为 Microsoft 365 的 Copilot 准备环境

在当今网络攻击和数据泄露不断增加的世界中 ， 传统的外围防御安全模型已不再足够。组织需要一种新的方法来假定不信任并验证每个请求 -这是零信任模型的本质 ， 这是为 Microsoft 365 安全部署 Copilot 的关键部分。在本白皮书中 ， 你将了解如何为使用适用于 Microsoft 365 的 Copilot 做好准备 ， 以及如何应用零信任原则并利用 M365 E5 许可的全部价值。 为 Microsoft 365 的 Copilot 准备环境将零信任原则应用于您的收养策略白皮书 洞察力2零信任原则零信任原则显式验证意味着每个访问或资源请求都应根据所有可用数据点进行身份验证和授权 ， 包括 ：IdentityDeviceLocation网络应用程序上下文这也意味着不应该从过去的交互中推断信任 ， 也不应该根据预定义的边界来假设信任。相反 ， 应该在整个会话或事务中不断评估和验证信任。若要将此原则应用于 Microsoft 365 的 Copilot ， 请确保使用多因素身份验证 (MFA) 方法的现代身份验证与条件访问策略相结合。这将验证用户身份声明以及设备当前的安全状况。通过利用 Microsoft Entra 的强大功能™通过 ID 保护 ， 您可以评估每个用户的风险级别 ， 并根据用户的角色、位置、设备状态和应用程序敏感度执行精细条件访问策略 ， 从而登录尝试 ， 帮助您停止未经授权的访问。保护适用于 Microsoft 365 的 Copilot 的另一个重要原则是始终使用最小特权访问模型。这意味着用户和应用程序应该只拥有执行其任务所需的最低级别的权限和访问权限。通过限制敏感数据和资源的暴露 ， 降低了泄露或滥用的风险。此外 ， 在发生泄露时 ， 可以控制和减轻影响和损害。若要将此原则应用于 Microsoft 365 的 Copilot，请确保实现基于角色的访问控制 (RBAC)，以根据用户和应用程序的职责和需求为其分配角色和权限。通过使用 RBAC，您可以执行职责分离的原则，从而防止利益冲突和未经授权的行为。还可以使用 Microsoft Etra 特权身份管理 (PIM) 来管理、监视和审核特权帐户和角色的使用情况。PIM 提供了这样的特征。作为即时访问 ， 有时限的访问 ， 批准工作流和访问审查 ， 以确保特权访问仅在需要时被授予 （ 并在不使用时被撤销 ） 。保护 Microsoft 365 Copilot 的第三个重要原则是假设违反这意味着你不应该仅仅依靠基于外围的安全措施，而是采取一种深度防御策略，假设攻击者可能已经入侵了你的网络或设备。通过假设违规，您可以设计安全策略和控制，以保护从身份和设备级别到应用程序和数据级别的每一层的数据和资源。您还可以实施主动监控和威胁检测功能，以识别和响应环境中的任何恶意活动或异常。Copilot for Microsoft 365 使你的最终用户能够询问你的数据的任何问题并获得答案 ， 但它也允许不良行为者执行相同的操作。这使得零信任方法对你的 Copilot 采用策略至关重要。明确验证。始终验证所有可用数据点 ， 包括 ：•用户身份和位置•设备运行状况•服务或工作负载上下文•数据分类•异常使用最小权限访问。为了帮助保护数据和工作效率 ， 请通过以下方式限制用户访问 ：•即时 (JIT) 访问•刚刚足够的访问 （ JEA ）•基于风险的适应性策略•针对带外矢量的数据保护假设违规。通过以下方式最小化破裂的爆炸半径并防止横向移动:•按网络、用户、设备和应用感知划分访问•加密所有会话端到端•使用分析进行威胁检测、态势可见性和改进防御 洞察力3用户和设备Microsoft 365 应用Copilot and related组件Microsoft Graph团队任务团体日历文件洞察力聊天Messages用户Meetings同事DevicesPeople组织数据（ 示例数据 ）用户文件夹和文件Recordings组邮箱用户邮箱OneDriveExchange Online通信站点团队网站团队聊天Viva Engage 组Copilot 的语义索引•映射您的数据和关系•提供个性化、相关和可操作的信息Microsoft 365 的 Copilot适用于 Microsoft 365 的 Copilot ： 逻辑体系结构在描述 Copilot for Microsoft 365 的逻辑体系结构时 ， 我们可以检查其核心组件以及它们如何交互。Copilot 服务是处理来自用户的自然语言查询并返回相关答案的组件。 Copilot 服务依赖于 Microsoft® Graph 是一个全面的 API ， 可从各种 Microsoft 云服务中公开数据和功能。 Microsoft Graph 连接到您的 Microsoft 365® 这是您组织的数据和资源的容器 ， 包括用户和设备、文件和文件夹、团队网站和通信网站、邮箱和聊天、录音和应用等实体。你的客户数据保留在 Microsoft 365 服务边界内。 Microsoft Graph 中的提示、响应和数据不用于训练 Copilot 利用的基础大型语言模型 (LLM) 。你的数据基于你的组织已经部署的现有安全性、合规性和隐私策略得到保护。SharePoint 洞察力4设备和用户设备上的应用程序您的客户数据 ：文件、邮箱、聊天数据、视频等。Exchange 邮箱OneDrive 文件Microsoft Teams 数据SharePoint 文件和列表Microsoft 365 服务Microsoft 365 服务边界适用于 Microsoft 365 的 Copilot 组件适用于 Microsoft 365 的 Azure OpenAI 服务订阅LLMMicrosoft 365 的 Copilot您的 Microsoft 365 租户Copilot 的语义索引Microsoft Graph适用于 Microsoft 365 的 Copilot ： 服务和租户逻辑体系结构你的租户位于 Microsoft 365 服务边界内 ， 在此维护 Microsoft 对安全性、合规性、数据位置和隐私的承诺。 Copilot 与 Microsoft 365 中的许多其他服务一样是共享服务。你的租户与 Copilot 组件之间的通信已加密。Microsoft 365 的 Copilot 语义索引Copilot 语义索引标识用户和公司数据的关系和连接。它与 Copilot 和 Microsoft Graph 一起创建组织中所有数据和内容的复杂映射 ， 使 Copilot 能够提供个性化、相关和可操作的响应。语义索引是 Microsoft 365 服务的一部分 ， 是自动创建的。当前索引的内容 ：•SharePoint 中的语义索引目录基于文本的文件®与两个或两个以上的人共享。•在用户级别 ， 语义索引对所有电子邮件进行编录。它还为用户的 OneDrive 中的所有基于文本的文件编制索引®已被共享 ， 交互 （ 甚至只是由用户 ） 或评论。当前支持的文件类型包括 ：•Word 文档 (. doc /. docx)•PowerPoint®(. pptx)•PDF•网页 (. html /. aspx)•OneNote®(. 1) 使用 Microsoft Graph 关联关系并了解权限 洞察力5身份和访问Devices安全和信息保护建议M365 E5 是最全面、最安全的企业云解决方案E5 在身份和访问权限、 Microsoft 应用、设备、威胁防护、组织数据、团队和外部来宾方面提供了优于 E3 的几个优势。M365 E5 包含 Azure® Active Directory® Premium P2 提供高级身份和访问管理功能 ， 如身份保护、特权身份管理、条件访问和访问审查。这些功能可帮助组织防止身份泄露、管理特权帐户、实施精细访问策略和审核访问决策。配置通用条件访问策略 ：•管理员需要 MFA 。•所有用户都需要 MFA 。•阻止旧版身份验证。对于混合标识 ， 对 Active Directory 域服务强制实施本地 Microsoft 内部密码保护。为零信任配置建议的策略 ：•当登录风险为中等或高时 ， 需要 MFA 。•要求高风险用户更改其密码。•配置 PIM 。Microsoft 应用 ：E5 包括 Office 365® E5 ， 提供高级生产力和协作应用程序 ， 如 Word 、 Excel®、 PowerPoint 、 Outlook®, OneNote, 团队®、 SharePoint 、 OneDrive 、 Yammer®和 Stream 。此外 ， M365 E5 还包含 Power BI 等高级功能® Pro 、 Power Apps 、 Power Automate®、形式、计划者、要做和摇摆®这些功能使用户能够在整个组织中创建、分析、自动化和共享数据和见解。实施 Intune 应用保护策略 (APP) ：使用应用程序 ， Intune®在您的组织数据和个人数据之间创建墙。策略确保您指定的应用中的公司数据无法复制并粘贴到设备上的其他应用 ， 即使设备未受管理。M365 E5 包含 Windows® 10 Eterprise E5，为企业设备提供最安全，最灵活的操作系统。Widows 10 企业版 E5 包括 Widows Defeder 高级威胁防护，Widows Defeder 应用程序防护，Widows Defeder 凭据防护，Widows Defeder 设备防护和 Widows Defeder 漏洞防护等功能。这些功能可保护设备免受恶意软件，勒索软件，网络钓鱼，零日攻击和其他高级威胁的侵害。管理设备:•将设备登记到管理层。•设置合规性策略。•需要健康且合规的设备。•部署设备配置文件。监控设备风险和对安全基线的合规性:•将 Intune 与 Defender for Endpoint 集成 ， 以监控设备风险作为访问条件。•对于 Windows 设备 ， 请监视这些设备对安全基线的符合性。 洞察力6M365 E5 包括 Microsoft 365 Defeder，这是一个集成的安全平台，利用 AI 和机器学习来检测、调查和响应跨端点、电子邮件、身份和云应用的威胁。Microsoft 365 Defeder 包括 Microsoft Defeder for Edpoit 、 Microsoft Defeder for Office 365 、 Microsoft Defeder for Idetity 和 Microsoft Defeder for Clod 应用。这些功能为整个攻击面提供了可见性、预防、检测、响应和搜寻功能。配置 Exchange Online 保护和端点保护。部署 Microsoft 365 Defender 。要获得更全面的威胁保护 ， 请部署 Microsoft 365 Defender ， 包括 ：•Defender for Identity•Office 365 的 Defender•Defender for Endpoint•云应用程序的 DefenderM365 E5 包括 Microsoft 365 合规性，这是一个全面的解决方案，可帮助组织遵守各种法规和标准，如 GDPR 、 HIPAA 、 PCI DSS 、 ISO 27001 和 NIST 。Microsoft 365 合规性包括数据丢失防护、信息保护、记录管理、电子数据展示、审核和合规性管理器等功能。这些功能可帮助组织跨设备、应用和云服务发现、分类、保护、保留和管理敏感数据。开发您的分类架构并开始使用敏感度标签和其他策略 ：•创建数据丢失防护策略。•创建保留策略。•使用上下文资源管理器 （ 查看结果 ） 。将策略扩展到更多数据 ， 并开始使用数据保护策略的自动化 ：•敏感性标签扩展以保护更多内容和更多标签方法。•使用容