Protección de cumplimiento y seguridad de datos de Microsoft Purview para Microsoft Copilot
Guía de licencias de Microsoft 365 para el cumplimiento de la seguridad &
Aunque las herramientas de productividad con tecnología de inteligencia artificial desbloquean información valiosa y aumentan la productividad de los usuarios, también presentan nuevas actividades de usuario y generan una gran cantidad de datos. Al igual que otras actividades y datos empresariales, requieren administración de seguridad y cumplimiento.
Las siguientes funcionalidades de Microsoft Purview refuerzan la seguridad y el cumplimiento de los datos para Microsoft Copilot para Microsoft 365:
- Etiquetas de confidencialidad y contenido cifrados por Microsoft Purview Information Protection
- Clasificación de datos
- Clave de cliente
- Cumplimiento de las comunicaciones
- Auditoría
- Búsqueda de contenido
- Exhibición de documentos electrónicos (eDiscovery)
- Retención y eliminación
- Caja de seguridad del cliente
Nota:
Para comprobar si los planes de licencias de su organización admiten estas funcionalidades, consulte el vínculo de guía de licencias en la parte superior de la página. Para obtener información sobre las licencias de Microsoft Copilot para Microsoft 365, consulte la descripción del servicio para Microsoft Copilot para Microsoft 365.
Use las secciones siguientes para obtener más información sobre cómo estas funcionalidades de Microsoft Purview proporcionan controles de cumplimiento y seguridad de datos adicionales para acelerar la adopción de Microsoft Copilot por parte de su organización. Si no está familiarizado con Microsoft Purview, puede que también le resulte útil una introducción al producto: Obtenga información sobre Microsoft Purview.
Para obtener más información general sobre los requisitos de seguridad y cumplimiento de Copilot para Microsoft 365, consulte Datos, privacidad y seguridad para Microsoft Copilot para Microsoft 365.
Microsoft Purview refuerza la protección de la información para Copilot
Copilot usa controles existentes para asegurarse de que los datos almacenados en el inquilino nunca se devuelven al usuario ni los usa un modelo de lenguaje grande (LLM) si el usuario no tiene acceso a esos datos. Cuando los datos tienen etiquetas de confidencialidad de su organización aplicadas al contenido, hay una capa adicional de protección:
Cuando un archivo está abierto en Word, Excel, PowerPoint o, de forma similar, un evento de correo electrónico o calendario está abierto outlook, la confidencialidad de los datos se muestra a los usuarios de la aplicación con el nombre de la etiqueta y las marcas de contenido (como el encabezado o el texto del pie de página) que se han configurado para la etiqueta.
Cuando la etiqueta de confidencialidad aplica el cifrado, los usuarios deben tener el derecho de uso EXTRACT, así como VIEW, para que Copilot devuelva los datos.
Esta protección se extiende a los datos almacenados fuera de su inquilino de Microsoft 365 cuando está abierto en una aplicación de Office (datos en uso). Por ejemplo, almacenamiento local, recursos compartidos de red y almacenamiento en la nube.
Sugerencia
Si aún no lo ha hecho, se recomienda habilitar las etiquetas de confidencialidad para SharePoint y OneDrive y también familiarizarse con los tipos de archivo y las configuraciones de etiquetas que estos servicios pueden procesar. Cuando las etiquetas de confidencialidad no están habilitadas para estos servicios, los archivos cifrados a los que Copilot para Microsoft 365 pueden acceder se limitan a los datos que se usan desde aplicaciones de Office en Windows.
Para obtener instrucciones, vea Habilitar etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive.
Además, cuando se usa el chat basado en Microsoft Copilot Graph (anteriormente Microsoft 365 Chat) que puede acceder a los datos desde una amplia gama de contenido, la confidencialidad de los datos etiquetados devueltos por Copilot para Microsoft 365 se hace visible para los usuarios con la etiqueta de confidencialidad mostrada para las citas y los elementos enumerados en la respuesta. Con el número de prioridad de las etiquetas de confidencialidad que se definen en el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, la respuesta más reciente de Copilot muestra la etiqueta de confidencialidad de prioridad más alta de los datos usados para ese chat de Copilot.
Aunque los administradores de cumplimiento definen la prioridad de una etiqueta de confidencialidad, un número de prioridad más alto suele indicar una mayor confidencialidad del contenido, con permisos más restrictivos. Como resultado, las respuestas de Copilot se etiquetan con la etiqueta de confidencialidad más restrictiva.
Nota:
Si los elementos se cifran mediante Microsoft Purview Information Protection pero no tienen una etiqueta de confidencialidad, Microsoft Copilot para Microsoft 365 tampoco devolverá estos elementos a los usuarios si el cifrado no incluye los derechos de uso EXTRACT o VIEW para el usuario.
Si aún no usa etiquetas de confidencialidad, consulte Introducción a las etiquetas de confidencialidad.
Aunque las directivas DLP aún no admiten interacciones para Microsoft Copilot para Microsoft 365, se admite la clasificación de datos para tipos de información confidencial y clasificadores entrenables para identificar datos confidenciales en las solicitudes del usuario a Copilot y las respuestas.
Protección de Copilot con herencia de etiquetas de confidencialidad
Cuando se usa Copilot para crear contenido nuevo basado en un elemento que tiene aplicada una etiqueta de confidencialidad, la etiqueta de confidencialidad del archivo de origen se hereda automáticamente, con la configuración de protección de la etiqueta.
Por ejemplo, un usuario selecciona Borrador con Copilot en Word y, a continuación, Hacer referencia a un archivo. O bien, un usuario selecciona Create presentación del archivo en PowerPoint. El contenido de origen tiene la etiqueta de confidencialidad Confidencial\Cualquiera (sin restricciones) aplicada y esa etiqueta está configurada para aplicar un pie de página que muestra "Confidencial". El nuevo contenido se etiqueta automáticamente Confidencial\Cualquiera (sin restricciones) con el mismo pie de página.
Para ver un ejemplo de esto en acción, watch la siguiente demostración de la sesión de Ignite 2023, Preparar su empresa para Microsoft 365 Copilot. En la demostración se muestra cómo la etiqueta de confidencialidad predeterminada de General se reemplaza por una etiqueta confidencial cuando un usuario redacta con Copilot y hace referencia a un archivo etiquetado. La barra de información de la cinta de opciones informa al usuario de que el contenido creado por Copilot provocó que la nueva etiqueta se aplicara automáticamente:
Si se usan varios archivos para crear contenido nuevo, la etiqueta de confidencialidad con la prioridad más alta se usa para la herencia de etiquetas.
Al igual que con todos los escenarios de etiquetado automático, el usuario siempre puede invalidar y reemplazar una etiqueta heredada (o quitarla, si no usa el etiquetado obligatorio).
Protección de Microsoft Purview sin etiquetas de confidencialidad
Incluso si no se aplica una etiqueta de confidencialidad al contenido, los servicios y los productos podrían usar las funcionalidades de cifrado del servicio Azure Rights Management. Como resultado, Copilot para Microsoft 365 todavía puede comprobar los derechos de uso VIEW y EXTRACT antes de devolver datos y vínculos a un usuario, pero no hay ninguna herencia automática de protección para nuevos elementos.
Sugerencia
Obtendrá la mejor experiencia de usuario cuando use siempre etiquetas de confidencialidad para proteger los datos y una etiqueta aplique el cifrado.
Ejemplos de productos y servicios que pueden usar las funcionalidades de cifrado del servicio Azure Rights Management sin etiquetas de confidencialidad:
- Cifrado de mensajes de Microsoft Purview
- Microsoft Information Rights Management (IRM)
- Conector Microsoft Rights Management
- Microsoft Rights Management SDK
Para otros métodos de cifrado que no usan el servicio Azure Rights Management:
Copilot no devolverá los correos electrónicos protegidos con S/MIME y Copilot no está disponible en Outlook cuando se abre un correo electrónico protegido con S/MIME.
No se puede acceder a los documentos protegidos con contraseña mediante Copilot para Microsoft 365 a menos que el usuario ya los haya abierto en la misma aplicación (datos en uso). Un elemento de destino no hereda las contraseñas.
Al igual que con otros servicios de Microsoft 365, como eDiscovery y search, los elementos cifrados con la clave de cliente de Microsoft Purview o su propia clave raíz (BYOK) son compatibles y aptos para ser devueltos por Copilot para Microsoft 365.
Copilot respeta la protección existente con el derecho de uso EXTRACT
Aunque es posible que no esté muy familiarizado con los derechos de uso individuales para el contenido cifrado, han pasado mucho tiempo. Desde Windows Server Rights Management hasta Active Directory Rights Management hasta la versión en la nube que se convirtió en Azure Information Protection con el servicio Azure Rights Management.
Si alguna vez ha recibido un correo electrónico de "No reenviar", usa los derechos de uso para impedir que reenvíe el correo electrónico después de autenticarse. Al igual que con otros derechos de uso agrupados que se asignan a escenarios empresariales comunes, un correo electrónico no reenviar concede al destinatario derechos de uso que controlan lo que pueden hacer con el contenido y no incluye el derecho de uso FORWARD. Además de no reenviar, no puede imprimir este correo electrónico no reenviar ni copiar texto desde él.
El derecho de uso que concede permiso para copiar texto es EXTRACT, con el nombre común y más fácil de usar de Copiar. Este derecho de uso determina si Copilot para Microsoft 365 puede mostrar texto al usuario desde contenido cifrado.
Nota:
Dado que el derecho de uso Control total (PROPIETARIO) incluye todos los derechos de uso, EXTRACT se incluye automáticamente con Control total.
Cuando se usa el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview para configurar una etiqueta de confidencialidad para aplicar el cifrado, la primera opción es asignar los permisos ahora o permitir que los usuarios asignen los permisos. Si asigna ahora, configure los permisos seleccionando un nivel de permiso predefinido con un grupo preestablecido de derechos de uso, como Co-Author o Reviewer. O bien, puede seleccionar permisos personalizados donde puede seleccionar individualmente los derechos de uso disponibles.
En el portal, el derecho de uso EXTRACT se muestra como Copiar y extraer contenido (EXTRACT). Por ejemplo, el nivel de permiso predeterminado seleccionado es Coautor, donde verá Copiar y extraer contenido (EXTRACT). Como resultado, el contenido protegido con esta configuración de cifrado puede ser devuelto por Copilot para Microsoft 365:
Si selecciona Personalizado en el cuadro desplegable y, a continuación, Control total (PROPIETARIO) de la lista, esta configuración también concederá el derecho de uso EXTRACT.
Nota:
La persona que aplica el cifrado siempre tiene el derecho de uso EXTRACT, ya que es el propietario de Rights Management. Este rol especial incluye automáticamente todos los derechos de uso y algunas otras acciones, lo que significa que el contenido que un usuario ha cifrado por sí mismo siempre es apto para ser devuelto por Copilot para Microsoft 365. Las restricciones de uso configuradas se aplican a otras personas autorizadas para acceder al contenido.
Como alternativa, si selecciona la configuración de cifrado para permitir que los usuarios asignen permisos, para Outlook, esta configuración incluye permisos predefinidos para No reenviar y Cifrar solo. La opción Encrypt-Only, a diferencia de No reenviar, incluye el derecho de uso EXTRACT.
Al seleccionar permisos personalizados para Word, Excel y PowerPoint, los usuarios seleccionan sus propios permisos en la aplicación de Office cuando aplican la etiqueta de confidencialidad. Se les informa de que, a partir de las dos selecciones, Read no incluye el permiso para copiar contenido, pero Change sí. Estas referencias que se van a copiar hacen referencia al derecho de uso EXTRACT. Si el usuario selecciona Más opciones, puede agregar el derecho de uso EXTRACT a Leer; para ello, seleccione Permitir que los usuarios con acceso de lectura copien contenido.
Sugerencia
Si necesita comprobar si un documento que está autorizado a ver incluye el derecho de uso EXTRACT, ábralo en la aplicación Windows Office y personalice la barra de estado para mostrar permisos. Seleccione el icono situado junto al nombre de la etiqueta de confidencialidad para mostrar Mi permiso. Vea el valor de Copiar, que se asigna al derecho de uso EXTRACT y confirme si muestra Sí o No.
En el caso de los correos electrónicos, si los permisos no se muestran en la parte superior del mensaje en Outlook para Windows, seleccione el banner de información con el nombre de la etiqueta y, a continuación, seleccione Ver permiso.
Copilot respeta el derecho de uso EXTRACT para un usuario, sin embargo, se aplicó al contenido. La mayoría de las veces, cuando se etiqueta el contenido, los derechos de uso concedidos al usuario coinciden con los de la configuración de la etiqueta de confidencialidad. Sin embargo, hay algunas situaciones que pueden dar lugar a que los derechos de uso del contenido sean diferentes de la configuración de etiqueta aplicada:
- La etiqueta de confidencialidad se aplica después de que ya se hayan aplicado los derechos de uso.
- Los derechos de uso se aplican después de aplicar una etiqueta de confidencialidad.
Para obtener más información sobre cómo configurar una etiqueta de confidencialidad para el cifrado, consulte Restricción del acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.
Para obtener detalles técnicos sobre los derechos de uso, consulte Configuración de derechos de uso para Azure Information Protection.
Microsoft Purview admite la administración de cumplimiento para Copilot
Use las funcionalidades de cumplimiento de Microsoft Purview para admitir los requisitos de riesgo y cumplimiento de Copilot para Microsoft 365.
Las interacciones con Copilot se pueden supervisar para cada usuario del inquilino. Por lo tanto, puede usar la clasificación de Purview (tipos de información confidencial y clasificadores entrenables), la búsqueda de contenido, el cumplimiento de comunicaciones, la auditoría, la exhibición de documentos electrónicos y las funcionalidades de retención y eliminación automáticas mediante directivas de retención.
Para el cumplimiento de las comunicaciones, puede analizar las solicitudes del usuario y las respuestas de Copilot para detectar interacciones inapropiadas o de riesgo o el uso compartido de información confidencial. Para obtener más información, vea Configurar una directiva de cumplimiento de comunicaciones para detectar interacciones Copilot para Microsoft 365.
Para la auditoría, los detalles se capturan cuando los usuarios interactúan con Copilot. Los eventos incluyen cómo y cuándo interactúan los usuarios con Copilot, en el que se produjo el servicio de Microsoft 365, y las referencias a los archivos almacenados en Microsoft 365 a los que se accedió durante la interacción. Si estos archivos tienen una etiqueta de confidencialidad aplicada, también se captura. En la solución Auditar desde el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, seleccione Actividades de Copilot e Interacted with Copilot (Interactuar con Copilot). También puede seleccionar Copilot como carga de trabajo. Por ejemplo, desde el portal de cumplimiento:
Para la búsqueda de contenido, dado que el usuario solicita a Copilot y las respuestas de Copilot se almacenan en el buzón de un usuario, se pueden buscar y recuperar cuando se selecciona el buzón del usuario como origen de una consulta de búsqueda. Seleccione y recupere estos datos del buzón de origen; para ello, seleccione Agregar condición>Tipo>de interacciones de Copilot.
De forma similar para eDiscovery, se usa el mismo proceso de consulta para seleccionar buzones y recuperar las solicitudes de usuario a Copilot y las respuestas de Copilot. Una vez creada la colección y originada en la fase de revisión de eDiscovery (Premium), estos datos están disponibles para realizar todas las acciones de revisión existentes. Estas colecciones y conjuntos de revisión se pueden poner en espera o exportar. Si necesita eliminar estos datos, consulte Búsqueda y eliminar datos para Microsoft Copilot para Microsoft 365.
En el caso de las directivas de retención que admiten la retención y eliminación automáticas, los mensajes de usuario para Copilot y las respuestas de Copilot se identifican mediante los chats de Teams de ubicación y las interacciones de Copilot. Anteriormente denominados solo chats de Teams, los usuarios no necesitan usar el chat de Teams para que esta directiva se aplique a ellos. Las directivas de retención existentes configuradas anteriormente para los chats de Teams ahora incluyen automáticamente mensajes de usuario y respuestas hacia y desde Microsoft Copilot para Microsoft 365:
Para obtener información detallada sobre este trabajo de retención, consulte Información sobre la retención para Microsoft Copilot para Microsoft 365.
Al igual que con todas las directivas de retención y retenciones, si se aplica más de una directiva para la misma ubicación a un usuario, los principios de retención resuelven los conflictos. Por ejemplo, los datos se conservan durante el tiempo más largo de todas las directivas de retención aplicadas o las retenciones de eDiscovery.
Para que las etiquetas de retención conserven automáticamente los archivos a los que se hace referencia en Copilot, seleccione la opción para los datos adjuntos en la nube con una directiva de etiqueta de retención de aplicación automática: Aplicar etiqueta a datos adjuntos en la nube y vínculos compartidos en Exchange, Teams, Viva Engage y Copilot. Al igual que con todos los datos adjuntos en la nube retenidos, se conserva la versión del archivo en el momento en que se hace referencia a él.
Para obtener información detallada sobre cómo funciona esta retención, consulte Funcionamiento de la retención con los datos adjuntos en la nube.
Para obtener instrucciones de configuración:
Para configurar las directivas de cumplimiento de comunicaciones para las interacciones de Copilot, consulte Create y administrar las directivas de cumplimiento de comunicaciones.
Para buscar interacciones de Copilot en el registro de auditoría, consulte Búsqueda el registro de auditoría.
Para usar la búsqueda de contenido para buscar interacciones de Copilot, consulte Búsqueda de contenido.
Para usar eDiscovery para las interacciones de Copilot, consulte Microsoft Purview eDiscovery soluciones.
Para crear o cambiar una directiva de retención para las interacciones de Copilot, consulte Create y configurar las directivas de retención.
Para crear una directiva de etiqueta de retención de aplicación automática para los archivos a los que se hace referencia en Copilot, consulte Aplicación automática de una etiqueta de retención para conservar o eliminar contenido.
Otra documentación para Copilot
Para obtener información más detallada, consulte Consideraciones para implementar las protecciones de cumplimiento y seguridad de datos de Microsoft Purview para Copilot.
Para obtener más información sobre Copilot para Microsoft 365 y cómo su organización puede usar este copiloto para trabajar, consulte la documentación de Microsoft Copilot para Microsoft 365.
Para obtener información sobre cómo aplicar Confianza cero a Copilot para Microsoft 365, consulte Aplicar principios de Confianza cero a Microsoft Copilot para Microsoft 365.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de