白皮书 为Microsoft365的Copilot准备环境 将零信任原则应用于您的收养策略 在当今网络攻击和数据泄露不断增加的世界中,传统的外围防御安全模型已不再足够。组织需要一种新的方法来假定不信任并验证每个请求- 这是零信任模型的本质,这是为Microsoft365安全部署Copilot的关键部分。 在本白皮书中,你将了解如何为使用适用于Microsoft365的Copilot做好准备,以及如何应用零信任原则并利用 M365E5许可的全部价值。 CopilotforMicrosoft365使你的最终用户能够询问你的数据的任何问题并获得答案,但它也允许不良行为者执行相同的操作。这使得零信任方法对你的Copilot采用策略至关重要。 零信任原则 零信任原则显式验证意味着每个访问或资源请求都应根据所有可用数据点进行身份验证和授权,包括: Identity Device Location 网络 应用程序上下文 这也意味着不应该从过去的交互中推断信任,也不应该根据预定义的边界来假设信任。相反,应该在整个会话或事务中不断评估和验证信任。 若要将此原则应用于Microsoft365的Copilot,请确保使用多因素身份验证(MFA)方法的现代身份验证与条件访问策略相结合。这将验证用户身份声明以及设备当前的安全状况。通过利用MicrosoftEntra的强大功能™通过ID保护,您可以评估每个用户的风险级别,并根据用户的角色、位置、设备状态和应用程序敏感度执行精细条件访问策略,从而登录尝试,帮助您停止未经授权的访问。 保护适用于Microsoft365的Copilot的另一个重要原则是始终使用最小特权访问模型。这意味着用户和应用程序应该只拥有执行其任务所需的最低级别的权限和访问权限。通过限制敏感数据和资源的暴露,降低了泄露或滥用的风险。此外,在发生泄露时,可以控制和减轻影响和损害。 若要将此原则应用于Microsoft365的Copilot,请确保实现基于角色的访问控制(RBAC),以根据用户和应用程序的职责和需求为其分配角色和权限。通过使用RBAC,您可以执行职责分离的原则,从而防止利益冲突和未经授权的行为。还可以使用MicrosoftEtra特权身份管理(PIM)来管理、监视和审核特权帐户和角色的使用情况。PIM提供了这样的特征。 作为即时访问,有时限的访问,批准工作流和访问审查,以确保特权访问仅在需要时被授予(并在不使用时被撤销)。 保护Microsoft365Copilot的第三个重要原则是假设违反这意味着你不应该仅仅依靠基于外围的安全措施,而是采取一种深度防御策略,假设攻击者可能已经入侵了你的网络或设备。通过假设违规,您可以设计安全策略和控制,以保护从身份和设备级别到应用程序和数据级别的每一层的数据和资源。您还可以实施主动监控和威胁检测功能 明确验证。 始终验证所有可用数据点,包括: •用户身份和位置 •设备运行状况 •服务或工作负载上下文 •数据分类 •异常 使用最小权限访问。 为了帮助保护数据和工作效率,请通过以 下方式限制用户访问: •即时(JIT)访问 •刚刚足够的访问(JEA) •基于风险的适应性策略 •针对带外矢量的数据保护 假设违规。 通过以下方式最小化破裂的爆炸半径并防止 横向移动: •按网络、用户、设备和应用感知划分访问 •加密所有会话端到端 •使用分析进行威胁检测、态势可见性和 改进防御 ,以识别和响应环境中的任何恶意活动或异常。 适用于Microsoft365的Copilot:逻辑体系结构 在描述CopilotforMicrosoft365的逻辑体系结构时,我们可以检查其核心组件以及它们如何交互。 Copilot服务是处理来自用户的自然语言查询并返回相关答案的组件。Copilot服务依赖于Microsoft®Graph是一个全面的API,可从各种Microsoft云服务中公开数据和功能。MicrosoftGraph连接到您的Microsoft365®这是您组织的数据和资源的容器,包括用户和设备、文件和文件夹、团队网站和通信网站、邮箱和聊天、录音和应用等实体 。 你的客户数据保留在Microsoft365服务边界内。MicrosoftGraph中的提示、响应和数据不用于训练Copilot利用的基础大型语言模型(LLM)。你的数据基于你的组织已经部署的现有安全性、合规性和隐私策略得到保护。 用户和设备 Microsoft365应用 Copilotandrelated 组件 MicrosoftGraph 团队 任务 团体 日历 文件 洞察力 聊天 Messages 用户 Meetings 同事 Devices People 组织数据 (示例数据) 用户文件夹和文 件 Recordings 组邮箱 用户邮箱 OneDrive ExchangeOnline 通信站点 VivaEngage组 团队网站 团队聊天 Copilot的语义索引 •映射您的数据和关系 •提供个性化、相关和可操作的信息 Microsoft365的Copilot SharePoint 适用于Microsoft365的Copilot:服务和租户逻辑体系结构 你的租户位于Microsoft365服务边界内,在此维护Microsoft对安全性、合规性、数据位置和隐私的承诺。Copilot与Microsoft365中的许多其他服务一样是共享服务。你的租户与Copilot组件之间的通信已加密。 设备和用户 设备上的应用程序 Microsoft365服务 Microsoft365服务边界 适用于Microsoft365的 Copilot组件 适用于Microsoft365的AzureOpenAI服务订阅 LLM Microsoft365的Copilot 您的Microsoft365租户 您的客户数据: 文件、邮箱、聊天数据、视频等。 SharePoint文件和列表 MicrosoftTeams数据 OneDrive 文件 Exchange 邮箱 Copilot的语义索引 MicrosoftGraph Microsoft365的Copilot语义索引 Copilot语义索引标识用户和公司数据的关系和连接。它与Copilot和MicrosoftGraph一起创建组织中所有数据和内容的复杂映射,使Copilot能够提供个性化、相关和可操作的响应。语义索引是Microsoft365服务的一部分,是自动创建的。 当前索引的内容: •SharePoint中的语义索引目录基于文本的文件®与两个或两个以上的人 共享。 •在用户级别,语义索引对所有电子邮件进行编录。它还为用户的OneDrive中的所有基于文本的文件编制索引®已被共享,交互(甚至只是由用户)或评论。 当前支持的文件类型包括: •Word文档(.doc/.docx) •PowerPoint®(.pptx) •PDF •网页(.html/.aspx) •OneNote®(.1) 使用MicrosoftGraph关联关系并了解权限 安全和信息保护建议 M365E5是最全面、最安全的企业云解决方案E5在身份和访问权限、Microsoft应用、设备、威胁防护、组织数据、团队和外部来宾方面提供了优于E3的几个优势。 身份和访问 M365E5包含Azure®ActiveDirectory®PremiumP2提供高级身份和访问管理功能,如身份保护、特权身份管理、条件访问和访问审查。这些功能可帮助组织防止身份泄露、管理特权帐户、实施精细访问策略和审核访问决策。 配置通用条件访问策略: •管理员需要MFA。 •所有用户都需要MFA。 •阻止旧版身份验证。 为零信任配置建议的策略: •当登录风险为中等或高时,需要MFA。 •要求高风险用户更改其密码。 •配置PIM。 对于混合标识,对ActiveDirectory域服务强制实施本地Microsoft内部 密码保护。 Microsoft应用: E5包括Office365®E5,提供高级生产力和协作应用程序,如Word、Excel®、PowerPoint、Outlook®,OneNote,团队®、SharePoint、OneDrive、Yammer®和Stream。此外,M365E5还包含PowerBI等高级功能®Pro、PowerApps、PowerAutomate®、形式、计划者、要做和摇摆®这些功能使用户能够在整个组织中创建、分析、自动化和共享数据和见解。 实施Intune应用保护策略(APP): 使用应用程序,Intune®在您的组织数据和个人数据之间创建墙。策略确保您指定的应用中的公司数据无法复制并粘贴到设备上的其他应用,即使设备未受管理。 Devices M365E5包含Windows®10EterpriseE5,为企业设备提供最安全,最灵活的操作系统。Widows10企业版E5包括WidowsDefeder高级威胁防护,WidowsDefeder应用程序防护,WidowsDefeder凭据防护,WidowsDefeder设备防护和WidowsDefeder漏洞防护等功能。这些功能可保护设备免受恶意软件,勒索软件,网络钓鱼,零日攻击和其他高级威胁的侵害。 管理设备: •将设备登记到管理层。 •设置合规性策略。 •需要健康且合规的设备。 •部署设备配置文件。 监控设备风险和对安全基线的合规性: •将Intune与DefenderforEndpoint集成,以监控设备风险作为访 问条件。 •对于Windows设备,请监视这些设备对安全基线的符合性。 威胁防护 M365E5包括Microsoft365Defeder,这是一个集成的安全平台,利用AI和机器学习来检测、调查和响应跨端点、电子邮件、身份和云应用的威胁。Microsoft365Defeder包括MicrosoftDefederforEdpoit、MicrosoftDefederforOffice365、MicrosoftDefederforIdetity和MicrosoftDefederforClod应用。这些功能为整个攻击面提供了可见性、预防、检测、响应和搜寻功能。 要获得更全面的威胁保护,请部署Microsoft365Defender,包括: •DefenderforIdentity •Office365的Defender •DefenderforEndpoint •云应用程序的Defender 组织数据 配置ExchangeOnline保护和端点保护。部署Microsoft365Defender。 M365E5包括Microsoft365合规性,这是一个全面的解决方案,可帮助组织遵守各种法规和标准,如GDPR、HIPAA、PCIDSS、ISO27001和NIST。Microsoft365合规性包括数据丢失防护、信息保护、记录管理、电子数据展示、审核和合规性管理器等功能。这些功能可帮助组织跨设备、应用和云服务发现、分类、保护、保留和管理敏感数据。 开发您的分类架构并开始使用敏感度标签和其他策略: •创建数据丢失防护策略。 •创建保留策略。 •使用上下文资源管理器(查看结果)。 将策略扩展到更多数据,并开始使用数据保护策略的自动化: •敏感性标签扩展以保护更多内容和更多标签方法。 •使用容器标签和自动标记项目来标记SharePoint网站和团队。 发现和识别敏感业务数据。 开发分类和保护模式。 信息保护的技术采用 在Microsoft365中使用数据测试和试用架构。 跨Microsoft365将分类和保护架构部署到数据。 将架构扩展到其他SaaS应用中的数据。 根据您的优先级继续发现和保护其他存储库中的数据。 署 团队和外部客人 M365