Configurare una base sicura e regolamentata per Microsoft 365 Copilot

Si applica a: Microsoft 365 Copilot, Microsoft Purview e SharePoint Advanced Management

Microsoft 365 Copilot usa Work IQ per migliorare le risposte alle richieste degli utenti usando i dati a cui l'utente ha già l'autorizzazione per accedere. Quando i dati dell'organizzazione sono ben regolamentati, correnti e condivisi in modo appropriato, Copilot può fornire risposte accurate, pertinenti e sicure.

Questo articolo illustra come preparare, proteggere e gestire Microsoft 365 Copilot. Seguendo questi passaggi, è possibile aiutare Copilot a fornire risultati accurati e pertinenti, supportando al tempore i requisiti di sicurezza, conformità e normative dell'organizzazione.

Queste linee guida sono destinate agli amministratori IT e agli amministratori della sicurezza che preparano l'organizzazione per Microsoft 365 Copilot o apportano le modifiche necessarie ai controlli di sicurezza e governance dopo l'abilitazione di Copilot.

Ciò che questo articolo consente di ottenere

Completando i passaggi descritti in questo articolo, è possibile:

• Stabilire misure di protezione per garantire che gli utenti abbiano accesso appropriato a SharePoint, OneDrive ed Exchange e che Copilot faccia riferimento solo a informazioni accurate e aggiornate in linea con i criteri dell'organizzazione

• Effettuare scelte informate su come Copilot può e non può interagire con i dati sensibili dell'organizzazione, garantendo il controllo e la flessibilità nell'utilizzo e nell'accesso ai dati

• Monitorare le modifiche e l'attività copilot per identificare e correggere i rischi.

Licenze

Le funzionalità descritte in questo articolo richiedono:

• Microsoft 365 E3 o Microsoft 365 E5 (o Office 365 E3 o Office 365 E5) per i servizi e le funzionalità principali di Microsoft 365, ad esempio funzionalità di SharePoint, OneDrive e Microsoft Purview.

• Questo articolo illustra sia le funzionalità di base di Microsoft Purview incluse in Microsoft 365 E3. Questo articolo cita anche le funzionalità ottimizzate incluse in Microsoft 365 E5.

• Microsoft 365 Copilot

• Gestione avanzata di SharePoint (inclusa nelle licenze Copilot)

Ruoli di amministratore

È necessario accedere ai portali di amministrazione e alle autorizzazioni seguenti:

Passaggio 1: Correggere l'oversharing

In questo passaggio si identificano e si assegnano priorità a siti ad alto rischio e contenuti sensibili, si applicano protezioni provvisorie per ridurre l'esposizione di Copilot e quindi si correggono l'accesso e le autorizzazioni.

Identificare siti e contenuti ad alto rischio

Usare Microsoft Purview e SharePoint Advanced Management (SAM) per trovare siti e file sovracondivisi, senza proprietario, inattivi o contenenti dati sensibili che potrebbero essere visualizzati da Copilot.

1. Esaminare le valutazioni dei rischi dei dati Gestione della postura di sicurezza dei dati di Microsoft Purview (DSPM) per identificare i siti sovracondivisi con dati sensibili, collegamenti di condivisione rischiosi e contenuto a cui si accede di frequente

2. Eseguire la valutazione di gestione dei contenuti SAM per identificare i siti con gruppi di destinatari sovradimensionati, utilizzo EEEU, ereditarietà interrotta, condivisione inappropriata e quelli inattivi o senza proprietario

Applicare protezioni Copilot provvisorie

Prima che i siti siano in corso di correzione, applicare controlli temporanei per ridurre l'esposizione e verificare che Copilot non stia più esponendo contenuto con restrizioni.

1. Abilitare SAM Restricted Content Discovery (RCD) per escludere i siti sensibili dall'individuazione copilot.

2. Configurare Prevenzione della perdita dei dati Microsoft Purview (DLP) per Copilot per escludere il contenuto sensibile dalla messa a terra di Copilot.

Convalidare tramite il controllo Di Microsoft Purview e segnala che Copilot non presenta più contenuto con restrizioni. Vedere Usare Microsoft Purview per gestire la sicurezza dei dati & la conformità per Microsoft 365 Copilot e Microsoft 365 Copilot Chat.

Correggere l'accesso e le autorizzazioni

Per i siti identificati come ad alto rischio, usare le raccomandazioni di Microsoft Purview e SAM per rimuovere l'accesso eccessivo, correggere l'ereditarietà interrotta e garantire la proprietà responsabile.

1. Esaminare le raccomandazioni di Microsoft Purview DSPM Data Risk Assessment per i siti contrassegnati come ad alto rischio e intraprendere le azioni seguenti:

   • Applicare etichette di riservatezza del sito per riflettere la riservatezza dei dati e limitare l'oversharing

   • Rimuovere l'accesso eccessivo o anonimo e i collegamenti di condivisione dell'ambito a utenti o gruppi approvati. Vedere Gestire le impostazioni di condivisione per SharePoint e OneDrive.

2. Avviare le verifiche di accesso al sito SAM per i siti ad alto rischio in modo che i proprietari del sito possano gestire l'accesso (fino al livello di file) e:

   • Rimuovere gli utenti in eccesso, i gruppi e i collegamenti di condivisione a livello aziendale (incluso EEEU) e i collegamenti di condivisione dell'ambito a utenti o gruppi approvati. Vedere Monitorare le attività di condivisione in SharePoint.

   • Correggere l'ereditarietà delle autorizzazioni interrotte in raccolte e cartelle. Vedere Ereditarietà delle autorizzazioni in SharePoint e Personalizzazione delle autorizzazioni per un elenco o una raccolta di SharePoint.

   • Assegnare o confermare la proprietà del sito per tutti i siti corretti usando la gestione del ciclo di vita del sito SAM. Vedere Creare un criterio di proprietà del sito di SharePoint.

Rimuovere le protezioni copilot provvisorie dopo aver corretto l'accesso e le autorizzazioni

Passaggio 2: Configurare guardrail

In questo passaggio si stabiliscono le impostazioni predefinite sicure e le protezioni permanenti con Microsoft Purview e SAM in modo che i nuovi siti e contenuti siano protetti al momento della creazione e che questi controlli vengano continuamente applicate e ottimizzate nel tempo.

Stabilire impostazioni predefinite sicure

Usare le impostazioni predefinite del tenant e del provisioning per impedire l'introduzione dell'oversharing nei nuovi siti e nei collegamenti di condivisione.

1. Applicare RAC (Restricted Controllo di accesso) per impostazione predefinita per i siti critici per le aziende in fase di provisioning.

2. Disabilitare o limitare l'uso dei gruppi di condivisione a livello aziendale e dei collegamenti Chiunque a livello di tenant. Vedere Funzionamento dei collegamenti condivisibili in SharePoint e OneDrive.

3. Usare Microsoft Purview Information Protection per richiedere etichette di riservatezza del sito durante il provisioning per applicare i controlli corretti per la privacy e la condivisione del sito per impostazione predefinita. Vedere Usare le etichette di riservatezza per proteggere il contenuto nei siti di Microsoft Teams, Gruppi di Microsoft 365 e SharePoint.

Stabilire guardrail sicuri

Proteggere i dati sensibili per impostazione predefinita e decidere come usarli con Copilot usando Microsoft Purview.

1. Configurare l'etichetta automatica e le etichette di riservatezza Microsoft Purview Information Protection predefinite per garantire la protezione di file e messaggi di posta elettronica sensibili.

2. Sono presenti file o messaggi di posta elettronica che non devono essere usati da Copilot per la messa a terra? In caso affermativo, configurare Microsoft Purview DLP per i criteri Copilot per limitare l'elaborazione copilot di file e messaggi di posta elettronica con etichetta di riservatezza specifica

3. Sono presenti parole chiave o tipi di dati sensibili che non devono essere elaborati da Copilot? In caso affermativo, abilitare un criterio di prevenzione della perdita dei dati di Purview per copilot per impedire a Copilot di rispondere alle richieste contenenti informazioni riservate specificate

4. Abilitare un criterio DLP di Microsoft Purview per prompt di Copilot per impedire a Copilot di rispondere alle richieste che contengono informazioni riservate.

   Facoltativamente, consentire l'uso dei dati sensibili per la messa a terra di Work IQ, ma impedire il web grounding

5. Abilitare Gestione dei rischi Insider Microsoft Purview (criteri IRM) per rilevare modelli di utilizzo di Copilot inappropriato o non conforme e aggiungere automaticamente utenti rischiosi a criteri di sicurezza più restrittivi

Applicare e ottimizzare continuamente i guardrail

Usare report, valutazioni dei rischi e avvisi di Microsoft Purview per convalidare continuamente la protezione e analizzare l'utilizzo rischioso dell'IA.

1. Usare Microsoft Purview DSPM Activity Explorer per esaminare le interazioni copilot (richieste e risposte), le parole chiave di ricerca Web e l'attività di dati sensibili.

2. Usare Microsoft Purview DSPM valutazioni dei rischi per i dati per verificare continuamente che i dati sensibili rimangano protetti dall'accesso copilot.

3. Esaminare Gestione dei rischi Insider Microsoft Purview e gli avvisi DLP per rilevare e analizzare l'utilizzo rischioso dell'IA o la potenziale perdita di dati. Vedere Grafico dei rischi dei dati in Gestione dei rischi Insider e Informazioni sull'analisi degli avvisi DLP.

Passaggio 3: Rispettare le normative

In questo passaggio vengono valutati e colmati i gap di conformità dell'IA, vengono definiti i requisiti di controllo e conservazione per le interazioni copilot e si migliora l'igiene dei dati con Microsoft Purview per supportare la governance responsabile dell'IA su larga scala.

Identificare e risolvere le lacune rispetto alle normative sull'intelligenza artificiale

1. Usare Microsoft Purview Compliance Manager per valutare il tenant in base ai requisiti normativi correlati all'intelligenza artificiale e alle azioni consigliate da Microsoft.

2. Esaminare le azioni di miglioramento di Microsoft Purview Compliance Manager correlate ai controlli di protezione dei dati, controllabilità e utilizzo dell'intelligenza artificiale.

3. Assegnare e tenere traccia del lavoro di correzione per colmare le lacune di conformità identificate. Vedere Aggiornare le azioni di miglioramento e portare i dati di conformità in Compliance Manager.

4. Convalidare i miglioramenti usando i report di DSPM di Microsoft Purview. Vedere Come usare DSPM.

Definire i requisiti normativi

1. Decidere per quanto tempo mantenere i log di controllo in base ai requisiti normativi e interni. Vedere Gestire i criteri di conservazione dei log di controllo.

2. Decidere come mantenere o quando eliminare le interazioni copilot in base al rischio legale o ai requisiti normativi. Vedere Gestione del ciclo di vita dei dati di Microsoft Purview.

3. Usare Microsoft Purview eDiscovery per cercare, conservare e produrre contenuto correlato a Copilot per controlli o richieste legali.

Migliorare l'igiene dei dati

Ridurre i rischi continui e migliorare la qualità delle risposte copilot pulendo continuamente i contenuti inattivi e applicando criteri di conservazione ed eliminazione.

Per i siti:

• Mantenere l'igiene del ciclo di vita identificando e risolvendo i siti inattivi o obsoleti. Vedere Criteri del sito inattivi SAM.

• Usare Microsoft 365 Archivio per archiviare contenuti inattivi ma di alto valore a un costo inferiore, impedendo al contempo a Copilot di elaborare o ragionare su di esso.

Per i file:

• Applicare i criteri di conservazione ed eliminazione di Microsoft Purview per rimuovere file inattivi o obsoleti per migliorare la qualità delle risposte copilot.

• Usare le etichette di conservazione di Microsoft Purview e Microsoft 365 Archivio per escludere i file dall'uso di Copilot, preservandoli al tempo stesso per l'individuazione o l'obbligo di registrazione

Passaggi successivi

Dopo aver completato i passaggi descritti in questo articolo:

1. Usare il portale di Microsoft Purview e l'agente di governance del contenuto per visualizzare le informazioni ed eseguire report su base pianificata.

2. Informare i proprietari e gli utenti del sito sull'etichettatura, la condivisione e l'uso responsabile di Copilot. Vedere Microsoft 365 Copilot dati e conformità.