Udostępnij za pośrednictwem

Stosowanie zasad zero trust do platformy Microsoft 365 Copilot

  • Artykuł

Podsumowanie: Aby zastosować zasady zero trust do rozwiązania Microsoft 365 Copilot, należy zastosować siedem warstw ochrony w dzierżawie platformy Microsoft 365:

  1. Ochrona danych
  2. Tożsamość i dostęp
  3. Ochrona aplikacji
  4. Zarządzanie urządzeniami i ochrona
  5. Ochrona przed zagrożeniami
  6. Bezpieczna współpraca z usługą Teams
  7. Uprawnienia użytkownika do danych

Wprowadzenie

Przed wprowadzeniem platformy Microsoft 365 Copilot (Copilot) do środowiska firma Microsoft zaleca utworzenie silnej podstawy zabezpieczeń. Na szczęście wskazówki dotyczące silnego fundamentu zabezpieczeń istnieją w postaci zero trust. Strategia zabezpieczeń Zero Trust traktuje każde połączenie i żądanie zasobu, tak jakby pochodziło z niekontrolowanych sieci i złego aktora. Niezależnie od tego, skąd pochodzi żądanie lub jakiego zasobu uzyskuje dostęp, usługa Zero Trust uczy nas "nigdy nie ufać, zawsze weryfikować".

Ten artykuł zawiera kroki stosowania zasad zabezpieczeń Zero Trust w celu przygotowania środowiska do copilot w następujący sposób:

Zasada zerowego zaufania Definicja Met by
Jawną weryfikację Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. Wymuszanie weryfikacji poświadczeń użytkownika, wymagań dotyczących urządzeń oraz uprawnień i zachowań aplikacji.
Używanie dostępu z jak najmniejszą liczbą uprawnień Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. Zweryfikuj usługę JEA w całej organizacji, aby wyeliminować nadmierne udostępnianie, zapewniając, że odpowiednie uprawnienia są przypisane do plików, folderów, aplikacji Teams i poczty e-mail. Użyj etykiet poufności i zasad ochrony przed utratą danych, aby chronić dane.
Zakładanie naruszeń zabezpieczeń Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Użyj usług Exchange Online Protection (EOP) i Microsoft Defender XDR, aby automatycznie zapobiegać typowym atakom oraz wykrywać zdarzenia zabezpieczeń i reagować na nie.

Aby zapoznać się z podstawowymi tematami copilot, zobacz omówienie i sposób rozpoczęcia pracy.

Architektura logiczna

Stosujesz zasady zero trust dla copilot w całej architekturze, od użytkowników i urządzeń do danych aplikacji, do których mają dostęp. Na poniższym diagramie przedstawiono składniki architektury logicznej.

Diagram architektury logicznej dla Copilot.

Na diagramie:

  • Urządzenia użytkowników mają zainstalowane aplikacje platformy Microsoft 365, z których użytkownicy mogą inicjować monity copilot
  • Składniki copilot obejmują:
    • Usługa Copilot, która organizuje odpowiedzi na monity użytkownika
    • Model dużego języka (LLM), do którego odwołuje się Copilot, aby uzyskać najlepszą odpowiedź dla użytkownika
    • Wystąpienie programu Microsoft Graph dla danych dzierżawy platformy Microsoft 365
  • Dzierżawa platformy Microsoft 365 zawierająca dane organizacji
  • Wyniki copilot dla użytkownika zawierają tylko dane, do których użytkownik może uzyskać dostęp

Co znajduje się w tym artykule

W tym artykule przedstawiono procedurę stosowania zasad zero trustu w celu przygotowania środowiska platformy Microsoft 365 na potrzeby rozwiązania Copilot.

Krok Zadanie Stosowane zasady zerowego zaufania
1 Wdrażanie lub weryfikowanie ochrony danych Weryfikowanie jawnie
Używanie dostępu z jak najmniejszą liczbą uprawnień
2 Wdrażanie lub weryfikowanie tożsamości i zasad dostępu Weryfikowanie jawnie
Używanie dostępu z jak najmniejszą liczbą uprawnień
3 Wdrażanie lub weryfikowanie zasad ochrony aplikacji Użyj najmniej uprzywilejowanego dostępu
Zakładanie naruszeń zabezpieczeń
100 Wdrażanie lub weryfikowanie zarządzania urządzeniami i ochrony Jawną weryfikację
5 Wdrażanie lub weryfikowanie usług ochrony przed zagrożeniami Zakładanie naruszeń zabezpieczeń
6 Wdrażanie lub weryfikowanie bezpiecznej współpracy z usługą Teams Weryfikowanie jawnie
Używanie dostępu z jak najmniejszą liczbą uprawnień
7 Wdrażanie lub weryfikowanie uprawnień użytkownika do danych Używanie dostępu z jak najmniejszą liczbą uprawnień

Wprowadzenie do usługi E3 i następnych kroków za pomocą usługi E5

Aby ułatwić postęp, każdy z kroków opisanych w tym artykule jest zorganizowany w następujący sposób:

  • Wprowadzenie do możliwości usługi E3
  • Następne kroki z możliwościami usługi E5

Praca z zespołem rozwiązania Microsoft FastTrack

Jeśli pracujesz z zespołem rozwiązania Microsoft FastTrack, aby wprowadzić rozwiązanie Copilot do środowiska, zapoznasz się z trzema etapami: Punkt odniesienia, Rdzeń i Najlepsza w klasie. Takie podejście dobrze sprawdza się w tych wskazówkach.

Diagram przedstawiający trzy etapy wdrażania rozwiązania Microsoft 365 Copilot zalecane przez zespół rozwiązania Microsoft FastTrack.

Na diagramie zespół rozwiązania Microsoft FastTrack przyjmuje trzyetapowe podejście do wdrażania rozwiązania Copilot:

  • Plan bazowy — konfigurowanie narzędzia Copilot
  • Core — wprowadzenie do ochrony w usłudze E3
  • Najlepsze w klasie — następne kroki z E5

Aby uzyskać więcej informacji na temat konfigurowania rozwiązania Copilot, zobacz Wprowadzenie do platformy Microsoft 365 Copilot.

Dostosowanie tych wskazówek dla organizacji

Ponieważ różne organizacje mogą być na różnych etapach wdrażania ochrony zero trust, w każdym z następujących kroków:

  • Jeśli nie używasz żadnej z ochrony opisanych w tym kroku, przed przypisaniem licencji Copilot należy wziąć czas na pilotaż i wdrożyć je.
  • Jeśli używasz niektórych z ochrony opisanych w kroku, skorzystaj z informacji podanych w kroku jako listy kontrolnej i sprawdź, czy każda określona ochrona została wdrożona i wdrożona przed przypisaniem licencji Copilot.

Aby uzyskać najnowszą pomoc techniczną copilot dotyczącą zabezpieczeń i innych funkcji platformy Microsoft 365, zobacz Wymagania copilot.

Uwaga

Od 1 stycznia 2024 r. copilot będzie ogólnie dostępny dla wykładowców platformy Microsoft 365 A3 i A5. Aby uzyskać więcej informacji, zobacz ten wpis społeczności technicznej.

Krok 1. Wdrażanie lub weryfikowanie ochrony danych

Aby zapobiec nadmiernemu uwidocznieniu lub nadmiernemu udostępnianiu danych organizacji, następnym krokiem jest ochrona danych w dzierżawie platformy Microsoft 365. Należy upewnić się, że:

  • Dane są podzielone na kategorie z poziomami poufności.
  • Etykiety poufności reprezentują poziomy poufności, które są stosowane przez użytkowników lub automatycznie.
  • Możesz zobaczyć, jak etykiety poufności są używane w dzierżawie platformy Microsoft 365.

Te możliwości ochrony danych mogą być również używane w celu zapewnienia, że Organizacja spełnia przepisy dotyczące danych, takie jak osoby zajmujące się ochroną danych osobowych.

Następujące możliwości firmy Microsoft Purview wzmacniają bezpieczeństwo i zgodność danych dla rozwiązania Copilot:

  • Etykiety poufności i zawartość zaszyfrowana przez usługę Microsoft Purview Information Protection
  • Klasyfikacja danych
  • Klucz klienta
  • Zgodność komunikacji
  • Inspekcja
  • Wyszukiwanie zawartości
  • Zbieranie elektronicznych materiałów dowodowych
  • Przechowywanie i usuwanie
  • Skrytka klienta

Aby uzyskać więcej informacji, zobacz Microsoft Purview data security and compliance protections for Microsoft Copilot and Considerations for deploying Microsoft Purview data security and compliance protections for Copilot (Zagadnienia dotyczące wdrażania zabezpieczeń danych i zgodności usługi Microsoft Purview dla rozwiązania Copilot).

Wprowadzenie do usługi E3

Etykiety poufności stanowią podstawę ochrony danych. Przed utworzeniem etykiet w celu określenia poufności elementów i zastosowanych akcji ochrony należy zrozumieć istniejącą taksonomię klasyfikacji w organizacji oraz sposób mapowania ich na etykiety, które użytkownicy widzą i stosują w aplikacjach. Po utworzeniu etykiet poufności opublikuj je i przekaż użytkownikom wskazówki dotyczące sposobu ich stosowania w programach Word, Excel, PowerPoint i Outlook.

Aby uzyskać więcej informacji, zobacz:

Rozważ rozszerzenie ręcznego etykietowania przy użyciu ustawień zasad etykiet poufności domyślnej etykiety i obowiązkowego etykietowania. Etykieta domyślna pomaga ustawić podstawowy poziom ochrony ustawień, które mają być stosowane do całej zawartości. Obowiązkowe etykietowanie zapewnia użytkownikom etykietowanie dokumentów i wiadomości e-mail. Jednak bez kompleksowego szkolenia użytkownika i innych kontrolek te ustawienia mogą spowodować niedokładne etykietowanie.

Zapoznaj się z tymi dodatkowymi zasobami, aby chronić dane organizacji:

  • Utwórz zasady DLP dla plików i wiadomości e-mail.
  • Utwórz zasady przechowywania, aby zachować potrzebne elementy i usunąć te, których nie potrzebujesz.
  • Eksplorator zawartości umożliwia wyświetlanie i weryfikowanie elementów, które mają etykietę poufności, etykietę przechowywania lub zostały sklasyfikowane jako typ informacji poufnych w organizacji.

Następne kroki za pomocą usługi E5

Dzięki rozwiązaniu Microsoft 365 E5 można rozszerzyć etykietowanie poufności, aby chronić więcej zawartości i więcej metod etykietowania. Na przykład etykietowanie witryn programu SharePoint i aplikacji Teams przy użyciu etykiet kontenerów oraz automatyczne etykietowanie elementów na platformie Microsoft 365 i poza nią. Aby uzyskać więcej informacji, zobacz listę typowych scenariuszy etykietowania i sposobu ich dopasowania do celów biznesowych.

Rozważ następujące dodatkowe możliwości platformy Microsoft 365 E5:

  • Rozszerz zasady ochrony przed utratą danych do większej liczby lokalizacji i korzystaj z większego zakresu klasyfikatorów w celu znalezienia poufnych informacji.
  • Etykiety przechowywania można automatycznie stosować w przypadku znalezienia poufnych informacji wymagających różnych ustawień niż zasady przechowywania lub wyższego poziomu zarządzania.
  • Aby lepiej zrozumieć poufne dane i sposób ich oznaczania, użyj Eksploratora działań i pełnych możliwości Eksploratora zawartości.

Krok 2. Wdrażanie lub weryfikowanie tożsamości i zasad dostępu

Aby zapobiec używaniu narzędzia Copilot do szybszego odnajdywania poufnych danych i uzyskiwania do nich dostępu, pierwszym krokiem jest uniemożliwienie im uzyskania dostępu. Należy upewnić się, że:

  • Użytkownicy muszą używać silnego uwierzytelniania, którego nie można złamać, odgadując same hasła użytkowników.
  • Próby uwierzytelniania są oceniane pod kątem ich ryzyka i mają nałożone więcej wymagań.
  • Aby zapobiec nadmiernemu udostępnianiu, możesz przeprowadzić przeglądy dostępu przyznanego kont użytkowników.

Wprowadzenie do usługi E3

Platforma Microsoft 365 E3 obejmuje licencje microsoft Entra ID P1. W przypadku tego planu firma Microsoft zaleca używanie typowych zasad dostępu warunkowego, które są następujące:

Upewnij się, że uwzględnisz usługi Microsoft 365 i inne aplikacje SaaS w zakresie tych zasad.

Jeśli środowisko zawiera tożsamości hybrydowe z usługami lokalna usługa Active Directory Domain Services, pamiętaj, aby wdrożyć ochronę haseł firmy Microsoft. Ta funkcja wykrywa i blokuje znane słabe hasła oraz ich warianty, a także może blokować bardziej słabe terminy w hasłach specyficznych dla twojej organizacji.

Następne kroki za pomocą usługi E5

Platforma Microsoft 365 E5 obejmuje licencje microsoft Entra ID P2. Rozpocznij implementację zalecanego zestawu dostępu warunkowego firmy Microsoft i powiązanych zasad, w tym:

  • Wymaganie uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie.
  • Wymaganie, aby użytkownicy wysokiego ryzyka zmienili swoje hasło (ma zastosowanie, jeśli nie używasz uwierzytelniania bez hasła).

Aby uzyskać więcej informacji na temat implementowania ochrony tożsamości i dostępu na podstawie planu licencjonowania, zobacz Zwiększanie zabezpieczeń logowania dla hybrydowych procesów roboczych za pomocą uwierzytelniania wieloskładnikowego.

Oba rozwiązania Microsoft 365 E5 i Microsoft Entra ID P2 obejmują większą ochronę kont uprzywilejowanych. Zaimplementuj możliwości podsumowane w poniższej tabeli.

Możliwość Zasoby
Privileged Identity Management (PIM) Zapewnia ochronę uprzywilejowanych kont, które uzyskują dostęp do zasobów, w tym zasobów w usłudze Microsoft Entra ID, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. Zobacz Planowanie wdrożenia usługi Privileged Identity Management.
Zarządzanie uprzywilejowanym dostępem w usłudze Microsoft Purview Umożliwia szczegółową kontrolę dostępu nad uprzywilejowanymi zadaniami administratora usługi Exchange Online w usłudze Office 365. Może ona pomóc chronić organizację przed naruszeniami, które używają istniejących uprzywilejowanych kont administratorów ze stałym dostępem do poufnych danych lub dostępem do krytycznych ustawień konfiguracji. Zobacz Omówienie zarządzania dostępem uprzywilejowanym.

Na koniec rozważ zaimplementowanie przeglądów dostępu w ramach ogólnej strategii JEA. Przeglądy dostępu umożliwiają organizacji efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają odpowiedni stały dostęp.

Krok 3. Wdrażanie lub weryfikowanie zasad ochrony aplikacji

W przypadku platformy Microsoft 365 E3 i E5 należy użyć zasad ochrony aplikacji (APP) usługi Intune, które są regułami zapewniającymi bezpieczeństwo danych organizacji lub zawarte w aplikacji zarządzanej.

Dzięki aplikacji usługa Intune tworzy ścianę między danymi organizacji a danymi osobowymi. Aplikacja zapewnia, że dane organizacji w określonych aplikacjach nie mogą być kopiowane i wklejane do innych aplikacji na urządzeniu, nawet jeśli urządzenie nie jest zarządzane.

Aplikacja może uniemożliwić niezamierzone lub zamierzone kopiowanie zawartości wygenerowanej przez copilot do aplikacji na urządzeniu, które nie znajduje się na liście dozwolonych aplikacji. Aplikacja może ograniczyć promień wybuchu osoby atakującej przy użyciu naruszonego urządzenia.

Aby uzyskać więcej informacji, zobacz Tworzenie zasad ochrony aplikacji.

Krok 4. Wdrażanie lub weryfikowanie zarządzania urządzeniami i ich ochrony

Aby zapobiec naruszeniu bezpieczeństwa urządzeń lub używaniu zagrożonych urządzeń w celu uzyskania dostępu do rozwiązania Copilot, następnym krokiem jest użycie funkcji rozwiązania Microsoft 365 do zarządzania urządzeniami i ochrony. Należy upewnić się, że:

  • Urządzenia są zarejestrowane w usłudze Microsoft Intune i muszą spełniać wymagania dotyczące kondycji i zgodności.
  • Możesz administrować ustawieniami i funkcjami na urządzeniach.
  • Możesz monitorować urządzenia pod kątem ich poziomu ryzyka.
  • Możesz aktywnie zapobiegać utracie danych.

Wprowadzenie do usługi E3

Rozwiązanie Microsoft 365 E3 obejmuje usługę Microsoft Intune do zarządzania urządzeniami.

Następnie rozpocznij rejestrowanie urządzeń w usłudze zarządzania. Po zarejestrowaniu skonfiguruj zasady zgodności, a następnie wymagaj urządzeń w dobrej kondycji i zgodności. Na koniec można wdrażać profile urządzeń, znane również jako profile konfiguracji, aby zarządzać ustawieniami i funkcjami na urządzeniach.

Aby wdrożyć te zabezpieczenia, użyj następującego zestawu artykułów.

Następne kroki za pomocą usługi E5

Platforma Microsoft 365 E5 obejmuje również Ochrona punktu końcowego w usłudze Microsoft Defender. Po wdrożeniu Ochrona punktu końcowego w usłudze Microsoft Defender możesz uzyskać więcej szczegółowych informacji i ochrony urządzeń, integrując usługę Microsoft Intune z usługą Defender for Endpoint. W przypadku urządzeń przenośnych obejmuje to możliwość monitorowania ryzyka urządzenia jako warunku dostępu. W przypadku urządzeń z systemem Windows można monitorować zgodność tych urządzeń z punktami odniesienia zabezpieczeń.

Rozwiązanie Microsoft 365 E5 obejmuje również zapobieganie utracie danych punktu końcowego (DLP). Jeśli Twoja organizacja już rozumie dane, opracowała schemat poufności danych i zastosowała schemat, być może możesz przystąpić do rozszerzania elementów tego schematu na punkty końcowe przy użyciu zasad DLP usługi Microsoft Purview.

Aby wdrożyć te funkcje ochrony urządzeń i zarządzania nimi, skorzystaj z następujących artykułów:

Krok 5. Wdrażanie lub weryfikowanie usług ochrony przed zagrożeniami

Aby wykryć działania złych podmiotów i uniemożliwić im dostęp do aplikacji Copilot, następnym krokiem jest użycie usług ochrony przed zagrożeniami platformy Microsoft 365. Należy upewnić się, że:

  • Możesz automatycznie zapobiegać typowym typom ataków poczty e-mail i urządzeń.
  • Za pomocą funkcji można zmniejszyć obszar powierzchni narażonych na ataki urządzeń z systemem Windows.
  • Możesz wykrywać zdarzenia zabezpieczeń i reagować na nie za pomocą kompleksowego zestawu usług ochrony przed zagrożeniami.

Wprowadzenie do usługi E3

Platforma Microsoft 365 E3 obejmuje kilka kluczowych funkcji w usługach Ochrona usługi Office 365 w usłudze Defender i Defender for Endpoint. Ponadto systemy Windows 11 i Windows 10 obejmują wiele funkcji ochrony przed zagrożeniami.

Ochrona usługi Office 365 w usłudze Microsoft Defender P1

Ochrona usługi Office 365 w usłudze Microsoft Defender P1 obejmuje usługę Exchange Online Protection (EOP), która jest zawarta w usłudze Microsoft 365 E3. EOP pomaga chronić narzędzia do obsługi poczty e-mail i współpracy przed wyłudzaniem informacji, personifikacją i innymi zagrożeniami. Te zasoby służą do konfigurowania ochrony przed złośliwym oprogramowaniem, ochrony przed spamem i ochrony przed wyłudzaniem informacji:

Defender for Endpoint P1

Platforma Microsoft 365 E3 obejmuje Ochrona punktu końcowego w usłudze Microsoft Defender P1, która obejmuje następujące możliwości:

  • Ochrona nowej generacji — pomaga chronić urządzenia przed pojawiającymi się zagrożeniami w czasie rzeczywistym. Ta funkcja obejmuje Program antywirusowy Microsoft Defender, które stale skanuje urządzenie przy użyciu monitorowania zachowania plików i procesów.
  • Zmniejszenie obszaru podatnego na ataki — zapobiega atakom, konfigurując ustawienia, które automatycznie blokują potencjalnie podejrzane działania.

Użyj tych zasobów, aby skonfigurować usługę Defender dla planu punktu końcowego 1:

Możliwości ochrony systemu Windows

Domyślnie system Windows obejmuje silne zabezpieczenia i zabezpieczenia na sprzęcie, systemie operacyjnym, aplikacjach i nie tylko. Aby dowiedzieć się więcej, zobacz Wprowadzenie do zabezpieczeń systemu Windows. W poniższej tabeli wymieniono ważne funkcje ochrony przed zagrożeniami klienta systemu Windows zawarte w rozwiązaniu Microsoft 365 E3.

Możliwość Zasoby
Windows Hello Omówienie Windows Hello dla firm
Zapora Microsoft Defender Dokumentacja zapory Windows Defender
Filtr Microsoft Defender SmartScreen Omówienie filtru Microsoft Defender SmartScreen
Kontrola aplikacji dla systemu Windows Kontrola aplikacji dla systemu Windows
BitLocker Omówienie szyfrowania urządzeń funkcją BitLocker
Microsoft Defender Application Guard for Edge Omówienie funkcji Microsoft Defender Application Guard

Te możliwości można skonfigurować bezpośrednio na kliencie przy użyciu obiektów zasad grupy (GPO) lub za pomocą narzędzia do zarządzania urządzeniami, w tym usługi Intune. Można jednak zarządzać ustawieniami na urządzeniach w usłudze Intune tylko przez wdrożenie profilów konfiguracji, co jest funkcją platformy Microsoft 365 E5.

Następne kroki za pomocą usługi E5

Aby uzyskać bardziej kompleksową ochronę przed zagrożeniami, pilotaż i wdróż usługę Microsoft Defender XDR, która obejmuje:

  • Defender for Identity
  • Ochrona usługi Office 365 w usłudze Defender P2
  • Defender for Endpoint P2
  • Defender dla aplikacji w chmurze

Firma Microsoft zaleca włączenie składników platformy Microsoft 365 w kolejności ilustrowanej:

Diagram przedstawiający proces oceny i wdrażania składników XDR w usłudze Microsoft Defender.

Aby uzyskać więcej informacji i opis tej ilustracji, zobacz Ocena i pilotaż usługi Microsoft Defender XDR.

Po wdrożeniu usługi Microsoft Defender XDR zintegruj te narzędzia wykrywania i reagowania eXtended (XDR) z usługą Microsoft Sentinel. Usługa Microsoft Sentinel jest licencjonowana i rozliczana oddzielnie od platformy Microsoft 365 E5. Skorzystaj z tych zasobów, aby uzyskać więcej informacji:

Krok 6. Wdrażanie lub weryfikowanie bezpiecznej współpracy w usłudze Microsoft Teams

Firma Microsoft udostępnia wskazówki dotyczące ochrony aplikacji Teams na trzech różnych poziomach — punkt odniesienia, poufne i wysoce wrażliwe. Wprowadzenie copilot to dobry moment na przejrzenie środowiska i upewnienie się, że skonfigurowano odpowiednią ochronę. Wykonaj następujące kroki:

  1. Zidentyfikuj zespoły lub projekty, które gwarantują wysoce wrażliwą ochronę. Skonfiguruj zabezpieczenia dla tego poziomu. Wiele organizacji nie ma danych, które wymagają tego poziomu ochrony.
  2. Zidentyfikuj zespoły lub projekty, które uzasadniają ochronę w sposób poufny i stosują tę ochronę.
  3. Upewnij się, że wszystkie zespoły i projekty są skonfigurowane do ochrony punktu odniesienia co najmniej.

Aby uzyskać więcej informacji, zobacz następujące zasoby:

Udostępnianie zewnętrzne

Wprowadzenie copilot to dobry moment na zapoznanie się z zasadami udostępniania plików osobom spoza organizacji i zezwoleniem zewnętrznym współautorom. Konta gościa nie mają licencji na korzystanie z platformy Copilot.

W przypadku udostępniania osobom spoza organizacji może być konieczne udostępnienie informacji o dowolnej poufności. Zobacz następujące zasoby:

Aby współpracować z osobami spoza organizacji, zobacz następujące zasoby:

Krok 7. Wdrażanie lub weryfikowanie minimalnych uprawnień użytkownika do danych

Aby zapobiec nadmiernemu uwidocznieniu lub nadmiernemu udostępnianiu danych organizacji, następnym krokiem jest upewnienie się, że wszyscy użytkownicy mają dostęp Just Enough Access (JEA) do wykonywania swoich zadań i nie tylko. Użytkownicy nie powinni odnajdywać danych, których nie powinni wyświetlać ani udostępniać danych, których nie powinni udostępniać.

Aby zapobiec nadmiernemu udostępnianiu, zaimplementuj wymagania dotyczące uprawnień i zasady organizacji, które wszyscy użytkownicy muszą przestrzegać i szkolić użytkowników, aby z nich korzystać. Na przykład należy umieścić mechanizmy kontroli, takie jak wymaganie przeglądów dostępu do witryny przez właścicieli witryn lub ograniczenie dostępu do zdefiniowanych grup zabezpieczeń z jednego centralnego miejsca.

Aby wykryć istniejące nadmierne udostępnianie:

  • Na poziomie pliku

    Użyj usługi Information Protection firmy Microsoft Purview i kontroli klasyfikacji danych, zintegrowanego etykietowania zawartości i odpowiednich zasad ochrony przed utratą danych.

    Te funkcje mogą pomóc w identyfikowaniu plików w usłudze Microsoft Teams, witrynach programu SharePoint, lokalizacjach usługi OneDrive, w wiadomościach e-mail, w konwersacjach czatów, w infrastrukturze lokalnej i na urządzeniach punktów końcowych zawierających poufne informacje lub zawartość niejawną, a następnie automatycznie stosować mechanizmy kontroli w celu ograniczenia dostępu.

  • Na poziomie zespołu lokacji i kontenera w usłudze Microsoft Teams i programie SharePoint

    Dostęp do zawartości udostępnionej można przeprowadzać inspekcję na poziomie witryny i zespołu oraz wymuszać ograniczenia ograniczające odnajdywanie informacji tylko tym, którzy powinni mieć dostęp.

    Aby jeszcze bardziej zautomatyzować ten proces, program Microsoft Syntex — zaawansowane zarządzanie programem SharePoint pomaga znaleźć potencjalne nadmierne udostępnianie plików programu SharePoint i usługi Microsoft Teams.

Równoległe stosowanie ochrony i wdrażanie rozwiązania Copilot

Aby usprawnić przypisywanie licencji Copilot w dzierżawie przy użyciu odpowiednich zabezpieczeń, należy wykonać obie czynności równolegle. Na poniższym diagramie przedstawiono sposób przechodzenia przez fazy wdrażania ochrony przed przypisaniem licencji Copilot do poszczególnych kont użytkowników i ich urządzeń po ich ochronie.

Diagram przedstawiający równoległe stosowanie ochrony i wdrażanie rozwiązania Copilot.

Jak pokazuje również diagram, możesz wdrożyć ochronę informacji w całej organizacji podczas wdrażania ochrony tożsamości i dostępu do urządzeń.

Szkolenia

Wprowadzenie do Copilota

Szkolenia Wprowadzenie do Copilota
Ta ścieżka szkoleniowa przeprowadzi Cię przez podstawy copilot, prezentuje swoją wszechstronność w różnych aplikacjach platformy Microsoft 365 i oferuje porady dotyczące maksymalizacji jego potencjału.

Początek >

Szkolenia Przygotowanie organizacji do copilot
Ta ścieżka szkoleniowa analizuje projekt Copilot, jego funkcje zabezpieczeń i zgodności oraz zawiera instrukcje dotyczące implementowania rozwiązania Copilot.

Początek >

Następne kroki

Obejrzyj film Jak przygotować się do copilot wideo.

Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi rozwiązań Zero Trust i Copilots firmy Microsoft:

Zobacz również:

Plakat z podsumowaniem

Aby zapoznać się z wizualnym podsumowaniem informacji w tym artykule, zobacz plakat dotyczący architektury i wdrażania rozwiązania Copilot.

Kciuk plakatu architektury Copilot

Pdf | Visio

Użyj pliku programu Visio, aby dostosować te ilustracje do własnego użytku.

Aby uzyskać więcej ilustracji technicznych zero trust, zobacz Ilustracje zero trust dla architektów IT i implementatorów.

Informacje

Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.