Freigeben über

Dienstkomponenten für Copilot-Anleitungen für sensible und regulierte Kunden

Der Konfigurations- und Planungsleitfaden für Microsoft 365 Copilot richtet sich an sensible und regulierte Kunden in Australien und Neuseeland. Dieser Leitfaden entspricht dem Leitfaden zur Konfiguration der sicheren Cloud für Microsoft 365 der Australian Signals Directorate (ASD) Blaupause für die sichere Cloud .

In diesem Artikel werden Dienstkomponenten und die Dienstgrenze untersucht, die für das Verständnis der Sicherheits- und Compliancefunktionen von Copilot, einschließlich der ASD-Blaupause, unerlässlich sind.

Dienstkomponenten

Globales Microsoft-Netzwerk

Das globale Microsoft-Netzwerk ist eine umfangreiche Infrastruktur, die die Microsoft 365-Dienstgrenze unterstützt, indem sie einen sicheren und effizienten Datenfluss gewährleistet. Sie umfasst Das Peering von Netzwerken oder Internetdienstanbietern (INTERNET Service Providers, ISPs) mit dem globalen Microsoft-Netzwerk und mehr als 150 Peeringstandorten, die zur Optimierung der Konnektivität und zur Verringerung der Latenz beitragen. Dieses Netzwerk stellt sicher, dass Benutzerverbindungen mit Microsoft 365-Diensten den kürzesten Weg zum nächstgelegenen Einstiegspunkt des globalen Microsoft-Netzwerks nehmen und eine hohe Leistung und Zuverlässigkeit gewährleisten.

Das globale Microsoft-Netzwerk hostet den Bing-API-Dienst, der Antworten mit den neuesten Informationen aus dem Web erstellt, und andere Microsoft-Dienste, mit denen Behörden über verschlüsselte Flows eine Verbindung herstellen können.

Microsoft 365-Dienstgrenze

Microsoft 365 verfügt über eine Dienstgrenze, die die verschiedenen Darin enthaltenen Microsoft 365-Dienste umfasst und sicherstellt, dass sie den Architektur-, Softwareentwicklungs-, Sicherheits-, Compliance- und Datenschutzstandards und -kontrollen von Microsoft 365 entsprechen. Diese Grenze grenzt den Umfang des Microsoft 365-Diensts von den breiteren Microsoft Cloud-Angeboten ab und behält einen konsistenten Standard für seine Komponenten bei. Systeme innerhalb der Grenze unterliegen den strengen Compliancestandards von Microsoft 365.

Microsoft 365 Copilot arbeitet innerhalb der Microsoft 365-Dienstgrenze und ist somit ein integraler Bestandteil der Microsoft 365-Suite zusammen mit anderen Diensten wie SharePoint, Exchange, Teams, Planner, Microsoft 365 Search und anderen. Microsoft 365 Copilot ist ein zentraler Onlinedienst, der den vertraglich stärksten Sicherheits- und Complianceverpflichtungen in den Microsoft-Produktbedingungen unterliegt.

Copilot Orchestrator

Der Copilot Orchestrator, dargestellt als Microsoft 365 Copilot, verwaltet alle relevanten Interaktionen. Der Copilot-Orchestrator ist keine KI, sondern ein Koordinator für KI-Modelle, Datenquellen und Plug-Ins, die die Copilot-Erfahrung ausmachen.

Der Copilot Orchestrator empfängt die Interaktion vom Endbenutzer und initiiert einen Rag-Prozess (Retrieval-Augmented-Generation), um eine Antwort in natürlicher Sprache zu generieren, die über mehrere Schritte verarbeitet wird, bevor sie an den Benutzer zurückgegeben wird.

Weitere Informationen zum Prozess "Retrieval-Augmented-Generation" finden Sie in der Onlinedokumentation zum Azure OpenAI-Dienst von Microsoft. Microsoft hat die Datenschutzverpflichtungen für Microsoft 365 Copilot und Informationen zur Websuchkomponente dokumentiert.

Große Sprachmodelle

Große Sprachmodelle (LLMs) sind fortschrittliche KI-Tools, die Text auf eine Weise interpretieren und generieren, die der natürlichen menschlichen Sprache ähnelt. Sie sind mit großen Mengen von Textdaten trainiert und lernen statistische Beziehungen kennen, die es ihnen ermöglichen, eine Vielzahl von sprachbezogenen Aufgaben auszuführen. LLMs können kohärenten und kontextrelevanten Text generieren, Sprachen übersetzen, Inhalte zusammenfassen, Fragen beantworten und sogar beim kreativen Schreiben oder Codegenerierung helfen.

Microsoft 365 Copilot verwendet eine Kombination aus großen Sprachmodellen, die wir in unserem Transparenzhinweis detailliert beschreiben.

Microsoft hostet die von Microsoft 365 Copilot verwendeten großen Sprachmodelle in einer instance des Azure OpenAI-Diensts. Diese instance des Azure OpenAI-Diensts gilt ausschließlich für Microsoft 365 und liegt innerhalb der Microsoft 365-Dienstgrenze. Microsoft trainiert weder die großen Sprachmodelle mit Kundendaten, noch behält der Azure OpenAI-Dienst Kundendaten bei. Microsoft 365 Copilot erbt automatisch die in Microsoft 365 festgelegten Sicherheits-, Compliance- und Datenschutzrichtlinien Ihres organization sowie die Inhaltszugriffsberechtigungen des Endbenutzers, der die Interaktion initiiert.

Microsoft Graph

Der Graph ist ein integraler Bestandteil jedes organization Microsoft 365-Mandanten. Dort befindet sich der Suchindex, und es ist der Mechanismus, der den Zugriff auf die Inhalte des Kunden steuert. Der Graph ist der Gatekeeper für Inhalte und spielt eine integrale Rolle in allen Microsoft 365-Interaktionen. Es erzwingt die Sicherheitsberechtigungen, die für die Inhalte eines Kunden vorhanden sind, und bietet sicheren, konformen und überprüfbaren Zugriff auf diese Inhalte.

Microsoft 365 Copilot greift auf Inhalte über denselben Mechanismus zu, mit dem Benutzer interagieren, wenn sie täglich auf ihre Dateien zugreifen oder eine Suche durchführen.

Auf diese Weise kann Microsoft 365 Copilot nur auf Inhalte zugreifen, auf die der Endbenutzer bereits Zugriff hat. Daher kann das große Sprachmodell nicht entscheiden, auf Inhalte zuzugreifen, auf die der Benutzer keinen Zugriff hat, da es durch denselben Mechanismus eingeschränkt wird, der den Benutzer in anderen Szenarien außerhalb von Copilot einschränkt.

Microsoft 365 Copilot führt eine zusätzliche Suchindizierungsmethode ein, um semantisches Verständnis von Konzepten und Sprache in Microsoft Graph einzubetten und Copilot und Microsoft 365 Search zu ermöglichen, ausdrücke in natürlicher Sprache besser zu verstehen. Diese Indizierungsmethode verbessert die Fähigkeit von Copilot, die relevantesten Inhalte zu finden und zu verwenden, erheblich. Diese zusätzlichen Daten in natürlicher Sprache werden als semantischer Index bezeichnet.

Copilot Agents

Copilot-Agents sind Teil des Microsoft 365 Copilot-Ökosystems. Sie steigern die Produktivität, indem sie Aufgaben und Prozesse durch erweiterte KI-Funktionen automatisieren. Sie sind sowohl in Microsoft 365 Copilot als auch in Copilot Chat Verfügbar.

Copilot-Agents stellen eine Verbindung mit dem Wissen und den Datenquellen eines organization her. Auf diese Weise können sie auf bestimmte Dokumente, Datenbanken und andere Informationsrepositorys zugreifen und diese nutzen, um genaue und kontextbezogene Antworten bereitzustellen. Diese Konnektivität wird durch APIs und Connectors erleichtert, die die Agents mit verschiedenen Datenquellen verknüpfen, um sicherzustellen, dass sie die erforderlichen Informationen in Echtzeit abrufen und verarbeiten können. Darüber hinaus sind Copilot-Agents so konzipiert, dass sie erweiterbar sind, sodass Entwickler sie mit neuen Fähigkeiten und Funktionen ausstatten können, die auf bestimmte Geschäftsanforderungen zugeschnitten sind.

Dienstarchitektur und Informationsfluss

Microsoft 365 Copilot-Dienstarchitektur

Das folgende Diagramm hilft Microsoft 365 Copilot-Kunden, die Dienstarchitektur zu verstehen, und bietet Kontext für diese Seite.

Abbildung der Architekturkomponenten von Microsoft 365 Copilot

Hier sehen Sie den allgemeinen Informationsfluss über den Microsoft 365 Copilot-Dienst:

  1. In einer Microsoft 365-App gibt ein Benutzer eine Eingabeaufforderung in Copilot ein.
  2. Copilot verarbeitet die Eingabeeingabeaufforderung mithilfe von Grounding vor und greift auf Microsoft Graph im Mandanten des Benutzers oder, falls aktiviert, von anderen Plattformen aus zu.
  3. Wenn Web-Grounding aktiviert ist, sammelt Copilot Informationen aus dem Bing-Index.
  4. Copilot sendet die geerdete Eingabeaufforderung an den LLM. Der LLM verwendet die Eingabeaufforderung, um eine Antwort zu generieren, die kontextbezogen für die Aufgabe des Benutzers relevant ist.
  5. Copilot gibt die Antwort an die App und den Benutzer zurück. Die Eingabeaufforderung und die Ergebnisse werden protokolliert und stehen Administratoren über die Datensicherheitstatus-Management (DSSM) für KI-Funktion in Microsoft Purview zur Verfügung.

Weitere Informationen zur Funktionsweise von Microsoft 365 Copilot finden Sie in der exemplarischen Vorgehensweise zur Architektur.

Copilot Chat-Dienstarchitektur

Copilot Chat ist für berechtigte Kunden mit Unternehmensdatenschutz ohne zusätzliche Kosten verfügbar.

Abbildung, die die Architekturkomponenten von Microsoft 365 Copilot Chat zeigt.

Hier sehen Sie den allgemeinen Informationsfluss durch den Copilot Chat-Dienst, der eine Teilmenge des Microsoft 365 Copilot-Diensts ist:

  1. Ein Benutzer verwendet die Copilot Chat-Schnittstelle, um eine Eingabeaufforderung über einen Browser oder die angeheftete Anwendung in Microsoft Teams einzugeben.
  2. Wenn der Benutzer ein Dokument als Teil der Eingabeaufforderung einschließt, wird das Dokument auf dem OneDrive des Benutzers innerhalb der Microsoft 365-Dienstgrenze gespeichert. Es sind keine weiteren Interaktionen mit Organisationsdaten möglich. Alle Daten, die Copilot zum Generieren von Antworten verwendet, werden während der Übertragung verschlüsselt.
  3. Wenn Web-Grounding aktiviert ist, analysiert Copilot Chat die Eingabeaufforderung des Benutzers und identifiziert Begriffe, bei denen Informationen aus dem Web die Qualität der Antwort verbessern würden. Basierend auf diesen Begriffen generiert Copilot eine Suchabfrage, die an die Bing-API gesendet wird, wo der Bing-Index verwendet wird, um die neuesten Suchergebnisse abzurufen. Die Sicherheit rund um die Interaktion stellt sicher, dass der Bing-Index nicht aus dieser Interaktion "lernt". Administratoren können die Bing-Indexinteraktion entweder aktivieren oder deaktivieren. Wenn das Web-Grounding deaktiviert ist, findet diese Interaktion nicht statt, und der Flow wechselt direkt zur nächsten Interaktion. Daten, Datenschutz und Sicherheit für die Websuche in Microsoft 365 Copilot und Microsoft 365 Copilot Chat beschreibt die Datenschutz- und Sicherheitsverpflichtungen von Microsoft bei der Nutzung des Copilot-Webdiensts. Der Zugriff auf Webinhalte (Bing-Integration) in Microsoft 365 Copilot und Copilot Chat erfasst die empfohlenen Anleitungen für Behörden und regulierte Kunden.
  4. Copilot sendet die im Web geerdeten Eingabeaufforderungen an den LLM, oder (wo web grounding deaktiviert ist) wird die ursprüngliche Eingabeaufforderung zur Verarbeitung an den LLM mit allen angefügten Dateien gesendet. Der LLM verwendet die Eingabeaufforderung, um eine Antwort zu generieren, die kontextbezogen für die Aufgabe des Benutzers relevant ist (unter Anwendung seines konzeptionellen Verständnisses der Welt und seiner Fähigkeit, logische Schlussfolgerungen abzuleiten).
  5. Copilot gibt die Antwort an die App und den Benutzer zurück. Die Eingabeaufforderung und die Ergebnisse werden protokolliert und stehen Administratoren über die Datensicherheitstatus-Management (DSSM) für KI-Funktion in Microsoft Purview zur Verfügung.

Die Unterschiede zwischen Microsoft 365 Copilot und Copilot Chat werden im Blogbeitrag des Microsoft Community Hub ausführlich erläutert.

Hinweis

Microsoft empfiehlt, Copilot für alle Benutzer in allen Behörden anzuheften .

Exemplarische Vorgehensweisen für ein Beispielszenario

Der Copilot Chat-Dienst arbeitet innerhalb der umfassenderen Microsoft 365-Dienstgrenze. In den folgenden Szenarien wird der logische Ablauf einer Benutzerinteraktion mit aktiviertem Web-Grounding beschrieben.

Szenario 1: Eine Websuche nach den neuesten Patches, die von Microsoft veröffentlicht wurden (übermittelt über die Copilot Chat-App in Microsoft Teams)

In der folgenden Sequenz wird beschrieben, wie Copilot Chat Szenario 1 ausführt:

  1. Der Benutzer gibt die folgende Eingabeaufforderung in Copilot Chat ein: Können Sie mir in einer Tabelle eine Liste aller Sicherheitsupdates geben, die in den letzten 30 Tagen von Microsoft für Windows 11 veröffentlicht wurden? Fügen Sie eine Bewertung der Auswirkungen auf die IT und den Endbenutzer in eine Spalte ein. Schließen Sie auch die ISM-Steuerelemente ein, die jeder Patch behandeln möchte, und die Zeitrahmen, die für die Ausführung in Übereinstimmung mit dem ISM erforderlich sind.
  2. An diese Abfrage ist kein Dokument angefügt, sodass kein Bing Index-Aufruf über die API erfolgt.
  3. Copilot sendet eine Reihe von Schlüsselwörtern an den Bing-Index, um nach den neuesten Informationen zu suchen. Inhalte aus mehreren Verweisen können als Eingabe zum Kompilieren einer Antwort verwendet werden.
  4. Die neuesten Suchergebnisse werden zusammen mit der ersten Eingabeaufforderung an den LLM gesendet, wo zusätzlich zu den vorhandenen Informationen eine Antwort formuliert wird.
  5. Copilot gibt die Antwort und die zugehörigen Verweise an den Benutzer zurück, um sie zu überprüfen. Die Eingabeaufforderung und die Ergebnisse werden protokolliert und stehen Administratoren über DSSM für KI zur Verfügung.

Szenario 2: Eine Websuche zu einem Abteilungsprojekt erfolgt über Copilot Chat

In der folgenden Sequenz wird beschrieben, wie Copilot Chat Szenario 2 ausführt:

  1. Der Benutzer gibt die folgende Eingabeaufforderung in Copilot Chat im Browser ein: Können Sie mir Details zu Project Sunshine angeben, einer Aktivität, die <department name>unter ausgeführt wird?
  2. An diese Abfrage ist kein Dokument angefügt.
  3. Copilot sendet eine Reihe von Schlüsselwörtern an den Bing-Index, um nach den neuesten Informationen zu suchen. Da es sich um ein internes Projekt handelt, ist es unwahrscheinlich, dass Informationen aus dem Bing-Index verfügbar sind. Bing lernt nicht aus dieser Interaktion.
  4. Die Suchergebnisse werden an den LLM gesendet, wo zusätzlich zu den vorhandenen Informationen eine Antwort formuliert wird.
  5. Copilot gibt die Antwort und die zugehörigen Verweise an den Benutzer zurück, um sie zu überprüfen. Verweise können Quellen enthalten, die nach Informationen zu dem Projekt durchsucht wurden, über das keine Informationen gefunden wurden. Die Eingabeaufforderung und die Ergebnisse werden protokolliert und stehen Administratoren über DSSM für KI zur Verfügung.

Szenario 3: Eine Copilot-Chataufforderung, die auf ein als geschützt klassifiziertes Dokument verweist

In der folgenden Sequenz wird beschrieben, wie Copilot Chat Szenario 3 ausführt:

  1. Der Benutzer lädt ein Dokument hoch, das als geschützt in Copilot Chat klassifiziert ist, und gibt die folgende Aufforderung in Copilot Chat im Browser ein: Können Sie mir eine Zusammenfassung von <document name>geben?
  2. An die Abfrage wird ein Dokumentname Geschützter Report.docx angefügt. Das Dokument wird in Meine Dateien>Microsoft Copilot Chatdateien auf dem OneDrive des Benutzers hochgeladen.
  3. Es werden keine Informationen vom Bing-Index angefordert, da die Anforderung für die Zusammenfassung vorhandener Informationen gilt.
  4. Der Dokumentinhalt wird an die LLM gesendet, wo eine Zusammenfassung des Dokuments formuliert wird.
  5. Copilot gibt die Antwort und die zugehörigen Verweise an den Benutzer zurück, um sie zu überprüfen. Verweise umfassen Quellen, die zum Generieren der Zusammenfassung verwendet wurden. Die Eingabeaufforderung und die Ergebnisse werden sowohl protokolliert als auch für Administratoren zur Verfügung gestellt, die über die DSSM für KI angezeigt werden können.

Szenario 4: Ein Benutzer arbeitet in einem Als geschützt klassifizierten PowerPoint-Dokument und verwendet den seitenseitigen Bereich Copilot Chat

In der folgenden Sequenz wird beschrieben, wie Copilot Chat Szenario 4 ausführt:

  1. Der Benutzer öffnet ein PowerPoint-Präsentationsdokument, das als geschützt klassifiziert ist, und gibt die folgenden Informationen in Copilot Chat im Seitenbereich ein: Analysieren des Dokuments und Vorschläge zur Verbesserung des Dokuments.
  2. Der Dokumentinhalt ist bereits verfügbar, sodass eine Kopie des Dokuments nicht auf dem OneDrive des Benutzers gespeichert wird.
  3. Copilot sendet eine Reihe von Schlüsselwörtern an den Bing-Index, um basierend auf Schlüsselwort (keyword) Übereinstimmung nach den neuesten Informationen zu suchen. Der Bing-Index gibt Informationen zurück, die für die Analyse von Verbesserungen relevant sind. Bing lernt nicht aus dieser Interaktion.
  4. Die Suchergebnisse werden an den LLM gesendet, wo zusätzlich zu den vorhandenen Informationen eine Antwort formuliert wird.
  5. Copilot gibt die Antwort und die zugehörigen Verweise an den Benutzer zurück, um sie zu überprüfen. Verweise umfassen Quellen, die zum Generieren der Zusammenfassung verwendet wurden. Die Eingabeaufforderung und die Ergebnisse werden sowohl protokolliert als auch für Administratoren zur Verfügung gestellt, die über die DSSM für KI angezeigt werden können.

Connectors und Plug-Ins

coEin Bild, das die Copilot-Connectors und -Plug-Ins zeigt.

Sowohl Connectors als auch Plug-Ins ermöglichen den Zugriff auf Daten und Systeme außerhalb von Microsoft 365. Standardmäßig stellen sie eine Verbindung mit Daten und Systemen außerhalb der Microsoft 365-Dienstgrenze her.

Connectors Plug-Ins
Zugreifen auf externe Daten Hinzufügen neuer Skills
Ausführen nach einem Zeitplan Ausführung in Echtzeit
Unidirektionale Datenfluss (Lesen) Kann bidirektionalen Datenfluss (Lese- und Schreibzugriff) unterstützen
Ideal für statische Datasets wie Dateifreigaben, Intranets und Wissensdatenbanken Ideal für uneingeschränkte Datasets wie die Websuche und App-Integrationen wie Reisebuchung oder Fallverwaltung

Copilot Studio stellt ein Toolset mit geringem/keinem Code bereit, um benutzerdefinierte Connectors und Plug-Ins für Copilot zu entwickeln. Copilot Studio ist in Microsoft 365 Copilot-Abonnements enthalten und kann auf Benutzerbasis aktiviert oder deaktiviert werden. Weitere Informationen finden Sie unter Lizenzzuweisung.

Connectors

Connectors werden nach einem Zeitplan ausgeführt, um externe Daten in Microsoft Graph zu indizieren. Durch Indizieren externer Inhalte im Graphen kann Copilot dann auf diesen Inhalt zugreifen. Connectors verbessern auch die Microsoft 365 Search-Erfahrung für Benutzer.

Connectors sind nützlich, um große externe Repositorys von Geschäftsinhalten zu verbinden. Einige gängige Beispiele für Connectors sind Dateifreigaben, lokale Intranets, Wissensdatenbanken und die eigene öffentliche Website eines organization. Bei diesen Connectors handelt es sich um relativ statische, eingeschränkte Datensätze. Sie sind statisch in dem Sinne, dass die Daten nicht als Reaktion auf die spezifische Interaktion oder den Benutzerkontext generiert werden.

Durch die Indizierung dieser Datenquellen in Microsoft Graph können Benutzer mit Copilot (und Microsoft 365 Search) auf ihre Inhalte zugreifen, ohne über eine Echtzeitverbindung mit dem Quellsystem verfügen zu müssen.

Es gibt eine Vielzahl von vorhandenen Connectors, die Kunden zur Verfügung stehen, um externe Datenquellen in Microsoft 365 und copilot zu integrieren. Connectors erleichtern nicht das Senden von Kundendaten außerhalb der Microsoft 365-Dienstgrenze, sondern bringen Daten von außerhalb der Dienstgrenze ein.

Weitere Informationen zu verfügbaren Connectors und deren Sicherheit finden Sie im Katalog für vordefinierte Connectors und im Connectorsicherheitsmodell.

Plug-Ins

Plug-Ins (Bing usw.) unterscheiden sich von Connectors darin, dass sie während der Interaktionsausführung in Echtzeit ausgeführt werden, um Copilot neue Fähigkeiten und Kenntnisse bereitzustellen. Das enthaltene Plug-In "Zugriff auf Webinhalte (Bing-Integration)" ermöglicht beispielsweise die Echtzeitintegration von öffentlichen Webinhalten, um das für Copilot verfügbare Wissen anzureichern.

Das Webinhalts-Plug-In ermöglicht eine neue Echtzeitabfragequelle für Copilot. Es ermöglicht Copilot nicht nur die Inhalte aus dem Microsoft 365-organization (über Microsoft Graph), sondern auch Webinhalte (über Bing Index) parallel zu suchen. Diese Funktion kann nützlich sein, um öffentliche Inhalte zu einem Thema mit privatem Wissen zu integrieren, das in Microsoft Graph enthalten ist. Das Wissen über aktuelle und aktuelle Ereignisse, aktuelle Branchennachrichten und -entwicklungen und andere hochwertige Online-Quellen kann die Qualität der von Copilot generierten Inhalte und Antworten erheblich verbessern.

Ein weiteres Beispiel wäre ein Plug-In für ein Reisebuchungssystem, für das Copilot eine Schnittstelle in natürlicher Sprache bereitstellen kann, sodass ein Benutzer innerhalb einer Copilot Chat Erfahrung nach Flügen suchen und organisieren kann. Diese Funktion kann neue, integrierte und optimierte Benutzeroberflächen zusätzlich zu Nicht-Microsoft-Systemen bereitstellen.

Es ist auch möglich, dass Kunden eigene Plug-Ins erstellen, um neue Fähigkeiten bereitzustellen und andere Branchenanwendungen mit Copilot zu integrieren, um das Wissen und die Fähigkeiten von Copilot für die Mitarbeiter der organization zu erweitern. Weitere Informationen zu Copilot-Plug-Ins finden Sie im Online-Erweiterbarkeitsleitfaden.

  • Last updated on