Principes van Zero Trust toepassen op Microsoft Copilot
Samenvatting: Als u Zero Trust-principes wilt toepassen op Microsoft Copilot, moet u het volgende doen:
- Implementeer beveiligingsbeveiligingen voor web-grounded prompts naar internet.
- Beveiligingsbeveiligingen toevoegen voor samenvatting van microsoft Edge-browsers.
- Voltooi aanbevolen beveiligingsbeveiligingen voor Copilot voor Microsoft 365.
- Beveilig beveiliging bij het gebruik van Microsoft Copilot en Copilot voor Microsoft 365.
Inleiding
Microsoft Copilot of Copilot is een AI-assistent in copilot.microsoft.com, Windows, Edge, Bing en de mobiele Copilot-app. Dit artikel helpt u bij het implementeren van beveiligingsbeveiligingen om uw organisatie en gegevens veilig te houden tijdens het gebruik van Copilot. Door deze beveiligingen te implementeren, bouwt u een basis van Zero Trust.
Aanbevelingen voor Zero Trust-beveiliging voor Copilot richten zich op beveiliging voor gebruikersaccounts, gebruikersapparaten en de gegevens die binnen het bereik vallen van de manier waarop u Copilot configureert.
U kunt Copilot in fasen introduceren, van het toestaan van web-grounded prompts op internet tot het toestaan van zowel web-grounded als Microsoft 365 Graph-geaarde prompts voor zowel internet als gegevens van uw organisatie. Dit artikel helpt u inzicht te hebben in het bereik van elke configuratie en daarom de aanbevelingen voor het voorbereiden van uw omgeving met de juiste beveiligingsbeveiligingen.
Hoe helpt Zero Trust met AI?
Beveiliging, met name gegevensbescherming, is vaak een belangrijke zorg bij het introduceren van AI-hulpprogramma's in een organisatie. Zero Trust is een beveiligingsstrategie die elke gebruiker, elk apparaat en elke resourceaanvraag verifieert om ervoor te zorgen dat elk van deze is toegestaan. De term 'nul vertrouwen' verwijst naar de strategie voor het behandelen van elke verbinding en resourceaanvraag alsof deze afkomstig is van een niet-gecontroleerd netwerk en een slechte actor. Ongeacht waar de aanvraag vandaan komt of tot welke resource deze toegang heeft, leert Zero Trust ons 'nooit vertrouwen, altijd verifiëren'.
Als leider in beveiliging biedt Microsoft een praktische roadmap en duidelijke richtlijnen voor het implementeren van Zero Trust. De set Copilots van Microsoft is gebouwd op basis van bestaande platforms, die de beveiligingen overnemen die op deze platforms worden toegepast. Zie het Zero Trust Guidance Center voor meer informatie over het toepassen van Zero Trust op microsoft-platforms. Door deze beveiligingen te implementeren, bouwt u een basis voor Zero Trust-beveiliging.
In dit artikel wordt gebruik gemaakt van deze richtlijnen om de Zero Trust-beveiligingen voor te schrijven die betrekking hebben op Copilot.
Wat is opgenomen in dit artikel
In dit artikel worden de beveiligingsaan aanbevelingen beschreven die in vier fasen van toepassing zijn. Dit biedt een pad voor het introduceren van Copilot in uw omgeving terwijl u beveiligingsbeveiliging toepast voor gebruikers, apparaten en de gegevens die door Copilot worden geopend.
Fase | Configuratie | Onderdelen die moeten worden beveiligd |
---|---|---|
1 | Web-grounded prompts naar internet | Basisbeveiligingscontroles voor gebruikers en apparaten met behulp van identiteits- en toegangsbeleid. |
2 | Web-grounded prompts naar internet met samenvatting van de Edge-browserpagina ingeschakeld | Uw organisatiegegevens op lokale, intranet- en cloudlocaties die Copilot in Edge kan samenvatten. |
3 | Web-grounded prompts naar internet en toegang tot Copilot voor Microsoft 365 | Alle onderdelen die worden beïnvloed door Copilot voor Microsoft 365. |
4 | Web-grounded prompts naar internet en toegang tot Copilot voor Microsoft 365 met Samenvatting van edge-browserpagina ingeschakeld | Alle bovenstaande onderdelen. |
Fase 1. Begin met beveiligingsaanbevelingen voor web-grounded prompts naar internet
De eenvoudigste configuratie van Copilot biedt AI-hulp bij web-grounded prompts.
In de afbeelding:
- Gebruikers kunnen communiceren met Copilot via copilot.microsoft.com, Windows, Bing, de Edge-browser en de mobiele Copilot-app.
- Prompts zijn web-grounded. Copilot gebruikt alleen openbaar beschikbare gegevens om te reageren op prompts.
Met deze configuratie worden uw organisatiegegevens niet opgenomen in het bereik van gegevens waarnaar Copilot verwijst.
Gebruik deze fase om identiteits- en toegangsbeleid te implementeren voor gebruikers en apparaten om te voorkomen dat slechte actoren Copilot gebruiken. U moet minimaal beleidsregels voor voorwaardelijke toegang configureren waarvoor het volgende is vereist:
Aanvullende aanbevelingen voor Microsoft 365 E3
- Voor verificatie en toegang van gebruikersaccounts configureert u ook het identiteits- en toegangsbeleid om clients te blokkeren die geen ondersteuning bieden voor moderne verificatie.
- Gebruik windows-beveiligingsmogelijkheden.
Aanvullende aanbevelingen voor Microsoft 365 E5
Implementeer de aanbevelingen voor E3 en configureer het volgende identiteits- en toegangsbeleid:
- MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is
- Gebruikers met een hoog risico moeten hun wachtwoord wijzigen
Fase 2. Beveiligingsbeveiligingen toevoegen voor samenvatting van Edge-browsers
Microsoft Copilot helpt u vanuit de zijbalk van Microsoft Edge om antwoorden en inspiratie op internet te krijgen en, indien ingeschakeld, van bepaalde soorten informatie die wordt weergegeven in geopende browsertabbladen.
Hier volgen enkele voorbeelden van privé- of organisatiewebpagina's en documenttypen die Copilot in Edge kan samenvatten:
- Intranetsites zoals SharePoint, met uitzondering van ingesloten Office-documenten
- Outlook Web App
- PDF-bestanden, inclusief bestanden die zijn opgeslagen op het lokale apparaat
- Sites die niet worden beveiligd door DLP-beleid van Microsoft Purview, MAM-beleid (Mobile Application Management) of MDM-beleid
Notitie
Voor de huidige lijst met documenttypen die worden ondersteund door Copilot in Edge voor analyse en samenvatting, raadpleegt u Copilot in het samenvattingsgedrag van de Webpagina van Edge.
Mogelijk gevoelige organisatiesites en -documenten die Copilot in Edge kan samenvatten, kunnen worden opgeslagen op lokale, intranet- of cloudlocaties. Deze organisatiegegevens kunnen worden blootgesteld aan een aanvaller die toegang heeft tot het apparaat en Copilot in Edge gebruikt om snel samenvattingen van documenten en sites te produceren.
De organisatiegegevens die kunnen worden samengevat door Copilot in Edge, kunnen het volgende omvatten:
Lokale bronnen op de computer van de gebruiker
PDF's of informatie die wordt weergegeven op een edge-browsertabblad door lokale apps die niet zijn beveiligd met MAM-beleid
Intranetbronnen
PDF's of sites voor interne apps en services die niet worden beveiligd door Microsoft Purview DLP-beleid, MAM-beleid of MDM-beleid
Microsoft 365-sites die niet worden beveiligd door Microsoft Purview DLP-beleid, MAM-beleid of MDM-beleid
Microsoft Azure-resources
PDF-bestanden op virtuele machines of sites voor SaaS-apps die niet worden beveiligd door Microsoft Purview DLP-beleid, MAM-beleid of MDM-beleid
Cloudproductsites van derden voor saaS-apps en -services in de cloud die niet worden beveiligd door Microsoft Purview DLP-beleid, MAM-beleid of MDA-beleid
Gebruik deze fase om beveiligingsniveaus te implementeren om te voorkomen dat slechte actoren Copilot gebruiken om sneller gevoelige gegevens te detecteren en te openen. U moet minimaal het volgende doen:
- Beveiliging en naleving van gegevens implementeren met Microsoft Purview
- Minimale gebruikersmachtigingen voor gegevens configureren
- Bedreigingsbeveiliging implementeren voor cloud-apps met Microsoft Defender voor Cloud-apps
Zie voor meer informatie over Copilot in Edge:
In deze afbeelding ziet u de gegevenssets die beschikbaar zijn voor Microsoft Copilot in Edge, waarbij samenvatting van de browser is ingeschakeld.
Aanbevelingen voor E3 en E5
Implementeer Intune-beveiligingsbeleid voor apps (APP) voor gegevensbeveiliging. APP kan voorkomen dat onbedoelde of opzettelijke kopieën van door Copilot gegenereerde inhoud worden gekopieerd naar apps op een apparaat dat niet is opgenomen in de lijst met toegestane apps. APP kan de straalstraal van een aanvaller beperken met behulp van een gecompromitteerd apparaat.
Schakel Microsoft Defender voor Office 363-abonnement 1 in, waaronder Exchange Online Protection (EOP) voor veilige bijlagen, veilige koppelingen, geavanceerde phishingdrempels en imitatiebeveiliging en realtime detecties.
Fase 3. Volledige beveiligingsbeveiligingen die worden aanbevolen voor Copilot voor Microsoft 365
Copilot voor Microsoft 365 kan de volgende gegevenssets gebruiken om prompts op basis van Graph te verwerken:
- Uw Microsoft 365-tenantgegevens
- Internetgegevens via Bing Zoeken (indien ingeschakeld)
- De gegevens die worden gebruikt door invoegtoepassingen en connectors met Copilot
Zie Principes van Zero Trust toepassen op Microsoft Copilot voor Microsoft 365 voor meer informatie.
Aanbevelingen voor E3
Implementeer het volgende:
Gegevensbescherming in uw Microsoft 365-tenant
Vertrouwelijkheidslabels
Beleid voor preventie van gegevensverlies (DLP)
Bewaarbeleid
Aanbevelingen voor E5
Implementeer de aanbevelingen voor E3 en het volgende:
- Gebruik een groter scala aan classificaties om gevoelige informatie te vinden.
- Automatiseer uw retentielabels.
- Probeer de mogelijkheden van Plan 2 uit in Defender voor Office 365, waaronder onderzoek na inbreuk, opsporing en reactie, automatisering en simulatie.
- Schakel Microsoft Defender voor Cloud apps in.
- Configureer Defender voor Cloud Apps om cloud-apps te detecteren en hun gedrag te controleren en te controleren.
Fase 4. Beveiligingsbeveiliging onderhouden terwijl u Microsoft Copilot en Copilot voor Microsoft 365 samen gebruikt
Met een licentie voor Copilot voor Microsoft 365 ziet u een wisselknop werk/web in de Edge-browser, Windows en Bing Zoeken waarmee u kunt schakelen tussen:
- Graph-grounded prompts die worden verzonden naar Copilot voor Microsoft 365 (wisselknop ingesteld op Werk).
- Web-grounded prompts die voornamelijk internetgegevens gebruiken (wisselknop ingesteld op web).
Hier volgt een voorbeeld voor copilot.microsoft.com.
In deze afbeelding ziet u de stroom van graph- en web-grounded prompts.
In het diagram:
- Gebruikers op apparaten met een licentie voor Copilot voor Microsoft 365 kunnen werk- of webmodus kiezen voor Microsoft Copilot-prompts.
- Als Werk is gekozen, worden door Graph geaarde prompts verzonden naar Copilot voor Microsoft 365 voor verwerking.
- Als web is gekozen, worden webprompts die via Windows, Bing of Edge worden ingevoerd, internetgegevens gebruikt bij de verwerking ervan.
- In het geval van Edge en wanneer deze optie is ingeschakeld, bevat Windows Copilot enkele typen gegevens in open Edge-tabbladen in de verwerking.
Als de gebruiker geen licentie voor Copilot voor Microsoft 365 heeft, wordt de wisselknop Werk/web niet weergegeven en worden alle prompts op het web geplaatst.
Hier volgen de sets toegankelijke organisatiegegevens voor Microsoft Copilot, waaronder zowel Graph- als Web-grounded prompts.
In de afbeelding zijn de gele gearceerde blokken bedoeld voor uw organisatiegegevens die toegankelijk zijn via Copilot. Toegang tot deze gegevens door een gebruiker via Copilot is afhankelijk van de machtigingen voor de gegevens die zijn toegewezen aan het gebruikersaccount. Het kan ook afhankelijk zijn van de status van het apparaat van de gebruiker als voorwaardelijke toegang is geconfigureerd voor de gebruiker of voor toegang tot de omgeving waarin de gegevens zich bevinden. Volgens de principes van Zero Trust zijn dit gegevens die u wilt beveiligen voor het geval een aanvaller inbreuk maakt op een gebruikersaccount of apparaat.
Voor prompts op basis van grafieken (wisselknop ingesteld op Werk), omvat dit:
Uw Microsoft 365-tenantgegevens
Gegevens voor invoegtoepassingen en connectors met Copilot
Internetgegevens (als de webinvoegtoepassing is ingeschakeld)
Voor web-grounded prompts vanuit de Edge-browser waarvoor samenvatting van het browsertabblad is ingeschakeld (wisselknop ingesteld op web), kan dit organisatiegegevens bevatten die kunnen worden samengevat door Copilot in Edge vanaf lokale, intranet- en cloudlocaties.
Gebruik deze fase om uw implementatie van de volgende beveiligingsniveaus te controleren om te voorkomen dat slechte actoren Copilot gebruiken om toegang te krijgen tot uw gevoelige gegevens:
- Beveiliging en naleving van gegevens implementeren met Microsoft Purview
- Minimale gebruikersmachtigingen voor gegevens configureren
- Bedreigingsbeveiliging implementeren voor cloud-apps met Microsoft Defender voor Cloud-apps
Aanbevelingen voor E3
- Controleer uw configuratie en de functies van Defender voor Office 365 Abonnement 1 en Defender voor Eindpunt-abonnement 1 en implementeer indien nodig aanvullende mogelijkheden.
- Stel de juiste beveiligingsniveaus in voor Microsoft Teams.
Aanbevelingen voor E5
Implementeer de aanbevelingen voor E3 en breid de XDR-mogelijkheden uit in uw Microsoft 365-tenant:
Controleer uw configuratie en implementeer zo nodig aanvullende mogelijkheden om uw bedreigingsbeveiliging te vergroten met de volledige Microsoft Defender XDR-suite:
Sessiebeleid configureren voor Defender voor Cloud Apps
Configuratieoverzicht
In deze afbeelding vindt u een overzicht van Microsoft Copilot-configuraties en de resulterende toegankelijke gegevens die Copilot gebruikt om te reageren op prompts.
Deze tabel bevat Zero Trust-aanbevelingen voor uw gekozen configuratie.
Configuratie | Toegankelijke gegevens | Aanbevelingen voor Zero Trust |
---|---|---|
Zonder Copilot voor Microsoft 365-licenties (wisselknop werk/web is niet beschikbaar) EN Samenvatting van edge-browserpagina is uitgeschakeld |
Alleen voor web-grounded prompts, alleen internetgegevens | Geen vereist, maar sterk aanbevolen voor algemene beveiligingscontroles. |
Zonder Copilot voor Microsoft 365-licenties (wisselknop werk/web is niet beschikbaar) EN Samenvatting van edge-browserpagina ingeschakeld |
Voor web-grounded prompts: - Internetgegevens - Organisatiegegevens op lokale, intranet- en cloudlocaties die Copilot in Edge kan samenvatten |
Voor uw Microsoft 365-tenant raadpleegt u Zero Trust for Copilot voor Microsoft 365 en past u Zero Trust-beveiliging toe. Zie Apparaten beheren met Intune-overzicht voor MAM- en MDM-beleid voor organisatiegegevens op lokale, intranet- en cloudlocaties. Zie Ook Gegevensprivacy en gegevensbescherming beheren met Microsoft Priva en Microsoft Purview voor DLP-beleid. |
Met Copilot voor Microsoft 365-licenties (werk-/web-wisselknop beschikbaar) EN Samenvatting van edge-browserpagina is uitgeschakeld |
Voor prompts op basis van graph: - Microsoft 365-tenantgegevens - Internetgegevens als de webinvoegtoepassing is ingeschakeld - Gegevens voor invoegtoepassingen en connectors met Copilot Voor web-grounded prompts, alleen internetgegevens |
Voor uw Microsoft 365-tenant raadpleegt u Zero Trust for Copilot voor Microsoft 365 en past u Zero Trust-beveiliging toe. |
Met Copilot voor Microsoft 365-licenties (werk-/web-wisselknop beschikbaar) EN Samenvatting van edge-browserpagina ingeschakeld |
Voor prompts op basis van graph: - Microsoft 365-tenantgegevens - Internetgegevens als de webinvoegtoepassing is ingeschakeld - Gegevens voor invoegtoepassingen en connectors met Copilot Voor web-grounded prompts: - Internetgegevens - Organisatiegegevens die kunnen worden weergegeven op een Edge-browserpagina, inclusief lokale, cloud- en intranetresources |
Voor uw Microsoft 365-tenant raadpleegt u Zero Trust for Copilot voor Microsoft 365 en past u Zero Trust-beveiliging toe. Zie Apparaten beheren met Intune-overzicht voor MAM- en MDM-beleid voor organisatiegegevens op lokale, intranet- en cloudlocaties. Zie Ook Gegevensprivacy en gegevensbescherming beheren met Microsoft Priva en Microsoft Purview voor DLP-beleid. |
Volgende stappen
Zie deze aanvullende artikelen voor Zero Trust en Copilots van Microsoft:
Verwijzingen
Raadpleeg deze koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.