Tillämpa principerna för Nolltillit på Microsoft Copilot

Sammanfattning: Om du vill tillämpa Nolltillit principer på Microsoft Copilot måste du:

1. Implementera säkerhetsskydd för webbaserade uppmaningar till Internet.
2. Lägg till säkerhetsskydd för microsoft Edge-webbläsarsammanfattning.
3. Slutför rekommenderade säkerhetsskydd för Copilot för Microsoft 365.
4. Underhåll säkerhetsskydd när du använder Microsoft Copilot och Copilot för Microsoft 365 tillsammans.

Introduktion

Microsoft Copilot eller Copilot är ai-följeslagare i copilot.microsoft.com, Windows, Edge, Bing och Copilot-mobilappen. Den här artikeln hjälper dig att implementera säkerhetsskydd för att skydda din organisation och dina data när du använder Copilot. Genom att implementera dessa skydd skapar du en grund för Nolltillit.

Nolltillit säkerhetsrekommendationer för Copilot fokuserar på skydd för användarkonton, användarenheter och de data som finns i omfånget för hur du konfigurerar Copilot.

Du kan introducera Copilot stegvis, från att tillåta webbaserade uppmaningar till Internet till att tillåta både webbaserade och Microsoft 365 Graph-jordade uppmaningar till både Internet och organisationens data. Den här artikeln hjälper dig att förstå omfånget för varje konfiguration och därmed rekommendationerna för att förbereda din miljö med lämpliga säkerhetsskydd.

Hur hjälper Nolltillit med AI?

Säkerhet, särskilt dataskydd, är ofta ett stort problem när du introducerar AI-verktyg i en organisation. Nolltillit är en säkerhetsstrategi som verifierar varje användare, enhet och resursbegäran för att säkerställa att var och en av dessa tillåts. Termen "noll förtroende" avser strategin att behandla varje anslutnings- och resursbegäran som om den kom från ett okontrollerat nätverk och en dålig aktör. Oavsett var begäran kommer från eller vilken resurs den kommer åt lär Nolltillit oss att "aldrig lita på, alltid verifiera".

Microsoft är ledande inom säkerhet och tillhandahåller en praktisk översikt och tydlig vägledning för att implementera Nolltillit. Microsofts uppsättning Copilots bygger på befintliga plattformar, som ärver de skydd som tillämpas på dessa plattformar. Mer information om hur du tillämpar Nolltillit på Microsofts plattformar finns i Nolltillit Guidance Center. Genom att implementera dessa skydd skapar du en grund för Nolltillit säkerhet.

Den här artikeln bygger på den vägledningen för att föreskriva de Nolltillit skydd som är relaterade till Copilot.

Vad ingår i den här artikeln

Den här artikeln går igenom säkerhetsrekommendationerna som gäller i fyra steg. På så sätt kan du introducera Copilot i din miljö medan du tillämpar säkerhetsskydd för användare, enheter och data som används av Copilot.

Fas	Konfiguration	Komponenter som ska skyddas
1	Webbaserade uppmaningar till Internet	Grundläggande säkerhetshygien för användare och enheter som använder identitets- och åtkomstprinciper.
2	Webbaserade uppmaningar till Internet med edge-webbläsarsidans sammanfattning aktiverad	Dina organisationsdata på lokala platser, intranät och molnplatser som Copilot i Edge kan sammanfatta.
3	Webbaserade uppmaningar till Internet och åtkomst till Copilot för Microsoft 365	Alla komponenter som påverkas av Copilot för Microsoft 365.
4	Webbaserade uppmaningar till Internet och åtkomst till Copilot för Microsoft 365 med edge-webbläsarsidans sammanfattning aktiverad	Alla komponenter som anges ovan.

Steg 1. Börja med säkerhetsrekommendationer för webbaserade uppmaningar till Internet

Den enklaste konfigurationen av Copilot ger AI-hjälp med webbaserade frågor.

I bilden:

• Användare kan interagera med Copilot via copilot.microsoft.com, Windows, Bing, Edge-webbläsaren och Copilot-mobilappen.
• Prompterna är webbaserade. Copilot använder endast offentligt tillgängliga data för att svara på frågor.

Med den här konfigurationen ingår inte organisationsdata i omfånget för data som Copilot refererar till.

Använd det här steget för att implementera identitets- och åtkomstprinciper för användare och enheter för att förhindra att dåliga aktörer använder Copilot. Du måste minst konfigurera principer för villkorsstyrd åtkomst som kräver:

• Multifaktorautentisering för alla användare
• Betrodda och felfria enheter

Ytterligare rekommendationer för Microsoft 365 E3

• För autentisering och åtkomst för användarkonton konfigurerar du även identitets- och åtkomstprinciperna till Blockera klienter som inte stöder modern autentisering.
• Använd Windows-skyddsfunktioner.

Ytterligare rekommendationer för Microsoft 365 E5

Implementera rekommendationerna för E3 och konfigurera följande identitets- och åtkomstprinciper:

• Kräv MFA när inloggningsrisken är medelhög eller hög
• Högriskanvändare måste ändra sitt lösenord

Steg 2. Lägga till säkerhetsskydd för edge-webbläsarsammanfattning

Från Microsoft Edge-sidofältet hjälper Microsoft Copilot dig att få svar och inspiration från webben och, om det är aktiverat, från vissa typer av information som visas på öppna webbläsarflikar.

Här är några exempel på privata webbsidor eller organisationswebbsidor och dokumenttyper som Copilot i Edge kan sammanfatta:

• Intranätwebbplatser som SharePoint, förutom inbäddade Office-dokument
• Outlook Web App
• PDF-filer, inklusive de som lagras på den lokala enheten
• Webbplatser som inte skyddas av Microsoft Purview DLP-principer, MAM-principer (Mobile Application Management) eller MDM-principer

Kommentar

Den aktuella listan över dokumenttyper som stöds av Copilot i Edge för analys och sammanfattning finns i Sammanfattningsbeteende för Copilot på Edge-webbsidan.

Potentiellt känsliga organisationswebbplatser och dokument som Copilot i Edge kan sammanfatta kan lagras på lokala platser, intranät eller molnplatser. Dessa organisationsdata kan exponeras för en angripare som har åtkomst till enheten och använder Copilot i Edge för att snabbt skapa sammanfattningar av dokument och webbplatser.

Organisationsdata som kan sammanfattas av Copilot i Edge kan innehålla:

• Lokala resurser på användarens dator

  PDF-filer eller information som visas på en edge-webbläsarflik av lokala appar som inte skyddas med MAM-principer

• Intranätresurser

  PDF-filer eller webbplatser för interna appar och tjänster som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDM-principer

• Microsoft 365-webbplatser som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDM-principer

• Microsoft Azure-resurser

  PDF-filer på virtuella datorer eller webbplatser för SaaS-appar som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDM-principer

• Molnproduktwebbplatser från tredje part för molnbaserade SaaS-appar och -tjänster som inte skyddas av Microsoft Purview DLP-principer, MAM-principer eller MDA-principer

Använd det här steget för att implementera säkerhetsnivåer för att förhindra att dåliga aktörer använder Copilot för att snabbare identifiera och komma åt känsliga data. Du måste minst:

• Distribuera dataskydd och efterlevnadsskydd med Microsoft Purview
• Konfigurera minsta användarbehörighet för data
• Distribuera skydd mot hot för molnappar med Microsoft Defender för molnet Apps

Mer information om Copilot i Edge finns i:

• Copilot i Edge
• Sammanfattningsbeteende för Copilot i Edge-webbsida

Den här bilden visar de datamängder som är tillgängliga för Microsoft Copilot i Edge med webbläsarsammanfattning aktiverad.

Rekommendationer för E3 och E5

• Implementera Intune-appskyddsprinciper (APP) för dataskydd. APP kan förhindra oavsiktlig eller avsiktlig kopiering av Copilot-genererat innehåll till appar på en enhet som inte ingår i listan över tillåtna appar. APP kan begränsa en angripares explosionsradie med hjälp av en komprometterad enhet.

• Aktivera Microsoft Defender för Office 363 Plan 1, som omfattar Exchange Online Protection (EOP) för Valv bifogade filer, Valv länkar, avancerade tröskelvärden för nätfiske och personifieringsskydd och identifieringar i realtid.

Steg 3. Fullständigt säkerhetsskydd som rekommenderas för Copilot för Microsoft 365

Copilot för Microsoft 365 kan använda följande datauppsättningar för att bearbeta Graph-jordade frågor:

• Dina Microsoft 365-klientdata
• Internetdata via Bing-sökning (om de är aktiverade)
• Data som används av Copilot-aktiverade plugin-program och anslutningsappar

Mer information finns i Tillämpa principer för Nolltillit på Microsoft Copilot för Microsoft 365.

Rekommendationer för E3

Implementera följande:

• Kravprinciper för enhetshantering och enhetsefterlevnad i Intune

• Dataskydd i din Microsoft 365-klientorganisation

  • Känslighetsetiketter

  • Principer för dataförlustskydd (DLP)

  • Kvarhållningsprinciper

• Aktivera Microsoft Defender för Endpoint

Rekommendationer för E5

Implementera rekommendationerna för E3 och följande:

• Använd ett större antal klassificerare för att hitta känslig information.
• Automatisera kvarhållningsetiketterna.
• Prova funktionerna i Plan 2 i Defender för Office 365, som omfattar undersökning efter intrång, jakt och svar, automatisering och simulering.
• Aktivera Microsoft Defender för molnet-appar.
• Konfigurera Defender för molnet-appar för att identifiera molnappar och övervaka och granska deras beteende.

Steg 4. Upprätthålla säkerhetsskydd när du använder Microsoft Copilot och Copilot för Microsoft 365 tillsammans

Med en licens för Copilot för Microsoft 365 visas en arbets-/webbväxlingskontroll i Edge-webbläsaren, Windows och Bing-sökningen som gör att du kan växla mellan att använda:

• Graph-jordade prompter som skickas till Copilot för Microsoft 365 (växla till Arbete).
• Webbaserade uppmaningar som främst använder internetdata (växla till Webben).

Här är ett exempel på copilot.microsoft.com.

Den här bilden visar flödet av graph- och webbaserade frågor.

I diagrammet:

• Användare på enheter med en licens för Copilot för Microsoft 365 kan välja Arbets - eller webbläge för Microsoft Copilot-frågor.
• Om Work väljs skickas Graph-jordade frågor till Copilot för Microsoft 365 för bearbetning.
• Om webben väljs använder webbaserade frågor som anges via Windows, Bing eller Edge internetdata i bearbetningen.
• När det gäller Edge och när det är aktiverat innehåller Windows Copilot vissa typer av data i öppna Edge-flikar i bearbetningen.

Om användaren inte har någon licens för Copilot för Microsoft 365 visas inte arbets-/webbväxlingen och alla frågor är webbaserade.

Här är uppsättningarna med tillgängliga organisationsdata för Microsoft Copilot, som innehåller både Graph- och webbaserade frågor.

I bilden är de gula skuggade blocken för dina organisationsdata som är tillgängliga via Copilot. Åtkomst till dessa data av en användare via Copilot beror på behörigheterna för de data som tilldelats användarkontot. Det kan också bero på status för användarens enhet om villkorlig åtkomst har konfigurerats för användaren eller för åtkomst till miljön där data finns. Enligt principerna för Nolltillit är detta data som du vill skydda om en angripare komprometterar ett användarkonto eller en enhet.

• För Graph-jordade prompter (växlingsknappen inställd på Arbete) omfattar detta:

  • Dina Microsoft 365-klientdata

  • Data för Copilot-aktiverade plugin-program och anslutningsappar

  • Internetdata (om webb-plugin-programmet är aktiverat)

• För webbaserade frågor från Edge-webbläsaren med sammanfattning av öppna webbläsarflikar aktiverade (växlingsknappen inställd på Webben) kan detta inkludera organisationsdata som kan sammanfattas av Copilot i Edge från lokala platser, intranät och molnplatser.

Använd det här steget för att verifiera implementeringen av följande säkerhetsnivåer för att förhindra att dåliga aktörer använder Copilot för att komma åt känsliga data:

• Distribuera dataskydd och efterlevnadsskydd med Microsoft Purview
• Konfigurera minsta användarbehörighet för data
• Distribuera skydd mot hot för molnappar med Microsoft Defender för molnet Apps

Rekommendationer för E3

• Granska konfigurationen och funktionerna i Defender för Office 365 Plan 1 och Defender för Endpoint Plan 1 och implementera ytterligare funktioner efter behov.
• Konfigurera lämpliga skyddsnivåer för Microsoft Teams.

Rekommendationer för E5

Implementera rekommendationerna för E3 och utöka XDR-funktionerna i din Microsoft 365-klientorganisation:

• Aktivera Microsoft Defender för identitet.

• Granska konfigurationen och implementera ytterligare funktioner efter behov för att öka hotskyddet med hela Microsoft Defender XDR-sviten:

  • Defender för Endpoint

  • Defender för Office 365

  • Defender för identitet

  • Defender för molnet-appar

  • Konfigurera sessionsprinciper för Defender för molnet-appar

Konfigurationssammanfattning

Den här bilden sammanfattar Microsoft Copilot-konfigurationer och resulterande tillgängliga data som Copilot använder för att svara på frågor.

Den här tabellen innehåller Nolltillit rekommendationer för den valda konfigurationen.

Konfiguration	Tillgängliga data	Nolltillit rekommendationer
Utan Copilot för Microsoft 365-licenser (arbets-/webbväxlingsknappen är inte tillgänglig) OCH Sammanfattning av edge-webbläsare har inaktiverats	För webbaserade frågor gäller endast internetdata	Ingen krävs, men rekommenderas starkt för övergripande säkerhetshygien.
Utan Copilot för Microsoft 365-licenser (arbets-/webbväxlingsknappen är inte tillgänglig) OCH Sammanfattning av edge-webbläsare har aktiverats	För webbaserade frågor: – Internetdata – Organisationsdata på lokala platser, intranät och molnplatser som Copilot i Edge kan sammanfatta	Information om din Microsoft 365-klient finns i Nolltillit för Copilot för Microsoft 365 och tillämpa Nolltillit skydd. Organisationsdata på lokala platser, intranät och molnplatser finns i Hantera enheter med Intune-översikt för MAM- och MDM-principer. Se även Hantera datasekretess och dataskydd med Microsoft Priva och Microsoft Purview för DLP-principer.
Med Copilot för Microsoft 365-licenser (arbets-/webbväxlingsknapp tillgänglig) OCH Sammanfattning av edge-webbläsare har inaktiverats	För Graph-jordade prompter: – Microsoft 365-klientdata – Internetdata om webb-plugin-programmet är aktiverat – Data för Copilot-aktiverade plugin-program och anslutningsappar För webbaserade frågor är det bara internetdata	Information om din Microsoft 365-klient finns i Nolltillit för Copilot för Microsoft 365 och tillämpa Nolltillit skydd.
Med Copilot för Microsoft 365-licenser (arbets-/webbväxlingsknapp tillgänglig) OCH Sammanfattning av edge-webbläsare har aktiverats	För Graph-jordade prompter: – Microsoft 365-klientdata – Internetdata om webb-plugin-programmet är aktiverat – Data för Copilot-aktiverade plugin-program och anslutningsappar För webbaserade frågor: – Internetdata – Organisationsdata som kan renderas på en Edge-webbläsarsida, inklusive lokala resurser, molnresurser och intranätresurser	Information om din Microsoft 365-klient finns i Nolltillit för Copilot för Microsoft 365 och tillämpa Nolltillit skydd. Organisationsdata på lokala platser, intranät och molnplatser finns i Hantera enheter med Intune-översikt för MAM- och MDM-principer. Se även Hantera datasekretess och dataskydd med Microsoft Priva och Microsoft Purview för DLP-principer.

Nästa steg

Se följande ytterligare artiklar för Nolltillit och Microsofts Copilots:

• Översikt
• Microsoft Copilot för Microsoft 365
• Microsoft Copilot för säkerhet

Referenser

Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.

• Copilot i Edge
• Sammanfattningsbeteende för Copilot i Edge-webbsida
• Hantera Copilot i Windows
• Hantera åtkomst till offentligt webbinnehåll i Microsoft Copilot för Microsoft 365-svar
• Data, sekretess och säkerhet för Microsoft Copilot för Microsoft 365