Anwenden der Prinzipien von Zero Trust auf Microsoft Copilot
Zusammenfassung: Um Zero Trust-Prinzipien auf Microsoft Copilot anzuwenden, müssen Sie Folgendes tun:
- Implementieren Sie Sicherheitsschutzmaßnahmen für webbasierte Prompts für das Internet.
- Fügen Sie Sicherheitsschutzmaßnahmen für die Microsoft Edge-Browserzusammenfassung hinzu.
- Vollständigen Sie die empfohlenen Sicherheitsschutzmaßnahmen für Copilot für Microsoft 365.
- Verwalten Sie Sicherheitsschutzmaßnahmen bei der gemeinsamen Verwendung von Microsoft Copilot und Copilot für Microsoft 365.
Einführung
Microsoft Copilot, kurz Copilot, ist ein KI-Begleiter auf copilot.microsoft.com, in Windows, Edge, Bing und der mobilen Copilot-App. Dieser Artikel hilft Ihnen bei der Implementierung von Sicherheitsmaßnahmen, um Ihre Organisation und Ihre Daten während der Verwendung von Copilot zu schützen. Durch die Implementierung dieser Schutzmaßnahmen schaffen Sie eine Grundlage für Zero Trust.
Bei den Zero Trust-Sicherheitsempfehlungen für Copilot liegt der Schwerpunkt auf Schutzmaßnahmen für Benutzerkonten, Benutzergeräte und die Daten, die im Rahmen Ihrer Konfiguration von Copilot verwendet werden.
Sie können Copilot schrittweise einführen: von webbasierten Prompts für das Internet bis hin zu webbasierten und Microsoft 365 Graph-basierten Prompts sowohl für das Internet als auch für Ihre Unternehmensdaten. Dieser Artikel hilft Ihnen dabei, den Umfang der einzelnen Konfigurationen und folglich die Empfehlungen für die Vorbereitung Ihrer Umgebung mit angemessenen Sicherheitsmaßnahmen zu verstehen.
Wie hilft Zero Trust bei KI?
Sicherheit, insbesondere der Schutz von Daten, ist häufig ein wichtiges Anliegen bei der Einführung von KI-Tools in einer Organisation. Zero Trust ist eine Sicherheitsstrategie, bei der jede Benutzer-, Geräte- und Ressourcenanforderung überprüft wird, um sicherzustellen, dass jede dieser Anforderungen zulässig ist. Der Begriff „Zero Trust“ bezieht sich auf die Strategie, jede Verbindungs- und Ressourcenanforderung so zu behandeln, als stamme sie von einem nicht kontrollierten Netzwerk und einem böswilligen Akteur. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: "Niemals vertrauen, immer überprüfen."
Als führender Sicherheitsexperte bietet Microsoft eine praktische Roadmap und verständliche Anleitungen für die Implementierung von Zero Trust. Die Copilots von Microsoft basieren auf vorhandenen Plattformen, die die auf diese Plattformen angewendeten Schutzmaßnahmen erben. Details zum Anwenden von Zero Trust auf Microsoft-Plattformen finden Sie im Zero Trust Guidance Center. Durch die Implementierung dieser Schutzmaßnahmen erstellen Sie eine Grundlage der Zero Trust-Sicherheit.
Dieser Artikel stützt sich auf diesen Leitfaden, um die Zero Trust-Schutzmaßnahmen im Zusammenhang mit Copilot zu beschreiben.
Inhalt dieses Artikels
In diesem Artikel werden die Sicherheitsempfehlungen beschrieben, die in vier Phasen zur Anwendung kommen. So können Sie Copilot in Ihrer Umgebung einführen und gleichzeitig Sicherheitsmaßnahmen für Benutzer, Geräte und die Daten implementieren, auf die Copilot zugreift.
| Phase | Konfiguration | Zu schützende Komponenten |
|---|---|---|
| 1 | Webbasierte Prompts für das Internet | Grundlegende Sicherheit für Benutzer und Geräte mithilfe von Identitäts- und Zugriffsrichtlinien |
| 2 | Webbasierte Prompts für das Internet mit aktivierter Zusammenfassung der Edge-Browserseite | Ihre Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud, die Copilot in Edge zusammenfassen kann |
| 3 | Webbasierte Prompts für das Internet und Zugriff auf Copilot für Microsoft 365 | Alle von Copilot für Microsoft 365 betroffenen Komponenten |
| 4 | Webbasierte Prompts für das Internet und Zugriff auf Copilot für Microsoft 365 mit aktivierter Zusammenfassung der Edge-Browserseite | Alle oben aufgeführten Komponenten |
Phase 1. Beginnen Sie mit Sicherheitsempfehlungen für webbasierte Prompts für das Internet
Die einfachste Konfiguration von Copilot bietet KI-Unterstützung bei webbasierten Prompts.
In der Abbildung:
- Benutzer können mit Copilot über copilot.microsoft.com, Windows, Bing, den Edge-Browser und die mobile Copilot-App interagieren.
- Prompts sind webbasiert. Copilot verwendet nur öffentlich verfügbare Daten, um auf Prompts zu reagieren.
Mit dieser Konfiguration sind Ihre Organisationsdaten nicht in den Daten enthalten, auf die Copilot verweist.
Verwenden Sie diese Phase, um Identitäts- und Zugriffsrichtlinien für Benutzer und Geräte zu implementieren und zu verhindern, dass böswillige Akteure Copilot verwenden. Sie müssen zumindest Richtlinien für bedingten Zugriff konfigurieren, die Folgendes voraussetzen:
Weitere Empfehlungen für Microsoft 365 E3
- Konfigurieren Sie für die Authentifizierung von und den Zugriff auf Benutzerkonten auch die Identitäts- und Zugriffsrichtlinien zum Blockieren von Clients, die keine moderne Authentifizierung unterstützen.
- Verwenden der Windows-Schutzfunktionen
Weitere Empfehlungen für Microsoft 365 E5
Implementieren Sie die Empfehlungen für E3, und konfigurieren Sie die folgenden Identitäts- und Zugriffsrichtlinien:
- Festlegen, dass bei mittlerem oder hohem Anmelderisiko Multi-Faktor-Authentifizierung verwendet werden muss
- Benutzer mit hohem Risiko müssen das Kennwort ändern.
Phase 2. Hinzufügen von Sicherheitsmaßnahmen für die Edge-Browserzusammenfassung
Microsoft Copilot unterstützt Sie über die Microsoft Edge-Seitenleiste dabei, Antworten und Inspirationen aus dem Web zu und – falls aktiviert – aus einigen Arten von Informationen zu erhalten, die auf geöffneten Browserregisterkarten angezeigt werden.
Hier sind einige Beispiele für private Webseiten oder Organisationswebseiten und Dokumenttypen, die Copilot in Edge zusammenfassen kann:
- Intranetsites wie SharePoint, mit Ausnahme eingebetteter Office-Dokumente
- Outlook Web App
- PDF-Dateien, einschließlich auf dem lokalen Gerät gespeicherter Dateien
- Websites, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien (Mobile Application Management, Verwaltung mobiler Anwendungen) oder MDM-Richtlinien geschützt sind
Hinweis
Die aktuelle Liste der Dokumenttypen, für die die Analyse und Zusammenfassung durch Copilot in Edge unterstützt wird, finden Sie unter Verhalten bei der Webseitenzusammenfassung von Copilot in Edge.
Potenziell vertrauliche Unternehmenswebsites und Dokumente, die Copilot in Edge zusammenfassen kann, können an Speicherorten in der lokalen Umgebung sowie im Intranet oder in der Cloud gespeichert werden. Diese Organisationsdaten können einem Angreifer offengelegt werden, der Zugriff auf das Gerät hat und Copilot in Edge verwendet, um schnell Zusammenfassungen von Dokumenten und Websites zu generieren.
Die Organisationsdaten, die von Copilot in Edge zusammengefasst werden können, können Folgendes umfassen:
Lokale Ressourcen auf dem Computer des Benutzers
PDF-Dateien oder Informationen, die auf einer Edge-Browserregisterkarte von lokalen Apps angezeigt werden, die nicht durch MAM-Richtlinien geschützt sind
Intranetressourcen
PDF-Dateien oder Websites für interne Apps und Dienste, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind
Microsoft 365-Websites, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind
Microsoft Azure-Ressourcen
PDF-Dateien auf VMs oder Websites für SaaS-Apps, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind
Cloudproduktwebsites von Drittanbietern für cloudbasierte SaaS-Apps und -Dienste, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDA-Richtlinien geschützt sind
Implementieren Sie in dieser Phase Sicherheitsstufen, um zu verhindern, dass böswillige Akteure Copilot verwenden, um vertrauliche Daten schneller zu finden und darauf zuzugreifen. Sie müssen mindestens folgende Aktionen ausführen:
- Bereitstellen von Datenschutz und Complianceschutz mit Microsoft Purview
- Konfigurieren von Mindestbenutzerberechtigungen für Daten
- Bereitstellen von Bedrohungsschutz für Cloud-Apps mit Microsoft Defender for Cloud-Apps
Weitere Informationen zu Copilot in Edge finden Sie hier:
Die folgende Abbildung zeigt die für Microsoft Copilot in Edge verfügbaren Datasets mit aktivierter Browserzusammenfassung:
Empfehlungen für E3 und E5
Implementieren Sie für den Schutz von Daten Intune-App-Schutzrichtlinien (App Protection Policies, APP). App-Schutzrichtlinien können das versehentliche oder absichtliche Kopieren der von Copilot generierten Inhalte in Apps auf einem Gerät verhindern, die nicht in der Liste der zulässigen Apps enthalten sind. ASR kann den Strahlradius eines Angreifers mit einem kompromittierten Gerät einschränken.
Aktivieren Sie Plan 1 für Microsoft Defender für Office 363, der Exchange Online Protection (EOP) für sichere Anlagen, sichere Links, erweiterte Phishingschwellenwerte und Identitätswechselschutz sowie Echtzeiterkennungen beinhaltet.
Phase 3: Abschließen von Sicherheitsmaßnahmen, die für Copilot für Microsoft 365 empfohlen werden
Copilot für Microsoft 365 kann die folgenden Datasets verwenden, um Graph-basierte Prompts zu verarbeiten:
- Ihre Microsoft 365-Mandantendaten
- Internetdaten über die Bing-Suche (sofern aktiviert)
- Die von Copilot-fähigen Plug-Ins und Connectors verwendeten Daten
Weitere Informationen finden Sie unter Anwenden der Zero Trust-Prinzipien auf Microsoft Copilot für Microsoft 365.
Empfehlungen für E3
Implementieren Sie Folgendes:
Anforderungsrichtlinien für die Geräteverwaltung und -compliance in Intune
Schutz von Daten in Ihrem Microsoft 365-Mandanten
Vertraulichkeitsbezeichnungen
Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP)
Aufbewahrungsrichtlinien
Empfehlungen für E5
Implementieren Sie die Empfehlungen für E3 sowie Folgendes:
- Verwenden Sie einen größeren Bereich von Klassifizierern für die Suche vertraulicher Informationen
- Automatisieren Sie Ihre Aufbewahrungsbezeichnungen.
- Probieren Sie die Funktionen von Plan 2 in Defender für Office 365 aus. Dazu zählen Funktionen zur Untersuchung nach Sicherheitsverletzungen, für Hunting sowie für Reaktion, Automatisierung und Simulation.
- Aktivieren Sie Microsoft Defender for Cloud-Apps.
- Konfigurieren Sie Defender for Cloud-Apps, um Cloud-Apps zu entdecken und ihr Verhalten zu überwachen.
Phase 4: Verwalten von Sicherheitsmaßnahmen bei der gemeinsamen Verwendung von Microsoft Copilot und Copilot für Microsoft 365
Wenn Sie eine Lizenz für Copilot für Microsoft 365 besitzen, wird das Umschaltsteuerelement Arbeit/Web im Edge-Browser, in Windows und in der Bing-Suche angezeigt, mit dem Sie zwischen Folgendem wechseln können:
- Graph-basierte Prompts, die an Copilot für Microsoft 365 gesendet werden (Umschaltfläche auf Arbeit festgelegt)
- Webbasierte Prompts, die in erster Linie Internetdaten verwenden (Umschaltfläche auf Web festgelegt)
Hier sehen Sie ein Beispiel für copilot.microsoft.com:
Die folgende Abbildung zeigt den Flow von Graph- und webbasierten Prompts:
In der Abbildung:
- Benutzer auf Geräten mit einer Lizenz für Copilot für Microsoft 365 können den Modus Arbeit oder Web für Microsoft Copilot-Prompts auswählen.
- Wenn Arbeit ausgewählt ist, werden Graph-basierte Prompts zur Verarbeitung an Copilot für Microsoft 365 gesendet.
- Wenn Web ausgewählt ist, verwenden webbasierte Prompts, die über Windows, Bing oder Edge eingegeben werden, Internetdaten bei der Verarbeitung.
- Bei Edge und entsprechender Aktivierung bezieht Windows Copilot einige Arten von Daten auf geöffneten Edge-Registerkarten in die Verarbeitung ein.
Wenn der Benutzer nicht über eine Lizenz für Copilot für Microsoft 365 verfügt, wird die Umschaltfläche Arbeit/Web nicht angezeigt, und alle Prompts sind webbasiert.
Hier sehen Sie die zugänglichen Organisationsdaten für Microsoft Copilot, die sowohl Graph- als auch webbasierte Prompts enthalten:
In der Abbildung stellen die gelb hinterlegten Blöcke Ihre Organisationsdaten dar, auf die über Copilot zugegriffen werden kann. Der Zugriff auf diese Daten durch einen Benutzer über Copilot hängt von den dem Benutzerkonto zugewiesenen Berechtigungen für die Daten ab. Er kann auch vom Status des Geräts des Benutzers abhängen, wenn der bedingte Zugriff entweder für den Benutzer oder für den Zugriff auf die Umgebung konfiguriert ist, in der sich die Daten befinden. Nach den Zero Trust-Prinzipien handelt es sich dabei um Daten, die Sie schützen möchten, falls ein Angreifer ein Benutzerkonto oder Gerät kompromittiert.
Für Graph-basierte Prompts (Umschaltfläche auf Arbeit festgelegt) umfasst dies Folgendes:
Ihre Microsoft 365-Mandantendaten
Daten für Copilot-fähige Plug-Ins und Connectors
Internetdaten (wenn das Web-Plug-In aktiviert ist)
Bei webbasierten Prompts vom Edge-Browser mit aktivierter Zusammenfassung geöffneter Browserregisterkarten (Umschaltfläche auf Web festgelegt) kann dies Organisationsdaten umfassen, die von Copilot in Edge aus Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud zusammengefasst werden können.
Überprüfen Sie in dieser Phase die Implementierung der folgenden Sicherheitsstufen, um zu verhindern, dass böswillige Akteure Copilot verwenden, um auf Ihre vertrauliche Daten zuzugreifen.
- Bereitstellen von Datenschutz und Complianceschutz mit Microsoft Purview
- Konfigurieren von Mindestbenutzerberechtigungen für Daten
- Bereitstellen von Bedrohungsschutz für Cloud-Apps mit Microsoft Defender for Cloud-Apps
Empfehlungen für E3
- Überprüfen Sie Ihre Konfiguration und die Features von Plan 1 für Defender für Office 365 und von Plan 1 für Defender for Endpoint, und implementieren Sie bei Bedarf zusätzliche Funktionen.
- Richten Sie geeignete Schutzebenen für Microsoft Teams ein.
Empfehlungen für E5
Implementieren Sie die Empfehlungen für E3, und erweitern Sie die XDR-Funktionen in Ihrem Microsoft 365-Mandanten:
Aktivieren Sie Microsoft Defender for Identity.
Überprüfen Sie Ihre Konfiguration, und implementieren Sie bei Bedarf zusätzliche Funktionen, um Ihren Bedrohungsschutz mit der vollständigen Microsoft Defender XDR-Suite zu erhöhen:
Konfigurationszusammenfassung
Die folgende Abbildung fasst Microsoft Copilot-Konfigurationen und die resultierenden zugänglichen Daten zusammen, die Copilot für die Reaktion auf Prompts verwendet:
Diese Tabelle enthält Zero Trust-Empfehlungen für Ihre ausgewählte Konfiguration.
| Konfiguration | Zugängliche Daten | Zero Trust-Empfehlungen |
|---|---|---|
| Ohne Copilot für Microsoft 365-Lizenzen (Umschaltfläche Arbeit/Web nicht verfügbar) AND Zusammenfassung von Edge-Browserseiten deaktiviert |
Bei webbasierten Prompts nur Internetdaten | Keine erforderlich, aber dringend empfohlen für die allgemeine Sicherheit |
| Ohne Copilot für Microsoft 365-Lizenzen (Umschaltfläche Arbeit/Web nicht verfügbar) AND Zusammenfassung von Edge-Browserseiten aktiviert |
Bei webbasierten Prompts: - Internetdaten - Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud, die Copilot in Edge zusammenfassen kann |
Informationen zu Ihrem Microsoft 365-Mandanten finden Sie unter Zero Trust für Copilot für Microsoft 365 und „Anwenden von Zero Trust-Schutzmechanismen“. Informationen zu Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud finden Sie unter Verwalten von Geräten mit Intune – Übersicht (MAM- und MDM-Richtlinien). Informationen zu DLP-Richtlinien finden Sie außerdem unter Verwalten von Datenschutz mit Microsoft Priva und Microsoft Purview. |
| Mit Copilot für Microsoft 365-Lizenzen (Umschaltfläche Arbeit/Web verfügbar) AND Zusammenfassung von Edge-Browserseiten deaktiviert |
Bei Graph-basierten Prompts: - Microsoft 365-Mandantendaten - Internetdaten, wenn das Web-Plug-In aktiviert ist - Daten für Copilot-fähige Plug-Ins und Connectors Bei webbasierten Prompts nur Internetdaten |
Informationen zu Ihrem Microsoft 365-Mandanten finden Sie unter Zero Trust für Copilot für Microsoft 365 und „Anwenden von Zero Trust-Schutzmechanismen“. |
| Mit Copilot für Microsoft 365-Lizenzen (Umschaltfläche Arbeit/Web verfügbar) AND Zusammenfassung von Edge-Browserseiten aktiviert |
Bei Graph-basierten Prompts: - Microsoft 365-Mandantendaten - Internetdaten (wenn das Web-Plug-In aktiviert ist) - Daten für Copilot-fähige Plug-Ins und Connectors Bei webbasierten Prompts: - Internetdaten - Organisationsdaten, die auf einer Edge-Browserseite gerendert werden können, einschließlich lokaler Ressourcen sowie Cloud- und Intranetressourcen |
Informationen zu Ihrem Microsoft 365-Mandanten finden Sie unter „Zero Trust für Copilot für Microsoft 365“ und „Anwenden von Zero Trust-Schutzmechanismen“. Informationen zu Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud finden Sie unter Verwalten von Geräten mit Intune – Übersicht (MAM- und MDM-Richtlinien). Informationen zu DLP-Richtlinien finden Sie außerdem unter Verwalten von Datenschutz mit Microsoft Priva und Microsoft Purview. |
Nächste Schritte
Weitere Artikel finden Sie in den folgenden Artikeln zu Zero Trust und Copilots von Microsoft:
References
Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für