Applicare principi di Zero Trust a Microsoft Copilot
Riepilogo: per applicare i principi Zero Trust a Microsoft Copilot, è necessario:
- Implementare le protezioni di sicurezza per le richieste basate sul Web su Internet.
- Aggiungere protezioni di sicurezza per il riepilogo del browser Microsoft Edge.
- Completare le protezioni di sicurezza consigliate per Microsoft 365 Copilot.
- Gestire insieme le protezioni di sicurezza quando si usa Microsoft Copilot e Microsoft 365 Copilot.
Introduzione
Microsoft Copilot o Copilot è un compagno di intelligenza artificiale in copilot.microsoft.com, Windows, Edge, Bing e l'app per dispositivi mobili Copilot. Questo articolo illustra come implementare protezioni di sicurezza per proteggere l'organizzazione e i dati durante l'uso di Copilot. Implementando queste protezioni, si sta creando una base di Zero Trust.
Raccomandazioni sulla sicurezza Zero Trust per Copilot si concentrano sulla protezione per gli account utente, i dispositivi utente e i dati inclusi nell'ambito per la configurazione di Copilot.
È possibile introdurre Copilot in fasi, consentendo richieste basate sul Web a Internet per consentire richieste basate sul Web e microsoft 365 a terra sia a Internet che ai dati dell'organizzazione. Questo articolo illustra l'ambito di ogni configurazione e, di conseguenza, le raccomandazioni per preparare l'ambiente con protezioni di sicurezza appropriate.
In che modo Zero Trust aiuta l'intelligenza artificiale?
La sicurezza, in particolare la protezione dei dati, è spesso un problema principale quando si introducono strumenti di intelligenza artificiale in un'organizzazione. Zero Trust è una strategia di sicurezza che verifica ogni utente, dispositivo e richiesta di risorse per assicurarsi che ognuno di questi elementi sia consentito. Il termine "zero trust" si riferisce alla strategia di considerare ogni connessione e richiesta di risorsa come se provenise da una rete non controllata e da un cattivo attore. Indipendentemente dall'origine della richiesta o dalla risorsa a cui accede, l’approccio Zero Trust ci insegna a non fidarci mai e a verificare sempre.
In qualità di leader nella sicurezza, Microsoft fornisce una roadmap pratica e indicazioni chiare per l'implementazione di Zero Trust. Il set di Copilots di Microsoft si basa su piattaforme esistenti, che ereditano le protezioni applicate a tali piattaforme. Per informazioni dettagliate sull'applicazione di Zero Trust alle piattaforme di Microsoft, vedere il Centro linee guida Zero Trust. Implementando queste protezioni, si sta creando una base della sicurezza Zero Trust.
Questo articolo deriva da tale materiale sussidiario per prescrivere le protezioni Zero Trust correlate a Copilot.
Elementi inclusi in questo articolo
Questo articolo illustra le raccomandazioni sulla sicurezza che si applicano in quattro fasi. In questo modo è possibile introdurre Copilot nell'ambiente mentre si applicano protezioni di sicurezza per utenti, dispositivi e dati a cui si accede da Copilot.
| Fase | Impostazione | Componenti da proteggere |
|---|---|---|
| 1 | Richieste basate sul Web su Internet | Igiene di sicurezza di base per utenti e dispositivi che usano criteri di identità e accesso. |
| 2 | Richieste basate sul Web su Internet con il riepilogo delle pagine del browser Edge abilitato | I dati dell'organizzazione in posizioni locali, Intranet e cloud che Copilot in Edge possono riepilogare. |
| 3 | Richieste basate sul Web su Internet e l'accesso a Microsoft 365 Copilot | Tutti i componenti interessati da Microsoft 365 Copilot. |
| 4 | Richieste basate sul Web su Internet e l'accesso a Microsoft 365 Copilot con riepilogo delle pagine del browser Edge abilitato | Tutti i componenti elencati in precedenza. |
Passaggio 1. Iniziare con le raccomandazioni sulla sicurezza per le richieste a base Web a Internet
La configurazione più semplice di Copilot offre assistenza per l'intelligenza artificiale con richieste basate sul Web.
Nell'illustrazione:
- Gli utenti possono interagire con Copilot tramite copilot.microsoft.com, Windows, Bing, il browser Edge e l'app per dispositivi mobili Copilot.
- I prompt sono basati sul Web. Copilot usa solo i dati disponibili pubblicamente per rispondere alle richieste.
Con questa configurazione, i dati dell'organizzazione non sono inclusi nell'ambito dei dati a cui fa riferimento Copilot.
Usare questa fase per implementare criteri di identità e accesso per utenti e dispositivi per impedire che gli attori malintenzionati usino Copilot. È necessario configurare almeno i criteri di accesso condizionale che richiedono:
Consigli aggiuntivi per Microsoft 365 E3
- Per l'autenticazione e l'accesso dell'account utente, configurare anche i criteri di identità e accesso in Bloccare i client che non supportano l'autenticazione moderna.
- Usare le funzionalità di protezione di Windows.
Consigli aggiuntivi per Microsoft 365 E5
Implementare le raccomandazioni per E3 e configurare i criteri di identità e accesso seguenti:
- Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto
- Gli utenti ad alto rischio devono modificare la password
Passaggio 2. Aggiungere protezioni di sicurezza per il riepilogo del browser Edge
Dalla barra laterale di Microsoft Edge, Microsoft Copilot consente di ottenere risposte e ispirazione da tutto il Web e, se abilitato, da alcuni tipi di informazioni visualizzate nelle schede del browser aperte.
Ecco alcuni esempi di pagine Web private o dell'organizzazione e tipi di documento che Copilot in Edge può riepilogare:
- Siti Intranet come SharePoint, ad eccezione dei documenti di Office incorporati
- Outlook Web App
- PDF, inclusi quelli archiviati nel dispositivo locale
- Siti non protetti da criteri DLP di Microsoft Purview, criteri di gestione delle applicazioni mobili (MAM) o criteri MDM
Nota
Per l'elenco corrente dei tipi di documento supportati da Copilot in Edge per l'analisi e il riepilogo, vedere Comportamento di riepilogo delle pagine Web di Copilot in Edge.
I siti e i documenti dell'organizzazione potenzialmente sensibili che Copilot in Edge possono riepilogare possono essere archiviati in posizioni locali, Intranet o cloud. Questi dati dell'organizzazione possono essere esposti a un utente malintenzionato che ha accesso al dispositivo e usa Copilot in Edge per produrre rapidamente riepiloghi di documenti e siti.
I dati dell'organizzazione che possono essere riepilogati da Copilot in Edge possono includere:
Risorse locali nel computer dell'utente
PDF o informazioni visualizzate in una scheda del browser Edge da app locali non protette con i criteri MAM
Risorse Intranet
PDF o siti per app e servizi interni che non sono protetti dai criteri DLP di Microsoft Purview, criteri MAM o criteri MDM
Siti di Microsoft 365 non protetti da criteri DLP di Microsoft Purview, criteri MAM o criteri MDM
risorse di Microsoft Azure
PDF in macchine virtuali o siti per app SaaS non protette da criteri DLP di Microsoft Purview, criteri MAM o criteri MDM
Siti di prodotti cloud di terze parti per app e servizi SaaS basati sul cloud che non sono protetti dai criteri di prevenzione della perdita dei dati, dai criteri MAM o dai criteri MDA di Microsoft Purview
Usare questa fase per implementare livelli di sicurezza per impedire agli attori malintenzionati di usare Copilot per individuare e accedere più rapidamente ai dati sensibili. Come minimo, è necessario:
- Distribuire le protezioni di sicurezza e conformità dei dati con Microsoft Purview
- Configurare le autorizzazioni utente minime per i dati
- Distribuire la protezione dalle minacce per le app cloud con app Microsoft Defender per il cloud
Per altre informazioni su Copilot in Edge, vedere:
Questa figura mostra i set di dati disponibili per Microsoft Copilot in Edge con riepilogo del browser abilitato.
Raccomandazioni per E3 ed E5
Implementare i criteri di protezione delle app di Intune per la protezione dei dati. L'APP può impedire la copia accidentale o intenzionale del contenuto generato da Copilot nelle app in un dispositivo che non sono incluse nell'elenco delle app consentite. L'APP può limitare il raggio di esplosione di un utente malintenzionato usando un dispositivo compromesso.
Attivare Microsoft Defender per Office 363 Piano 1, che include Exchange Online Protection (EOP) per allegati sicuri, collegamenti sicuri, soglie di phishing avanzate e protezione della rappresentazione e rilevamenti in tempo reale.
Fase 3. Protezione completa consigliata per Microsoft 365 Copilot
Microsoft 365 Copilot può usare i set di dati seguenti per elaborare i prompt basati su Graph:
- Dati del tenant di Microsoft 365
- Dati Internet tramite Ricerca Bing (se abilitata)
- Dati usati da plug-in e connettori abilitati per Copilot
Per altre informazioni, vedere Applicare principi zero trust a Microsoft 365 Copilot.
Raccomandazioni per E3
Implementare quanto segue:
Criteri per la gestione dei dispositivi e i requisiti di conformità dei dispositivi di Intune
Protezione dei dati nel tenant di Microsoft 365
Etichette di riservatezza
Criteri di prevenzione della perdita dei dati
Criteri di conservazione
Raccomandazioni per E5
Implementare i consigli per E3 e i seguenti:
- Usare un'ampia gamma di classificatori per trovare informazioni sensibili.
- Automatizzare le etichette di conservazione.
- Provare le funzionalità di piano 2 in Defender per Office 365, che includono analisi post-violazione, ricerca e risposta, automazione e simulazione.
- Attivare app Microsoft Defender per il cloud.
- Configurare Defender per il cloud App per individuare le app cloud e monitorare e controllarne il comportamento.
Fase 4. Mantenere le protezioni di sicurezza mentre si usa Microsoft Copilot e Microsoft 365 Copilot insieme
Con una licenza per Microsoft 365 Copilot, verrà visualizzato un controllo Attiva/Web nel browser Edge, Windows e Ricerca Bing che consente di passare dall'uso all'altro:
- Richieste a base di grafo inviate a Microsoft 365 Copilot (attiva/disattiva impostata su Lavoro).
- Vengono richieste a livello Web che usano principalmente i dati Internet (interruttore impostato su Web).
Ecco un esempio per copilot.microsoft.com.
Questa figura mostra il flusso delle richieste a grafo e Web.
Nel diagramma:
- Gli utenti nei dispositivi con licenza per Microsoft 365 Copilot possono scegliere la modalità Lavoro o Web per i prompt di Microsoft Copilot.
- Se si seleziona Work , le richieste a terra di Graph vengono inviate a Microsoft 365 Copilot per l'elaborazione.
- Se viene scelto Il Web, le richieste basate sul Web immesse tramite Windows, Bing o Edge usano i dati Internet nell'elaborazione.
- Nel caso di Edge e quando è abilitato, Windows Copilot include alcuni tipi di dati nelle schede edge aperte nell'elaborazione.
Se l'utente non ha una licenza per Microsoft 365 Copilot, l'interruttore Work/Web non viene visualizzato e tutti i prompt sono basati sul Web.
Ecco i set di dati dell'organizzazione accessibili per Microsoft Copilot, che includono sia i prompt basati su Graph che sul Web.
Nell'illustrazione, i blocchi ombreggiati gialli sono per i dati dell'organizzazione accessibili tramite Copilot. L'accesso a questi dati da parte di un utente tramite Copilot dipende dalle autorizzazioni per i dati assegnati all'account utente. Può anche dipendere dallo stato del dispositivo dell'utente se l'accesso condizionale è configurato per l'utente o per l'accesso all'ambiente in cui risiedono i dati. Seguendo i principi di Zero Trust, si tratta di dati da proteggere nel caso in cui un utente malintenzionato compromette un account utente o un dispositivo.
Per i prompt basati su Graph (attiva/Disattiva impostato su Lavoro), sono inclusi:
Dati del tenant di Microsoft 365
Dati per plug-in e connettori abilitati per Copilot
Dati Internet (se il plug-in Web è abilitato)
Per i prompt basati sul Web dal browser Edge con riepilogo delle schede del browser aperto abilitato (interruttore impostato su Web), può includere i dati dell'organizzazione che possono essere riepilogati da Copilot in Edge da posizioni locali, Intranet e cloud.
Usare questa fase per verificare l'implementazione dei livelli di sicurezza seguenti per impedire agli attori malintenzionati di usare Copilot per accedere ai dati sensibili:
- Distribuire le protezioni di sicurezza e conformità dei dati con Microsoft Purview
- Configurare le autorizzazioni utente minime per i dati
- Distribuire la protezione dalle minacce per le app cloud con app Microsoft Defender per il cloud
Raccomandazioni per E3
- Esaminare la configurazione e le funzionalità di Defender per Office 365 Piano 1 e Defender per endpoint piano 1 e implementare funzionalità aggiuntive in base alle esigenze.
- Configurare i livelli di protezione appropriati per Microsoft Teams.
Raccomandazioni per E5
Implementare le raccomandazioni per E3 ed estendere le funzionalità XDR nel tenant di Microsoft 365:
Esaminare la configurazione e implementare funzionalità aggiuntive in base alle esigenze per aumentare la protezione dalle minacce con la suite completa di Microsoft Defender XDR:
Configurare i criteri di sessione per le app di Defender per il cloud
Riepilogo della configurazione
Questa figura riepiloga le configurazioni di Microsoft Copilot e i dati accessibili risultanti usati da Copilot per rispondere alle richieste.
Questa tabella include raccomandazioni Zero Trust per la configurazione scelta.
| Impostazione | Dati accessibili | Raccomandazioni zero trust |
|---|---|---|
| Senza licenze copilote di Microsoft 365 (interruttore Work/Web non disponibile) AND Riepilogo pagina del browser Edge disabilitato |
Per i prompt basati sul Web, solo dati Internet | Non è necessario, ma altamente consigliato per l'igiene generale della sicurezza. |
| Senza licenze copilote di Microsoft 365 (interruttore Work/Web non disponibile) AND Riepilogo delle pagine del browser Edge abilitato |
Per le richieste basate sul Web: - Dati Internet - Dati dell'organizzazione in posizioni locali, Intranet e cloud che Copilot in Edge può riepilogare |
Per il tenant di Microsoft 365, vedere Zero Trust for Microsoft 365 Copilot e applicare protezioni Zero Trust. Per i dati dell'organizzazione in posizioni locali, Intranet e cloud, vedere Gestire i dispositivi con panoramica di Intune per i criteri MAM e MDM. Vedere anche Gestire la privacy dei dati e la protezione dei dati con Microsoft Priva e Microsoft Purview per i criteri DLP. |
| Con le licenze di Copilot di Microsoft 365 (attiva/interruttore Web disponibile)With Microsoft 365 Copilot licenses (Work/Web toggle available) AND Riepilogo pagina del browser Edge disabilitato |
Per le richieste basate su grafo: - Dati del tenant di Microsoft 365 - Dati Internet se il plug-in Web è abilitato - Dati per plug-in e connettori abilitati per Copilot Per i prompt basati sul Web, solo i dati Internet |
Per il tenant di Microsoft 365, vedere Zero Trust for Microsoft 365 Copilot e applicare protezioni Zero Trust. |
| Con le licenze di Copilot di Microsoft 365 (attiva/interruttore Web disponibile)With Microsoft 365 Copilot licenses (Work/Web toggle available) AND Riepilogo delle pagine del browser Edge abilitato |
Per le richieste basate su grafo: - Dati del tenant di Microsoft 365 - Dati Internet se il plug-in Web è abilitato - Dati per plug-in e connettori abilitati per Copilot Per le richieste basate sul Web: - Dati Internet - Dati dell'organizzazione di cui è possibile eseguire il rendering in una pagina del browser Edge, tra cui risorse locali, cloud e Intranet |
Per il tenant di Microsoft 365, vedere Zero Trust for Microsoft 365 Copilot e applicare protezioni Zero Trust. Per i dati dell'organizzazione in posizioni locali, Intranet e cloud, vedere Gestire i dispositivi con panoramica di Intune per i criteri MAM e MDM. Vedere anche Gestire la privacy dei dati e la protezione dei dati con Microsoft Priva e Microsoft Purview per i criteri DLP. |
Passaggi successivi
Vedere questi articoli aggiuntivi per Zero Trust e Copilots di Microsoft:
Riferimenti
Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.