Aplicar os princípios do Zero Trust ao Microsoft Copilot

Resumo: Para aplicar os princípios do Zero Trust ao Microsoft Copilot, você precisa:

1. Implemente proteções de segurança para prompts com base na Web para a Internet.
2. Adicione proteções de segurança para o resumo do navegador Microsoft Edge.
3. Proteções de segurança recomendadas completas para o Copilot para Microsoft 365.
4. Mantenha proteções de segurança ao usar o Microsoft Copilot e o Copilot para Microsoft 365 juntos.

Introdução

O Microsoft Copilot ou Copilot é um companheiro de IA no copilot.microsoft.com, Windows, Edge, Bing e no aplicativo móvel Copilot. Este artigo ajuda você a implementar proteções de segurança para manter sua organização e dados seguros ao usar o Copilot. Ao implementar essas proteções, você está construindo uma base do Zero Trust.

As recomendações de segurança do Zero Trust para o Copilot concentram-se na proteção de contas de usuário, dispositivos de usuário e os dados que estão no escopo para a maneira como você configura o Copilot.

Você pode introduzir o Copilot em estágios, desde permitir prompts com base na Web para a Internet até permitir prompts com base na Web e com base no Microsoft 365 Graph-grounded para a Internet e para os dados da sua organização. Este artigo ajuda você a entender o escopo de cada configuração e, consequentemente, as recomendações para preparar seu ambiente com proteções de segurança adequadas.

Como o Zero Trust ajuda com a IA?

A segurança, especialmente a proteção de dados, é muitas vezes uma das principais preocupações ao introduzir ferramentas de IA em uma organização. O Zero Trust é uma estratégia de segurança que verifica cada solicitação de usuário, dispositivo e recurso para garantir que cada um deles seja permitido. O termo "zero trust" refere-se à estratégia de tratar cada conexão e solicitação de recurso como se tivesse origem em uma rede descontrolada e um ator mal-intencionado. Independentemente da origem do pedido ou do recurso a que acede, o Zero Trust ensina-nos a "nunca confiar, verificar sempre".

Como líder em segurança, a Microsoft fornece um roteiro prático e orientações claras para a implementação do Zero Trust. O conjunto de Copilots da Microsoft é construído sobre plataformas existentes, que herdam as proteções aplicadas a essas plataformas. Para obter os detalhes da aplicação do Zero Trust às plataformas da Microsoft, consulte o Centro de Orientação do Zero Trust. Ao implementar essas proteções, você está construindo uma base de segurança Zero Trust.

Este artigo baseia-se nessa orientação para prescrever as proteções Zero Trust relacionadas ao Copilot.

O que está incluído neste artigo

Este artigo apresenta as recomendações de segurança que se aplicam em quatro estágios. Isso fornece um caminho para você introduzir o Copilot em seu ambiente enquanto aplica proteções de segurança para usuários, dispositivos e dados acessados pelo Copilot.

Fase	Configuração	Componentes para proteger
1	Prompts com base na Web para a Internet	Higiene básica de segurança para usuários e dispositivos usando políticas de identidade e acesso.
2	Prompts com base na Web para a Internet com o resumo de página do navegador Edge habilitado	Os dados da sua organização em locais locais, intranet e na nuvem que o Copilot in Edge pode resumir.
3	Prompts com aterramento na Web para a Internet e acesso ao Copilot para Microsoft 365	Todos os componentes afetados pelo Copilot para Microsoft 365.
4	Prompts com base na Web para a Internet e acesso ao Copilot para Microsoft 365 com o resumo de página do navegador Edge habilitado	Todos os componentes listados acima.

Estágio 1. Comece com recomendações de segurança para prompts com base na Web para a Internet

A configuração mais simples do Copilot fornece assistência de IA com prompts fundamentados na web.

Na ilustração:

• Os usuários podem interagir com o Copilot por meio do copilot.microsoft.com, Windows, Bing, navegador Edge e aplicativo móvel Copilot.
• Os prompts são fundamentados na Web. O Copilot usa apenas dados disponíveis publicamente para responder a solicitações.

Com essa configuração, os dados da sua organização não são incluídos no escopo dos dados aos quais o Copilot faz referência.

Use este estágio para implementar políticas de identidade e acesso para usuários e dispositivos para evitar que agentes mal-intencionados usem o Copilot. No mínimo, você deve configurar políticas de Acesso Condicional que exijam:

• Autenticação multifator para todos os usuários
• Dispositivos confiáveis e saudáveis

Recomendações adicionais para o Microsoft 365 E3

• Para autenticação e acesso de conta de usuário, configure também as políticas de identidade e acesso para Bloquear clientes que não oferecem suporte à autenticação moderna.
• Use os recursos de proteção do Windows.

Recomendações adicionais para o Microsoft 365 E5

Implemente as recomendações para o E3 e configure as seguintes políticas de identidade e acesso:

• Exigir MFA quando o risco de entrada for médio ou alto
• Usuários de alto risco devem alterar sua senha

Estágio 2. Adicionar proteções de segurança para o resumo do navegador Edge

Na barra lateral do Microsoft Edge, o Microsoft Copilot ajuda você a obter respostas e inspirações de toda a Web e, se habilitado, de alguns tipos de informações exibidas em guias abertas do navegador.

Aqui estão alguns exemplos de páginas da Web privadas ou de organização e tipos de documentos que o Copilot no Edge pode resumir:

• Sites de intranet, como o SharePoint, exceto documentos do Office incorporados
• Outlook Web App
• PDFs, incluindo aqueles armazenados no dispositivo local
• Sites não protegidos por políticas de DLP do Microsoft Purview, políticas de Gerenciamento de Aplicativos Móveis (MAM) ou políticas de MDM

Nota

Para obter a lista atual de tipos de documentos suportados pelo Copilot no Edge para análise e sumarização, consulte Comportamento de resumo do Copilot na página da Web do Edge.

Sites e documentos de organização potencialmente confidenciais que o Copilot in Edge pode resumir podem ser armazenados em locais locais, intranet ou na nuvem. Esses dados da organização podem ser expostos a um invasor que tem acesso ao dispositivo e usa o Copilot in Edge para produzir rapidamente resumos de documentos e sites.

Os dados da organização que podem ser resumidos pelo Copilot no Edge podem incluir:

• Recursos locais no computador do usuário

  PDFs ou informações exibidas em uma guia do navegador Edge por aplicativos locais que não estão protegidos com políticas de MAM

• Recursos da intranet

  PDFs ou sites para aplicativos e serviços internos que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDM

• Sites do Microsoft 365 que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDM

• Recursos do Microsoft Azure

  PDFs em máquinas virtuais ou sites para aplicativos SaaS que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDM

• Sites de produtos na nuvem de terceiros para aplicações e serviços SaaS baseados na nuvem que não estão protegidos por políticas de DLP do Microsoft Purview, políticas de MAM ou políticas de MDA

Use este estágio para implementar níveis de segurança para evitar que agentes mal-intencionados usem o Copilot para descobrir e acessar dados confidenciais mais rapidamente. No mínimo, deve:

• Implante proteções de conformidade e segurança de dados com o Microsoft Purview
• Configurar permissões mínimas de usuário para dados
• Implante a proteção contra ameaças para aplicativos na nuvem com o Microsoft Defender for Cloud Apps

Para obter mais informações sobre o Copilot no Edge, consulte:

• Copiloto no Edge
• Copiloto no comportamento de resumo da página da Web do Edge

Esta ilustração mostra os conjuntos de dados disponíveis para o Microsoft Copilot no Edge com a sumarização do navegador habilitada.

Recomendações para E3 e E5

• Implemente políticas de proteção de aplicativos (APP) do Intune para proteção de dados. O APP pode impedir a cópia inadvertida ou intencional de conteúdo gerado pelo Copilot para aplicativos em um dispositivo que não estão incluídos na lista de aplicativos permitidos. O APP pode limitar o raio de explosão de um invasor usando um dispositivo comprometido.

• Ative o Microsoft Defender para Office 363 Plano 1, que inclui a Proteção do Exchange Online (EOP) para Anexos Seguros, Links Seguros, limites avançados de phishing e proteção contra representação e deteções em tempo real.

Estágio 3. Proteções de segurança completas recomendadas para o Copilot for Microsoft 365

O Copilot para Microsoft 365 pode usar os seguintes conjuntos de dados para processar prompts com base em gráficos:

• Os seus dados de inquilino do Microsoft 365
• Dados da Internet através da pesquisa do Bing (se ativada)
• Os dados usados por plug-ins e conectores habilitados para Copilot

Para obter mais informações, consulte Aplicar princípios de Zero Trust ao Microsoft Copilot para Microsoft 365.

Recomendações para a E3

Implemente o seguinte:

• Gerenciamento de dispositivos do Intune e políticas de requisitos de conformidade de dispositivos

• Proteção de dados no seu inquilino do Microsoft 365

  • Etiquetas de confidencialidade

  • Políticas de prevenção contra perda de dados (DLP)

  • Políticas de retenção

• Ativar o Microsoft Defender for Endpoint

Recomendações para E5

Implementar as recomendações para E3 e o seguinte:

• Use uma gama maior de classificadores para encontrar informações confidenciais.
• Automatize suas etiquetas de retenção.
• Experimente os recursos do Plano 2 no Defender para Office 365, que incluem investigação pós-violação, busca e resposta, automação e simulação.
• Ative o Microsoft Defender for Cloud Apps.
• Configure o Defender for Cloud Apps para descobrir aplicativos na nuvem e monitorar e auditar seu comportamento.

Estágio 4. Mantenha as proteções de segurança enquanto usa o Microsoft Copilot e o Copilot para Microsoft 365 juntos

Com uma licença para o Copilot para Microsoft 365, você verá um controle de alternância Trabalho/Web no navegador Edge, Windows e pesquisa do Bing que permite alternar entre o uso:

• Prompts com base em gráficos que são enviados para o Copilot para Microsoft 365 (alternar para Trabalho).
• Prompts com base na Web que usam principalmente dados da Internet (alternar para Web).

Aqui está um exemplo para copilot.microsoft.com.

Esta ilustração mostra o fluxo de prompts com base em gráficos e na Web.

No diagrama:

• Os usuários em dispositivos com uma licença para o Copilot para Microsoft 365 podem escolher o modo Trabalho ou Web para prompts do Microsoft Copilot.
• Se o Trabalho for escolhido, os prompts com base em gráficos serão enviados ao Copilot para Microsoft 365 para processamento.
• Se a Web for escolhida, os prompts com base na Web inseridos via Windows, Bing ou Edge usam dados da Internet em seu processamento.
• No caso do Edge e quando habilitado, o Windows Copilot inclui alguns tipos de dados em guias abertas do Edge em seu processamento.

Se o usuário não tiver uma licença para o Copilot para Microsoft 365, a alternância Trabalho/Web não será exibida e todos os prompts serão fundamentados na Web.

Aqui estão os conjuntos de dados de organização acessíveis para o Microsoft Copilot, que incluem prompts com base em gráficos e na Web.

Na ilustração, os blocos sombreados amarelos são para os dados da sua organização que podem ser acessados por meio do Copilot. O acesso a esses dados por um usuário através do Copilot depende das permissões para os dados atribuídos à conta de usuário. Também pode depender do status do dispositivo do usuário se o acesso condicional estiver configurado para o usuário ou para acesso ao ambiente onde os dados residem. Seguindo os princípios do Zero Trust, esses são dados que você deseja proteger caso um invasor comprometa uma conta de usuário ou dispositivo.

• Para prompts com aterramento em gráfico (alternar definido para Trabalho), isso inclui:

  • Os seus dados de inquilino do Microsoft 365

  • Dados para plug-ins e conectores habilitados para Copilot

  • Dados da Internet (se o plug-in da Web estiver ativado)

• Para prompts com base na Web do navegador Edge com o resumo da guia do navegador aberto habilitado (alternar para Web), isso pode incluir dados da organização que podem ser resumidos pelo Copilot no Edge de locais locais, intranet e na nuvem.

Use esta etapa para verificar sua implementação dos seguintes níveis de segurança para evitar que agentes mal-intencionados usem o Copilot para acessar seus dados confidenciais:

• Implante proteções de conformidade e segurança de dados com o Microsoft Purview
• Configurar permissões mínimas de usuário para dados
• Implante a proteção contra ameaças para aplicativos na nuvem com o Microsoft Defender for Cloud Apps

Recomendações para a E3

• Revise sua configuração e os recursos do Defender para Office 365 Plano 1 e do Defender para Endpoint Plano 1 e implemente recursos adicionais conforme necessário.
• Configure níveis adequados de proteção para o Microsoft Teams.

Recomendações para E5

Implemente as recomendações para o E3 e estenda os recursos XDR em seu locatário do Microsoft 365:

• Ative o Microsoft Defender for Identity.

• Revise sua configuração e implemente recursos adicionais conforme necessário para aumentar sua proteção contra ameaças com o pacote completo do Microsoft Defender XDR:

  • Defender para Endpoint

  • Defender para Office 365

  • Defensor da Identidade

  • Defender para aplicativos na nuvem

  • Configurar políticas de sessão para o Defender for Cloud Apps

Resumo da configuração

Esta figura resume as configurações do Microsoft Copilot e os dados acessíveis resultantes que o Copilot usa para responder a prompts.

Esta tabela inclui recomendações de Zero Trust para a configuração escolhida.

Configuração	Dados acessíveis	Recomendações Zero Trust
Sem licenças do Copilot para Microsoft 365 (alternância Trabalho/Web não disponível) E AINDA Resumo da página do navegador de borda desativado	Para prompts com base na Web, somente dados da Internet	Nenhum necessário, mas altamente recomendado para a higiene geral de segurança.
Sem licenças do Copilot para Microsoft 365 (alternância Trabalho/Web não disponível) E AINDA Resumo de página do navegador de borda habilitado	Para prompts com base na Web: - Dados da Internet - Dados da organização em locais locais, intranet e nuvem que o Copilot in Edge pode resumir	Para seu locatário do Microsoft 365, consulte Zero Trust for Copilot for Microsoft 365 e aplique proteções Zero Trust. Para obter dados da organização em locais locais, intranet e na nuvem, consulte Gerenciar dispositivos com a Visão geral do Intune para políticas de MAM e MDM. Consulte também Gerir a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para obter políticas de DLP.
Com licenças do Copilot para Microsoft 365 (alternância Trabalho/Web disponível) E AINDA Resumo da página do navegador de borda desativado	Para prompts com base em gráficos: - Dados do locatário do Microsoft 365 - Dados da Internet se o plug-in da Web estiver ativado - Dados para plug-ins e conectores habilitados para Copilot Para prompts com base na Web, apenas dados da Internet	Para seu locatário do Microsoft 365, consulte Zero Trust for Copilot for Microsoft 365 e aplique proteções Zero Trust.
Com licenças do Copilot para Microsoft 365 (alternância Trabalho/Web disponível) E AINDA Resumo de página do navegador de borda habilitado	Para prompts com base em gráficos: - Dados do locatário do Microsoft 365 - Dados da Internet, se o plug-in da Web estiver habilitado - Dados para plug-ins e conectores habilitados para Copilot Para prompts com base na Web: - Dados da Internet - Dados da organização que podem ser renderizados em uma página do navegador Edge, incluindo recursos locais, na nuvem e na intranet	Para seu locatário do Microsoft 365, consulte Zero Trust for Copilot for Microsoft 365 e aplique proteções Zero Trust. Para obter dados da organização em locais locais, intranet e na nuvem, consulte Gerenciar dispositivos com a Visão geral do Intune para políticas de MAM e MDM. Consulte também Gerir a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para obter políticas de DLP.

Próximos passos

Consulte estes artigos adicionais para Zero Trust e Copilots da Microsoft:

• Descrição geral
• Microsoft Copilot para Microsoft 365
• Microsoft Copilot para Segurança

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• Copiloto no Edge
• Copiloto no comportamento de resumo da página da Web do Edge
• Gerenciar o Copilot no Windows
• Gerenciar o acesso a conteúdo público da Web no Microsoft Copilot para respostas do Microsoft 365
• Dados, privacidade e segurança para o Microsoft Copilot para Microsoft 365