Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad es fundamental para nuestro enfoque en Microsoft; protege los datos de los clientes, admite la integridad del sistema e incluye características de seguridad del usuario. Este compromiso se alinea con nuestros principios más amplios de privacidad, cumplimiento y confianza. En este artículo se describe nuestro enfoque para proteger Microsoft 365 Copilot y se proporcionan instrucciones que puede usar para reforzar la posición de seguridad de la inteligencia artificial.
Nota:
Obtenga información sobre las nuevas características y funcionalidades de los productos de seguridad de Microsoft para IA.
¿Qué hace Microsoft para proteger Microsoft 365 Copilot
Microsoft aplica una estrategia de defensa en profundidad de varias capas para proteger Microsoft 365 Copilot en todos los niveles, basada en los estándares de seguridad, privacidad y cumplimiento empresariales. Esto significa que si se infringe una capa, otras seguirán proporcionando protección. El enfoque de Microsoft se guía por los principios de inteligencia artificial responsable y se refuerza con la recientemente expandida Iniciativa de Futuro Seguro.
Nuestra posición de seguridad completa para la inteligencia artificial incluye:
- Protección de las prácticas de ingeniería y desarrollo
- Inteligencia sobre amenazas y mitigación de riesgos
- Privacidad y cumplimiento por diseño
Cada aspecto de esta base forma un ecosistema digital más seguro para que pueda adoptar con confianza las características y herramientas de IA.
Además, Microsoft inserta su gobernanza basada en principios de inteligencia artificial responsable en todo el ciclo de vida de la inteligencia artificial para ayudar a garantizar que los sistemas se desarrollen e implementen de forma ética y segura. Esta estrategia ayuda a garantizar que la inteligencia artificial se comporte de maneras confiables, responsables e inclusivas. Una parte fundamental del programa de inteligencia artificial responsable está diseñada para identificar posibles riesgos, medir su propensión a producirse y crear mitigaciones para administrarlos, que se describe en La nota de transparencia para Microsoft 365 Copilot: Asignación, medición y administración de riesgos.
Protección de las prácticas de ingeniería y desarrollo
La seguridad se integra desde cero a través de nuestro ciclo de vida de desarrollo de seguridad (SDL). Esta integración ayuda a garantizar que las vulnerabilidades se identifiquen y mitiguen al principio del proceso de desarrollo. Microsoft también proporciona instrucciones de seguridad personalizadas y procedimientos recomendados para desarrolladores, ingenieros y profesionales de seguridad que trabajan con tecnologías de inteligencia artificial de Microsoft. Consulte Creación de una posición de seguridad segura para la inteligencia artificial.
Evaluaciones y pruebas
Microsoft realiza evaluaciones internas de equipos rojos y encarga evaluaciones de terceros que incluyen pruebas de penetración. Estas evaluaciones ayudan a evaluar las implementaciones de Microsoft 365 Copilot frente a vulnerabilidades tradicionales y el Proyecto de seguridad de aplicaciones web abiertas (OWASP) top 10 para LLM. Para ver las evaluaciones, visite el Portal de confianza de servicios.
Controles de ejecución
Microsoft 365 Copilot exige una codificación segura y medidas de seguridad arquitectónicas para evitar el uso indebido, incluida la generación de ransomware y la ejecución remota de código. Los patrones malintencionados se bloquean mediante la inspección rápida y el filtrado de contenido, mientras que el espacio aislado ayuda a garantizar que Microsoft 365 Copilot funciona dentro de los límites de ejecución restringidos. Para obtener más información, consulte Microsoft 365 Copilot arquitectura y cómo funciona.
Inteligencia sobre amenazas y mitigación de riesgos
Microsoft 365 Copilot está protegida por una estrategia de defensa multicapa que combina inteligencia sobre amenazas, detección específica de inteligencia artificial y contención arquitectónica. Microsoft usa la inteligencia global sobre amenazas para supervisar los ataques adversarios, la manipulación de modelos y la pérdida de datos. Para ver los resultados más recientes, visite el blog Microsoft Security: Threat Intelligence.
Entre los procedimientos clave se incluyen:
- Pruebas internas de formación de equipos rojos y penetración de terceros
- Identificación proactiva para bloquear entradas malintencionadas
- Clasificadores de Machine Learning
- Metaprompting
- Filtrado de contenido para detectar intentos de inyección de mensajes, incluidos jailbreaks, eXternalized Prompt Injection Attacks (XPIA) y vulnerabilidades agentic
Para ver los informes, notas del producto y otros recursos, visite el Portal de confianza de servicios.
Microsoft 365 Copilot mitiga las vulnerabilidades de XPIA y agente a través de defensas por capas, incluidas las desinfección de Markdown, clasificadores de mensajes malintencionados, protección de sesiones y directivas de seguridad de contenido. Estas protecciones ayudan a evitar acciones no autorizadas y la filtración de datos en Microsoft 365 Copilot superficies y se implementan automáticamente a través de la infraestructura en la nube de Microsoft sin necesidad de acción del cliente. Esta metodología también incluye estrategias de pruebas y contención continuas.
Contención por diseño
En caso de un intento de inyección correcto, la arquitectura de Microsoft 365 Copilot ayuda a garantizar la contención por diseño. Microsoft 365 Copilot funciona dentro del contexto de identidad y acceso del usuario, lo que limita el radio de expansión de cualquier posible riesgo.
- Microsoft 365 Copilot funciona dentro del contexto de identidad e inquilino del usuario
- Microsoft 365 Copilot solo accede a los datos que el usuario está autorizado a ver
- Todas las interacciones se limitan a los permisos existentes, lo que impide el movimiento lateral o el acceso a datos no autorizados.
Defensas de inyección rápida
Microsoft emplea una estrategia de defensa multicapa en el flujo de mensajes de Microsoft 365 Copilot para mitigar los riesgos de inyección rápida. Estos son algunos ejemplos de características de protección que están activas de forma predeterminada y no requieren instalación:
- El diseño de usuario en bucle permite a los usuarios revisar, modificar o rechazar el contenido generado por IA.
- El correo no deseado, la estafa y el filtrado de contenido sospechoso ayudan a bloquear las instrucciones malintencionadas, los intentos de suplantación de identidad (phishing) y el material fraudulento en los mensajes.
- Microsoft 365 Copilot omite el correo no deseado y los chats de Microsoft Teams que no son de confianza, incluidos los chats de contactos externos.
- Microsoft 365 Copilot respeta el bloqueo web de Bing para filtrar sitios para adultos, con poca autoridad y malintencionados durante la búsqueda web.
- Microsoft 365 Copilot funciona con una arquitectura LLM sin estado. Las solicitudes se procesan en tiempo real mediante la indexación semántica con ámbito de inquilino para ayudar a garantizar que el acceso a los datos y la relevancia se limitan estrictamente al contexto organizativo del usuario.
Para obtener más información sobre cómo Microsoft protege los datos, aplica controles de privacidad y protege las operaciones de inteligencia artificial, consulte Datos, privacidad y seguridad para Microsoft 365 Copilot.
Prevención de filtración de datos
El modelo de seguridad en capas de Microsoft 365 Copilot aborda las amenazas tradicionales y emergentes, incluidos los escenarios con potencial de filtración de datos, como estos:
- Direcciones URL de imagen no autenticadas, donde un usuario genera una imagen que contiene datos confidenciales, extrae la dirección URL mediante herramientas del explorador y, a continuación, comparte la imagen externamente. Si la imagen es accesible sin autenticación, podría omitir los controles empresariales, como el acceso condicional o las etiquetas de confidencialidad.
- Imágenes malintencionadas, como códigos QR, donde un usuario de un inquilino genera una imagen malintencionada y comparte una dirección URL anónima con los usuarios de otro inquilino. Si una dirección URL no está protegida por la autenticación, es posible que no se apliquen los controles de acceso.
Para ayudar a mitigar estos escenarios, Microsoft aplica su estrategia de defensa en profundidad. Esta estrategia incluye la supervisión continua de vectores de fuga de datos, uso indebido adversario y patrones de acceso no autorizado.
El contenido generado por Microsoft 365 Copilot se rige por los mismos controles de acceso y directivas de cumplimiento que otros contenidos de Microsoft 365. Esto significa que los permisos de usuario, las etiquetas de confidencialidad y las directivas de acceso condicional se aplican en el punto de generación y acceso de contenido.
Privacidad y cumplimiento por diseño
Microsoft 365 Copilot cumple los estándares de privacidad y cumplimiento descritos en Datos, Privacidad y Seguridad para Microsoft 365 Copilot. Las protecciones que se aplican mediante controles de seguridad incluyen:
- Aplicación del acceso a datos
- Cifrado y aislamiento
- Herramientas de cumplimiento
- Protección de datos en todo el ciclo de vida de la inteligencia artificial
- Límite de datos de la UE
- Gobernanza entre nubes para cargas de trabajo de inteligencia artificial
- Integración y aplicación de directivas
Para obtener más información, consulte Protección de datos empresariales en Microsoft 365 Copilot y Microsoft 365 Copilot Chat.
Aplicación del acceso a datos
Microsoft 365 Copilot respeta los permisos de Microsoft Entra ID y las directivas de Microsoft Purview. Microsoft 365 Copilot solo muestra aquellos datos de la organización a los que los usuarios tienen permiso, como mínimo, de visualizar. Las directivas se aplican mediante Microsoft Entra ID, Microsoft Purview y acceso condicional.
Microsoft 365 Copilot conectores mejoran el valor de Microsoft 365 Copilot al mismo tiempo que mantienen las protecciones empresariales.
Cifrado y aislamiento
Los datos se cifran en tránsito y en reposo mediante tecnologías compatibles con FIPS 140-2, con aislamiento de nivel de inquilino. El cifrado de doble clave (DKE) ayuda a garantizar que Microsoft no pueda acceder a contenido protegido sin la clave del cliente y que el contenido no sea accesible para Microsoft 365 Copilot.
Cuando tiene datos cifrados por Microsoft Purview Information Protection, Microsoft 365 Copilot respeta los derechos de uso concedidos al usuario. El cifrado se puede aplicar mediante etiquetas de confidencialidad o mediante permisos restringidos en aplicaciones de Microsoft 365 mediante Information Rights Management (IRM).
Para obtener más información sobre el uso de Purview con Microsoft 365 Copilot, consulte Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativas.
Gobernanza entre nubes para cargas de trabajo de inteligencia artificial
Microsoft Purview le ayuda a gobernar la inteligencia artificial en entornos híbridos y multinube, como Azure, AWS y Google Cloud. Si tiene Microsoft Security Copilot, obtendrá más información de inteligencia artificial y funcionalidades de detección de amenazas.
- Purview permite una clasificación de datos coherente, etiquetado y aplicación de directivas en las nubes, con visibilidad sobre cómo fluyen los datos en los modelos y complementos de inteligencia artificial.
- Security Copilot detecta riesgos relacionados con la inteligencia artificial en todas las plataformas, correlaciona amenazas y expone información de postura de la administración de posturas de seguridad en la nube.
Integración y aplicación de directivas
Microsoft 365 Copilot forma parte del programa de cumplimiento empresarial de Microsoft y se beneficia de una variedad de certificaciones y evaluaciones. Estos estándares incluyen (pero no se limitan a):
- FedRAMP
- HiTrust
- SOC 2 Tipo 1
- ISO/IEC 27001, 27701, 22301, 27018 y 42001
Microsoft Entra ID, Microsoft Purview y Microsoft 365 para empresas aplican el acceso condicional, las etiquetas de confidencialidad y las barreras de información.
Para obtener más información, consulte los recursos siguientes:
- Cumplir con los requisitos de cumplimiento normativo
- Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa
- Use Microsoft Purview para administrar el cumplimiento de & de seguridad de datos para Microsoft 365 Copilot & Microsoft 365 Copilot Chat
Proteger los datos para Microsoft 365 Copilot
Proteger los datos de herramientas de inteligencia artificial como Microsoft 365 Copilot es una responsabilidad compartida. Además de lo que hace Microsoft para proteger Microsoft 365 Copilot, hay ciertas tareas que su organización debe realizar para administrar los datos y ayudar a garantizar que usa la inteligencia artificial de forma segura y segura. Consulte el modelo de responsabilidad compartida de IA.
Más información sobre las herramientas y funcionalidades de Microsoft Purview
Microsoft Purview proporciona herramientas para ayudarle a proteger y controlar los datos para su uso en herramientas de Microsoft 365 Copilot e inteligencia artificial. Consulte los siguientes artículos:
- Use Microsoft Purview para administrar el cumplimiento de & de seguridad de datos para Microsoft 365 Copilot & Microsoft 365 Copilot Chat
- Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa
- Consideraciones para administrar Microsoft 365 Copilot y el agente de canal en Teams para la seguridad y el cumplimiento
- Obtenga información sobre el uso de Prevención de pérdida de datos de Microsoft Purview para proteger las interacciones con Microsoft 365 Copilot y Copilot Chat
Nota:
Security Copilot es una solución de seguridad con tecnología de inteligencia artificial que proporciona asistencia en tiempo real en la detección de amenazas, la respuesta a incidentes y la evaluación de riesgos. En los próximos meses, Security Copilot se incluirán en Microsoft 365 E5. A medida que la inteligencia artificial agenteica forma parte de los flujos de trabajo diarios, puede usar Security Copilot para administrar agentes y seguridad en toda la organización. Obtenga información sobre Security Copilot inclusión en Microsoft 365 E5 suscripción.
Descarga de modelos y guías de implementación basados en escenarios
Descargue y revise nuestros modelos de implementación basados en escenarios, presentaciones y guías. Estos recursos describen cómo implementar rápidamente una configuración segura de forma predeterminada, abordar problemas de uso compartido excesivo y evitar la pérdida de datos para sombrear la inteligencia artificial. Consulte Notas de la ingeniería: Modelos de implementación de Microsoft Purview.
Panel de seguridad
Microsoft 365 Copilot incluye controles de seguridad integrados de Microsoft Purview. El panel de seguridad de Copilot proporciona más información y controles para ayudarle a:
- Evitar fugas de datos con una directiva de prevención de pérdida de datos (DLP)
- Administración del uso compartido excesivo de datos
- Reforzar el cumplimiento de datos
Para ver el panel en el Centro de administración de Microsoft 365, seleccione Copilot OverviewSecurity (Seguridadgeneral de>Copilot>). Para mostrar la sección Seguridad , necesita el rol Lector global . Para realizar cambios, es necesario el rol de administrador de IA .