Condividi tramite


Applicare principi di Zero Trust a Microsoft Copilot

Riepilogo: per applicare i principi Zero Trust a Microsoft Copilot, è necessario:

  1. Implementare le protezioni di sicurezza per le richieste basate sul Web su Internet.
  2. Aggiungere protezioni di sicurezza per il riepilogo del browser Microsoft Edge.
  3. Completare le protezioni di sicurezza consigliate per Copilot per Microsoft 365.
  4. Mantenere insieme le protezioni di sicurezza quando si usa Microsoft Copilot e Copilot per Microsoft 365.

Introduzione

Microsoft Copilot o Copilot è un compagno di intelligenza artificiale in copilot.microsoft.com, Windows, Edge, Bing e l'app per dispositivi mobili Copilot. Questo articolo illustra come implementare protezioni di sicurezza per proteggere l'organizzazione e i dati durante l'uso di Copilot. Implementando queste protezioni, si sta creando una base di Zero Trust.

Raccomandazioni sulla sicurezza Zero Trust per Copilot si concentrano sulla protezione per gli account utente, i dispositivi utente e i dati inclusi nell'ambito per la configurazione di Copilot.

È possibile introdurre Copilot in fasi, consentendo richieste basate sul Web a Internet per consentire richieste basate sul Web e microsoft 365 a terra sia a Internet che ai dati dell'organizzazione. Questo articolo illustra l'ambito di ogni configurazione e, di conseguenza, le raccomandazioni per preparare l'ambiente con protezioni di sicurezza appropriate.

In che modo Zero Trust aiuta l'intelligenza artificiale?

La sicurezza, in particolare la protezione dei dati, è spesso un problema principale quando si introducono strumenti di intelligenza artificiale in un'organizzazione. Zero Trust è una strategia di sicurezza che verifica ogni utente, dispositivo e richiesta di risorse per assicurarsi che ognuno di questi elementi sia consentito. Il termine "zero trust" si riferisce alla strategia di considerare ogni connessione e richiesta di risorsa come se provenise da una rete non controllata e da un cattivo attore. Indipendentemente dall'origine della richiesta o dalla risorsa a cui accede, l’approccio Zero Trust ci insegna a non fidarci mai e a verificare sempre.

In qualità di leader nella sicurezza, Microsoft fornisce una roadmap pratica e indicazioni chiare per l'implementazione di Zero Trust. Il set di Copilots di Microsoft si basa su piattaforme esistenti, che ereditano le protezioni applicate a tali piattaforme. Per informazioni dettagliate sull'applicazione di Zero Trust alle piattaforme di Microsoft, vedere il Centro linee guida Zero Trust. Implementando queste protezioni, si sta creando una base della sicurezza Zero Trust.

Questo articolo deriva da tale materiale sussidiario per prescrivere le protezioni Zero Trust correlate a Copilot.

Elementi inclusi in questo articolo

Questo articolo illustra le raccomandazioni sulla sicurezza che si applicano in quattro fasi. In questo modo è possibile introdurre Copilot nell'ambiente mentre si applicano protezioni di sicurezza per utenti, dispositivi e dati a cui si accede da Copilot.

Fase Impostazione Componenti da proteggere
1 Richieste basate sul Web su Internet Igiene di sicurezza di base per utenti e dispositivi che usano criteri di identità e accesso.
2 Richieste basate sul Web su Internet con il riepilogo delle pagine del browser Edge abilitato I dati dell'organizzazione in posizioni locali, Intranet e cloud che Copilot in Edge possono riepilogare.
3 Richieste basate sul Web su Internet e l'accesso a Copilot per Microsoft 365 Tutti i componenti interessati da Copilot per Microsoft 365.
4 Richieste basate sul Web su Internet e l'accesso a Copilot per Microsoft 365 con riepilogo delle pagine del browser Edge abilitato Tutti i componenti elencati in precedenza.

Passaggio 1. Iniziare con le raccomandazioni sulla sicurezza per le richieste a base Web a Internet

La configurazione più semplice di Copilot offre assistenza per l'intelligenza artificiale con richieste basate sul Web.

Diagramma di Copilot per Microsoft e dell'elaborazione di richieste basate sul Web.

Nell'illustrazione:

  • Gli utenti possono interagire con Copilot tramite copilot.microsoft.com, Windows, Bing, il browser Edge e l'app per dispositivi mobili Copilot.
  • I prompt sono basati sul Web. Copilot usa solo i dati disponibili pubblicamente per rispondere alle richieste.

Con questa configurazione, i dati dell'organizzazione non sono inclusi nell'ambito dei dati a cui fa riferimento Copilot.

Usare questa fase per implementare criteri di identità e accesso per utenti e dispositivi per impedire che gli attori malintenzionati usino Copilot. È necessario configurare almeno i criteri di accesso condizionale che richiedono:

Consigli aggiuntivi per Microsoft 365 E3

Consigli aggiuntivi per Microsoft 365 E5

Implementare le raccomandazioni per E3 e configurare i criteri di identità e accesso seguenti:

Passaggio 2. Aggiungere protezioni di sicurezza per il riepilogo del browser Edge

Dalla barra laterale di Microsoft Edge, Microsoft Copilot consente di ottenere risposte e ispirazione da tutto il Web e, se abilitato, da alcuni tipi di informazioni visualizzate nelle schede del browser aperte.

Diagramma delle richieste basate sul Web in Edge con riepilogo delle schede del browser abilitato.

Ecco alcuni esempi di pagine Web private o dell'organizzazione e tipi di documento che Copilot in Edge può riepilogare:

  • Siti Intranet come SharePoint, ad eccezione dei documenti di Office incorporati
  • Outlook Web App
  • PDF, inclusi quelli archiviati nel dispositivo locale
  • Siti non protetti da criteri DLP di Microsoft Purview, criteri di gestione delle applicazioni mobili (MAM) o criteri MDM

Nota

Per l'elenco corrente dei tipi di documento supportati da Copilot in Edge per l'analisi e il riepilogo, vedere Comportamento di riepilogo delle pagine Web di Copilot in Edge.

I siti e i documenti dell'organizzazione potenzialmente sensibili che Copilot in Edge possono riepilogare possono essere archiviati in posizioni locali, Intranet o cloud. Questi dati dell'organizzazione possono essere esposti a un utente malintenzionato che ha accesso al dispositivo e usa Copilot in Edge per produrre rapidamente riepiloghi di documenti e siti.

I dati dell'organizzazione che possono essere riepilogati da Copilot in Edge possono includere:

  • Risorse locali nel computer dell'utente

    PDF o informazioni visualizzate in una scheda del browser Edge da app locali non protette con i criteri MAM

  • Risorse Intranet

    PDF o siti per app e servizi interni che non sono protetti dai criteri DLP di Microsoft Purview, criteri MAM o criteri MDM

  • Siti di Microsoft 365 non protetti da criteri DLP di Microsoft Purview, criteri MAM o criteri MDM

  • risorse di Microsoft Azure

    PDF in macchine virtuali o siti per app SaaS non protette da criteri DLP di Microsoft Purview, criteri MAM o criteri MDM

  • Siti di prodotti cloud di terze parti per app e servizi SaaS basati sul cloud che non sono protetti dai criteri di prevenzione della perdita dei dati, dai criteri MAM o dai criteri MDA di Microsoft Purview

Usare questa fase per implementare livelli di sicurezza per impedire agli attori malintenzionati di usare Copilot per individuare e accedere più rapidamente ai dati sensibili. Come minimo, è necessario:

Per altre informazioni su Copilot in Edge, vedere:

Questa figura mostra i set di dati disponibili per Microsoft Copilot in Edge con riepilogo del browser abilitato.

Diagramma dei set di dati disponibili per Microsoft Copilot in Edge.

Consigli per E3 ed E5

  • Implementare i criteri di protezione delle app di Intune per la protezione dei dati. L'APP può impedire la copia accidentale o intenzionale del contenuto generato da Copilot nelle app in un dispositivo che non sono incluse nell'elenco delle app consentite. L'APP può limitare il raggio di esplosione di un utente malintenzionato usando un dispositivo compromesso.

  • Attivare Microsoft Defender per Office 363 Piano 1, che includono Exchange Online Protection (EOP) per allegati Cassaforte, collegamenti Cassaforte, soglie di phishing avanzate e protezione della rappresentazione e rilevamenti in tempo reale.

Copilot per Microsoft 365 può usare i set di dati seguenti per elaborare i prompt basati su Graph:

  • Dati del tenant di Microsoft 365
  • Dati Internet tramite Ricerca Bing (se abilitata)
  • Dati usati da plug-in e connettori abilitati per Copilot

Diagramma di Copilot per Microsoft 365 e dell'elaborazione dei prompt basati su Graph.

Per altre informazioni, vedere Applicare principi zero trust a Microsoft Copilot per Microsoft 365.

Consigli per E3

Implementare quanto segue:

Consigli per E5

Implementare i consigli per E3 e i seguenti:

Fase 4. Mantenere le protezioni di sicurezza mentre si usa Microsoft Copilot e Copilot per Microsoft 365 insieme

Con una licenza per Copilot per Microsoft 365, nel browser Edge, Windows e Ricerca Bing verrà visualizzato un interruttore Work/Web che consente di passare dall'uso all'altro:

  • Richieste basate su grafo inviate a Copilot per Microsoft 365 (attiva/disattiva impostata su Work).
  • Vengono richieste a livello Web che usano principalmente i dati Internet (interruttore impostato su Web).

Ecco un esempio per copilot.microsoft.com.

Screenshot di esempio di Microsoft Copilot per Microsoft Bing.

Questa figura mostra il flusso delle richieste a grafo e Web.

Diagramma dell'architettura logica di Microsoft Copilot che mostra i prompt di Graph e Web.

Nel diagramma:

  • Gli utenti nei dispositivi con licenza per Copilot per Microsoft 365 possono scegliere la modalità Lavoro o Web per i prompt di Microsoft Copilot.
  • Se si seleziona Work , le richieste a terra di Graph vengono inviate a Copilot per Microsoft 365 per l'elaborazione.
  • Se viene scelto Il Web, le richieste basate sul Web immesse tramite Windows, Bing o Edge usano i dati Internet nell'elaborazione.
  • Nel caso di Edge e quando è abilitato, Windows Copilot include alcuni tipi di dati nelle schede edge aperte nell'elaborazione.

Se l'utente non dispone di una licenza per Copilot per Microsoft 365, l'interruttore Work/Web non viene visualizzato e tutti i prompt sono basati sul Web.

Ecco i set di dati dell'organizzazione accessibili per Microsoft Copilot, che includono sia i prompt basati su Graph che sul Web.

Diagramma dei set di dati dell'organizzazione accessibili per Microsoft Copilot per i prompt basati su Graph e Web.

Nell'illustrazione, i blocchi ombreggiati gialli sono per i dati dell'organizzazione accessibili tramite Copilot. L'accesso a questi dati da parte di un utente tramite Copilot dipende dalle autorizzazioni per i dati assegnati all'account utente. Può anche dipendere dallo stato del dispositivo dell'utente se l'accesso condizionale è configurato per l'utente o per l'accesso all'ambiente in cui risiedono i dati. Seguendo i principi di Zero Trust, si tratta di dati da proteggere nel caso in cui un utente malintenzionato compromette un account utente o un dispositivo.

  • Per i prompt basati su Graph (attiva/Disattiva impostato su Lavoro), sono inclusi:

    • Dati del tenant di Microsoft 365

    • Dati per plug-in e connettori abilitati per Copilot

    • Dati Internet (se il plug-in Web è abilitato)

  • Per i prompt basati sul Web dal browser Edge con riepilogo delle schede del browser aperto abilitato (interruttore impostato su Web), può includere i dati dell'organizzazione che possono essere riepilogati da Copilot in Edge da posizioni locali, Intranet e cloud.

Usare questa fase per verificare l'implementazione dei livelli di sicurezza seguenti per impedire agli attori malintenzionati di usare Copilot per accedere ai dati sensibili:

Consigli per E3

Consigli per E5

Implementare le raccomandazioni per E3 ed estendere le funzionalità XDR nel tenant di Microsoft 365:

Riepilogo della configurazione

Questa figura riepiloga le configurazioni di Microsoft Copilot e i dati accessibili risultanti usati da Copilot per rispondere alle richieste.

Tabella che mostra le configurazioni di Microsoft Copilot e i dati accessibili risultanti per i prompt basati su Web e Grapg.

Questa tabella include raccomandazioni Zero Trust per la configurazione scelta.

Impostazione Dati accessibili Raccomandazioni zero trust
Senza Copilot per le licenze di Microsoft 365 (l'interruttore Work/Web non è disponibile)

AND

Riepilogo pagina del browser Edge disabilitato
Per i prompt basati sul Web, solo dati Internet Non è necessario, ma altamente consigliato per l'igiene generale della sicurezza.
Senza Copilot per le licenze di Microsoft 365 (l'interruttore Work/Web non è disponibile)

AND

Riepilogo delle pagine del browser Edge abilitato
Per le richieste basate sul Web:

- Dati Internet
- Dati dell'organizzazione in posizioni locali, Intranet e cloud che Copilot in Edge può riepilogare
Per il tenant di Microsoft 365, vedere Zero Trust for Copilot per Microsoft 365 e applicare protezioni Zero Trust.

Per i dati dell'organizzazione in posizioni locali, Intranet e cloud, vedere Gestire i dispositivi con panoramica di Intune per i criteri MAM e MDM. Vedere anche Gestire la privacy dei dati e la protezione dei dati con Microsoft Priva e Microsoft Purview per i criteri DLP.
Con Copilot per le licenze di Microsoft 365 (attiva/interruttore Web disponibile)

AND

Riepilogo pagina del browser Edge disabilitato
Per le richieste basate su grafo:

- Dati del tenant di Microsoft 365
- Dati Internet se il plug-in Web è abilitato
- Dati per plug-in e connettori abilitati per Copilot

Per i prompt basati sul Web, solo i dati Internet
Per il tenant di Microsoft 365, vedere Zero Trust for Copilot per Microsoft 365 e applicare protezioni Zero Trust.
Con Copilot per le licenze di Microsoft 365 (attiva/interruttore Web disponibile)

AND

Riepilogo delle pagine del browser Edge abilitato
Per le richieste basate su grafo:

- Dati del tenant di Microsoft 365
- Dati Internet se il plug-in Web è abilitato
- Dati per plug-in e connettori abilitati per Copilot

Per le richieste basate sul Web:

- Dati Internet
- Dati dell'organizzazione di cui è possibile eseguire il rendering in una pagina del browser Edge, tra cui risorse locali, cloud e Intranet
Per il tenant di Microsoft 365, vedere Zero Trust for Copilot per Microsoft 365 e applicare protezioni Zero Trust.

Per i dati dell'organizzazione in posizioni locali, Intranet e cloud, vedere Gestire i dispositivi con panoramica di Intune per i criteri MAM e MDM. Vedere anche Gestire la privacy dei dati e la protezione dei dati con Microsoft Priva e Microsoft Purview per i criteri DLP.

Passaggi successivi

Vedere questi articoli aggiuntivi per Zero Trust e Copilots di Microsoft:

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.