Aplicar os princípios de Confiança Zero ao Microsoft Copilot
Resumo: Para aplicar princípios de Confiança Zero ao Microsoft Copilot, você precisa:
- Implemente proteções de segurança para prompts baseados na Web na Internet.
- Adicione proteções de segurança para resumo do navegador Microsoft Edge.
- Conclua as proteções de segurança recomendadas para o Microsoft 365 Copilot.
- Mantenha as proteções de segurança ao usar o Microsoft Copilot e o Microsoft 365 Copilot em conjunto.
Introdução
O Microsoft Copilot ou Copilot é um companheiro de IA em coplilot.microsoft.com, no Windows, no Edge, no Bing e no aplicativo móvel do Copilot. Este artigo ajuda você a implementar proteções de segurança para manter sua organização e seus dados seguros ao usar o Copilot. Ao implementar essas proteções, você estará criando uma base de Confiança Zero.
As recomendações de segurança de Confiança Zero para o Copilot concentram-se na proteção de contas de usuários, dispositivos de usuários e dados que estão no escopo da maneira como você configura o Copilot.
Você pode introduzir o Copilot em fases, desde a permissão de prompts com base na Web para a Internet até a permissão de prompts com base na Web e no Microsoft 365 Graph para a Internet e para os dados da sua organização. Este artigo ajuda você a entender o escopo de cada configuração e, consequentemente, as recomendações para preparar seu ambiente com proteções de segurança adequadas.
Como a Confiança Zero ajuda com a IA?
A segurança, especialmente a proteção de dados, costuma ser uma das principais preocupações ao introduzir ferramentas de IA em uma organização. Confiança Zero é uma estratégia de segurança que verifica cada solicitação de usuário, dispositivo e recurso para garantir que cada um deles seja permitido. O termo "confiança zero" refere-se à estratégia de tratar cada conexão e solicitação de recurso como se fosse originária de uma rede não controlada e de um agente mal-intencionado. Independentemente de onde a solicitação se origina ou qual recurso acessa, a Confiança Zero nos ensina a "nunca confiar, sempre verificar".
Como líder em segurança, a Microsoft fornece um roteiro prático e diretrizes clara para a implementação da Confiança Zero. O conjunto de Copilots da Microsoft foi criado com base nas plataformas existentes, que herdam as proteções aplicadas a essas plataformas. Para obter detalhes sobre a aplicação da Confiança Zero às plataformas da Microsoft, consulte o Centro de Diretrizes de Confiança Zero. Ao implementar essas proteções, você está construindo uma base de segurança de Confiança Zero.
Este artigo baseia-se nessas diretrizes para prescrever as proteções de Confiança Zero relacionadas ao Copilot.
O que está incluído neste artigo
Este artigo apresenta as recomendações de segurança que se aplicam em quatro fases. Isso fornece um caminho para a introdução do Copilot no seu ambiente enquanto você aplica proteções de segurança para usuários, dispositivos e dados acessados pelo Copilot.
| Estágio | Configuração | Componentes a serem protegidos |
|---|---|---|
| 1 | Prompts com base na Web para a Internet | Higiene básica de segurança para usuários e dispositivos usando políticas de identidade e acesso. |
| 2 | Prompts com base na Web para a Internet com o resumo de páginas do navegador Edge habilitado | Os dados da sua organização no local, na intranet e na nuvem que o Copilot no Edge pode resumir. |
| 3 | Prompts com base na Web para a Internet e acesso ao Microsoft 365 Copilot | Todos os componentes afetados pelo Microsoft 365 Copilot. |
| 4 | Prompts com base na Web para a Internet e acesso ao Microsoft 365 Copilot com o resumo de páginas do navegador Edge habilitados | Todos os componentes listados acima. |
Estágio 1. Comece com as recomendações de segurança para prompts com base na Web para a Internet
A configuração mais simples do Copilot fornece assistência de IA com prompts com base na Web.
Na ilustração:
- Os usuários podem interagir com o Copilot por meio de copilot.microsoft.com, do Windows, do Bing, do navegador Edge e do aplicativo móvel Copilot.
- Os prompts são baseados na Web. O Copilot usa apenas dados disponíveis publicamente para responder aos prompts.
Com essa configuração, os dados da sua organização não são incluídos no escopo de dados a que o Copilot faz referência.
Use essa fase para implementar políticas de identidade e acesso para usuários e dispositivos a fim de impedir que agentes mal-intencionados utilizem o Copilot. No mínimo, você deve configurar políticas de acesso condicional que exijam:
Recomendações adicionais para o Microsoft 365 E3
- Para autenticação e acesso à conta de usuário, configure também as políticas de identidade e acesso para Bloquear clientes que não dão suporte à autenticação moderna.
- Usar os recursos de proteção do Windows.
Recomendações adicionais para o Microsoft 365 E5
Implemente as recomendações para o E3 e configure as seguintes políticas de identidade e acesso:
- Exigir a MFA quando o risco de entrada for médio ou alto
- Usuários de alto risco devem alterar suas senhas
Estágio 2. Adicionar proteções de segurança para o resumo do navegador Edge
Na barra lateral do Microsoft Edge, o Microsoft Copilot ajuda você a obter respostas e inspirações de toda a Web e, se habilitado, de alguns tipos de informações exibidas em guias abertas do navegador.
Aqui estão alguns exemplos de páginas da Web privadas ou da organização e tipos de documentos que o Copilot no Edge pode resumir:
- Sites de intranet, como o SharePoint, exceto documentos do Office inseridos
- Outlook Web App
- PDFs, inclusive os armazenados no dispositivo local
- Sites não protegidos por políticas DLP do Microsoft Purview, políticas de gerenciamento de aplicativos móveis (MAM) ou políticas MDM
Observação
Para obter a lista atual de tipos de documentos com suporte pelo Copilot no Edge para análise e resumo, consulte Comportamento do resumo de páginas da Web do o Copilot no Edge.
Os sites e documentos potencialmente confidenciais da organização que o Copilot no Edge pode resumir podem ser armazenados localmente, na intranet ou na nuvem. Esses dados da organização podem ser expostos a um invasor que tenha acesso ao dispositivo e use o Copilot no Edge para produzir rapidamente resumos de documentos e sites.
Os dados da organização que podem ser resumidos pelo Copilot no Edge podem incluir:
Recursos locais no computador do usuário
PDFs ou informações exibidas em uma guia do navegador Edge por aplicativos locais que não estão protegidos por políticas MAM
Recursos de intranet
PDFs ou sites de aplicativos e serviços internos que não estão protegidos pelas políticas DLP do Microsoft Purview, políticas MAM ou políticas MDM
Sites do Microsoft 365 que não estão protegidos pelas políticas DLP do Microsoft Purview, políticas MAM ou políticas MDM
Recursos do Microsoft Azure
PDFs em máquinas virtuais ou sites de aplicativos SaaS que não estão protegidos pelas políticas DLP, políticas MAM ou políticas MDM do Microsoft Purview
Sites de produtos de nuvem de terceiros para aplicativos e serviços SaaS baseados em nuvem que não estejam protegidos pelas políticas DLP, políticas MAM ou políticas MDA do Microsoft Purview
Use esta fase para implementar níveis de segurança para evitar que agentes mal-intencionados usem o Copilot para descobrir e acessar dados confidenciais mais rapidamente. No mínimo, você deve:
- Implantar proteções de segurança e conformidade de dados com o Microsoft Purview
- Configurar permissões mínimas de usuário para os dados
- Implantar proteção contra ameaças para aplicativos em nuvem com o Microsoft Defender para Aplicativos de Nuvem
Para obter mais informações sobre o Copilot no Edge, consulte:
Esta ilustração mostra os conjuntos de dados disponíveis para o Microsoft Copilot no Edge com o resumo do navegador habilitado.
Recomendações para E3 e E5
Implemente as políticas de proteção de aplicativos (APP) do Intune para proteção de dados. O APP pode impedir a cópia inadvertida ou intencional do conteúdo gerado pelo Copilot para aplicativos em um dispositivo que não estejam incluídos na lista de aplicativos permitidos. O APP pode limitar o raio de explosão de um invasor utilizando um dispositivo comprometido.
Ative o Plano 1 do Microsoft Defender para Office 363, que inclui a Proteção Online do Exchange (EOP) para Anexos Seguros, Links Seguros, limites avançados de phishing e proteção contra personificação, além de detecções em tempo real.
Fase 3. Proteções de segurança completas recomendadas para o Microsoft 365 Copilot
O Microsoft 365 Copilot pode usar os seguintes conjuntos de dados para processar prompts com base em Graph:
- Seus dados de locatário do Microsoft 365
- Dados da Internet por meio da pesquisa do Bing (se habilitado)
- Os dados usados por plug-ins e conectores habilitados pelo Copilot
Para mais informações, consulte Aplicar os princípios de Confiança Zero ao Microsoft 365 Copilot.
Recomendações para o E3
Implemente o seguinte:
Políticas de requisitos de conformidade de dispositivos e gerenciamento de dispositivos do Intune
Proteção de dados em seu locatário do Microsoft 365
Rótulos de confidencialidade
Políticas de Prevenção contra Perda de Dados (DLP)
Políticas de retenção
Recomendações para o E5
Implemente as recomendações para o E3 e as seguintes:
- Use uma variedade maior de classificadores para encontrar informações confidenciais.
- Automatize seus rótulos de retenção.
- Experimente os recursos do Plano 2 no Defender para Office 365, que incluem investigação pós-violação, busca e resposta, automação e simulação.
- Ative o Microsoft Defender para Aplicativos de Nuvem.
- Configure o Defender para Aplicativos em Nuvem para descobrir aplicativos de nuvem e monitorar e auditar seu comportamento.
Etapa 4. Mantenha as proteções de segurança enquanto você usa o Microsoft Copilot e o Microsoft 365 Copilot juntos
Com uma licença do Microsoft 365 Copilot, você verá um controle de alternância Trabalho/Web no navegador Edge, no Windows e na pesquisa do Bing que permite alternar entre usar:
- Prompts com base em Graph que são enviados ao Microsoft 365 Copilot (alternância definida como Trabalho).
- Prompts com base na Web que usam principalmente dados da Internet (alternância definida como Web).
Aqui está um exemplo para copilot.microsoft.com.
Esta ilustração mostra o fluxo de prompts com base em Graph e na Web.
No diagrama:
- Os usuários de dispositivos com uma licença do Microsoft 365 Copilot podem escolher o modo Trabalho ou Web para os prompts do Microsoft Copilot.
- Se Trabalho for escolhido, os prompts com base em Graph serão enviados ao Microsoft 365 Copilot para processamento.
- Se Web for escolhido, os prompts com base na Web inseridos via Windows, Bing ou Edge usarão dados da Internet em seu processamento.
- No caso do Edge e quando habilitado, o Windows Copilot inclui alguns tipos de dados em guias abertas do Edge em seu processamento.
Se o usuário não tiver uma licença para o Microsoft 365 Copilot, a alternância Trabalho/Web não será exibida e todos os prompts serão baseados na Web.
Aqui estão os conjuntos de dados da organização acessíveis para o Microsoft Copilot, que incluem prompts com base em Graph e na Web.
Na ilustração, os blocos sombreados em amarelo referem-se aos dados da sua organização que podem ser acessados pelo Copilot. O acesso a esses dados por um usuário por meio do Copilot depende das permissões para os dados atribuídos à conta do usuário. Ele também pode depender do status do dispositivo do usuário se o acesso condicional estiver configurado para o usuário ou para o acesso ao ambiente em que os dados residem. Seguindo os princípios de Confiança Zero, esses são os dados que você deseja proteger caso um invasor comprometa uma conta de usuário ou um dispositivo.
Para prompts com base em Graph (alternância definida como Trabalho), isso inclui:
Seus dados de locatário do Microsoft 365
Dados de plug-ins e conectores habilitados pelo Copilot
Dados da Internet (se o plug-in da Web estiver habilitado)
Para prompts com base na Web do navegador Edge com o resumo da guia aberta do navegador habilitado (alternância definida como Web), isso pode incluir dados da organização que podem ser resumidos pelo Copilot no Edge a partir de locais, intranet e nuvem.
Use esta etapa para verificar a implementação dos seguintes níveis de segurança para evitar que atores mal-intencionados usem o Copilot para acessar seus dados confidenciais:
- Implantar proteções de segurança e conformidade de dados com o Microsoft Purview
- Configurar permissões mínimas de usuário para os dados
- Implantar proteção contra ameaças para aplicativos em nuvem com o Microsoft Defender para Aplicativos de Nuvem
Recomendações para o E3
- Revise sua configuração e os recursos do Plano 1 do Defender para Office 365 e Plano 1 do Defender para Ponto de extremidade e implemente recursos adicionais conforme necessário.
- Configure os níveis de proteção adequados para o Microsoft Teams.
Recomendações para o E5
Implemente as recomendações para o E3 e estenda os recursos XDR em seu locatário do Microsoft 365:
Ative o Microsoft Defender para Identidade.
Revise sua configuração e implemente recursos adicionais conforme necessário para aumentar sua proteção contra ameaças com o conjunto completo do Microsoft Defender XDR:
Configurar políticas de sessão para o Defender para Aplicativos de Nuvem
Resumo da configuração
Esta figura resume as configurações do Microsoft Copilot e os dados acessíveis resultantes que o Copilot usa para responder aos prompts.
Essa tabela inclui recomendações de Confiança Zero para a configuração escolhida.
| Configuração | Dados acessíveis | Recomendações da Confiança Zero |
|---|---|---|
| Sem licenças do Microsoft 365 Copilot (a alternância Trabalho/Web não está disponível) AND Resumo de páginas do navegador Edge desabilitado |
Para prompts com base na Web, somente dados da Internet | Não é necessário, mas é altamente recomendado para a higiene geral da segurança. |
| Sem licenças do Microsoft 365 Copilot (a alternância Trabalho/Web não está disponível) AND Resumo de páginas do navegador Edge habilitado |
Para prompts com base na Web: - Dados da Internet - Dados da organização no local, na intranet e na nuvem que o Copilot no Edge pode resumir |
Para o locatário do Microsoft 365, consulte Confiança Zero para o Microsoft 365 Copilot e aplique proteções de Confiança Zero. Para dados da organização no local, na intranet e na nuvem, consulte Gerenciar dispositivos com a Visão Geral do Intune para políticas MAM e MDM. Consulte também Gerenciar a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para ver as políticas DLP. |
| Com as licenças do Microsoft 365 Copilot (a alternância Trabalho/Web está disponível) AND Resumo de páginas do navegador Edge desabilitado |
Para prompts com base em Graph: - Dados do locatário do Microsoft 365 - Dados da Internet se o plug-in da Web estiver habilitado - Dados de plug-ins e conectores habilitados pelo Copilot Para prompts com base na Web, somente dados da Internet |
Para o locatário do Microsoft 365, consulte Confiança Zero para o Microsoft 365 Copilot e aplique proteções de Confiança Zero. |
| Com as licenças do Microsoft 365 Copilot (a alternância Trabalho/Web está disponível) AND Resumo de páginas do navegador Edge habilitado |
Para prompts com base em Graph: - Dados do locatário do Microsoft 365 - Dados da Internet se o plug-in da Web estiver habilitado - Dados de plug-ins e conectores habilitados pelo Copilot Para prompts com base na Web: - Dados da Internet - Dados da organização que podem ser renderizados em uma página do navegador Edge, incluindo recursos locais, de nuvem e de intranet |
Para o locatário do Microsoft 365, consulte Confiança Zero para o Microsoft 365 Copilot e aplique proteções de Confiança Zero. Para dados da organização no local, na intranet e na nuvem, consulte Gerenciar dispositivos com a Visão Geral do Intune para políticas MAM e MDM. Consulte também Gerenciar a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para ver as políticas DLP. |
Próximas etapas
Confira estes artigos adicionais para Confiança Zero e Copilots da Microsoft:
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.