管理 Copilot
商業數據保護資格
Copilot Microsoft (先前為Bing Chat企業版) 包含適用於使用公司或學校帳戶登入 (Entra ID) 之合格使用者的商業數據保護。 目前,具有合格授權的使用者可在 中 Copilot 使用商業數據保護:
企業
- Microsoft 365 E3 或 E5
- Microsoft 365 F1 或 F3
- Microsoft 365 商務標準版、進階版或基本版
- Microsoft 365 Apps 企業版或商務版
- Office 365 E1、E1 Plus、E3、E5 或 F3
教育教職員和高階學生 (18 個以上)
- Microsoft 365 A1、A3 或 A5
- Office 365 A1、A3 或 A5
學生的資格包括學生使用權益授權。
Office 365 A1 Plus 授權因其在今年稍後的淘汰而不符合資格。 深入瞭解: Office 365 A1 Plus 的淘汰計劃 |Microsoft教育版。
「Microsoft Copilot的商業數據保護」服務方案可讓IT系統管理員管理使用者是否在使用 Copilot時收到商業數據保護。 默認會針對具有這些授權的用戶開啟商業數據保護。
目前,中的商業數據保護 Copilot 不適用於政府雲端客戶或 K-12 學生。 Copilot 會將商業數據保護新增至一段時間內 (Entra ID) 的更多工作和學校帳戶。
Copilot 受 在線服務的通用授權條款規範。
概觀:使用服務方案管理商業數據保護
若要 Copilot 接收商業數據保護,用戶必須使用符合資格的工作或學校帳戶登入, (Entra ID) 。 Copilot使用 MSA) (個人Microsoft帳戶登入的使用者不會收到商業數據保護。
「Microsoft Copilot的商業數據保護」服務方案 (元件編號:必須啟用bing_chat_enterprise) ,您的合格使用者才能在使用其公司或學校帳戶登入時獲得商業數據保護 Copilot , (Entra ID) 。 服務 Copilot 方案隨附於您符合資格的使用者Microsoft 365 授權。 為了協助確保您的使用者使用 Copilot 搭配商業數據保護,預設會啟用服務方案。
PowerShell 可讓您為預定的使用者大量指派和移除授權。 深入瞭解如何使用 PowerShell將Microsoft 365授權指派給用戶帳戶 ,或如何使用 PowerShell停用Microsoft 365服務的存取權。
注意
變更最多可能需要 48 小時才會生效。
使用商業數據保護進行管理 Copilot 的步驟
Microsoft Copilot 的商業數據保護是由您的服務方案所管理。 系統管理員可以選取或取消選取授權名稱旁的方塊,來啟用或停用 的商業數據保護 Copilot 。
從 Microsoft 365 系統管理中心:
選 取 [使用者 > ] [作用中使用者]
選取要管理其授權的使用者。
選 取 [管理產品授權]。
請注意目前指派給用戶的授權。 如果用戶獲指派的授權不符合Microsoft Copilot商業數據保護的資格,系統管理員就不會在下方的步驟 5 中看到選項。
向下捲動至 [ 應用程式] 區段,然後選取 [ 顯示應用程式以供使用 ] 下拉式清單。
如果您想要允許使用者這項功能,請選 取 [商業數據保護] 旁的方塊, Copilot Microsoft。 如果您想要禁止使用者使用這項功能,請取消選 取 [商業數據保護] 旁的方塊Microsoft Copilot 。
注意
上述指示來自 Microsoft 365 系統管理中心,其中必須個別選取每位用戶的授權。 如果您是需要管理群組中授權的系統管理員,您可以在 Microsoft Entra ID 中依群組成員資格將授權指派給使用者。 如果您選擇群組,每個群組都必須選取/取消選取 Microsoft Copilot的商業數據保護。
注意
可以為使用者指派一個以上的服務方案。 例如,可以將Microsoft 365 E3 方案和Microsoft 365 E5 方案指派給使用者。 因為服務方案和服務方案都提供Microsoft Copilot 的商業數據保護,所以您可能需要跨服務方案管理授權指派。 如果您不想讓使用者針對 Microsoft Copilot使用商業資料保護,您必須確保在這些方案中取消選取授權。 範例:同時具有 E3 和 E5 方案的使用者需要 商業數據保護,才能在這兩個 Copilot 方案下取消選取Microsoft。 如果其中一個已取消選取,而另一個仍然已選取授權,則選取的選項會優先。
管理 Copilot Microsoft 365 E3/E5 原始訂用帳戶
具有 Microsoft 365 E3 或 E5 原始訂 用帳戶的組織,透過 Enterprise 合約 (EA) 不再需要使用 Microsoft 365 E3 或 E5 額外功能授權來管理其使用者的Microsoft Copilot 。 擁有原始訂用帳戶的組織現在可以使用其 Office 365 授權下的「Microsoft Copilot的商業數據保護」服務方案來 Copilot 管理其使用者。
網路需求
Copilot 啟用可存取 Web 的 AI 案例,因此可能需要連線到網域) (特定網路端點。 若 Copilot 要能夠運作,您必須將下列IP列入允許清單:
- *.bing.com
- *.bing.net
- copilot.microsoft.com
- msn.com
- login.live.com
- challenges.cloudflare.com
- login.microsoftonline.com
- 允許 WebSocket 連線 sydney.bing.com:443、s.copilot.microsoft.com:443 和 copilot.microsoft.com:443
透過測試連線檢查必要埠的存取權,例如:Test-NetConnection sydney.bing.com -Port 443。
Copilot for Microsoft 365 會在使用 Teams、Outlook 和 Word 等 365 應用程式Microsoft新增產生的 AI 功能。 因此,它必須使用Microsoft 365 應用程式使用的相同 網路連線和端點 。
請參閱 Microsoft 365 的網路Copilot需求完整檔,其中提供組織網路不應封鎖的網域和 WebSocket (WSS) 完整清單。
需要商業數據保護 Copilot
Copilot 透過在體驗頂端的使用者配置檔圖示和名稱旁邊顯示綠色防護,即可清楚說明商業數據保護已開啟。 當使用者將滑鼠停留在防護裝置上時,他們會看到一則訊息,確認「商業數據保護適用於此聊天。」
若要確保符合資格的使用者具有 Copilot 商業數據保護,您必須先為合格的使用者啟用 Copilot 服務方案:
Copilot啟用服務方案:您的組織必須啟用服務方案,您的合格使用者才能在使用 Entra ID 登入時,於任何Copilot進入點存取商業數據保護。
需要採取動作:在 M365 系統管理中心,為合格的使用者啟用「Microsoft Copilot的商業數據保護」服務方案。
防止在沒有商業數據保護的情況下使用 Copilot :若要防止貴組織中符合資格的使用者在沒有商業數據保護的情況下存取Copilot, (先前的 Bing 聊天) 使用其 Entra ID 登入時,您可以使用 DNS 重新導向或 HTTP 標頭插入。 實作下列哪一個解決方案最適合您的設定。
注意
請勿在瀏覽器中開啟 cdp.copilot.microsoft.com 來嘗試管理 Copilot 。 這會導致錯誤。 請改為遵循下列檔案來執行 DNS 變更或標頭插入:
Windows 中的 DNS 重新導向:
所需的動作:建立各種 Copilot 進入點的 DNS 重新導向:
針對 Copilot Bing、 Copilot Edge 和 Copilot Windows 上的應用程式: 藉由將 www.bing.com 的 DNS 專案設定為 nochat.bing.com 的 CNAME 來更新您的 DNS 組態。
針對 copilot.microsoft.com 和 Copilot 行動裝置應用程式: 將 copilot.microsoft.com 的 DNS 專案設定為 cdp.copilot.microsoft.com 的 CNAME,以更新您的 DNS 組態。
針對 Active Directory Domain Services (AD DS) : 在成員伺服器上部署 DNS 角色。 在新部署的 DNS 伺服器上,建立下列轉送主要區域:
在個別區域中建立下列 CNAME 記錄:
在 AD DNS 伺服器上,建立下列條件式轉寄站,並將 AD 設為整合:
條件式轉寄站必須設定為使用在開始時建立的成員伺服器 DNS,但 cdp.copilot.microsoft.com 條件式轉寄站 除外 :
次要 DNS 解決方案: 如果您的組織使用Microsoft DNS 作為主伺服器,則您必須使用 次要 DNS 來建立 microsoft.com 的主要區域。
需要採取動作:在您的輔助伺服器上,新增適用於 copilot.microsoft.com 的 CNAME,並將其指向 cdp.copilot.microsoft.com,以強制在 中 Copilot保護數據。
在生產伺服器上,建立兩個條件式轉寄站:
a) 使用條件式轉寄站 'copilot.microsoft.com' 將要求傳送至次要 DNS 伺服器以取得 CNAME。
b) 使用條件式轉寄站 'cdp.copilot.microsoft.com' 將要求傳送至因特網。
注意
這些 DNS 設定解決方案不是 HTTPS 重新導向,而是 Windows 中的 DNS 重新導向。 針對 Copilot Bing、Edge 和 copilot.microsoft.com,以及 Copilot Windows 和 Copilot 行動應用程式上的應用程式,請使用 CNAME,而不是 nochat.bing.com IP,因為即使 nochat.bing.com 的 IP 變更,CNAME 仍會繼續運作。
HTTP 標頭插入: 如果上述 DNS 解決方案不適合您的設定,您可以使用標頭解決方案。
需要採取動作:將下列 HTTP 標頭附加至所有傳出要求,以 www.bing.com、edgeservices.bing.com 和 copilot.microsoft.com:
x-ms-entraonly-copilot: 1
或者,您可以在組織的防火牆上使用目的地網路位址轉換 (DNAT) 功能:
- 針對 Copilot Bing、 Copilot Edge 和 Copilot Windows 上的應用程式: 解 析 www.bing.com 並 edgeservices.bing.com 成 DNAT IP 位址 nochat.bing.com。
- 針對 copilot.microsoft.com 和 Copilot 行動裝置應用程式: 將 copilot.microsoft.com 解析為DNATIP位址 cdp.copilot.microsoft.com。
只有在裝置連線到公司網路時,才適用這些設定。 Copilot 是一項公用服務,例如搜尋,如果在公司網路外部存取,它仍可使用。
若只要在Edge中封鎖存 Copilot 取,請參閱 Copilot in Edge 檔。
注意
www.bing.com
封鎖IP位址也可能封鎖其他Microsoft網域。
Copilot 在Edge和 Windows 中
如需如何在 Edge 中管理 Copilot 的資訊,請參閱 Copilot in Edge。
如需如何在 Windows 上管理 Copilot 應用程式的資訊,請參閱 此支持頁面。