通过

了解如何在 Microsoft 365 中与代理共享内容

重要

需要成为 Frontier 预览计划的一部分,才能获得 抢先体验Microsoft Agent 365。 边界将你直接与Microsoft最新的 AI 创新联系起来。 Frontier 预览版受客户协议中现有预览条款的约束。 由于这些功能仍在开发中,其可用性和功能可能会随时间而变化。

Microsoft Agent 365 提供 AI 支持的代理,这些代理与你在Microsoft 365生产力和协作工具中协同工作。 将代理添加到组织后(例如,通过从 Teams 应用商店创建代理),即可参与日常工作方案。 还可以将代理添加到 Teams 频道、群组聊天、电子邮件线程、共享文档和业务数据库。 他们可以根据共享的内容处理信息、存储信息并生成新内容或答案。

虽然代理通过回答问题、起草内容、自动执行任务等来提高工作效率,但它们也会继承与他们共享的任何内容。 这意味着代理可能会以你不希望的方式重复使用或公开该内容。 了解代理如何访问信息以及与其共享敏感内容的潜在风险非常重要。 Microsoft提供某些控件和警告,以帮助你负责任地使用代理。

将代理视为公共协作者并谨慎共享内容。

警告

与代理共享的内容(如文件、聊天历史记录或电子邮件)可能会汇总或包含在代理对其他用户的响应中, 甚至那些最初无权访问该内容的个人。 无论对内容放置的敏感度标签或权限如何,此风险都适用。

本文介绍了代理如何跨Microsoft 365访问内容,在各种应用中提供代理行为示例,并列出了保护数据的安全措施和最佳做法。 它还介绍了组织中的其他人如何与你添加的代理进行交互,以及哪些透明度度量值已到位。

代理访问模式

代理使用不同的模式来访问内容。 在 Agent 365 中,有三种访问模式(或操作模式)。 这些模式定义代理在访问数据时使用的权限。

  • 辅助代理(代表 OBO):在此模式下,代理代替特定用户操作。 代理使用该用户的凭据和权限来访问内容,就好像用户正在推动代理的作一样。 许多现有代理今天以这种方式工作。 例如,如果在 Teams 聊天中使用具有 OBO 功能的代理,它只能查看和执行您所能查看和执行的内容。 辅助应用代理要求你(用户)同意代理代表你访问你的数据。 例如,当您登录您的账户并批准某些代理权限时。

  • 自治应用:在此模式中,代理充当具有自身特权的独立应用程序。 代理在运行时不依赖于任何单个用户的凭据。 相反,它在Microsoft Entra ID中具有应用程序标识(客户端 ID),具有管理员批准的特定 API 权限。 这类似于服务或守护程序应用程序。 例如,对SharePoint站点具有“读取访问权限”的代理,对邮箱具有“以他人身份发送”权限。 代理使用这些应用权限,而不是任何人的帐户。 自治代理需要管理员同意或批准,因为代理可能会直接访问多个用户的数据。 组织只需授予所需的最低特权(最低特权原则),并根据需要禁用或监视代理,从而缓解风险。

  • 自治用户:这是代理 365 引入的新模式。 此处,代理在目录中具有用户标识。 代理以自身身份登录,并且可以分配给 Teams、添加到组、具有电子邮件地址等,就像任何用户一样。 你可以将代理视为一个拥有完整权限的组织成员。 代理可以访问与其共享的内容或已添加的内容。 启用此类代理需要管理设置。 代理存在后,有权访问该代理的任何用户(例如,包括但不限于代理管理器)都可以与其共享内容或将其添加到位置。 每次此类共享行动都是表示同意的时刻。 自主用户模式非常强大,因为它最接近于添加员工,并具有相应的访问持久性,这意味着在规模上可以推断共享内容。

代理如何访问内容

代理仅访问与之共享的内容。 常见的共享场景包括:

  • Teams 频道:代理继承对所有频道资源的访问权限,包括现有和将来的帖子、文件和会议脚本。
  • 群组聊天:代理可以读取聊天历史记录(包括多少历史记录,例如添加新人员),以及该聊天中共享的所有文件或链接。 代理还可以在聊天继续时访问实时更新。
  • 电子邮件:当您将代理抄送时,该代理将获得对完整邮件线程及其附件的访问权限。
  • 文件:共享文件或文件夹将授予永久访问权限,直到吊销。
  • Microsoft Dataverse:被授予安全角色的代理可以访问结构化业务数据。

与代理共享内容的风险

  • 向意外受众公开内容。 代理可能会汇总没有原始访问权限的用户的内容。
  • 显示旧内容或被遗忘的内容。
  • 对共享文件的持久访问。
  • 跨数据泄漏 代理可能会跨角色或部门桥接数据。
  • 没有人类对敏感内容的判断。

内置保护

  • 敏感度标签保护文件,但不保护摘要。
  • 权限边界可防止访问未共享的内容。
  • 审核日志跟踪代理程序的动作。
  • 管理员控制控制代理的创建和访问。
  • 用户警告显示在共享点。
  • 策略通过数据丢失防护(DLP)和合规性规则得到执行。

信任和透明度

  • 代理在用户界面中明确标记。
  • 此为 AI 生成的内容并已披露。
  • 首次交互包括警告。
  • 数据保留在Microsoft 365合规性边界内。
  • 管理员可以随时撤销代理访问权限。

与代理协作的最佳做法

  • 如果你有兴趣使用代理,请咨询 IT 部门或管理员,了解你们组织中哪些代理可用并获得批准。

  • 查看组织提供的关于 AI 和数据处理方面的内部准则或培训。

  • 从低风险交互开始。 例如,让代理处理可公开共享或不敏感的内容,以便在信任其具有更敏感任务之前熟悉其行为。

相关内容

  • Last updated on