实施 Microsoft 365 Copilot 和代理时,你可能会面临与安全性、合规性、隐私和治理相关的新的和放大的风险。 此安全和治理框架可帮助你在以下组件中缓解这些问题:
- Microsoft 365 Copilot
- Microsoft 365 Copilot 对话助手
- Microsoft 365 个预生成代理
- 在 Microsoft Copilot Studio 中创建并发布到 Microsoft 365 个通道的代理
本文介绍 基础 控件和 优化 控件。 通常,这些术语是指以下产品和服务:
基础:使用 A3/E3/G3 许可证Microsoft 365 管理中心、SharePoint 高级管理和 Microsoft Purview 中的安全和治理控制。
优化:使用 A5/E5/G5 许可证Microsoft Purview 和 Microsoft Defender for Cloud Apps 中的控件。
Copilot 控制系统的安全和治理支柱侧重于以下关键功能:
- 数据安全性
- AI 安全性
- 合规性和隐私
数据安全性
首先,保护组织的信息。 根据当前许可,使用 Microsoft Purview 和 SharePoint 高级管理 来评估过度共享风险。 还可以使用 Microsoft Purview 获取策略建议并采取纠正措施。 这些作有助于确保敏感数据仍然受到保护,并且访问仅限于需要敏感数据的用户,包括 Copilot 和代理。
基础数据安全和治理控制
在具有 A3/E3/G3 许可证的 SharePoint 高级管理 和 Microsoft Purview 中,可以获得以下基础数据安全和治理控制:
识别所有 Microsoft 365 中可能过度共享的数据。 定期运行以下报表:
- SharePoint 网站的数据访问治理报表 使你能够识别网站的过度共享数据。 还可以向过度共享网站的所有者发送网站访问评审。
根据需要删除组织范围的站点访问。
使用 SharePoint 手动配置此访问或使用Windows PowerShell自动配置。 有关详细信息,请参阅使用Microsoft 365 组和Microsoft Entra安全组限制 SharePoint 网站访问。
若要在修正风险的同时限制用户、Copilot 和代理对过度共享网站的访问,请使用 SharePoint 受限内容发现 或 SharePoint 受限访问控制。
使用Microsoft Purview 信息保护网站敏感度标签。 有关详细信息,请参阅将敏感度标签用于 Microsoft Teams、Microsoft 365 组 和 SharePoint 网站。
通过存档或删除不需要的内容来改进 Copilot 和代理响应。
若要识别和管理非活动或无所有者 SharePoint 网站,然后存档或删除它们,请使用 SharePoint 网站生命周期管理。
使用Microsoft Purview 数据生命周期管理标识和删除不需要的文件。
在具有 A3/E3/G3 许可证的 Microsoft Purview 中,可以获得以下基础数据安全控制:
在发生新的过度共享时获取通知,其中包含用于修正的选项。 有关详细信息,请参阅 Microsoft Purview 数据丢失防护。
通过文件级访问控制保护敏感数据。 有关详细信息,请参阅使用Microsoft Purview 信息保护敏感度标签应用加密。
查看 Copilot 和代理交互中引用的敏感数据和未受保护的文件的报告。 有关详细信息,请参阅 Microsoft Purview 数据安全状况管理 (DSPM) for AI 中的报表。
对以下控件使用Microsoft Purview 信息保护敏感度标签:
检测内容何时包含敏感数据,并要求用户 手动 应用保护。
即使用户移动或下载文件,也要保护文件。
优化的数据安全控制
在具有 A5/E5/G5 许可证的 Microsoft Purview 中,可以获得以下优化的数据安全控制:
将 Microsoft Purview 数据安全态势管理 (DSPM) 用于 AI,实现以下控制:
创建针对特定Microsoft 365 个位置的数据风险评估,例如 SharePoint 网站和 OneDrive。
接收并处理策略建议,以缓解特定的过度共享风险。
若要检测内容何时包含敏感数据并自动应用保护,请使用Microsoft Purview 信息保护敏感度标签。
对以下控件使用Microsoft Purview 内部风险管理:
收到与通常行为模式背离的风险用户作的警报。 有关详细信息,请参阅 内部风险管理策略模板。
关联风险警报并对其进行排序,以识别用户的高严重性风险模式。 有关详细信息,请参阅 用于序列检测的内部风险管理策略。
根据用户的风险模式自动将用户添加到更严格的安全策略。 有关详细信息,请参阅 针对内部风险管理的自适应保护。
AI 安全性
还需要保护 AI 支持的工具及其关联数据免受不断演变的威胁。 Copilot 控制系统提供用于监视、检测和响应 AI 相关风险的控制。 例如,敏感信息的过度共享、异常的用户行为和生成 AI 功能的滥用。 使用这些控制来确保 AI 集成保持安全、合规,并针对内部和外部威胁进行复原。
基础 AI 安全控制
Copilot 已包含针对基于 AI 的攻击的内置保护。 这些保护包括但不限于以下保护:
在具有 A3/E3/G3 许可证的 Microsoft Purview 中,可以获得以下基本的 AI 安全控制:
若要查看提示和响应文本以及引用的文件,请使用Microsoft Purview 电子数据展示进行搜索和导出。
对于 Copilot 和代理响应以及由 Copilot 和代理创建的用于继承敏感度标签和保护的文档,请使用Microsoft Purview 信息保护敏感度标签。
优化的 AI 安全控制
在具有 A5/E5/G5 许可证的 Microsoft Purview 中,可以获得以下优化的 AI 安全控制:
若要防止 Copilot 和代理处理某些敏感文件并在响应中使用它们,请使用 Microsoft Purview 数据丢失防护 Microsoft 365 Copilot 和代理。
若要针对有风险的 AI 使用(例如尝试的提示注入攻击或使用敏感数据)发出警报,请使用 Microsoft Purview 内部风险管理。
若要阻止高风险用户使用 Copilot 和代理访问敏感内容,请使用 自适应保护进行内部风险管理。
若要查看提示和响应文本,在地面期间使用的任何 Web 查询以及引用的文件使用Microsoft Purview 适用于 AI 的数据安全状况管理中的活动资源管理器。
合规性和隐私
Copilot 控制系统安全和治理的第三个方面是确保可以监视、审核和管理 Copilot 和代理交互如何符合法规和内部标准。 使用 Microsoft Purview 提供对 Copilot 活动的全面监督。 通过这些控制,可以在部署和使用 Microsoft 365 Copilot 和代理时保护敏感信息、维护隐私并证明合规性。
基本合规性和隐私控制
在具有 A3/E3/G3 许可证的 Microsoft Purview 中,可以获得以下基本合规性和隐私控制:
若要审核 Copilot 和代理交互,请使用适用于 Copilot 和 AI 应用程序的Microsoft Purview 审核访问详细的日志信息。
若要对以下功能强制实施保留和删除策略,请使用 Microsoft Purview 数据生命周期管理:
Microsoft 365 Copilot 和代理交互
Microsoft Teams 会议录制和脚本
对以下控件使用 Microsoft Purview 电子数据展示:
在法定保留中包含用户的 Copilot 和代理提示和响应。 有关详细信息,请参阅 保留和保留策略。
搜索诉讼或调查,并包括 Copilot 和代理生成的内容。
优化的合规性和隐私控制
在具有 A5/E5/G5 许可证的 Microsoft Purview 中,可以获得以下优化的合规性和隐私控制:
若要在发生可能的合规性或道德违规时收到警报,然后开始调查,请使用 Microsoft Purview 通信合规性。
若要评估和跟踪合规性框架,请使用 Microsoft Purview 合规性管理器。
零信任
Microsoft提供了有关在组织中实施零信任原则的详细文档,以及Microsoft 365 Copilot 和 Copilot 对话助手 的具体注意事项。 零信任不是产品或服务,而是设计和实现以下一组安全原则的方法:
- 显式验证
- 使用最低权限访问
- 假定漏洞
有关详细信息,请参阅使用零信任安全性为 Copilot 做好准备。