Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сводка. Чтобы применить принципы нулевого доверия к Microsoft 365 Copilot, необходимо применить семь уровней защиты в клиенте Microsoft 365:
- Защита данных
- Идентификация и доступ
- Защита приложений
- Управление устройствами и защита
- Защита от угроз
- Безопасная совместная работа с Teams
- Разрешения пользователя на данные
Введение
Перед введением Microsoft 365 Copilot (Copilot) в вашу среду корпорация Майкрософт рекомендует создать надежную основу безопасности. К счастью, руководство по надежному фундаменту безопасности существует в виде нулевого доверия. Стратегия безопасности нулевого доверия обрабатывает каждый запрос подключения и ресурса, как если бы он исходил из неконтролируемой сети и плохого субъекта. Независимо от того, где возникает запрос или к какому ресурсу он обращается, концепция Zero Trust учит нас "никогда не доверять, всегда проверять".
В этой статье приведены шаги по применению принципов безопасности нулевого доверия для подготовки среды для Copilot следующим образом:
| Принцип нулевого доверия | Определение | Встречалась |
|---|---|---|
| Явная проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Обеспечьте проверку подлинности учетных данных пользователей, соответствия требованиям к устройствам, а также соблюдения разрешений и поведения приложений. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью методик "Just-In-Time" и "Just-Enough-Access" (JIT/JEA), а также адаптивных политик, основанных на анализе рисков, и средств защиты данных. | Проверьте JEA в вашей организации, чтобы исключить чрезмерное распространение, гарантируя, что правильные разрешения назначены файлам, папкам, Teams и электронной почте. Используйте метки конфиденциальности и политики защиты от потери данных для защиты данных. |
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и сегментируйте доступ. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. | Используйте встроенные функции безопасности для всех облачных почтовых ящиков и служб XDR в Microsoft Defender, чтобы автоматически предотвращать распространенные атаки и обнаруживать и реагировать на инциденты безопасности. |
Основные сведения о Copilot см. в обзоре и о том, как приступить к работе.
Логическая архитектура
Принципы нулевого доверия применяются для Copilot во всей архитектуре, от пользователей и устройств к данным приложения, к которым у них есть доступ. На следующей схеме показаны компоненты логической архитектуры.
На схеме:
- На устройствах пользователей установлены приложения Microsoft 365, из которых пользователи могут инициировать запросы Copilot
- Компоненты Copilot включают:
- Служба Copilot, которая управляет ответами на запросы пользователей
- Модель большого языка (LLM), на которую ссылается Copilot, чтобы получить лучший ответ для пользователя
- Экземпляр Microsoft Graph для данных вашей организации в Microsoft 365
- Клиент Microsoft 365, содержащий данные организации
- Результаты Copilot для пользователя содержат только данные, к которым пользователь может получить доступ.
Дополнительные технические иллюстрации см. в следующих статьях библиотеки Microsoft 365 Copilot:
- Архитектура и принцип работы Microsoft 365 Copilot
- Архитектура защиты данных и аудита в Microsoft 365 Copilot
Что такое в этой статье
В этой статье описаны шаги по применению принципов нулевого доверия для подготовки среды Microsoft 365 для Copilot.
| Шаг | Задача | Применены принципы нулевого доверия |
|---|---|---|
| 1 | Развертывание или проверка защиты данных и начало работы с средствами соответствия требованиям | Явная проверка Использование доступа с минимальными привилегиями |
| 2 | Развертывание или проверка политик удостоверения и доступа | Проверить явно Использование доступа с минимальными привилегиями |
| 3 | Развертывание или проверка политик защиты приложений | Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
| 4 | Развертывание или проверка управления устройствами и защиты | Явная проверка |
| 5 | Развертывание или проверка служб защиты от угроз | Предполагайте наличие бреши в системе безопасности |
| 6 | Развертывание или проверка безопасной совместной работы с Teams | Проверять в явной форме Использование доступа с минимальными привилегиями |
| 7 | Развертывание или проверка разрешений пользователей на данные | Использование доступа с минимальными привилегиями |
Начало работы с E3 и дальнейшие действия с E5
Для достижения прогресса каждый из шагов, описанных в этой статье, организован следующим образом:
- Начало работы с возможностями E3
- Дальнейшие действия с возможностями E5
Адаптация этого руководства для вашей организации
Так как различные организации могут находиться на различных этапах развертывания защиты нулевого доверия, в каждом из следующих шагов:
- Если вы не используете какие-либо из описанных в этом шаге средств защиты, выделите время на их испытания и развертывание перед назначением лицензий Copilot.
- Если вы используете некоторые средства защиты, описанные на шаге, используйте сведения в этом шаге в качестве контрольного списка и убедитесь, что каждая защита была пилотирована и развернута перед назначением лицензий Copilot.
Последние сведения о поддержке Copilot для связанных с безопасностью и других функций Microsoft 365 см. в статье о требованиях Copilot.
Шаг 1. Развертывание или проверка защиты данных и начало работы с средствами соответствия требованиям
Чтобы предотвратить риск превышения или избыточности данных вашей организации, необходимо защитить данные в клиенте Microsoft 365. Microsoft Purview включает надежный набор возможностей для обнаружения, классификации, маркировки и защиты данных. Однако мы понимаем, что это может занять некоторое время для выполнения этой работы. Microsoft 365 включает элементы управления, которые можно использовать немедленно, чтобы предотвратить чрезмерное использование данных через Copilot. Microsoft 365 также включает возможности, помогающие выполнять обязательства по соответствию требованиям.
Примените элементы управления конфиденциальностью для предотвращения чрезмерного обмена информацией
Элементы управления излишним обменом данными в Microsoft 365 помогают вам:
- Временно ограничить поиск Copilot списком указанных сайтов (ограниченный поиск SharePoint)
- Быстро определите сайты, которые потенциально содержат избыточные общие данные или конфиденциальное содержимое (отчеты об управлении доступом к данным)
- Помечайте сайты, чтобы пользователи не могли их найти через Copilot или поиск по всей организации (обнаружение ограниченного содержимого)
Чтобы приступить к работе с элементами управления oversharing, используйте следующие ресурсы:
- Иллюстрация и описание функций ограничения избыточного обмена информацией, которые можно использовать с Microsoft 365 Copilot
- Скачиваемый план для предотвращения избыточного распространения
Реализация возможностей Microsoft Purview начиная с DSPM для искусственного интеллекта
Используйте Microsoft Purview для снижения рисков, связанных с использованием ИИ, а также для управления ими, а также для реализации соответствующих средств управления защитой и управлением.
Управление состоянием безопасности данных Microsoft Purview (DSPM) для ИИ предоставляет простые в использовании графические инструменты и отчеты для быстрого получения аналитических сведений об использовании ИИ в организации. Политики одним щелчком помогают защитить данные и обеспечить соответствие нормативным требованиям.
Используйте DSPM AI для быстрого защиты конфиденциальных данных, взаимодействующих с Copilot. Регулярно просматривайте рекомендации, особенно при каждом добавлении новых пользователей. DSPM для искусственного интеллекта помогает:
- Устранение проблем с чрезмерным распространением информации, выявленных с помощью вашей стандартной оценки риска данных
- Создание набора меток конфиденциальности по умолчанию
- Создание политик защиты от потери данных (DLP)
- Обнаружение рискованных взаимодействий
- Получите направленную помощь по регулированию ИИ с Compliance Manager
- Безопасные взаимодействия в работе с Microsoft Copilot
- Обнаружение конфиденциальных данных, совместно используемых с ИИ через сеть, с интеграцией пограничных служб безопасного доступа (SASE) или службы безопасности (SSE).
Начало использования возможностей соответствия Purview
Microsoft Purview предоставляет возможности, которые помогут вам оставаться в курсе обязательств по соответствию требованиям, включая новые правила и стандарты ИИ. Начало работы с Microsoft Purview Compliance Manager и использование дополнительных возможностей по мере необходимости:
- Microsoft Purview Compliance Manager — это решение, которое помогает автоматически оценивать соответствие нормативным требованиям, применяемым к вашей организации, и управлять ими.
- Соответствие коммуникациям Purview помогает минимизировать риски коммуникации, помогая обнаруживать, фиксировать и принимать меры по потенциально неуместным сообщениям в вашей организации.
- Управление жизненным циклом данных Purview помогает сохранить данные, которые необходимо вам, и удалить ненужные.
- Используйте eDiscovery вместе с журналами аудита в Microsoft 365 Copilot для проведения расследований по мере необходимости.
Дополнительные сведения см. в следующих ресурсах:
- Иллюстрации для защиты данных и аудита с помощью Microsoft 365 Copilot
- Защита данных и соответствия требованиям Microsoft Purview для Microsoft Copilot
- Соображения о DSPM для ИИ для управления защитой данных и соблюдением требований для взаимодействия с ИИ.
- Управление приложениями ИИ и данными для соответствия нормативным требованиям
Начало работы с E3
Во-первых, примените элементы управления избыточным обменом информацией, которые работают с Copilot, соответствующие вашей среде. Эти элементы управления помогают немедленно защитить данные. После выполнения долгосрочной работы по классификации данных и применению меток конфиденциальности и защиты обязательно вернитесь к контрольным параметрам, чтобы убедиться, что они по-прежнему подходят для предотвращения излишнего обмена информацией. Просмотрите иллюстрации излишнего деления информацией и скачайте схему , чтобы предотвратить переизбыток информации.
Затем инвестируйте в классификацию и защиту данных с возможностями Microsoft Purview.
Метки конфиденциальности образуют краеугольный камень защиты данных. Прежде чем создавать метки для обозначения конфиденциальности элементов и применяемых действий защиты, необходимо понять существующую таксономию классификации вашей организации и как она сопоставляется с метками, которые пользователи видят и применяют в приложениях. После создания меток конфиденциальности опубликуйте их и предоставьте пользователям рекомендации по их применению в Word, Excel, PowerPoint и Outlook.
Дополнительные сведения см. в разделе:
- Начало работы с ярлыками конфиденциальности
- Создание и настройка меток конфиденциальности и их политик
- Включение меток конфиденциальности для файлов Office в SharePoint и OneDrive
Рассмотрите возможность дополнить ручную маркировку настройками политики меток чувствительности, включая метки по умолчанию и обязательные метки. Метка по умолчанию помогает задать базовый уровень параметров защиты, которые вы хотите применить ко всему содержимому. Обязательное добавление меток гарантирует, что пользователи присваивают метки документам и сообщениям электронной почты. Однако без комплексного обучения пользователей и других элементов управления эти параметры могут привести к неточной маркировке.
Дополнительные ресурсы для защиты данных организации:
- Создайте политики защиты от потери данных для файлов и электронной почты.
- Создайте политики управления хранением, чтобы сохранить то, что нужно, и удалить то, что вам не нужно.
- Используйте обозреватель содержимого для просмотра и проверки элементов, имеющих метку конфиденциальности, метку хранения или классифицированную как тип конфиденциальной информации в вашей организации.
Дальнейшие действия с E5
С помощью Microsoft 365 E5 можно расширить метки конфиденциальности, чтобы защитить больше содержимого и больше методов маркировки. Например, маркировка сайтов SharePoint и Teams с помощью меток контейнеров, а также автоматическая маркировка элементов в Microsoft 365 и за его пределами. Дополнительные сведения см. в списке распространенных сценариев маркировки и их соответствии с бизнес-целями.
Рассмотрим следующие дополнительные возможности Microsoft 365 E5:
- Расширьте политики защиты от потери данных в большем расположении и используйте более широкий диапазон классификаторов для поиска конфиденциальной информации.
- Метки хранения можно автоматически применять при обнаружении конфиденциальной информации, которая требует различных параметров от политик хранения или более высокого уровня управления.
- Чтобы лучше понять ваши конфиденциальные данные и их метки, используйте обозреватель активности и полные возможности обозревателя контента.
Шаг 2. Развертывание или проверка политик удостоверения и доступа
Чтобы предотвратить использование Copilot для более быстрого обнаружения и доступа к конфиденциальным данным, первым шагом является предотвращение доступа к ним. Необходимо убедиться, что:
- Пользователям необходимо использовать строгую аутентификацию, которая не может быть скомпрометирована только путем угадывания пользовательских паролей.
- Попытки аутентификации оцениваются с точки зрения риска и на них налагаются дополнительные требования.
- Вы можете выполнять проверки доступа, предоставленного учетным записям пользователей, чтобы предотвратить излишнюю передачу данных.
Начало работы с E3
Microsoft 365 E3 включает лицензии Microsoft Entra ID P1. С помощью этого плана корпорация Майкрософт рекомендует использовать распространенные политики условного доступа, которые приведены ниже.
- Требовать многофакторную проверку подлинности (MFA) для администраторов
- Требовать MFA для всех пользователей
- Блокировать устаревшую проверку подлинности
Убедитесь, что вы включаете службы Microsoft 365 и другие приложения SaaS в область действия этих политик.
Если ваша среда включает гибридные удостоверения с локальными службами доменных служб Active Directory, обязательно разверните Microsoft Entra Password Protection. Эта возможность обнаруживает и блокирует известные слабые пароли и их варианты, а также может блокировать более слабые термины в паролях, относящихся к вашей организации.
Дальнейшие действия с E5
Microsoft 365 E5 включает лицензии Microsoft Entra ID P2. Начните реализацию рекомендуемого набора условных доступа и связанных политик Майкрософт, в том числе:
- Требование многофакторной аутентификации, если риск входа является средним или высоким.
- Требование, чтобы пользователи с высоким риском изменили свой пароль (применимо, если вы не используете проверку подлинности без пароля).
Дополнительные сведения о реализации защиты удостоверений и доступа в соответствии с вашим планом лицензирования см. в статье "Повышение безопасности входа для гибридных сотрудников с помощью MFA".
Microsoft 365 E5 и Microsoft Entra ID P2 включают большую защиту для привилегированных учетных записей. Реализуйте возможности, приведенные в следующей таблице.
| Возможность | Ресурсы |
|---|---|
| Управление привилегированными пользователями (PIM) | Обеспечивает защиту привилегированных учетных записей, обращаюющихся к ресурсам, включая ресурсы в идентификаторе Microsoft Entra, Azure и других службах Microsoft Online Services, таких как Microsoft 365 или Microsoft Intune. См. "Планирование развертывания управления привилегиями". |
| Управление привилегированным доступом Microsoft Purview | Позволяет детально контролировать доступ к привилегированным задачам администратора Exchange Online в Office 365. Это может помочь защитить вашу организацию от нарушений, использующих существующие привилегированные учетные записи администратора с постоянным доступом к конфиденциальным данным или доступу к критически важным параметрам конфигурации. Обзор управления привилегированным доступом. |
Наконец, рассмотрите возможность реализации проверок доступа в рамках общей стратегии JEA. Проверки доступа позволяют вашей организации эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно регулярно проверять, чтобы убедиться, что только правильные пользователи имеют соответствующий постоянный доступ.
Шаг 3. Развертывание или проверка политик защиты приложений
Для Microsoft 365 E3 и E5 используйте политики защиты приложений Intune (APP), которые являются правилами, которые гарантируют, что данные организации остаются безопасными или содержатся в управляемом приложении.
С помощью APP Intune создает стену между данными организации и личными данными. APP гарантирует, что данные организации в указанных приложениях не могут быть скопированы и вставлены в другие приложения на устройстве, даже если устройство не управляется.
ПРИЛОЖЕНИЕ может предотвратить непреднамеренное или преднамеренное копирование содержимого, созданного Copilot, в приложения на устройстве, которые не включены в список разрешенных приложений. Приложение может уменьшить зону воздействия атаки, используя скомпрометированное устройство.
Дополнительные сведения см. в разделе "Создание политик защиты приложений".
Шаг 4. Развертывание или проверка управления устройствами и защиты
Чтобы запретить злоумышленникам компрометировать устройства или использовать скомпрометированные устройства для получения доступа к Copilot, следующим шагом является использование функций управления и защиты устройств Microsoft 365. Необходимо убедиться, что:
- Устройства зарегистрированы в Microsoft Intune и должны соответствовать требованиям безопасности и соответствия.
- Параметры и функции можно администрировать на устройствах.
- Вы можете оценивать уровень риска ваших устройств.
- Вы можете заранее предотвратить потерю данных.
Начало работы с E3
Microsoft 365 E3 включает Microsoft Intune для управления устройствами.
Затем начните регистрировать устройства в управлении. После регистрации настройте политики соответствия требованиям, а затем требуйте, чтобы устройства были работоспособными и соответствовали требованиям. Наконец, можно развернуть профили устройств, также называемые профилями конфигурации, для управления параметрами и функциями на устройствах.
Чтобы развернуть эти средства защиты, используйте следующий набор статей.
- Шаг 1. Реализация политик защиты приложений
- Шаг 2. Регистрация устройств в управлении
- Шаг 3. Настройка политик соответствия
- Шаг 4. Требовать надежных и соответствующих требованиям устройств
- Шаг 5. Развертывание профилей устройств
Дальнейшие действия с E5
Microsoft 365 E5 также включает Microsoft Defender для конечной точки. После развертывания Microsoft Defender для конечной точки вы можете получить более подробные сведения и защиту устройств, интегрируя Microsoft Intune с Defender для конечной точки. Для мобильных устройств это включает возможность отслеживать риски устройств в качестве условия для доступа. Для устройств Windows можно отслеживать соответствие этих устройств базовым уровням безопасности.
Microsoft 365 E5 также включает защиту от потери данных конечной точки (DLP). Если ваша организация уже понимает данные, разработала схему конфиденциальности данных и применила схему, вы можете быть готовы расширить элементы этой схемы до конечных точек с помощью политик защиты от потери данных Microsoft Purview.
Чтобы развернуть эти возможности защиты устройств и управления, используйте следующие статьи:
- Шаг 6. Мониторинг рисков устройств и соответствия базовым планам безопасности
- Шаг 7. Внедрение DLP с возможностями защиты информации
Шаг 5. Развертывание или проверка служб защиты от угроз
Чтобы обнаружить действия плохих субъектов и держать их от получения доступа к Copilot, следующим шагом является использование служб защиты от угроз Microsoft 365. Необходимо убедиться, что:
- Вы можете автоматически предотвратить распространенные типы атак электронной почты и устройств.
- Вы можете использовать функции для уменьшения области атак на устройствах Windows.
- Вы можете обнаруживать и реагировать на инциденты безопасности с помощью комплексного набора служб защиты от угроз.
Начало работы с E3
Microsoft 365 E3 включает несколько ключевых функций безопасности. Кроме того, Windows 11 и Windows 10 включают множество возможностей защиты от угроз.
Встроенные функции безопасности для всех облачных почтовых ящиков
Microsoft 365 E3 включает встроенные функции безопасности для всех облачных почтовых ящиков. Эти функции помогают защитить средства электронной почты и совместной работы от фишинга, олицетворения и других угроз. Используйте эти ресурсы для настройки защиты от вредоносных программ, защиты от нежелательной почты и защиты от фишинга:
- Начало работы с Microsoft Defender для Office 365 (большая часть информации также относится к встроенным функциям безопасности для всех облачных почтовых ящиков).
- Предустановка политик безопасности в облачных организациях
Подсказка
Организации E3 могут приобрести Microsoft Defender для Office 365 P1 или P2 как дополнение. Дополнительные сведения см. в статье "Безопасность Майкрософт" | Microsoft Defender для Office 365.
Microsoft Defender для конечной точки P1
Microsoft 365 E3 включает Microsoft Defender для конечной точки P1, которая включает следующие возможности:
- Защита следующего поколения — помогает защитить устройства от возникающих угроз в режиме реального времени. Эта возможность включает антивирусную программу Microsoft Defender, которая постоянно сканирует ваше устройство, используя мониторинг поведения файлов и процессов.
- Уменьшение поверхности атаки. Предотвращение атак в первую очередь путем настройки параметров, которые автоматически блокируют потенциально подозрительное действие.
Используйте эти ресурсы для настройки Defender для плана конечной точки 1.
Возможности защиты Windows
По умолчанию Windows включает в себя надежную защиту и защиту оборудования, операционной системы, приложений и т. д. См. статью "Введение в безопасность Windows" для получения дополнительной информации. В следующей таблице перечислены важные возможности защиты от угроз клиента Windows, включенные в Microsoft 365 E3.
| Возможность | Ресурсы |
|---|---|
| Windows Hello | Общие сведения о Windows Hello для бизнеса |
| Брандмауэр Microsoft Defender | Документация по брандмауэру Защитника Windows |
| Microsoft Defender SmartScreen | Обзор Microsoft Defender SmartScreen |
| Управление приложением для Windows | Элемент управления приложениями для Windows |
| BitLocker | Общие сведения о шифровании устройств BitLocker |
| Защита приложений в Microsoft Defender для Edge | Обзор Microsoft Defender Application Guard |
Эти возможности можно настроить непосредственно на клиенте с помощью объектов групповой политики (ГОП) или с помощью средства управления устройствами, включая Intune. Однако вы можете управлять параметрами на устройствах в Intune только путем развертывания конфигурационных профилей, которая является функцией Microsoft 365 E5.
Дальнейшие действия с E5
Для более полной защиты от угроз осуществите пилотное тестирование и развертывание Microsoft Defender XDR, который включает в себя:
- Defender для идентификации
- Защитник для Office 365 P2
- Defender для Endpoint P2
- Defender для облачных приложений
Корпорация Майкрософт рекомендует включить компоненты Microsoft 365 в указанном порядке:
Дополнительные сведения и описание этого рисунка см. в разделе Оценка и пилотная эксплуатация Microsoft Defender XDR.
После развертывания Microsoft Defender XDR интегрируйте эти средства обнаружения и ответа (XDR) с Microsoft Sentinel. Microsoft Sentinel лицензируется и оплачивается отдельно от Microsoft 365 E5. Дополнительные сведения см. в следующих ресурсах:
- Реализация Microsoft Sentinel и Microsoft Defender XDR для нулевого доверия
- Планирование затрат и общие сведения о ценах и выставлении счетов Microsoft Sentinel
Шаг 6. Развертывание или проверка безопасной совместной работы для Microsoft Teams
Корпорация Майкрософт предоставляет рекомендации по защите Teams на трех разных уровнях — базовых, конфиденциальных и высокочувствительных. Знакомство с Copilot — это хорошее время для просмотра вашей среды и обеспечения соответствующей защиты. Необходимые действия:
- Определите проекты или Teams, которые требуют особую защиту. Настройте защиту для этого уровня. Во многих организациях нет данных, требующих такого уровня защиты.
- Определите проекты или Microsoft Teams, которые требуют конфиденциальной защиты, и примените эту защиту.
- Убедитесь, что все команды и проекты настроены для базовой защиты как минимум.
Дополнительные сведения см. в следующих ресурсах:
Внешний общий доступ
Знакомство с Copilot — это хорошее время для просмотра политик для совместного доступа к файлам с людьми за пределами вашей организации и разрешения внешних участников. Гостевые учетные записи не лицензированы для использования Copilot.
Для совместного использования с людьми за пределами вашей организации может потребоваться предоставление доступа к информации любой степени конфиденциальности. См. следующие ресурсы:
- Применение рекомендаций по совместному использованию файлов и папок с пользователями без проверки подлинности
- Ограничение случайного воздействия на файлы при совместном использовании с людьми за пределами организации
- Создание безопасной среды общего доступа к гостевым пользователям
Сведения о сотрудничестве с людьми за пределами организации см. в следующих ресурсах:
- Совместная работа над документами для совместного использования отдельных файлов или папок
- Совместная работа на сайте SharePoint для гостей
- Совместная работа как команда для гостей в команде
- Сотрудничайте с внешними участниками в канале для людей вне организации на общем канале
Шаг 7. Развертывание или проверка минимальных разрешений пользователей для данных
Чтобы предотвратить риск чрезмерного раскрытия или распространения данных вашей организации, необходимо убедиться, что у всех пользователей есть достаточный доступ (JEA) для выполнения своих заданий и не более того. Пользователи не должны иметь возможность просматривать или делиться данными, которые им не полагается видеть или распространять.
Чтобы предотвратить чрезмерное использование, реализуйте требования к разрешениям и политики организации, которые все пользователи должны следовать и обучать пользователей использовать их. Например, поместите элементы управления, например требование проверки доступа к сайту владельцами сайтов или ограничение доступа к определенным группам безопасности из одного центрального места.
Чтобы обнаружить существующее чрезмерное раскрытие информации.
На уровне файла
Используйте Microsoft Purview Information Protection и его элементы управления классификацией данных, интегрированные метки содержимого и соответствующие политики защиты от потери данных.
Эти функции помогают выявлять файлы в Microsoft Teams, сайтах SharePoint, расположениях OneDrive, в беседах чата, в локальной инфраструктуре и на устройствах конечных точек, содержащих конфиденциальную информацию или классифицированное содержимое, а затем автоматически применять элементы управления для ограничения доступа.
На уровне группы сайтов и контейнера в Microsoft Teams и SharePoint
Вы можете проверять доступ к общему содержимому на уровне сайта и группы и применять ограничения, ограничивающие обнаружение информации только тем, кто должен иметь доступ.
Чтобы еще больше автоматизировать этот процесс, Microsoft Syntex – Расширенное управление для SharePoint помогает выявлять случаи избыточного доступа к файлам в SharePoint и Microsoft Teams.
Применение защиты и развертывание Copilot параллельно
Чтобы упростить назначение лицензий Copilot в клиенте с соответствующей защитой, вы выполняете оба действия параллельно. На следующей схеме показано, как перейти к этапам развертывания защиты перед назначением лицензий Copilot отдельным учетным записям пользователей и их устройствам после их защиты.
Как показано на схеме, вы можете расширить защиту данных в организации по мере увеличения размера развертывания, продолжая использовать DSPM для искусственного интеллекта и использовать рекомендации.
Чтобы обеспечить соответствие требованиям, вы можете приступить к работе с диспетчером соответствия требованиям и реализовать дополнительные возможности по мере необходимости.
Обучение
Начало работы с Copilot
| Обучение | Начните работу с Copilot |
|---|---|
|
Этот путь обучения поможет вам ознакомиться с основами Copilot, демонстрируя его универсальность в различных приложениях Microsoft 365 и предлагает советы по максимизации своего потенциала. |
| Обучение | Подготовка организации к Copilot |
|---|---|
|
|
Этот путь обучения изучает дизайн Copilot, его функции безопасности и соответствия требованиям и предоставляет инструкции по реализации Copilot. |
Следующие шаги
Посмотрите, как подготовиться к видео Copilot .
См. дополнительные статьи о модели нулевого доверия и копилотах от Microsoft в следующих материалах:
См. также:
- Защита данных и соответствия требованиям Microsoft Purview для Microsoft Copilot
- Данные, конфиденциальность и безопасность для Copilot для Microsoft 365
- Документация по Copilot для Microsoft 365
Сводный плакат
Для визуального резюме информации в этой статье смотрите плакат "Архитектура и развертывание Copilot".
Используйте файл Visio для настройки этих иллюстраций для собственного использования.
Дополнительные технические иллюстрации нулевого доверия см. в примерах "Нулевое доверие" для ИТ-архитекторов и разработчиков.
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Обзор Copilot для Microsoft 365
- Общие политики безопасности для организаций Microsoft 365
- Политики защиты приложений Intune (APP)
- Управление устройствами с помощью Intune
- Обзор EOP
- Общие сведения о безопасности Windows
- Оценка и тестирование Microsoft Defender XDR
- Начало работы с ярлыками конфиденциальности
- Создание политик защиты от потери данных
- Настройте Teams с тремя уровнями защиты
- Microsoft Syntex — расширенное управление SharePoint