當您了解如何使用 Microsoft Purview 來管理 Teams 中 Microsoft 365 Copilot 與 Channel Agent 的資料安全與合規保護後,請參考以下詳細資訊,了解可能適用於您組織的任何前置條件、考量與豁免事項。 請務必結合Microsoft 365 Copilot要求及企業資料保護條款,Microsoft 365 Copilot Microsoft Copilot 365 聊天室。
關於使用 Copilot 這些功能的授權資訊,請參閱頁面頂端的授權與服務說明連結。 關於 Copilot 的授權資訊,請參閱 Microsoft 365 Copilot 的服務說明。
Microsoft 365 Copilot 的資訊保護考量
Microsoft 365 Copilot、Microsoft 365 Copilot Chat 以及代理程式都能存取儲存在 Microsoft 365 租戶中的資料,包括 Exchange Online 中的信箱,以及 SharePoint 或 OneDrive 中的文件。
除了存取 Microsoft 365 內容外,Copilot 和代理程式也能在 Office 應用程式會話中使用你正在處理的特定檔案內容,無論該檔案存放在哪裡。 例如,本機存放區、網路共用、雲端儲存空間或 USB 快閃記憶體。 當使用者在應用程式中開啟檔案時,存取權限通常稱為 「正在使用的資料」。
在部署 Copilot 授權前,請確保你熟悉以下有助於強化資料保護解決方案的細節:
如果內容賦予使用者檢視使用權但未授予 擷取權限:
- 當使用者在應用程式中開啟這些內容時,他們將無法使用 Copilot。
- Copilot 不會摘要這些內容,但可以用連結引用,讓使用者在 Copilot 之外開啟並查看內容。
你還可以進一步防止 Copilot 和客服人員彙整標籤檔案和電子郵件, (無論是否加密) 這些都被 Microsoft Purview 資料遺失保護政策所識別。 Copilot 和客服人員不會摘要這些內容,但可以透過連結引用,讓使用者在 Copilot 之外開啟並查看內容。
就像你的 Office 應用程式一樣,Copilot 和代理程式可以存取你組織的敏感度標籤,但無法存取其他組織的。 如需跨組織標記支援的詳細資訊,請參閱對外部使用者和標記內容的支援。
進階的 PowerShell 敏感標籤設定可以阻止 Office 應用程式將內容傳送到某些連接的體驗,包括 Microsoft 365 Copilot 和代理程式。
Copilot 和代理程式無法存取 SharePoint 和 OneDrive 中未開啟的文件,當這些文件被 標記並以使用者自訂的權限加密時,除非該標籤作為預設 敏感性標籤,將 SharePoint 權限延伸到下載的文件 ,或是直接輸入「/」 (來參考,且在這兩種情況下,使用者都擁有 EXTRACT 權限) 。 Copilot 和客服人員只要在應用程式中開啟這些文件,就能存取 (正在使用的資料) 。
套用於群組和網站的敏感標籤 (也稱為「容器標籤」) 不會被容器中的項目繼承。 因此,這些物品在 Copilot 中不會顯示容器標籤,也無法支援敏感性標籤繼承。 例如,來自標示為機密的團隊摘要的 Teams 頻道聊天訊息,在 Microsoft 365 Copilot Chat 中不會顯示敏感度相關標籤。 同樣地,SharePoint 網站頁面和清單的內容也不會顯示其容器標籤的敏感性標籤。
如果你使用 SharePoint 資訊權限管理 (IRM) 函式庫設定,限制使用者複製文字,請注意使用權限是在檔案下載時生效,而非在檔案建立或上傳到 SharePoint 時生效。 如果你不想讓 Copilot 和代理程式在檔案靜止時彙整這些檔案,建議使用敏感度標籤,這些標籤會套用加密,但不會有 EXTRACT 使用權。
與其他自動標籤不同,當您建立新內容時,繼承的標籤會取代手動套用的較低優先權標籤。
當繼承的敏感性標籤無法套用時,該文字不會被加入目標項目。 例如:
- 目標項目為唯讀
- 目的地項目已經加密,使用者沒有權限更改標籤 (需要匯出或完全控制使用權限)
- 繼承的敏感度標籤不會公開給使用者
如果使用者要求 Copilot 或代理從標籤且加密的項目建立新內容,當加密設定為 使用者自訂權限 或加密獨立於標籤時,標籤繼承就不被支援。 使用者無法將這些資料傳送到目的地商品。
由於雙 金鑰加密 (DKE) 是針對你最敏感且受最嚴格保護要求的資料,Copilot 和客服人員無法存取這些資料。 因此,受 DKE 保護的項目不會被 Copilot 退還,如果 DKE 項目 (正在使用資料) 開啟,你就無法在應用程式中使用 Copilot。
保護 Teams 會議和聊天的敏感性標籤目前不被 Copilot 和客服人員識別。 例如,會議聊天或頻道聊天回傳的資料不會顯示相關的敏感性標籤,目的項目無法阻止複製聊天資料,敏感性標籤也無法繼承。 此限制不適用於受敏感度標籤保護的會議邀請、回應和行事曆事件。
關於前身為商業聊天、Graph-grounded 聊天和Microsoft 365 Chat) 的Microsoft 365 Copilot Chat (:
- 當會議邀請已套用敏感度標籤時,標籤會套用至會議邀請的內容,但不適用於元數據,例如日期和時間或收件者。 因此,僅基於元資料的問題會回傳資料,卻沒有標示標籤。 例如,「星期一我有什麼會議?」問題包含會議本文,如議程,會傳回標記的資料。
- 如果內容是獨立於其套用的敏感度標籤進行加密的,並且該加密沒有授與使用者 EXTRACT 使用權限 (但包括 VIEW 使用權限),則 Copilot 可以傳回內容,從而將其傳送至來源項目。 例如,當使用者在文件標示為「一般」且未加密時,使用者已套用資訊權利管理的 Office 限制,該設定可能發生。
- 當回傳內容帶有敏感度標籤時,使用者將看不到 「在 Outlook 編輯 」選項,因為此功能目前不支援標籤資料。
- 如果你使用的擴充功能包含外掛和 Microsoft Graph Connector,來自外部來源的資料所加的敏感性標籤和加密,Microsoft 365 Copilot Chat 不會辨識。 大多數情況下,這個限制不會適用,因為資料不太可能支援敏感標籤和加密,雖然 Power BI 資料是例外。 你也可以使用 Microsoft 365 系統管理中心來關閉使用者的外掛,並斷開使用圖形 API 連接器的連線,來斷開外部資料來源。
應用程式專屬例外:
Microsoft 365 Copilot 在 Outlook 中:你必須擁有最低版本的 Outlook 才能使用 Microsoft 365 Copilot 來處理 Outlook 中的加密項目:
- Outlook (Windows 經典) :從 2408 版本開始,包含 Current Channel 及每月企業頻道
- Mac 版 Outlook:版本 16.86.609+
- iOS 版 Outlook:版本 4.2420.0+
- Android 版 Outlook:版本 4.2420.0+
- Outlook 網頁版:是的
- Windows 新版 Outlook:是的
Microsoft 365 Copilot in Windows Edge Microsoft 365 Copilot:除非 Edge 使用資料遺失防護 (DLP) ,否則 Copilot 可以在 Edge 的主動瀏覽器分頁中引用加密內容,當該內容未賦予使用者 EXTRACT 使用權時。 例如,加密內容來自 Office 網頁版或 Outlook 網頁版。
現有標籤會被覆蓋以繼承敏感性標籤嗎?
當 Microsoft 365 Copilot 自動套用敏感性標籤繼承保護時的結果總結:
| 現有標籤 | 以敏感標籤繼承覆蓋 |
|---|---|
| 手動套用,優先度較低 | 是 |
| 手動應用,優先度較高 | 否 |
| 自動套用,較低優先順序 | 是 |
| 自動套用,優先順序較高 | 否 |
| 這是政策的預設標籤,優先權較低 | 是 |
| 政策預設標籤,優先權較高 | 否 |
| 文件函式庫的預設敏感性標籤,優先權較低 | 是 |
| 文件函式庫的預設敏感性標籤,優先權較高 | 否 |
副駕駛會以 EXTRACT 使用權尊重現有的保護
雖然你可能不太熟悉加密內容的個別使用權,但它們已經存在很久了。 從Windows Server權利管理,到 Active Directory 權利管理,再到後來Azure 資訊保護 Azure 權利管理服務的雲端版本。
如果你曾經收到過「請勿轉寄」的電子郵件,那就是在使用權限阻止你在驗證後轉寄該郵件。 與其他綁定使用權對應常見商業情境的使用權一樣,「請勿轉發」電子郵件授予收件人使用權,控制內容的使用權,且不包含轉發使用權。 除了不能轉寄外,你也不能列印這封「請勿轉寄」郵件,也不能複製內容。
授權複製文字的使用權是 EXTRACT,使用起來更友善且常見的名稱是 Copy。 正是這種使用權決定了 Copilot 或代理是否能將加密內容的文字顯示給使用者。
注意事項
由於 OWNER () 使用權的 Full Control 包含所有使用權,EXTRACT 會自動包含 Full Control 一同使用權。
當你使用 Microsoft Purview 入口網站設定敏感性標籤以套用加密時,首選是現在就分配權限,還是讓使用者自行分配權限。 如果你現在指派權限,可以透過選擇預設的權限等級和預設的使用權限群組來設定權限,例如 Co-Author 或 Reviewer。 或者,你可以選擇自訂權限,個別選擇可用的使用權限。
在 Microsoft Purview 入口網站中,EXTRACT 使用權顯示為 「複製並擷取內容 (EXTRACT) 。 例如,預設權限層級為 Editor,你會看到包含 EXTRACT) (Copy and extract content 。 因此,受此加密配置保護的內容可由 Copilot 及代理人員回傳
如果你從下拉選單選「 自訂 」,然後從列表中選擇 「完全控制 (擁有者) 」,這個設定也會賦予 EXTRACT 使用權限。
注意事項
執行加密的人始終擁有 EXTRACT 使用權,因為他們是權利管理的擁有者。 此特殊角色自動包含所有使用權限及其他操作,意即使用者自行加密的內容始終有資格由 Microsoft 365 Copilot、Microsoft 365 Copilot Chat 及代理人員回傳給他們。 設定的使用限制會適用於其他有權存取內容的人。
或者,如果你選擇讓使用者指派權限的加密設定,Outlook 的設定包含了預先定義的「不轉發」和「僅加密」權限。 Encrypt-Only 選項與「請勿轉發」不同,包含了擷取權。
當你為 Word、Excel 和 PowerPoint 選擇自訂權限時,使用者在套用敏感性標籤時,會在 Office 應用程式中自行選擇權限。 目前對話框有兩個版本。 在舊版本中,他們被告知在這兩個選擇中, Read 不包含複製內容的權限,但 Change 有。 這些複製引用指的是 EXTRACT 使用權。 如果使用者選擇 「更多選項」,他們可以透過選擇 「允許擁有已讀權限的使用者複製內容」來新增 EXTRACT 使用權到閱讀。
在最新版本的對話框中, 「Read and Change 」被權限層級取代,說明不允許複製的描述中不會包含 EXTRACT 使用權限。 包含 EXTRACT 的權限層級是 Editor 和 Owner。 例如:
提示
如果你需要檢查你被授權查看的文件是否包含 EXTRACT 使用權,請在 Windows Office 應用程式中開啟,並自訂狀態列顯示 權限。 選擇敏感度標籤名稱旁的圖示以顯示 「我的許可」。 查看 Copy 的值,該值對應到 EXTRACT 使用權,並確認是否顯示 Yes 或 No。
對於電子郵件,如果 Outlook for Windows 的訊息頂端沒有顯示權限,請選擇帶有標籤名稱的資訊橫幅,然後選擇 「檢視權限」。
副駕駛與代理會尊重使用者的 EXTRACT 使用權,無論該權利如何應用於內容。 大多數情況下,當內容被標註時,使用者所獲得的使用權與敏感度標籤設定中的權利相符。 然而,有些情況可能導致內容的使用權與所套用標籤配置不同:
欲了解更多關於設定敏感性標籤以進行加密的資訊,請參閱「 使用敏感標籤來限制內容存取以套用加密」。
關於使用權限的技術細節,請參閱 Azure 權利管理服務的使用權限設定。
Teams 中通道代理的資訊保護考量
Teams 中的 Channel Agent 使用敏感度標記的資訊來回答可能從 SharePoint 頻道檔案、頻道訊息與會議,以及標準會議中推導出的使用者問題。 對於這些敏感性標籤,它們在資訊保護方面有許多與前述 Microsoft 365 Copilot 相同的情況。 例如:
- 最高優先權標籤會顯示在聊天中,當新 AI 生成內容產生時,則用於標籤繼承。
- 使用使用者自訂權限和雙重金鑰加密加密的項目內容無法存取。
- 從標籤 群組和站點 設定套用到頻道上的敏感性標籤,在 Teams 中的頻道代理不會使用。
然而,與 Microsoft 365 Copilot 中的敏感度標籤不同:
- 雖然 Teams 中的 Channel Agent 會像 Copilot 一樣對請求使用者執行 EXTRACT 權限 ,但權限並不會對頻道內所有使用者都檢查。 因此,頻道代理可以摘要頻道中一位或多位使用者未授權開啟的項目內容。 請求使用者會被警告此風險,管理員也可關閉 Teams 中的 Channel Agent。
- 你無法阻止 Channel Agent 匯總由 Microsoft Purview 資料遺失保護政策識別的標籤檔案。
- 你無法阻止使用者從 Channel Agent 複製聊天回應,或阻止 Teams 頻道中其他 Channel Agent 使用這些回應。
- Channel Agent 不支援資訊障礙,因此可能會回傳跨越障礙的資訊。
- Teams 中的 Channel Agent 不支援 Microsoft Purview 客戶金鑰。
Microsoft 365 Copilot 的合規管理考量
與Microsoft 365 Copilot及客服人員互動的合規管理涵蓋以下應用程式:Word、Excel、PowerPoint、Outlook、Teams、Loop 與 Copilot Pages、Whiteboard、OneNote,以及Microsoft 365 Copilot Chat (前身為 Business Chat、Graph-grounded chat,以及Microsoft 365 Chat) 。
注意事項
Microsoft 365 Copilot Chat 的合規管理包含使用者登入並選擇工作選項(而非網頁)時,與公開網路的提示與回應。
合規工具會依應用程式名稱標示 Microsoft 365 Copilot 互動來源。 例如,Word 中的 Copilot、Teams 中的 Copilot,以及 Microsoft 365 Copilot Chat) 的 Microsoft 365 Chat (。
在您的組織使用 Microsoft 365 Copilot 之前,請確保您熟悉以下細節,以支持您的合規管理解決方案:
稽核資料設計用於資料安全與合規,並提供對 Microsoft 365 Copilot 互動的全面可視性,適用於這些使用情境。 例如,發現資料過度分享的風險,或收集互動以符合法規或法律目的。 它並非用來作為 Copilot 使用報告的基礎。
注意事項
你在這些稽核資料基礎上建立的任何彙整指標,例如「提示數量」或「活躍使用者數量」,可能與 Microsoft 官方 Copilot 使用報告中相應的數據點不一致。 Microsoft無法提供如何將稽核日誌資料作為使用報告基礎的指引,Microsoft也無法保證建立在稽核日誌資料上的彙整使用指標會與其他工具報告的相似使用指標相符。
要取得 Copilot 使用情況的準確資訊,請使用以下報告之一:Microsoft 365 系統管理 中心的 Microsoft 365 Copilot 使用報告或 Viva Insights 中的 Copilot 儀表板。
審計只捕捉 Microsoft 365 Copilot 的搜尋活動,但無法捕捉實際的使用者提示或回應。 如需這些資訊,請使用電子發現(eDiscovery)。 或者Microsoft Purview 適用於 AI 的資料安全性態勢管理,使用活動總覽頁面的 AI 互動功能。
管理員相關的審核 Copilot 變更尚未支援。
目前裝置識別資訊尚未包含在審核細節中。
Copilot 互動的保留政策不會通知使用者訊息何時因保留政策而被刪除。
應用程式專屬例外:
-
Microsoft 365 Copilot 在 Teams 中的應用:
- 如果轉錄被關閉,審計、電子發現和保存功能將不被支援
- 如果有引用逐字稿,這個動作就不會被記錄下來進行審計
- 對於 Microsoft 365 Copilot Chat,Copilot 目前無法保留作為雲端附件,也就是它回傳給使用者的參考檔案。 使用者參考的檔案支援保留為雲端附件。