通过

了解如何在 Microsoft 365 中与代理共享内容

重要提示

你需要是边境预览计划的一部分,才能提前访问 Microsoft Agent 365。 边界将你直接与Microsoft最新的 AI 创新联系起来。 边境预览版受客户协议现有预览条款的约束。 由于这些功能仍在开发中,其可用性和功能可能会随时间而变化。

Microsoft Agent 365 提供 AI 支持的代理,可在 Microsoft 365 生产力和协作工具中与你一起工作。 将代理添加到组织后(例如,通过从 Teams 应用商店创建代理),即可参与日常工作方案。 还可以将代理添加到 Teams 频道、群组聊天、电子邮件线程、共享文档和业务数据库。 他们可以根据共享的内容处理信息、存储信息并生成新内容或答案。

虽然代理通过回答问题、起草内容、自动执行任务等来提高工作效率,但它们也会继承与他们共享的任何内容。 这意味着代理可能会以你不希望的方式重复使用或公开该内容。 了解代理如何访问信息以及与其共享敏感内容的潜在风险非常重要。 Microsoft提供某些控件和警告,以帮助你负责任地使用代理。

将代理视为公共协作者并谨慎共享内容。

警告

与代理共享的内容(如文件、聊天历史记录或电子邮件)可能会汇总或包含在代理对其他用户的响应中, 甚至那些最初无权访问该内容的个人。 无论对内容放置的敏感度标签或权限如何,此风险都适用。

本文介绍代理如何跨 Microsoft 365 访问内容,在各种应用中提供代理行为示例,并列出保护措施和最佳做法来保护数据。 它还介绍了组织中的其他人如何与你添加的代理进行交互,以及哪些透明度度量值已到位。

代理访问模式

代理使用不同的模式来访问内容。 在代理 365 中,有三种访问模式(或作模式)。 这些模式定义代理在访问数据时使用的权限。

  • 辅助代理(代表 OBO):在此模式下,代理代表特定用户执行作。 代理使用该用户的凭据和权限来访问内容,就好像用户正在推动代理的作一样。 许多现有代理今天以这种方式工作。 例如,如果在 Teams 中与 OBO 聊天中使用代理,则只能查看并执行可以执行的作。 辅助应用代理要求你(用户)同意代理代表你访问你的数据。 例如,登录并批准代理的某些权限时。

  • 自治应用:在此模式中,代理充当具有自身特权的独立应用程序。 代理在运行时不依赖于任何单个用户的凭据。 相反,它在 Microsoft Entra ID 中具有应用程序标识(客户端 ID),具有管理员批准的特定 API 权限。 这类似于服务或守护程序应用程序。 例如,对 SharePoint 网站具有“读取访问权限”的代理,对邮箱具有“发送即发送”权限。 代理使用这些应用权限,而不是任何人的帐户。 自治代理需要管理员同意或批准,因为代理可能会直接访问多个用户的数据。 组织只需授予所需的最低特权(最低特权原则),并根据需要禁用或监视代理,从而缓解风险。

  • 自治用户:这是代理 365 引入的新模式。 此处,代理在目录中具有用户标识。 代理以自身身份登录,并且可以分配给 Teams、添加到组、具有电子邮件地址等,就像任何用户一样。 你可以从权限的角度来看,将其视为组织正式成员的代理。 代理可以访问与其共享的内容或已添加的内容。 启用此类代理需要管理设置。 代理存在后,有权访问该代理的任何用户(例如,包括但不限于代理管理器)都可以与其共享内容或将其添加到位置。 每个此类共享作都是同意的时刻。 自治用户模式非常强大,因为它最类似于添加员工 ,具有相应的访问持久性,这意味着并能够大规模推断共享内容。

代理如何访问内容

代理仅访问与之共享的内容。 常见场景包括:

  • Teams 频道:代理继承对所有频道资源的访问权限,包括现有和将来的帖子、文件和会议脚本。
  • 群组聊天:代理可以读取聊天历史记录(包括多少历史记录,例如添加新人员),以及该聊天中共享的所有文件或链接。 代理还可以在聊天继续时访问实时更新。
  • 电子邮件:当你抄送代理时,它会向代理授予对完整线程及其附件的访问权限。
  • 文件:共享文件或文件夹将授予永久访问权限,直到吊销。
  • Microsoft Dataverse:授予安全角色的代理可以访问结构化业务数据。

与代理共享内容的风险

  • 向意外受众公开内容。 代理可能会汇总没有原始访问权限的用户的内容。
  • 显示旧内容或被遗忘的内容。
  • 对共享文件的持久访问。
  • 跨租户数据漏泄 代理可能会跨角色或部门桥接数据。
  • 没有人类对敏感内容的判断。

内置保护

  • 敏感度标签保护文件,但不保护摘要。
  • 权限边界可防止访问未共享的内容。
  • 审核日志跟踪代理作。
  • 管理员控制控制代理的创建和访问。
  • 用户警告显示在共享点。
  • 策略强制实施通过数据丢失防护(DLP)和合规性规则应用。

信任和透明度

  • 代理在 UI 中明确标记。
  • 这是 AI 生成的内容。
  • 首次交互包括警告。
  • 数据保留在Microsoft 365 合规性边界内。
  • 管理员可以随时撤销代理访问权限。

与代理协作的最佳做法

  • 如果你有兴趣使用代理,请查阅 IT 或管理员,了解组织中可用的和批准的代理。

  • 查看组织提供的内部准则或培训 AI 和数据处理。

  • 从低风险交互开始。 例如,让代理处理可公开共享或不敏感的内容,以便在信任其具有更敏感任务之前熟悉其行为。

相关内容

  • Last updated on