Considérations relatives aux données, à la confidentialité et à la sécurité pour l’extension de Microsoft 365 Copilot

Lorsque vous étendez Microsoft 365 Copilot avec des agents, les requêtes basées sur vos invites, l’historique des conversations et les données Microsoft 365 peuvent être partagées avec l’agent pour générer une réponse ou exécuter une commande. Lorsque vous étendez Microsoft 365 Copilot avec des connecteurs Microsoft 365 Copilot, vos données externes sont ingérées dans Microsoft Graph et restent dans votre locataire. Cet article décrit les considérations relatives à la confidentialité et à la sécurité des données pour le développement de différentes solutions d’extensibilité Copilot, à la fois en interne et en tant que développeur commercial.

Agents et actions

Les agents dans Microsoft 365 Copilot sont régis individuellement par leurs conditions d’utilisation et leurs politiques de confidentialité. En tant que développeur d’agents et d’actions (plug-ins d’API), vous êtes responsable de la sécurisation des données de vos clients dans les limites de votre service et de la fourniture d’informations sur vos stratégies concernant les informations personnelles des utilisateurs. Les administrateurs et les utilisateurs peuvent ensuite consulter votre politique de confidentialité et vos conditions d’utilisation dans l’App Store avant de choisir d’ajouter ou d’utiliser votre agent.

Lorsque vous intégrez vos flux de travail métier en tant qu’agents pour Copilot, vos données externes restent dans votre application ; il n’est pas transmis à Microsoft Graph et n’est pas utilisé pour entraîner les llms Microsoft 365 Copilot. Toutefois, Copilot génère une requête de recherche à envoyer à votre agent au nom de l’utilisateur en fonction de son invite et de son historique de conversation avec Copilot et les données à laquelle l’utilisateur a accès dans Microsoft 365. Pour plus d’informations, consultez Données stockées sur les interactions utilisateur avec Microsoft 365 Copilot dans la documentation d’administration de Microsoft 365 Copilot.

Garantir une implémentation sécurisée des agents déclaratifs dans Microsoft 365

Les clients et partenaires de Microsoft 365 peuvent créer des agents déclaratifs qui étendent Microsoft 365 Copilot avec des instructions personnalisées, des connaissances de base et des actions appelées via des descriptions d’API REST configurées par l’agent déclaratif. Au moment de l’exécution, Microsoft 365 Copilot est motivé par une combinaison de l’invite de l’utilisateur, d’instructions personnalisées qui font partie de l’agent déclaratif et de données fournies par des actions personnalisées. Toutes ces données peuvent influencer le comportement du système, et un tel traitement comporte des risques de sécurité. Plus précisément, si une action personnalisée peut fournir des données provenant de sources non approuvées (telles que des e-mails ou des tickets de support), un attaquant peut être en mesure de créer une charge utile de message qui amène votre agent à se comporter d’une manière que l’attaquant contrôle, par exemple en répondant de manière incorrecte aux questions ou même en appelant des actions personnalisées. Microsoft prend de nombreuses mesures pour empêcher de telles attaques. En outre, les organisations doivent uniquement activer les agents déclaratifs qui utilisent des sources de connaissances approuvées et se connectent aux API REST approuvées via des actions personnalisées. Si l’utilisation de sources de données non approuvées est nécessaire, concevez l’agent déclaratif avec la possibilité de violation à l’esprit et ne lui donnez pas la possibilité d’effectuer des opérations sensibles sans intervention humaine minutieuse.

Microsoft 365 fournit aux organisations des contrôles étendus qui régissent qui peut acquérir et utiliser des applications intégrées et quelles applications sont activées pour des groupes ou des individus au sein d’un locataire Microsoft 365, y compris les applications qui utilisent des agents déclaratifs. Les outils tels que Copilot Studio, qui permettent aux utilisateurs de créer leurs propres agents déclaratifs, incluent également des contrôles étendus qui permettent aux administrateurs de gouverner les connecteurs utilisés à la fois pour les connaissances et les actions personnalisées.

Connecteurs Microsoft 365 Copilot

Microsoft 365 Copilot présente uniquement les données auxquelles chaque individu peut accéder à l’aide des mêmes contrôles sous-jacents pour l’accès aux données utilisés dans d’autres services Microsoft 365. Microsoft Graph respecte la limite d’accès basée sur l’identité de l’utilisateur afin que le processus de mise à la base de Microsoft 365 Copilot accède uniquement au contenu auquel l’utilisateur actuel est autorisé à accéder. Cela vaut également pour les données externes dans Microsoft Graph ingérées à partir d’un connecteur Microsoft 365 Copilot.

Lorsque vous connectez vos données externes à Microsoft 365 Copilot avec un connecteur Microsoft 365 Copilot, vos données sont transmises à Microsoft Graph. Vous pouvez gérer les autorisations d’affichage des éléments externes en associant une liste de contrôle d’accès (ACL) à un Microsoft Entra’ID d’utilisateur et de groupe ou à un groupe externe.

Les invites, les réponses et les données accessibles via Microsoft Graph ne sont pas utilisées pour entraîner les LLM de base, y compris celles utilisées par Microsoft 365 Copilot.

Considérations pour les développeurs métier

Microsoft 365 Copilot partage uniquement des données et effectue des recherches dans des agents ou des connecteurs activés pour Copilot par un administrateur Microsoft 365. En tant que développeur métier de solutions d’extensibilité Copilot, assurez-vous que vous et votre administrateur êtes familiarisé avec :

• Exigences Microsoft 365 Copilot
• Documentation d’administration données, confidentialité et sécurité pour Microsoft 365 Copilot
• Confiance nulle principes du plan de déploiement Microsoft 365 Copilot pour l’application des principes de Confiance nulle à Microsoft 365 Copilot
• Centre d’administration Microsoft 365 procédures :
  • Gestion des agents pour Copilot
  • Gestion des connecteurs Copilot.

Considérations relatives aux éditeurs de logiciels indépendants

La soumission de votre package d’application au programme Microsoft Partner Center Microsoft 365 et Copilot nécessite des stratégies de certification de réunion pour l’acceptation dans les magasins de produits Microsoft 365. Les stratégies et recommandations de certification Microsoft concernant la confidentialité, la sécurité et l’IA responsable sont les suivantes :

• Stratégies de certification de la Place de marché commerciale Microsoft
• Recommandations de validation du magasin pour l’extensibilité Copilot
• Vérifications de validation de l’IA responsable
• (Facultatif) Certification du programme de conformité des applications Microsoft 365

Contenu connexe

• Données, confidentialité et sécurité pour Microsoft 365 Copilot (administrateur Microsoft 365)
• Données, confidentialité et sécurité pour la recherche web
• Engagement de Microsoft envers l’IA responsable