etichetta ereditata quando si crea nuovo contenuto sostituirà un'etichetta con priorità inferiore applicata manualmente.

  • Quando non è possibile applicare un'etichetta di riservatezza ereditata, il testo non verrà aggiunto all'elemento di destinazione. Ad esempio:

    • L'elemento di destinazione è di sola lettura
    • L'elemento di destinazione è già crittografato e l'utente non ha le autorizzazioni per modificare l'etichetta (richiede diritti di utilizzo EXPORT o FULL CONTROL)
    • L'etichetta di riservatezza ereditata non viene pubblicata per l'utente
  • Se un utente chiede a Copilot di creare nuovo contenuto da elementi etichettati e crittografati, l'ereditarietà delle etichette non è supportata quando la crittografia è configurata per le autorizzazioni definite dall'utente o se la crittografia è stata applicata in modo indipendente dall'etichetta. L'utente non sarà in grado di inviare questi dati all'elemento di destinazione.

  • Poiché DKE (Double Key Encryption) è destinato ai dati più sensibili soggetti ai requisiti di protezione più rigorosi, Copilot non può accedere a questi dati. Di conseguenza, gli elementi protetti da DKE non verranno restituiti da Copilot e, se un elemento DKE è aperto (dati in uso), non sarà possibile usare Copilot nell'app.

  • Le etichette di riservatezza che proteggono le riunioni e le chat di Teams non sono attualmente riconosciute da Copilot. Ad esempio, i dati restituiti da una chat di riunione o da una chat del canale non visualizzano un'etichetta di riservatezza associata, non è possibile impedire la copia dei dati della chat per un elemento di destinazione e l'etichetta di riservatezza non può essere ereditata. Questa limitazione non si applica agli inviti alle riunioni, alle risposte e agli eventi del calendario protetti dalle etichette di riservatezza.

  • Per microsoft copilot graph-grounded chat (precedentemente noto come Microsoft 365 Chat):

    • Quando agli inviti alla riunione viene applicata un'etichetta di riservatezza, l'etichetta viene applicata al corpo dell'invito alla riunione, ma non ai metadati, ad esempio data e ora, o ai destinatari. Di conseguenza, le domande basate solo sui metadati restituiscono dati senza l'etichetta. Ad esempio, "Quali riunioni ho il lunedì?" Le domande che includono il corpo della riunione, ad esempio l'agenda, restituiscono i dati come etichettati.
    • Se il contenuto viene crittografato in modo indipendente dall'etichetta di riservatezza applicata e tale crittografia non concede all'utente i diritti di utilizzo EXTRACT (ma include il diritto di utilizzo VIEW), il contenuto può essere restituito da Copilot e quindi inviato a un elemento di origine. Esempio di quando questa configurazione può verificarsi se un utente ha applicato restrizioni di Office da Information Rights Management quando un documento è etichettato come "Generale" e tale etichetta non applica la crittografia.
    • Quando al contenuto restituito è applicata un'etichetta di riservatezza, gli utenti non visualizzeranno l'opzione Modifica in Outlook perché questa funzionalità non è attualmente supportata per i dati etichettati.
    • Se si usano le funzionalità di estensione che includono plug-in e Microsoft Graph Connector, le etichette di riservatezza e la crittografia applicate a questi dati da origini esterne non vengono riconosciute dalla chat basata su Copilot Graph. La maggior parte delle volte questa limitazione non viene applicata perché è improbabile che i dati supportano le etichette di riservatezza e la crittografia, anche se un'eccezione è costituita dai dati di Power BI. È sempre possibile disconnettere le origini dati esterne usando l'interfaccia di amministrazione di Microsoft 365 per disattivare i plug-in per gli utenti e disconnettere le connessioni che usano un connettore API Graph.

Eccezioni specifiche dell'app:

  • Copilot in Outlook: gli utenti non possono usare Copilot per gli elementi crittografati in Outlook (versione classica) per Windows o in Outlook Mobile. Copilot in Outlook supporta gli elementi crittografati per altre piattaforme:

  • Copilot in Edge, Copilot in Windows: a meno che non venga usata la prevenzione della perdita dei dati (DLP) in Edge, Copilot può fare riferimento al contenuto crittografato dalla scheda del browser attivo in Edge quando tale contenuto non concede all'utente diritti di utilizzo EXTRACT. Ad esempio, il contenuto crittografato proviene da Office per il Web o da Outlook per il Web.

Verrà eseguito l'override di un'etichetta esistente per l'ereditarietà dell'etichetta di riservatezza?

Riepilogo dei risultati quando Copilot applica automaticamente la protezione con ereditarietà delle etichette di riservatezza:

Etichetta esistente Eseguire l'override con ereditarietà delle etichette di riservatezza
Applicato manualmente, priorità inferiore
Applicato manualmente, priorità più alta No
Applicata automaticamente, priorità inferiore
Applicata automaticamente, priorità più alta No
Etichetta predefinita dai criteri, priorità inferiore
Etichetta predefinita dai criteri, priorità più alta No
Etichetta di riservatezza predefinita per una raccolta documenti, priorità inferiore
Etichetta di riservatezza predefinita per una raccolta documenti, priorità più alta No

Copilot rispetta la protezione esistente con il diritto di utilizzo EXTRACT

Anche se non si ha familiarità con i singoli diritti di utilizzo per il contenuto crittografato, sono stati circa un lungo periodo di tempo. Da Windows Server Rights Management, ad Active Directory Rights Management, alla versione cloud che è diventata Azure Information Protection con il servizio Azure Rights Management.

Se hai ricevuto un messaggio di posta elettronica "Non inoltrare", usa i diritti di utilizzo per impedirti di inoltrare il messaggio dopo l'autenticazione. Come per altri diritti di utilizzo in bundle mappati a scenari aziendali comuni, un messaggio di posta elettronica Non inoltrare concede ai destinatari diritti di utilizzo che controllano le operazioni che possono eseguire con il contenuto e non include il diritto di utilizzo FORWARD. Oltre a non inoltrare, non è possibile stampare questo messaggio di posta elettronica Non inoltrare o copiare testo da esso.

Il diritto di utilizzo che concede l'autorizzazione per la copia del testo è EXTRACT, con il nome più semplice e comune di Copia. È questo diritto di utilizzo che determina se Copilot per Microsoft 365 può visualizzare testo all'utente da contenuto crittografato.

Nota

Poiché il diritto di utilizzo Controllo completo (OWNER) include tutti i diritti di utilizzo, EXTRACT viene incluso automaticamente con controllo completo.

Quando si usa il portale di Microsoft Purview o il portale di conformità di Microsoft Purview per configurare un'etichetta di riservatezza per applicare la crittografia, la prima scelta consiste nell'assegnare le autorizzazioni ora o consentire agli utenti di assegnare le autorizzazioni. Se si assegnano ora, configurare le autorizzazioni selezionando un livello di autorizzazione predefinito con un gruppo predefinito di diritti di utilizzo, ad esempio Co-Author o Revisore. In alternativa, è possibile selezionare autorizzazioni personalizzate in cui è possibile selezionare singolarmente i diritti di utilizzo disponibili.

Nel portale il diritto di utilizzo EXTRACT viene visualizzato come Copia ed estrai contenuto (EXTRACT).In the portal, the EXTRACT usage right is displayed as Copy and extract content(EXTRACT). Ad esempio, il livello di autorizzazione predefinito selezionato è Co-Autore, in cui è incluso Copia ed estrai contenuto (EXTRACT). Di conseguenza, il contenuto protetto con questa configurazione di crittografia può essere restituito da Copilot per Microsoft 365:

Configurazione dei diritti di utilizzo per un'etichetta di riservatezza in cui le autorizzazioni includono EXTRACT.

Se si seleziona Personalizzato dalla casella a discesa e quindi Controllo completo (PROPRIETARIO) dall'elenco, questa configurazione concederà anche il diritto di utilizzo EXTRACT.

Nota

La persona che applica la crittografia ha sempre il diritto di utilizzo EXTRACT, perché è il proprietario di Rights Management. Questo ruolo speciale include automaticamente tutti i diritti di utilizzo e altre azioni, il che significa che il contenuto crittografato da un utente è sempre idoneo per essere restituito da Copilot per Microsoft 365. Le restrizioni di utilizzo configurate si applicano ad altre persone autorizzate ad accedere al contenuto.

In alternativa, se si seleziona la configurazione di crittografia per consentire agli utenti di assegnare le autorizzazioni, per Outlook questa configurazione include autorizzazioni predefinite per Non inoltrare e Crittografa solo. L'opzione Encrypt-Only, a differenza di Non inoltrare, include il diritto di utilizzo EXTRACT.

Quando si selezionano autorizzazioni personalizzate per Word, Excel e PowerPoint, gli utenti selezionano le proprie autorizzazioni nell'app di Office quando applicano l'etichetta di riservatezza. Le due selezioni informano che Read non include l'autorizzazione per copiare il contenuto, ma cambia . Questi riferimenti da copiare fanno riferimento al diritto di utilizzo EXTRACT. Se l'utente seleziona Altre opzioni, può aggiungere il diritto di utilizzo EXTRACT a Lettura selezionando Consenti agli utenti con accesso in lettura di copiare il contenuto.

Finestra di dialogo Utente per selezionare le autorizzazioni che includono il diritto di utilizzo EXTRACT.

Consiglio

Se è necessario verificare se un documento autorizzato a visualizzare include il diritto di utilizzo EXTRACT, aprirlo nell'app di Windows Office e personalizzare la barra di stato per visualizzare Autorizzazioni. Selezionare l'icona accanto al nome dell'etichetta di riservatezza per visualizzare l'autorizzazione personale. Visualizzare il valore di Copy, mappato al diritto di utilizzo EXTRACT, e verificare se viene visualizzato o No.

Per i messaggi di posta elettronica, se le autorizzazioni non vengono visualizzate nella parte superiore del messaggio in Outlook per Windows, selezionare il banner informativo con il nome dell'etichetta e quindi selezionare Visualizza autorizzazione.

Copilot rispetta il diritto di utilizzo EXTRACT per un utente, tuttavia è stato applicato al contenuto. La maggior parte delle volte, quando il contenuto è etichettato, i diritti di utilizzo concessi all'utente corrispondono a quelli della configurazione dell'etichetta di riservatezza. Esistono tuttavia alcune situazioni che possono comportare la differenza tra i diritti di utilizzo del contenuto e la configurazione dell'etichetta applicata:

Per altre informazioni sulla configurazione di un'etichetta di riservatezza per la crittografia, vedere Limitare l'accesso al contenuto usando etichette di riservatezza per applicare la crittografia.

Per informazioni tecniche sui diritti di utilizzo, vedere Configurare i diritti di utilizzo per Azure Information Protection.

Considerazioni sulla gestione della conformità per Copilot

La gestione della conformità per le interazioni di Copilot per Microsoft 365 si estende a Copilot in Word, Excel, PowerPoint, Outlook, Teams, Loop, Lavagna, OneNote e Microsoft Copilot Graph-grounded chat (in precedenza Microsoft 365 Chat).

Nota

La gestione della conformità per la chat a terra di Copilot Graph include richieste e risposte da e verso il Web pubblico quando gli utenti hanno eseguito l'accesso e selezionano l'opzione Lavoro anziché il Web.

Gli strumenti di conformità identificano le interazioni copilot di origine in base al nome dell'app. Ad esempio, Copilot in Word, Copilot in Teams e Microsoft 365 Chat (per microsoft copilot graph-grounded chat).

Prima di distribuire Copilot per Microsoft 365, assicurarsi di avere familiarità con i dettagli seguenti per supportare le soluzioni di gestione della conformità:

  • I criteri di conservazione per le interazioni copilot attualmente non informano gli utenti quando i messaggi vengono eliminati a seguito di un criterio di conservazione.

  • Il controllo acquisisce l'attività copilot della ricerca, ma non la richiesta o la risposta utente effettiva. Per queste informazioni, usare eDiscovery.

  • Le modifiche correlate all'amministratore per il controllo di Copilot non sono ancora supportate.

  • Le informazioni di identificazione del dispositivo non sono attualmente incluse nei dettagli di controllo.

Eccezioni specifiche dell'app:

  • Copilot in Teams:
    • Se le trascrizioni sono disattivate, le funzionalità di controllo, eDiscovery e conservazione non sono supportate
    • Se si fa riferimento alle trascrizioni, questa azione non viene acquisita per il controllo
    • Per la chat basata su grafo in Teams, Copilot attualmente non può conservare come allegati cloud, file di riferimento restituiti agli utenti. I file a cui fanno riferimento gli utenti sono supportati per essere conservati come allegati cloud.