Data, sekretess och säkerhet för Microsoft 365 Copilot
Microsoft 365 Copilot är en sofistikerad bearbetnings- och orkestreringsmotor som tillhandahåller AI-baserade produktivitetsfunktioner genom att samordna följande komponenter:
- Stora språkmodeller (LLMs)
- Innehåll i Microsoft Graph, till exempel e-postmeddelanden, chattar och dokument som du har behörighet att komma åt.
- De produktivitetsappar för Microsoft 365 som du använder varje dag, till exempel Word och PowerPoint.
En översikt över hur dessa tre komponenter fungerar tillsammans finns i Översikt över Microsoft 365 Copilot. Länkar till annat innehåll som är relaterat till Microsoft 365 Copilot finns i Microsoft 365 Copilot-dokumentationen.
Viktigt
- Microsoft 365 Copilot följer våra befintliga sekretess-, säkerhets- och efterlevnadsåtaganden för Microsoft 365 kommersiella kunder, inklusive allmän dataskyddsförordning (GDPR) och EU-datagränsen (EU).
- Frågor, svar och data som nås via Microsoft Graph används inte för att träna grundläggande LLM:er, inklusive de som används av Microsoft 365 Copilot.
- Microsoft 365 Copilot fungerar med flera skydd, som omfattar men är inte begränsade till blockering av skadligt innehåll, identifiering av skyddat material och blockering av snabbinmatningar (jailbreak-attacker).
Informationen i den här artikeln är avsedd att ge svar på följande frågor:
- Hur använder Microsoft 365 Copilot dina egna organisationsdata?
- Hur skyddar Microsoft Copilot för Microsoft 365 organisationsinformation och data?
- Vilka data lagras om användarinteraktioner med Microsoft 365 Copilot?
- Vilka datahemvistsåtaganden gör Microsoft 365 Copilot?
- Vilka utökningsalternativ är tillgängliga för Microsoft 365 Copilot
- Hur uppfyller Microsoft 365 Copilot regelefterlevnadskraven?
- Gäller sekretesskontroller för anslutna upplevelser i Microsoft 365-applikationer för Microsoft 365 Copilot?
- Kan jag lita på innehållet som Microsoft 365 Copilot skapar? Vem äger innehållet?
- Vad gör Microsoft för att använda AI på ett ansvarsfullt sätt?
Obs!
Microsoft 365 Copilot fortsätter att utvecklas med tiden med nya funktioner. Om du vill hålla dig uppdaterad om Microsoft 365 Copilot eller ställa frågor kan du besöka Microsoft 365 Copilot-communityn på Microsoft Tech Community.
Hur använder Microsoft 365 Copilot dina egna organisationsdata?
Microsoft 365 Copilot ger mervärde genom att ansluta LLM:er till dina organisationsdata. Microsoft 365 Copilot kommer åt innehåll och kontext via Microsoft Graph. Det kan generera svar som fästs i organisationens data, till exempel användardokument, e-postmeddelanden, kalender, chattar, möten och kontakter. Microsoft 365 Copilot kombinerar det här innehållet med användarens arbetskontext, till exempel mötet en användare befinner sig i nu, e-postmeddelandena som användaren har skickat och mottagit gällande ett visst ämne eller de chattkonversationer som användaren hade förra veckan. Microsoft 365 Copilot använder den här kombinationen av innehåll och kontext för att leverera korrekta, relevanta och sammanhangsbaserade svar.
Viktigt
Frågor, svar och data som nås via Microsoft Graph används inte för att träna grundläggande LLM:er, inklusive de som används av Microsoft 365 Copilot.
Microsoft 365 Copilot visar endast organisationsdata som enskilda användare har minst visningsbehörighet för. Det är viktigt att du använder de behörighetsmodeller som är tillgängliga i Microsoft 365-tjänster, till exempel SharePoint, för att säkerställa att rätt användare eller grupper har rätt åtkomst till rätt innehåll i din organisation. Detta omfattar behörigheter som du ger användare utanför organisationen via samarbetslösningar mellan klientorganisationer, till exempel delade kanaler i Microsoft Teams.
När du anger frågor med hjälp av Microsoft 365 Copilot förblir informationen i dina prompter, de data som de hämtar samt de genererade svaren inom Microsoft 365-tjänstgränsen, i enlighet med våra nuvarande åtaganden om sekretess, datasäkerhet och efterlevnad. Microsoft 365 Copilot använda Azure OpenAI-tjänster för bearbetning, inte OpenAI:s offentligt tillgängliga tjänster. Azure OpenAI cachelagrar inte kundinnehåll eller Copilot-ändrade frågor för Microsoft 365 Copilot. Mer information finns i avsnittet Data som lagras om användarinteraktioner med Microsoft 365 Copilot senare i den här artikeln.
Obs!
- När du använder plugin-program för att hjälpa Microsoft 365 Copilot att tillhandahålla mer relevant information kontrollerar du sekretesspolicyn och användningsvillkoren för plugin-programmet för att avgöra hur det ska hantera organisationens data. Mer information finns i Utökningsbarhet för Microsoft 365 Copilot.
- När du använder plugin-programmet för webbinnehåll parsar Microsoft 365 Copilot användarens uppmaning och identifierar termer där webbsökning skulle förbättra svarets kvalitet. Baserat på dessa termer genererar Copilot en sökfråga som skickas till Bing-sökning-tjänsten. Mer information finns i Data, sekretess och säkerhet för webbfrågor i Microsoft 365 Copilot och Microsoft Copilot.
Övervakning av missbruk, som omfattar mänsklig granskning av innehåll, är tillgängligt i Azure OpenAI, men Microsoft 365 Copilot-tjänster har avanmält sig från det. Information om innehållsfiltrering finns i avsnittet Hur blockerar Copilot skadligt innehåll? senare i den här artikeln.
Obs!
Vi kan använda kundfeedback, vilket är valfritt, för att förbättra Microsoft 365 Copilot, precis som vi använder kundfeedback för att förbättra andra Microsoft 365-tjänster och Microsoft 365-produktivitetsappar. Vi använder inte den här feedbacken för att träna de grundläggande LLM:er som används av Microsoft 365 Copilot. Kunder kan hantera feedback via administratörskontroller. Mer information finns i Hantera Microsofts feedback för din organisation och Ge feedback om Microsoft Copilot med Microsoft 365-applikationer.
Data som lagras om användarinteraktioner med Microsoft 365 Copilot
När en användare interagerar med Microsoft 365 Copilot-applikationer (till exempel använder Word, PowerPoint, Excel, OneNote, Loop eller Whiteboard) lagrar vi data om dessa interaktioner. Lagrade data innehåller användarens uppmaning och Copilots svar, inklusive citat till all information som används som grund för Copilots svar. Vi hänvisar till användarens prompt och Copilots svar på denna uppmaning som "innehåll i interaktioner" och posten för dessa interaktioner är användarens Copilot-aktivitetshistorik. Dessa lagrade data förser till exempel användare med Copilot-aktivitetshistorik i Business Chat och möten i Microsoft Teams. Dessa data bearbetas och lagras i enlighet med avtalsåtaganden med organisationens andra innehåll i Microsoft 365. Data krypteras medan de lagras och används inte för att träna grundläggande LLM:er, inklusive de som används av Microsoft 365 Copilot.
För att visa och hantera dessa lagrade data kan administratörer använda innehållssökning eller Microsoft Purview. Administratörer kan också använda Microsoft Purview för att ange kvarhållningsprinciper för data som rör chattinteraktioner med Copilot. Mer information finns i följande artiklar:
- Översikt över innehållssökning
- Microsoft Purview för datasäkerhet och efterlevnadsskydd för generativa AI-appar
- Läs mer om kvarhållning för Copilot
För Microsoft Teams-chattar med Copilot kan administratörer också använda Export-API:er för Microsoft Teams för att visa lagrade data.
Ta bort historiken för användarinteraktioner med Microsoft 365 Copilot.
Användarna kan ta bort sin Copilot-aktivitetshistorik, som innehåller deras frågor och svaren som Copilot returnerar, genom att gå till portalen Mitt konto. Mer information finns i Ta bort din Microsoft 365 Copilot aktivitetshistorik.
Microsoft 365 Copilot och EU:s datagräns
Microsoft 365 Copilot-anrop till LLM dirigeras till närmaste datacenter i regionen, men kan även anropas till andra regioner där kapaciteten är tillgänglig under perioder med hög användning.
För EU-användare har vi ytterligare garantier för att uppfylla EU-datagränsen. EU-trafiken stannar inom EU-datagränsen medan global trafik kan skickas till EU och andra länder eller regioner för LLM-bearbetning.
Microsoft 365 Copilot och datahemvist
Microsoft 365 Copilot upprätthåller åtaganden för datahemvist enligt beskrivningen i Microsofts produktvillkor och dataskyddstillägg. Microsoft 365 Copilot lades till som en skyddad arbetsbelastning i åtagandena för datahemvist i Microsofts produktvillkor den 1 mars 2024.
Microsoft Advanced Data Residency (ADR) och Multi-Geo-funktioner erbjudanden omfattar datahemvistsåtaganden för Microsoft 365 Copilot-kunder från och med 1 mars 2024. För EU-kunder är Microsoft 365 Copilot en EU-datagränstjänst. Kunder utanför EU kan få sina frågor bearbetade i USA, EU eller andra regioner.
Utökningsbarhet för Microsoft 365 Copilot
Även om Microsoft 365 Copilot redan kan använda appar och data i Microsoft 365 ekosystem är många organisationer fortfarande beroende av olika externa verktyg och tjänster för arbetshantering och samarbete. Microsoft 365 Copilot-funktioner kan referera till verktyg och tjänster från tredje part när du svarar på en användares begäran med hjälp av Microsoft Graph-kopplingar eller plugin-program. Data från Graph-kopplingar kan returneras i Microsoft 365 Copilot svar om användaren har behörighet att komma åt den informationen.
När plugin-program är aktiverade avgör Microsoft 365 Copilot om det behöver använda ett specifikt plugin-program för att ge användaren ett relevant svar. Om ett plugin-program behövs genererar Microsoft 365 Copilot en sökfråga som ska skickas till plugin-programmet för användarens räkning. Frågan baseras på användarens prompt, Copilot-aktivitetshistorik och data som användaren har åtkomst till i Microsoft 365.
I avsnittet Integrerade appar i Administrationscenter för Microsoft 365 kan administratörer visa de behörigheter och dataåtkomst som krävs av ett plugin-program samt plugin-programmets användningsvillkor och sekretesspolicy. Administratörer har fullständig kontroll över vilka plugin-program som tillåts i organisationen. En användare kan bara komma åt de plugin-program som administratören tillåter och som användaren har installerat eller tilldelats. Microsoft 365 Copilot använder bara plugin-program som är aktiverade av användaren.
Mer information finns i följande artiklar:
- Hantera plugin-program för Copilot i integrerade appar
- Utöka Microsoft 365 Copilot
- Hur Microsoft 365 Copilot kan arbeta med externa data
Hur skyddar Microsoft 365 Copilot organisationsdata?
Behörighetsmodellen i din Microsoft 365-klientorganisation kan hjälpa dig att säkerställa att data inte oavsiktligt läcker mellan användare, grupper och klientorganisationer. Microsoft 365 Copilot visar endast data som varje individ kan komma åt med samma underliggande kontroller för dataåtkomst som används i andra Microsoft 365-tjänster. Semantic Index respekterar gränsen för användaridentitetsbaserad åtkomst så att grundningsprocessen endast kommer åt innehåll som den aktuella användaren har behörighet att komma åt. Mer information finns i Microsofts sekretesspolicy och tjänstdokumentation.
När du har data som krypteras av Microsoft Purview Information Protection följer Microsoft 365 Copilot de användningsrättigheter som beviljas användaren. Den här krypteringen kan användas med känslighetsetiketter eller med begränsade behörigheter i Microsoft 365-appar med hjälp av IRM (Information Rights Management). Mer information om hur du använder Microsoft Purview med Microsoft 365 Copilot finns i Microsoft Purview-skydd för datasäkerhet och efterlevnad för generativa AI-appar.
Vi implementerar redan flera former av skydd för att förhindra att kunder komprometterar Microsoft 365-tjänster och -program eller får obehörig åtkomst till andra klientorganisationer eller själva Microsoft 365-systemet. Här följer några exempel på dessa skyddsformer:
Logisk isolering av kundinnehåll i varje klientorganisation för Microsoft 365-tjänster uppnås via Microsoft Entra-auktorisering och rollbaserad åtkomstkontroll. Mer information finns i Isoleringskontroller för Microsoft 365.
Microsoft använder rigorös fysisk säkerhet, bakgrundsgallring och en krypteringsstrategi i flera lager för att skydda konfidentialiteten och integriteten hos kundinnehåll.
Microsoft 365 använder tekniker på tjänstsidan som krypterar kundinnehåll i vila och under överföring, inklusive BitLocker, kryptering per fil, TLS (Transport Layer Security) och IPsec (Internet Protocol Security). Specifik information om kryptering i Microsoft 365 finns i Kryptering i Microsoft Cloud.
Din kontroll över dina data förstärks av Microsofts åtagande att följa allmänt tillämpliga sekretesslagar, till exempel GDPR, och sekretesstandarder, till exempel ISO/IEC 27018, världens första internationella uppförandekod för molnsekretess.
För innehåll som nås via Microsoft 365 Copilot-plugin-program kan kryptering utesluta programmatisk åtkomst, vilket begränsar plugin-programmet från att komma åt innehållet. Mer information finns i Konfigurera användningsrättigheter för Azure Information Protection.
Uppfylla krav för regelefterlevnad
I takt med att regleringen inom AI-området utvecklas kommer Microsoft att fortsätta att anpassa sig och svara för att uppfylla framtida regelkrav.
Microsoft 365 Copilot bygger på Microsofts nuvarande åtaganden gällande datasäkerhet och sekretess i företaget. Dessa åtaganden ändras inte. Microsoft 365 Copilot är integrerat i Microsoft 365 och följer alla befintliga sekretess-,säkerhets- och efterlevnadsåtaganden för Microsoft 365 kommersiella kunder. Mer information finns i Microsofts efterlevnad.
Förutom att följa reglerna prioriterar vi en öppen dialog med våra kunder, partner och tillsynsmyndigheter för att bättre förstå och åtgärda problem och därigenom främja en miljö av förtroende och samarbete. Vi är medvetna om att sekretess, säkerhet och transparens inte bara är funktioner, utan krav, i det AI-drivna landskapet hos Microsoft.
Ytterligare information
Microsoft 365 Copilot och sekretesskontroller för anslutna upplevelser
Vissa sekretesskontroller för anslutna upplevelser i Microsoft 365-applikationer kan påverka tillgängligheten för Microsoft 365 Copilot-funktioner. Detta inkluderar sekretesskontroller för anslutna upplevelser som analyserar ditt innehåll och sekretesskontrollen för valfria anslutna upplevelser. Mer information om dessa sekretesskontroller finns i Översikt över sekretesskontroller för Microsoft 365-applikationer för företag.
Sekretesskontroll för anslutna upplevelser som analyserar ditt innehåll
Om du inaktiverar anslutna funktioner som analyserar ditt innehåll på enheter i din organisation är Microsoft 365 Copilot funktioner inte tillgängliga för användarna i följande appar:
- Excel
- OneNote
- Outlook
- PowerPoint
- Word
Detta gäller när du kör den senaste versionen av dessa appar på Windows-, Mac-, iOS- eller Android-enheter.
Det finns också en sekretesskontroll som inaktiverar alla anslutna upplevelser, inklusive anslutna upplevelser som analyserar ditt innehåll. Om du använder den sekretesskontrollen är Microsoft 365 Copilot funktioner inte tillgängliga i apparna och på de enheter som beskrivs ovan.
Sekretesskontroll för valfria anslutna upplevelser
Om du inaktiverar valfria anslutna upplevelser i din organisation är Microsoft 365 Copilot-funktioner som är valfria anslutna funktioner inte tillgängliga för dina användare. Till exempel är webbjordning inte tillgängligt för användarna.
Det finns också en sekretesskontroll som inaktiverar alla anslutna upplevelser, inklusive valfria anslutna upplevelser. Om du använder den sekretesskontrollen är Microsoft 365 Copilot-funktioner som är valfria anslutna funktioner inte tillgängliga.
Om innehållet som Microsoft 365 Copilot skapar
Svaren som generativ AI producerar är inte garanterade att vara 100 % faktiska. Även om vi fortsätter att förbättra svaren bör användarna fortfarande använda sitt omdöme när de granskar resultatet innan de skickas till andra. Våra Microsoft 365 Copilot-funktioner ger användbara utkast och sammanfattningar som hjälper dig att uppnå mer samtidigt som du får möjlighet att granska den genererade AI:n i stället för att automatisera dessa uppgifter fullständigt.
Vi fortsätter att förbättra algoritmerna för att proaktivt åtgärda problem, till exempel felaktig information och desinformation, blockering av innehåll, datasäkerhet och förhindra att skadligt eller diskriminerande innehåll främjas i enlighet med våra ansvarsfulla AI-principer.
Microsoft gör inte anspråk på ägarskap för utdata från tjänsten. Med det sagt bestämmer vi inte om en kunds utdata är upphovsrättsskyddade eller verkställbara mot andra användare. Det beror på att generativa AI-system kan ge liknande svar på liknande prompter eller frågor från flera kunder. Därför kan flera kunder ha eller göra anspråk på rättigheter i innehåll som är samma eller i stort likartade.
Om en tredje part stämmer en kommersiell kund för upphovsrättsintrång för användning av Microsofts Copilots eller de utdata som de genererar, kommer vi att försvara kunden och betala beloppet för eventuella negativa bedömningar eller betalningar som är resultatet av stämning, så länge kunden har använt skyddsräcken och innehållsfiltren som vi har byggt in i våra produkter. Mer information finns i Microsoft presenterar nya Copilot Copyright Commitment för kunder.
Hur blockerar Copilot skadligt innehåll?
Azure OpenAI-tjänsten innehåller ett system för innehållsfiltrering som fungerar tillsammans med kärnmodeller. Modellerna för innehållsfiltrering för kategorierna hat och rättvisa, sexuellt, våld och självskadebeteende har tränats och testats specifikt på olika språk. Det här systemet fungerar genom att köra både indatafrågan och svaret via klassificeringsmodeller som är utformade för att identifiera och blockera utdata med skadligt innehåll.
Hat- och rättviserelaterade skador avser allt innehåll som använder nedsättande eller diskriminerande språk baserat på attribut som ras, etnicitet, nationalitet, könsidentitet och uttryck, sexuell läggning, religion, invandringsstatus, status för förmåga, personligt utseende och kroppsstorlek. Rättvisa handlar om att se till att AI-system behandlar alla grupper av människor rättvist utan att bidra till befintliga samhälleliga orättvisor. Sexuellt innehåll omfattar diskussioner om mänskliga reproduktionsorgan, romantiska relationer, handlingar som skildras i erotiska eller tillgivna termer, graviditet, fysiska sexuella handlingar, inklusive de som framställs som ett övergrepp eller en påtvingad handling av sexuellt våld, prostitution, pornografi och övergrepp. Våld beskriver språk som rör fysiska handlingar som är avsedda att skada eller döda, inklusive handlingar, vapen och relaterade entiteter. Självskadespråk syftar på avsiktliga handlingar som är avsedda att skada eller döda sig själv.
Mer information om Azure OpenAI-innehållsfiltrering.
Tillhandahåller Copilot identifiering av skyddat material?
Ja, Microsoft 365 Copilot tillhandahåller identifiering av skyddat material som innehåller text som omfattas av upphovsrätt och kod som omfattas av licensbegränsningar. Alla dessa åtgärder är inte relevanta för alla Microsoft 365 Copilot-scenarier.
Blockerar Copilot frågeinmatningar (jailbreak-attacker)?
Jailbreak-attacker är användarfrågor som är utformade för att provocera den generativa AI-modellen att bete sig på sätt som den har tränats att inte följa eller bryta mot de regler som den har blivit tillsagd att följa. Microsoft 365 Copilot är utformat för att skydda mot promptinmatningsattacker. Mer information om jailbreak-attacker och hur du använder Azure AI-Innehållsäkerhet för att identifiera dem.
Engagerad i ansvarsfull AI
När AI är redo att förändra våra liv måste vi gemensamt definiera nya regler, normer och metoder för användning och påverkan av den här tekniken. Microsoft har varit på en ansvarsfull AI-resa sedan 2017, då vi definierade våra principer och metoder för att säkerställa att den här tekniken används på ett sätt som drivs av etiska principer som sätter människor först.
På Microsoft vägleds vi av våra AI-principer, vår ansvarsfulla AI-standard och årtionden av forskning om AI, grundning och sekretessbevarande maskininlärning. Ett tvärvetenskapligt team med forskare, ingenjörer och policyexperter granskar våra AI-system för potentiella skador och riskreduceringar – förfina träningsdata, filtrera för att begränsa skadligt innehåll, fråge- och resultatblockerande känsliga ämnen och använda Microsoft-tekniker som InterpretML och Fairlearn för att identifiera och korrigera datafördomar. Vi gör det tydligt hur systemet fattar beslut genom att notera begränsningar, länka till källor och uppmana användare att granska, faktagranska och justera innehåll baserat på ämnesexpertis. Mer information finns i Styra AI: En skiss för framtiden.
Vi strävar efter att hjälpa våra kunder att använda våra AI-produkter på ett ansvarsfullt sätt, dela vår utbildning och skapa förtroendebaserade partnerskap. För dessa nya tjänster vill vi ge våra kunder information om avsedda användningsområden, funktioner och begränsningar för vår AI-plattformstjänst, så att de har den kunskap som krävs för att göra ansvarsfulla distributionsval. Vi delar även resurser och mallar med utvecklare inom organisationer och med oberoende programvaruleverantörer (ISV:er) för att hjälpa dem att skapa effektiva, säkra och transparenta AI-lösningar.