Поделиться через

Рекомендации по управлению Microsoft 365 Copilot и агентом каналов в Teams для обеспечения безопасности и соответствия требованиям

Руководство по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности &

Когда вы понимаете, как использовать Microsoft Purview для управления безопасностью данных и защитой соответствия для Microsoft 365 Copilot и агента каналов в Teams, используйте следующие подробные сведения для всех предварительных требований, рекомендаций и исключений, которые могут применяться к вашей организации. Обязательно прочтите их вместе с требованиями Microsoft 365 Copilot и корпоративной защитой данных в Microsoft 365 Copilot и Microsoft Copilot чате 365.

Сведения о лицензировании для использования этих возможностей для Copilot см. по ссылкам на лицензирование и описание службы в верхней части страницы. Сведения о лицензировании для Copilot см. в описании службы для Microsoft 365 Copilot.

Рекомендации по защите информации для Microsoft 365 Copilot

Microsoft 365 Copilot, Microsoft 365 Copilot Chat и агенты могут получать доступ к данным, хранящимся в клиенте Microsoft 365, включая почтовые ящики в Exchange Online и документы в SharePoint или OneDrive.

Помимо доступа к содержимому Microsoft 365, Copilot и агенты также могут использовать содержимое из конкретного файла, над которым вы работаете, в контексте сеанса приложения Office независимо от того, где хранится этот файл. Например, локальное хранилище, сетевые папки, облачное хранилище или USB-накопитель. Когда файлы открываются пользователем в приложении, доступ часто называется используемыми данными.

Перед развертыванием лицензий для Copilot убедитесь, что вы знакомы со следующими сведениями, которые помогут вам укрепить решения для защиты данных:

  • Если содержимое предоставляет пользователю права на использование VIEW, но не extract:

    • Если у пользователя открыто это содержимое в приложении, он не сможет использовать Copilot.
    • Copilot не будет суммировать это содержимое, но может ссылаться на него по ссылке, чтобы пользователь затем смог открыть и просмотреть содержимое за пределами Copilot.

  • Кроме того, вы можете запретить copilot и агентам суммировать помеченные файлы и сообщения электронной почты (независимо от того, зашифрованы ли они или нет), которые определены политикой защиты от потери данных Microsoft Purview. Copilot и агенты не будут суммировать это содержимое, но могут ссылаться на него по ссылке, чтобы пользователь затем смог открыть и просмотреть содержимое за пределами Copilot.

  • Как и в приложениях Office, Copilot и агенты могут получать доступ к меткам конфиденциальности из вашей организации, но не из других организаций. Дополнительную информацию о поддержке маркировки в разных организациях см. в разделе Поддержка внешних пользователей и маркированного контента .

  • Расширенный параметр PowerShell для меток конфиденциальности может помешать приложениям Office отправлять содержимое в некоторые подключенные интерфейсы, включая Microsoft 365 Copilot и агенты.

  • Copilot и агенты не могут получать доступ к неоткрытым документам в SharePoint и OneDrive, если они помечены и зашифрованы с пользовательскими разрешениями, если только метка не используется в качестве метки конфиденциальности по умолчанию, которая расширяет разрешения SharePoint для скачанных документов или на них напрямую ссылается, введя "/" (и в обоих случаях пользователь имеет разрешения EXTRACT). Copilot и агенты всегда могут получить доступ к этим документам для пользователя, когда они открыты в приложении (используемые данные).

  • Метки конфиденциальности, применяемые к группам и сайтам (также называемые метками контейнеров), не наследуются элементами в этих контейнерах. В результате элементы не будут отображать метку контейнера в Copilot и не могут поддерживать наследование меток конфиденциальности. Например, сообщения чата в канале Teams, обобщенные от команды, помеченной как Конфиденциальные, не будут отображаться для контекста конфиденциальности в Microsoft 365 Copilot Chat. Аналогичным образом на страницах сайтов и в списках SharePoint не отображается метка конфиденциальности метки контейнера.

  • Если вы используете параметры библиотеки управления правами на доступ к данным SharePoint (IRM), которые запрещают пользователям копировать текст, имейте в виду, что права на использование применяются при скачивании файлов, а не при их создании или отправке в SharePoint. Если вы не хотите, чтобы Copilot и агенты обобщали эти файлы, когда они неактивные, используйте метки конфиденциальности, которые применяют шифрование без права использования EXTRACT.

  • В отличие от других сценариев автоматического применения меток, наследуемая метка при создании нового содержимого заменит метку с более низким приоритетом, примененную вручную.

  • Если наследуемая метка конфиденциальности не может быть применена, текст не будет добавлен в целевой элемент. Например:

    • Конечный элемент доступен только для чтения
    • Целевой элемент уже зашифрован, и у пользователя нет разрешений на изменение метки (требуются права на использование EXPORT или FULL CONTROL).
    • Наследуемая метка конфиденциальности не публикуется для пользователя

  • Если пользователь просит Copilot или агентов создать новое содержимое из помеченных и зашифрованных элементов, наследование меток не поддерживается, если шифрование настроено для определенных пользователем разрешений или если шифрование было применено независимо от метки. Пользователь не сможет отправить эти данные в целевой элемент.

  • Так как шифрование с двойным ключом (DKE) предназначено для наиболее конфиденциальных данных, на которые распространяются самые строгие требования к защите, Copilot и агенты не могут получить доступ к этим данным. В результате Copilot не вернет элементы, защищенные DKE, и если элемент DKE открыт (используются данные), вы не сможете использовать Copilot в приложении.

  • Метки конфиденциальности, защищающие собрания и чат Teams , в настоящее время не распознаны Copilot и агентами. Например, данные, возвращаемые из чата собрания или чата канала, не будут отображать связанную метку конфиденциальности, копирование данных чата для целевого элемента невозможно, а метка конфиденциальности не может быть унаследована. Это ограничение не распространяется на приглашения на встречи, ответы и события календаря, защищенные метками конфиденциальности.

  • Для Microsoft 365 Copilot Chat (ранее — бизнес-чат, чат с графами и Microsoft 365 Chat):

    • Если к приглашениям на встречу применена метка конфиденциальности, она применяется к тексту приглашения, но не к метаданным, таким как дата и время или получатели. В результате вопросы, основанные только на метаданных, возвращают данные без метки. Например, "Какие встречи у меня в понедельник?" Вопросы, включающие тему встречи, например повестку дня, возвращают данные в том виде, в котором они помечены.
    • Если содержимое зашифровано независимо от примененной к нему метки конфиденциальности и это шифрование не предоставляет пользователю права использования ИЗВЛЕЧЕНИЕ (но включает право использования ПРОСМОТР), содержимое может быть возвращено Copilot и, следовательно, отправлено в исходный элемент. Пример такой конфигурации может возникнуть, если пользователь применил ограничения Office в службе управления правами на доступ к данным, когда документ помечен как "Общий", а эта метка не применяет шифрование.
    • Если для возвращаемого содержимого применена метка конфиденциальности, пользователи не увидят параметр Изменить в Outlook , так как эта функция в настоящее время не поддерживается для помеченных данных.
    • Если вы используете возможности расширения, включающие подключаемые модули и соединитель Microsoft Graph, Microsoft 365 Copilot Chat не распознают метки конфиденциальности и шифрование, применяемые к этим данным из внешних источников. В большинстве случаев это ограничение не применяется, так как данные вряд ли поддерживают метки конфиденциальности и шифрование, хотя одним из исключений являются данные Power BI. Вы всегда можете отключить внешние источники данных, используя Центр администрирования Microsoft 365, чтобы отключить эти подключаемые модули для пользователей и отключить подключения, использующие соединитель API Graph.

Исключения, относящиеся к приложению:

  • Microsoft 365 Copilot в Outlook. Для использования Microsoft 365 Copilot для зашифрованных элементов в Outlook требуется минимальная версия Outlook.

    • Outlook (классическая версия) для Windows: начиная с версии 2408 в Current Channel и Monthly Enterprise Channel
    • Outlook для Mac: версия 16.86.609+
    • Outlook для iOS: версия 4.2420.0+
    • Outlook для Android: версия 4.2420.0+
    • Outlook в Интернете: Да
    • Новый Outlook для Windows: Да

  • Microsoft 365 Copilot в Edge, Microsoft 365 Copilot в Windows. Если в Edge не используется защита от потери данных (DLP), Copilot может ссылаться на зашифрованное содержимое на активной вкладке браузера в Edge, если это содержимое не предоставляет пользователю права на использование EXTRACT. Например, зашифрованный контент поступает из Office для Интернета или Outlook для Интернета.

Будет ли существующую метку переопределяться для наследования меток конфиденциальности?

Сводка результатов, когда Microsoft 365 Copilot автоматически применяет защиту с наследованием меток конфиденциальности:

Существующая метка Переопределение с наследованием меток конфиденциальности
Применение вручную с более низким приоритетом Да
Применение вручную с более высоким приоритетом Нет
Применяется автоматически, более низкий приоритет Да
Применяется автоматически, более высокий приоритет Нет
Метка по умолчанию из политики, более низкий приоритет Да
Метка по умолчанию из политики, более высокий приоритет Нет
Метка конфиденциальности по умолчанию для библиотеки документов, более низкий приоритет Да
Метка конфиденциальности по умолчанию для библиотеки документов с более высоким приоритетом Нет

Copilot учитывает существующую защиту с правом использования EXTRACT

Хотя вы, возможно, не очень знакомы с отдельными правами на использование зашифрованного содержимого, они уже давно. От Windows Server Rights Management до Active Directory Rights Management до облачной версии, которая стала Azure Information Protection со службой Azure Rights Management.

Если вы когда-либо получали сообщение "Не пересылать", оно использует права на использование, чтобы предотвратить пересылку сообщения после проверки подлинности. Как и в случае с другими упакованными правами на использование, которые сопоставляются с распространенными бизнес-сценариями, электронная почта "Не пересылать" предоставляет получателю права на использование, которые определяют, что они могут делать с содержимым, и не включает право использования FORWARD. Помимо не переадресации, вы не можете распечатать сообщение не пересылать сообщение электронной почты или скопировать текст из него.

Право на использование, предоставляющее разрешение на копирование текста, — EXTRACT, с более понятным общим именем Copy. Именно это право на использование определяет, могут ли copilot или агенты отображать текст для пользователя из зашифрованного содержимого.

Примечание.

Так как право на использование полный доступ (ВЛАДЕЛЕЦ) включает все права на использование, функция EXTRACT автоматически включается в полный доступ.

При использовании портала Microsoft Purview для настройки метки конфиденциальности для применения шифрования первым выбором является назначение разрешений сейчас или разрешить пользователям назначать разрешения. Если вы назначите разрешения сейчас, вы можете настроить их, выбрав предопределенный уровень разрешений с предустановленной группой прав на использование, например Co-Author или Рецензент. Кроме того, можно выбрать настраиваемые разрешения, в которых можно выбрать доступные права на использование по отдельности.

На портале Microsoft Purview право на использование EXTRACT отображается как Копирование и извлечение содержимого(EXTRACT). Например, выбранный по умолчанию уровень разрешений — Редактор, где отображается элемент Копирование и извлечение содержимого(EXTRACT) включен. В результате copilot и агенты могут возвращать содержимое, защищенное этой конфигурацией шифрования.

Настройка прав использования для метки конфиденциальности, где разрешения включают EXTRACT.

Если выбрать Пользовательский в раскрывающемся списке, а затем полный доступ(ВЛАДЕЛЕЦ) в списке, эта конфигурация также предоставит право использования EXTRACT.

Примечание.

Пользователь, применяющий шифрование, всегда имеет право на использование EXTRACT, так как он является владельцем Rights Management. Эта специальная роль автоматически включает в себя все права на использование и некоторые другие действия. Это означает, что содержимое, зашифрованное пользователем, всегда может быть возвращено им Microsoft 365 Copilot, Microsoft 365 Copilot Chat и агентами. Настроенные ограничения на использование применяются к другим пользователям, которым разрешен доступ к содержимому.

Кроме того, если выбрать конфигурацию шифрования, чтобы разрешить пользователям назначать разрешения, для Outlook эта конфигурация включает предопределенные разрешения для параметра Не пересылать и только шифровать. Параметр Encrypt-Only, в отличие от Не пересылать, включает право на использование EXTRACT.

При выборе настраиваемых разрешений для Word, Excel и PowerPoint пользователи выбирают собственные разрешения в приложении Office при применении метки конфиденциальности. В настоящее время существует две версии диалогового окна. В более старой версии они получают информацию о том, что из двух выбранных вариантов чтение не включает разрешение на копирование содержимого, но функция Change — . Эти ссылки для копирования ссылаются на право использования EXTRACT. Если пользователь выбирает Дополнительные параметры, он может добавить право extract usage (Извлечение использования) в раздел Чтение, выбрав Разрешить пользователям с доступом на чтение копировать содержимое.

Диалоговое окно

В последней версии диалогового окна чтение и изменение заменяется уровнями разрешений, где описания, которые не разрешено копировать состояния, не включают право на использование EXTRACT. Уровни разрешений, которые включают EXTRACT, — редактор и владелец. Например:

Диалоговое окно

Совет

Если необходимо проверка, содержит ли документ право на просмотр EXTRACT, откройте его в приложении Windows Office и настройте строку состояния, чтобы отобразить разрешения. Щелкните значок рядом с именем метки конфиденциальности, чтобы отобразить мое разрешение. Просмотрите значение параметра Копировать, которое сопоставляется с правому использованию EXTRACT, и убедитесь, что отображается значение "Да" или "Нет".

Если для сообщений электронной почты разрешения не отображаются в верхней части сообщения в Outlook для Windows, выберите информационный баннер с именем метки, а затем выберите Просмотр разрешения.

Copilot и агенты чтют право на использование EXTRACT для пользователя, однако оно было применено к содержимому. В большинстве случаев, когда содержимое помечено, предоставленные пользователю права на использование соответствуют правам из конфигурации меток конфиденциальности. Однако существуют некоторые ситуации, которые могут привести к тому, что права на использование содержимого отличаются от примененной конфигурации меток:

Дополнительные сведения о настройке метки конфиденциальности для шифрования см. в статье Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.

Технические сведения о правах на использование см. в разделе Настройка прав использования для службы Azure Rights Management.

Рекомендации по защите информации для агента каналов в Teams

Агент каналов в Teams использует сведения с метками конфиденциальности для ответа на вопросы пользователей, которые могут быть получены из файлов каналов в SharePoint, сообщений и собраний каналов, а также стандартных собраний. Для этих меток конфиденциальности они имеют много из тех же соображений по защите информации, что и перечисленные в предыдущем разделе для Microsoft 365 Copilot. Например:

  • Метка с наивысшим приоритетом отображается в чате и используется для наследования меток при создании нового содержимого, созданного СИ.
  • Содержимое из элементов, зашифрованных с пользовательскими разрешениями и шифрованием двойного ключа, недоступно.
  • Метки конфиденциальности, применяемые к каналу из конфигурации групп меток и сайтов , не используются агентом канала в Teams.

Однако в отличие от меток конфиденциальности в Microsoft 365 Copilot:

  • Хотя агент канала в Teams учитывает разрешение EXTRACT, как copilot для запрашивающего пользователя, эти разрешения проверяются не для всех пользователей в канале. В результате агент канала может суммировать содержимое элементов, на открытие которых у одного или нескольких пользователей канала нет разрешений. Запрашивающий пользователь будет предупрежден об этом риске, и администраторы могут отключить агент канала в Teams.
  • Вы не можете запретить агенту канала суммировать помеченные файлы, которые определены политикой защиты от потери данных Microsoft Purview.
  • Вы не можете запретить пользователям копировать ответы чата из агента каналов или запретить использование этих ответов другим агентом канала в каналах Teams.
  • Информационные барьеры не поддерживаются для агента канала, и в результате они могут возвращать информацию, которая пересекает барьеры.
  • Агент канала в Teams не поддерживается с ключом клиента Microsoft Purview.

Рекомендации по управлению соответствием требованиям для Microsoft 365 Copilot

Управление соответствием требованиям для взаимодействия с Microsoft 365 Copilot и агентами распространяется на следующие приложения: Word, Excel, PowerPoint, Outlook, Teams, Loop и Copilot Pages, Доска, OneNote и Microsoft 365 Copilot Chat (прежнее название — Бизнес-чат, чат на основе Graph и Microsoft 365 Chat).

Примечание.

Управление соответствием требованиям для Microsoft 365 Copilot Chat включает в себя запросы и ответы на общедоступный Веб-сайт и из нее, когда пользователи вошли в систему, и выберите параметр Работа, а не Интернет.

Средства соответствия требованиям определяют исходные Microsoft 365 Copilot взаимодействия по имени приложения. Например, Copilot в Word, Copilot в Teams и Microsoft 365 Chat (для Microsoft 365 Copilot Chat).

Прежде чем ваша организация будет использовать Microsoft 365 Copilot, убедитесь, что вы знакомы со следующими сведениями для поддержки ваших решений по управлению соответствием требованиям:

  • Данные аудита предназначены для обеспечения безопасности данных и обеспечения соответствия требованиям и обеспечивают всестороннюю видимость взаимодействия Microsoft 365 Copilot для этих вариантов использования. Например, для обнаружения рисков чрезмерного совместного использования данных или сбора взаимодействий в целях соответствия нормативным требованиям или в юридических целях. Он не предназначен для использования в качестве основы для отчетов об использовании Copilot.

    Примечание.

    Любые агрегированные метрики, созданные на основе этих данных аудита, такие как "количество запросов" или "количество активных пользователей", могут не соответствовать соответствующим точкам данных в официальных отчетах об использовании Copilot, предоставляемых корпорацией Майкрософт. Корпорация Майкрософт не может предоставить рекомендации по использованию данных журнала аудита в качестве основы для создания отчетов об использовании. Кроме того, корпорация Майкрософт не может гарантировать, что агрегированные метрики использования, созданные на основе данных журнала аудита, будут соответствовать аналогичным метрикам использования, указанным в других средствах.

    Чтобы получить точные сведения об использовании Copilot, используйте один из следующих отчетов: отчет об использовании Microsoft 365 Copilot в центре Microsoft 365 Admin или панель мониторинга Copilot в Viva Insights.

  • Аудит фиксирует Microsoft 365 Copilot действия поиска, но не фактический запрос или ответ пользователя. Для получения этих сведений используйте обнаружение электронных данных. Или Управление состоянием безопасности данных для ИИ Microsoft Purview используйте взаимодействие с ИИ на странице обозревателя действий.

  • Администратор изменения, связанные с аудитом Copilot, пока не поддерживаются.

  • Сведения об идентификации устройства в настоящее время не включаются в сведения об аудите.

  • Политики хранения для взаимодействий Copilot не информируют пользователей о том, что сообщения удаляются в результате политики хранения.

Исключения, относящиеся к приложению:

  • Microsoft 365 Copilot в Teams:
    • Если расшифровка отключена, возможности аудита, обнаружения электронных данных и хранения не поддерживаются.
    • Если ссылки на расшифровки имеются, это действие не записывается для аудита.
    • Для Microsoft 365 Copilot Chat Copilot в настоящее время не может хранить в виде облачных вложений файлы, ссылки на которые он возвращает пользователям. Файлы, на которые ссылаются пользователи, поддерживаются для хранения в виде облачных вложений.
  • Last updated on