为 Microsoft 365 的 Copilot 准备环境

将零信任原则应用于您的收养策略 在当今网络攻击和数据泄露不断增加的世界中，传统的外围防御安全模型已不再足够。组织需要一种新的方法来假定不信任并验证每个请求-这是零信任模型的本质，这是为Microsoft365安全部署Copilot的关键部分。 在本白皮书中，你将了解如何为使用适用于Microsoft 365的Copilot做好准备，以及如何应用零信任原则并利用M365 E5许可的全部价值。 CopilotforMicrosoft365使你的最终用户能够询问你的数据的任何问题并获得答案，但它也允许不良行为者执行相同的操作。这使得零信任方法对你的Copilot采用策略至关重要。 零信任原则 零信任原则显式验证意味着每个访问或资源请求都应根据所有可用数据点进行身份验证和授权，包括： Identity Location Device 网络 这也意味着不应该从过去的交互中推断信任，也不应该根据预定义的边界来假设信任。相反，应该在整个会话或事务中不断评估和验证信任。 若要将此原则应用于Microsoft365的Copilot，请确保使用多因素身份验证(MFA)方法的现代身份验证与条件访问策略相结合。这将验证用户身份声明以及设备当前的安全状况。通过利用MicrosoftEntra的强大功能™通过ID保护，您可以评估每个用户的风险级别，并根据用户的角色、位置、设备状态和应用程序敏感度执行精细条件访问策略，从而登录尝试，帮助您停止未经授权的访问。 保护适用于Microsoft365的Copilot的另一个重要原则是始终使用最小特权访问模型。这意味着用户和应用程序应该只拥有执行其任务所需的最低级别的权限和访问权限。通过限制敏感数据和资源的暴露，降低了泄露或滥用的风险。此外，在发生泄露时，可以控制和减轻影响和损害。 若要将此原则应用于Microsoft365的Copilot，请确保实现基于角色的访问控制(RBAC)，以根据用户和应用程序的职责和需求为其分配角色和权限。通过使用RBAC，您可以执行职责分离的原则，从而防止利益冲突和未经授权的行为。还可以使用MicrosoftEtra特权身份管理(PIM)来管理、监视和审核特权帐户和角色的使用情况。PIM提供了这样的特征。 作为即时访问，有时限的访问，批准工作流和访问审查，以确保特权访问仅在需要时被授予（并在不使用时被撤销）。 保护Microsoft365Copilot的第三个重要原则是假设违反这意味着你不应该仅仅依靠基于外围的安全措施，而是采取一种深度防御策略，假设攻击者可能已经入侵了你的网络或设备。通过假设违规，您可以设计安全策略和控制，以保护从身份和设备级别到应用程序和数据级别的每一层的数据和资源。您还可以实施主动监控和威胁检测功能，以识别和响应环境中的任何恶意活动或异常。 使用最小权限访问。 假设违规。 通过以下方式最小化破裂的爆炸半径并防止横向移动: 为了帮助保护数据和工作效率，请通过以下方式限制用户访问： 始终验证所有可用数据点，包括： •用户身份和位置•设备运行状况•服务或工作负载上下文•数据分类•异常 •按网络、用户、设备和应用感知划分访问•加密所有会话端到端•使用分析进行威胁检测、态势可见性和改进防御 •即时(JIT)访问•刚刚足够的访问（JEA）•基于风险的适应性策略•针对带外矢量的数据保护 洞察力 适用于Microsoft365的Copilot：逻辑体系结构 在描述CopilotforMicrosoft365的逻辑体系结构时，我们可以检查其核心组件以及它们如何交互。Copilot服务是处理来自用户的自然语言查询并返回相关答案的组件。Copilot服务依赖于Microsoft®Graph是一个全面的API，可从各种Microsoft云服务中公开数据和功能。MicrosoftGraph连接到您的Microsoft365®这是您组织的数据和资源的容器，包括用户和设备、文件和文件夹、团队网站和通信网站、邮箱和聊天、录音和应用等实体。 你的客户数据保留在Microsoft365服务边界内。MicrosoftGraph中的提示、响应和数据不用于训练Copilot利用的基础大型语言模型(LLM)。你的数据基于你的组织已经部署的现有安全性、合规性和隐私策略得到保护。 适用于Microsoft365的Copilot：服务和租户逻辑体系结构 你的租户位于Microsoft365服务边界内，在此维护Microsoft对安全性、合规性、数据位置和隐私的承诺。Copilot与Microsoft365中的许多其他服务一样是共享服务。你的租户与Copilot组件之间的通信已加密。 Microsoft365的Copilot语义索引 Copilot语义索引标识用户和公司数据的关系和连接。它与Copilot和MicrosoftGraph一起创建组织中所有数据和内容的复杂映射，使Copilot能够提供个性化、相关和可操作的响应。语义索引是Microsoft365服务的一部分，是自动创建的。 当前索引的内容：• 当前支持的文件类型包括：• Word文档(.doc/.docx)•PowerPoint®(.pptx)•PDF•网页(.html/.aspx)•OneNote®(.1) SharePoint中的语义索引目录基于文本的文件®与两个或两个以上的人共享。•在用户级别，语义索引对所有电子邮件进行编录。它还为用户的OneDrive中的所有基于文本的文件编制索引®已被共享，交互（甚至只是由用户）或评论。 洞察力 安全和信息保护建议 M365E5是最全面、最安全的企业云解决方案E5在身份和访问权限、Microsoft应用、设备、威胁防护、组织数据、团队和外部来宾方面提供了优于E3的几个优势。 身份和访问 M365E5包含Azure®ActiveDirectory®PremiumP2提供高级身份和访问管理功能，如身份保护、特权身份管理、条件访问和访问审查。这些功能可帮助组织防止身份泄露、管理特权帐户、实施精细访问策略和审核访问决策。 配置通用条件访问策略：• 为零信任配置建议的策略：• 当登录风险为中等或高时，需要MFA。•要求高风险用户更改其密码。•配置PIM。 管理员需要MFA。•所有用户都需要MFA。•阻止旧版身份验证。 对于混合标识，对ActiveDirectory域服务强制实施本地Microsoft内部密码保护。 Microsoft应用： 实施Intune应用保护策略(APP)： E5包括Office365®E5，提供高级生产力和协作应用程序，如Word、Excel®、PowerPoint、Outlook®,OneNote,团队®、SharePoint、OneDrive、Yammer®和Stream。此外，M365E5还包含PowerBI等高级功能®Pro、PowerApps、PowerAutomate®、形式、计划者、要做和摇摆®这些功能使用户能够在整个组织中创建、分析、自动化和共享数据和见解。 使用应用程序，Intune®在您的组织数据和个人数据之间创建墙。策略确保您指定的应用中的公司数据无法复制并粘贴到设备上的其他应用，即使设备未受管理。 Devices M365E5包含Windows®10EterpriseE5，为企业设备提供最安全，最灵活的操作系统。Widows10企业版E5包括WidowsDefeder高级威胁防护，WidowsDefeder应用程序防护，WidowsDefeder凭据防护，WidowsDefeder设备防护和WidowsDefeder漏洞防护等功能。这些功能可保护设备免受恶意软件，勒索软件，网络钓鱼，零日攻击和其他高级威胁的侵害。 监控设备风险和对安全基线的合规性:• 管理设备:• 将设备登记到管理层。•设置合规性策略。•需要健康且合规的设备。•部署设备配置文件。 将Intune与DefenderforEndpoint集成，以监控设备风险作为访问条件。•对于Windows设备，请监视这些设备对安全基线的符合性。 洞察力 威胁防护 M365E5包括Microsoft365Defeder，这是一个集成的安全平台，利用AI和机器学习来检测、调查和响应跨端点、电子邮件、身份和云应用的威胁。Microsoft365Defeder包括MicrosoftDefederforEdpoit、MicrosoftDefederforOffice365、MicrosoftDefederforIdetity和MicrosoftDefederforClod应用。这些功能为整个攻击面提供了可见性、预防、检测、响应和搜寻功能。 部署Microsoft 365 Defender。 要获得更全面的威胁保护，请部署Microsoft365Defender，包括： •DefenderforIdentity•Office365的Defender•DefenderforEndpoint•云应用程序的Defender 组织数据 M365E5包括Microsoft365合规性，这是一个全面的解决方案，可帮助组织遵守各种法规和标准，如GDPR、HIPAA、PCIDSS、ISO27001和NIST。Microsoft365合规性包括数据丢失防护、信息保护、记录管理、电子数据展示、审核和合规性管理器等功能。这些功能可帮助组织跨设备、应用和云服务发现、分类、保护、保留和管理敏感数据。 开发您的分类架构并开始使用敏感度标签和其他策略：• 创建数据丢失防护策略。•创建保留策略。•使用上下文资源管理器（查看结果）。 •敏感性标签扩展以保护更多内容和更多标签方法。•使用容器标签和自动标记项目来标记SharePoint网站和团队。 信息保护的技术采用 洞察力 团队和外部客人 M365E5包括MicrosoftTeams，它是Microsoft365中团队合作和沟通的中心。团队使用户能够以安全且合规的方式与同事和外部客人聊天、通话、会面和协作。Teams还与其他Microsoft和第三方应用和服务集成，以提供无缝的用户体验。此外，M365E5还包括团队电话系统，团队呼叫计划，团队音频会议和团队直播活动等功能。这些功能使用户能够拨打和接听电话，主持和加入音频会议，以及流式传输和录制来自团队的实时事件。 您可能需要与组织外部的人员共享任何敏感性的信息。请使用以下资源： •应用最佳实践用于与未经身份验证的用户共享文件和文件夹。•限制意外暴露与组织外部的人员共享时的文件。•创建安全的来宾共享环境。 通过数字化转型推动创新 Conclusion Microsoft365E5是面向企业客户的最全面、最安全的云解决方案。它提供了身份和访问管理、团队合作和通信、数据保护和治理、威胁保护和响应以及商业智能和分析。与提供核心生产力和安全功能的Microsoft365E3相比，Microsoft365E5为您的组织提供了额外的价值和保护。 在Insight，我们通过跨越人员，流程和技术的方法帮助客户实现创新。我们相信数字化转型的最佳途径 亮点 我们以客户为中心的方法在一系列服务中提供最适合的解决方案，包括现代工作场所，现代应用程序，现代基础设施，智能边缘，网络安全以及数据和AI。 •敏感度标签适用于SharePoint网站和团队，它允许您根据内容的敏感度对内容进行分类和保护，并应用加密、访问控制和保留等策略•自动标记项目，它使用机器学习来检测文档和电子邮件中的敏感信息，并应用适当的标签和保护策略•团队电话系统、呼叫计划、音频会议和现场活动，它使您能够拨打和接听电话，主持和加入音频会议，以及流式传输和记录来自团队的实时事件，具有企业级安全性和合规性•Office365的Defender，可保护您的电子邮件，协作和云存储免受高级威胁，例如网络钓鱼，勒索软件和商业电子邮件妥协（BEC）•DefenderforE