Share via

將 零信任 原則套用至 Microsoft Copilot

  • 發行項

摘要:若要將 零信任 原則套用至 Microsoft Copilot,您需要:

  1. 針對因特網的網頁式提示實作安全性保護。
  2. 新增 Microsoft Edge 瀏覽器摘要的安全性保護。
  3. 完成適用於 Microsoft 365 的 Copilot 建議安全性保護。
  4. 一起使用 Microsoft Copilot 和 Copilot for Microsoft 365 時,維護安全性保護。

簡介

Microsoft Copilot 或 Copilot 是 copilot.microsoft.com、Windows、Edge、Bing 和 Copilot 行動裝置應用程式中的 AI 隨附專案。 本文可協助您實作安全性保護,以在使用 Copilot 時保護您的組織和數據安全。 藉由實作這些保護,您會建置 零信任 的基礎。

零信任 Copilot 的安全性建議著重於使用者帳戶、使用者裝置的保護,以及您設定 Copilot 的方式範圍內的數據。

您可以分階段介紹 Copilot,從允許以 Web 為基礎的提示到因特網,以允許以 Web 為基礎的和 Microsoft 365 圖形的提示同時對因特網和貴組織數據。 本文可協助您瞭解每個設定的範圍,因此,建議使用適當的安全性保護來準備環境。

零信任 如何協助 AI?

在將 AI 工具引入組織時,安全性,特別是數據保護,通常是最關心的問題。 零信任 是一種安全性策略,可驗證每個使用者、裝置和資源要求,以確保允許這些要求。 「零信任」一詞是指將每個連線和資源要求視為源自不受控制的網路和不良動作專案的策略。 無論要求來自何處或存取何種資源,零信任總是指導我們要「永不信任、永遠驗證」。

Microsoft 作為安全性領導者,提供實作 零信任 的實際藍圖和明確的指引。 Microsoft 的一組 Copilots 建置在現有平臺上,其會繼承套用至這些平台的保護。 如需將 零信任 套用至 Microsoft 平臺的詳細數據,請參閱 零信任 指引中心。 藉由實作這些保護,您會建置 零信任 安全性的基礎。

本文取自該指導方針,以規定與 Copilot 相關的 零信任 保護。

本文包含的內容

本文將逐步解說四個階段中套用的安全性建議。 這可讓您在為 Copilot 存取的使用者、裝置和數據套用安全性保護時,將 Copilot 引入您的環境。

階段 組態 要保護的元件
1 以網路為基礎的提示到因特網 使用身分識別和存取原則的用戶和裝置的基本安全性衛生。
2 已啟用 Edge 瀏覽器頁面摘要的因特網網頁停工提示 您在 Edge 中 Copilot 的本機、內部網路和雲端位置上的組織數據可以摘要說明。
3 網頁式提示到因特網,並存取 Copilot for Microsoft 365 受 Copilot for Microsoft 365 影響的所有元件。
4 以網頁為基礎的提示到因特網,以及啟用Edge瀏覽器頁面摘要的 Copilot for Microsoft 365 存取 上面所列的所有元件。

階段 1。 從網頁式提示到因特網的安全性建議開始

Copilot 最簡單的設定提供 AI 協助,並提供網頁式提示。

適用於 Microsoft 的 Copilot 圖表和網頁式提示的處理。

在圖例中:

  • 用戶可以透過 copilot.microsoft.com、Windows、Bing、Edge 瀏覽器和 Copilot 行動應用程式來與 Copilot 互動。
  • 提示會以 Web 為基礎。 Copilot 只會使用公開可用的數據來回應提示。

使用此設定時,您的組織數據不會包含在 Copilot 參考的數據範圍內。

使用此階段來實作使用者和裝置的身分識別和存取原則,以防止不良執行者使用 Copilot。 您至少必須設定需要下列條件式存取原則:

Microsoft 365 E3 的其他建議

Microsoft 365 E5 的其他建議

實作 E3 的建議,並設定下列身分識別和存取原則:

階段 2。 新增 Edge 瀏覽器摘要的安全性保護

從 Microsoft Edge 提要字段中,Microsoft Copilot 可協助您從整個網頁取得解答和靈感,如果已啟用,則從開啟瀏覽器索引卷標中顯示的某些類型資訊取得答案和靈感。

Edge 中已啟用瀏覽器索引標籤摘要的網頁式提示圖表。

以下是一些私人或組織網頁和Edge中 Copilot 可摘要說明的文件類型範例:

  • SharePoint 等內部網路網站,但內嵌 Office 檔除外
  • Outlook Web App
  • PDF,包括儲存在本機裝置上的 PDF
  • 不受 Microsoft Purview DLP 原則、行動應用程式管理(MAM) 原則或 MDM 原則保護的網站

注意

如需適用於分析和摘要之 Copilot In Edge 中支援的文件類型目前清單,請參閱 Edge 網頁摘要行為中的 Copilot。

Edge 中 Copilot 可能摘要的敏感性組織網站和檔可以儲存在本機、內部網路或雲端位置。 此組織數據可以公開給具有裝置存取權的攻擊者,並使用Edge中的 Copilot 快速產生檔和網站的摘要。

由 Copilot 在 Edge 中摘要的組織數據可以包括:

  • 用戶電腦上的本機資源

    未受 MAM 原則保護的本機應用程式在 Edge 瀏覽器索引標籤中顯示的 PDF 或資訊

  • 內部網路資源

    不受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護之內部應用程式和服務的 PDF 或網站

  • 不受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護的 Microsoft 365 網站

  • Microsoft Azure 資源

    未受 Microsoft Purview DLP 原則、MAM 原則或 MDM 原則保護之 SaaS 應用程式的虛擬機或站臺上的 PDF

  • 不受 Microsoft Purview DLP 原則、MAM 原則或 MDA 原則保護之雲端式 SaaS 應用程式和服務的第三方雲端產品網站

使用此階段來實作安全性層級,以防止不良執行者使用 Copilot 更快速地探索和存取敏感數據。 您至少必須:

如需Edge中 Copilot 的詳細資訊,請參閱:

此圖顯示 Microsoft Copilot 在 Edge 中啟用瀏覽器摘要的數據集。

Microsoft Copilot in Edge 中可用的數據集圖表。

E3 和 E5 的 建議

  • 實作 Intune 應用程式保護原則 (APP) 以進行數據保護。 APP 可防止意外或刻意將 Copilot 產生的內容複製到未包含在允許應用程式清單中的裝置上的應用程式。 APP 可以使用遭入侵的裝置來限制攻擊者的爆破半徑。

  • 開啟適用於 Office 363 的 Microsoft Defender 方案 1,其中包括適用於 保管庫 附件的 Exchange Online Protection (EOP),保管庫 連結、進階網路釣魚閾值和模擬保護,以及即時偵測。

適用於 Microsoft 365 的 Copilot 可以使用下列數據集來處理圖形地面提示:

  • 您的 Microsoft 365 租用戶數據
  • 透過 Bing 搜尋的因特網資料(如果 已啟用
  • 已啟用 Copilot 的外掛程式和連接器所使用的數據

適用於 Microsoft 365 的 Copilot 圖表和圖形基礎提示的處理。

如需詳細資訊,請參閱將 零信任 原則套用至 Microsoft 365 的 Microsoft Copilot。

E3 的 建議

實作下列專案:

E5 建議

實作 E3 和下列建議:

階段 4. 一起使用 Microsoft Copilot 和 Copilot for Microsoft 365 時,維護安全性保護

使用適用於 Microsoft 365 的 Copilot 授權,您會 在 Edge 瀏覽器、Windows 和 Bing 搜尋中看到工作/Web 切換控件,可讓您使用下列專案來切換:

  • 傳送至 Copilot for Microsoft 365 的圖形地面提示(切換為 Work)。
  • 以網頁為基礎的提示,主要使用因特網數據(切換設定為 Web)。

以下是 copilot.microsoft.com 的範例。

適用於 Microsoft Bing 的 Microsoft Copilot 範例螢幕快照。

此圖顯示圖形和網頁式提示的流程。

Microsoft Copilot 邏輯架構的圖表,其中顯示圖形和網頁式提示。

在此圖表中:

  • 具有適用於 Microsoft 365 之 Copilot 授權之裝置上的使用者可以選擇 Microsoft Copilot 提示的工作Web 模式。
  • 如果 選擇 [工作 ],則會將圖形式提示傳送至 Copilot for Microsoft 365 進行處理。
  • 如果選擇 Web ,則透過 Windows、Bing 或 Edge 輸入的網頁式提示會在其處理中使用因特網數據。
  • 在Edge和啟用時,Windows Copilot 會在開啟的Edge索引標籤中包含某些類型的數據,並在其處理中。

如果用戶沒有適用於 Microsoft 365 的 Copilot 授權, 則不會顯示 Work/Web 切換開關,而且所有提示都是以 Web 為基礎的。

以下是 Microsoft Copilot 的可存取組織數據集合,其中包含 Graph 和網頁式提示。

Graph 和網頁式提示的 Microsoft Copilot 可存取組織數據集合圖表。

在此圖中,黃色陰影區塊適用於可透過 Copilot 存取的組織數據。 使用者透過 Copilot 存取此資料,取決於指派給使用者帳戶的數據許可權。 如果已針對使用者設定條件式存取或存取數據所在的環境,它也可以視使用者裝置的狀態而定。 遵循 零信任 原則,這是您想要保護的數據,以防攻擊者入侵用戶帳戶或裝置。

  • 針對圖形地面提示(切換為 Work),這包括:

    • 您的 Microsoft 365 租用戶數據

    • 已啟用 Copilot 的外掛程式和連接器的數據

    • 因特網資料(如果已啟用 Web 外掛程式)

  • 針對已啟用開啟瀏覽器索引標籤摘要的Edge瀏覽器網頁式提示(切換為 Web),這可以包含組織數據,這些數據可由來自本機、內部網路和雲端位置的 Copilot in Edge 摘要。

使用此階段來驗證下列安全性層級的實作,以防止不良執行者使用 Copilot 來存取敏感數據:

E3 建議

E5 建議

實作 E3 的建議,並擴充 Microsoft 365 租使用者中的 XDR 功能:

組態摘要

此圖摘要說明 Microsoft Copilot 設定,以及 Copilot 用來回應提示的結果可存取數據。

表格,顯示 Microsoft Copilot 設定,以及 Web 和 Grapg-grounded 提示所產生的可存取數據。

下表包含您所選組態的 零信任 建議。

組態 可存取的數據 零信任 建議
沒有適用於 Microsoft 365 授權的 Copilot (無法使用工作/網頁 切換)



已停用 Edge 瀏覽器頁面摘要		 針對網頁式提示,僅限因特網數據 不需要,但強烈建議用於整體安全性衛生。
沒有適用於 Microsoft 365 授權的 Copilot (無法使用工作/網頁 切換)



已啟用 Edge 瀏覽器頁面摘要		 針對以 Web 為基礎的提示:

- 因特網數據
- 在 Edge 中 Copilot 的本機、內部網路和雲端位置上組織數據可以摘要說明		 如需 Microsoft 365 租使用者,請參閱適用於 Microsoft 365 的 Copilot 零信任,並套用 零信任 保護。

如需本機、內部網路和雲端位置上的組織數據,請參閱 使用 Intune 概觀 管理 MAM 和 MDM 原則的裝置。 另請參閱 使用 Microsoft Priva 和 Microsoft Purview 管理數據隱私權和數據保護,以取得 DLP 原則。
使用 Copilot for Microsoft 365 授權 (Work/Web toggle available)



已停用 Edge 瀏覽器頁面摘要		 針對圖形地面提示:

- Microsoft 365 租用戶數據
- 如果已啟用 Web 外掛程式,則為因特網數據
- 已啟用 Copilot 的外掛程式和連接器的數據

針對網頁式提示,只有因特網數據		 如需 Microsoft 365 租使用者,請參閱適用於 Microsoft 365 的 Copilot 零信任,並套用 零信任 保護。
使用 Copilot for Microsoft 365 授權 (Work/Web toggle available)



已啟用 Edge 瀏覽器頁面摘要		 針對圖形地面提示:

- Microsoft 365 租用戶數據
- 如果已啟用 Web 外掛程式,則為因特網數據
- 已啟用 Copilot 的外掛程式和連接器的數據

針對以 Web 為基礎的提示:

- 因特網數據
- 可在Edge瀏覽器頁面中轉譯的組織數據,包括本機、雲端和內部網路資源		 如需 Microsoft 365 租使用者,請參閱適用於 Microsoft 365 的 Copilot 零信任,並套用 零信任 保護。

如需本機、內部網路和雲端位置上的組織數據,請參閱 使用 Intune 概觀 管理 MAM 和 MDM 原則的裝置。 另請參閱 使用 Microsoft Priva 和 Microsoft Purview 管理數據隱私權和數據保護,以取得 DLP 原則。

下一步

如需 零信任 和 Microsoft 的 Copilots,請參閱下列其他文章:

參考資料

請參閱這些連結,以瞭解本文所述的各種服務和技術。