Aplicación de principios de confianza cero a Microsoft Copilot

Resumen: Para aplicar los principios de Confianza cero a Microsoft Copilot, debe:

1. Implementar protecciones de seguridad para solicitudes basadas en web a Internet.
2. Agregar protecciones de seguridad para el resumen del explorador Microsoft Edge.
3. Completar las protecciones de seguridad recomendada para Copilot para Microsoft 365.
4. Mantener las protecciones de seguridad mientras se usa Microsoft Copilot y Copilot para Microsoft 365 juntos.

Introducción

Microsoft Copilot o Copilot es un compañero de IA en coplilot.microsoft.com, Windows, Edge, Bing y la aplicación móvil Copilot. Este artículo le ayuda a implementar protecciones de seguridad para mantener la organización y los datos seguros al usar Copilot. Al implementar estas protecciones, va a crear una base de Confianza cero.

Las recomendaciones de seguridad de Confianza cero para Copilot se centran en la protección de cuentas de usuario, dispositivos de usuario y los datos que están en el ámbito de la forma en que configura Copilot.

Puede introducir Copilot en fases, desde permitir que los avisos basados en web a Internet permitan que tanto los mensajes basados en Web como los de Microsoft 365 Graph se envíen a Internet y a los datos de la organización. Este artículo le ayuda a comprender el ámbito de cada configuración y, por tanto, las recomendaciones para preparar el entorno con protecciones de seguridad adecuadas.

¿Cómo ayuda Confianza cero con la inteligencia artificial?

La seguridad, especialmente la protección de datos, suele ser una preocupación importante al introducir herramientas de inteligencia artificial en una organización. Confianza cero es una estrategia de seguridad que comprueba todos los usuarios, dispositivos y solicitudes de recursos para asegurarse de que se permite cada uno de estos. El término "confianza cero" hace referencia a la estrategia de tratar cada conexión y solicitud de recursos como si se origina en una red no controlada y un actor incorrecto. Independientemente de dónde se origina la solicitud o de los recursos a los que accede, la confianza cero nos enseña a "desconfiar y comprobar siempre".

Como líder en seguridad, Microsoft proporciona una guía práctica y clara para implementar Confianza cero. El conjunto de Copilots de Microsoft se basa en plataformas existentes, que heredan las protecciones aplicadas a esas plataformas. Para obtener información detallada sobre cómo aplicar Confianza cero a las plataformas de Microsoft, consulte el Centro de instrucciones de confianza cero. Al implementar estas protecciones, va a crear una base de seguridad de Confianza cero.

Este artículo se basa en esa guía para recetar las protecciones de confianza cero relacionadas con Copilot.

Lo que se incluye en este artículo

En este artículo se describen las recomendaciones de seguridad que se aplican en cuatro fases. Esto proporciona una ruta de acceso para introducir Copilot en su entorno mientras aplica protecciones de seguridad para usuarios, dispositivos y los datos a los que accede Copilot.

Fase	Configuración	Componentes para proteger
1	Solicitudes basadas en web a Internet	Higiene básica de seguridad para los usuarios y dispositivos mediante directivas de identidad y acceso.
2	Solicitudes basadas en web a Internet con el resumen de página del explorador Edge habilitado	Los datos de la organización en ubicaciones locales, intranet y en la nube que Copilot en Edge pueden resumir.
3	Solicitudes basadas en web a Internet y acceso a Copilot para Microsoft 365	Todos los componentes afectados por Copilot para Microsoft 365.
4	Solicitudes basadas en web a Internet y acceso a Copilot para Microsoft 365 con el resumen de página del explorador Edge habilitado	Todos los componentes enumerados anteriormente.

Fase 1. Comience con recomendaciones de seguridad para solicitudes basadas en web a Internet

La configuración más sencilla de Copilot proporciona asistencia de inteligencia artificial con avisos basados en web.

En la ilustración:

• Los usuarios pueden interactuar con Copilot a través de copilot.microsoft.com, Windows, Bing, el explorador Edge y la aplicación móvil de Copilot.
• Las indicaciones están basadas en web. Copilot solo usa datos disponibles públicamente para responder a las solicitudes.

Con esta configuración, los datos de la organización no se incluyen en el ámbito de los datos a los que hace referencia Copilot.

Use esta fase para implementar directivas de identidad y acceso para usuarios y dispositivos para evitar que los actores incorrectos usen Copilot. Como mínimo, debe configurar directivas de acceso condicional que requieran:

• Autenticación multifactor para todos los usuarios
• Dispositivos de confianza y correctos

Recomendaciones adicionales para Microsoft 365 E3

• Para la autenticación y el acceso de la cuenta de usuario, configure también las directivas de identidad y acceso para Bloquear clientes que no admiten la autenticación moderna.
• Use las funcionalidades de protección de Windows.

Recomendaciones adicionales para Microsoft 365 E5

Implemente las recomendaciones para E3 y configure las siguientes directivas de identidad y acceso:

• Requerir MFA cuando el riesgo de inicio de sesión es medio o alto
• Los usuarios de alto riesgo deben cambiar su contraseña

Fase 2. Adición de protecciones de seguridad para el resumen del explorador Edge

Desde la barra lateral de Microsoft Edge, Microsoft Copilot le ayuda a obtener respuestas e inspiraciones desde toda la web y, si está habilitado, desde algunos tipos de información que se muestran en pestañas abiertas del explorador.

Estos son algunos ejemplos de páginas web privadas u organizativas y tipos de documento que Copilot en Edge puede resumir:

• Sitios de intranet como SharePoint, excepto documentos insertados de Office
• Outlook Web App
• Archivos PDF, incluidos los almacenados en el dispositivo local
• Sitios no protegidos por directivas DLP de Microsoft Purview, directivas de administración de aplicaciones móviles (MAM) o directivas MDM

Nota:

Para obtener la lista actual de tipos de documentos admitidos por Copilot en Edge para su análisis y resumen, consulte Comportamiento de resumen de páginas web de Copilot en Edge.

Los sitios y documentos de la organización potencialmente confidenciales que Copilot en Edge pueden resumirse podrían almacenarse en ubicaciones locales, intranets o en la nube. Estos datos de la organización se pueden exponer a un atacante que tiene acceso al dispositivo y usa Copilot en Edge para generar rápidamente resúmenes de documentos y sitios.

Los datos de la organización que puede resumir Copilot en Edge pueden incluir:

• Recursos locales en el equipo del usuario

  Archivos PDF o información que se muestran en una pestaña del explorador Edge mediante aplicaciones locales que no están protegidas con directivas MAM

• Recursos de intranet

  Archivos PDF o sitios para aplicaciones y servicios internos que no están protegidos por directivas DLP de Microsoft Purview, directivas MAM o directivas MDM

• Sitios de Microsoft 365 que no están protegidos por directivas DLP de Microsoft Purview, directivas MAM o directivas MDM

• Recursos de Microsoft Azure

  Archivos PDF en máquinas virtuales o sitios para aplicaciones SaaS que no están protegidas por directivas DLP de Microsoft Purview, directivas MAM o directivas MDM

• Sitios de productos en la nube de terceros para aplicaciones y servicios SaaS basados en la nube que no están protegidos por directivas DLP de Microsoft Purview, directivas MAM o directivas de MDA

Use esta fase para implementar niveles de seguridad para evitar que los actores incorrectos usen Copilot para detectar y acceder más rápidamente a datos confidenciales. Como mínimo, debe:

• Implementar protecciones de cumplimiento y seguridad de datos con Microsoft Purview
• Configurar permisos mínimos de usuario para los datos
• Implementar la protección contra amenazas para aplicaciones en la nube con Microsoft Defender for Cloud Apps

Para obtener más información sobre Copilot en Edge, consulte:

• Copilot en Edge
• Comportamiento de resumen de la página web de Copilot en Edge

En esta ilustración se muestran los conjuntos de datos disponibles para Microsoft Copilot en Edge con el resumen del explorador habilitado.

Recomendaciones para E3 y E5

• Implemente directivas de protección de aplicaciones (APP) de Intune para la protección de datos. APP puede evitar la copia involuntaria o intencionada del contenido generado por Copilot en aplicaciones de un dispositivo que no se incluye en la lista de aplicaciones permitidas. Además, puede limitar el radio de explosión de un atacante mediante un dispositivo en peligro.

• Active Microsoft Defender para Office 365 Plan 1, que incluye Exchange Online Protection (EOP) para datos adjuntos seguros, vínculos seguros, umbrales de suplantación de identidad avanzados y protección de suplantación y detecciones en tiempo real.

Fase 3. Protección de seguridad completa recomendada para Copilot para Microsoft 365

Copilot para Microsoft 365 puede usar los siguientes conjuntos de datos para procesar avisos basados en Graph:

• Datos de inquilino de Microsoft 365
• Datos de Internet a través de la búsqueda de Bing (si está habilitado)
• Los datos usados por los conectores y complementos habilitados para Copilot

Para obtener más información, vea Aplicar principios de confianza cero a Microsoft Copilot para Microsoft 365.

Recomendaciones para E3

Implemente lo siguiente:

• Directivas de requisitos de cumplimiento de dispositivos y administración de dispositivos de Intune

• Protección de datos en el inquilino de Microsoft 365

  • Etiquetas de confidencialidad

  • Directivas de prevención de pérdida de datos (DLP)

  • Directivas de retención

• Active Microsoft Defender para punto de conexión

Recomendaciones para E5

Implemente las recomendaciones para E3 y las siguientes:

• Use una mayor variedad de clasificadores para buscar información confidencial.
• Automatice las etiquetas de retención.
• Pruebe las funcionalidades del plan 2 en Defender para Office 365, que incluyen la investigación posterior a la vulneración, la búsqueda y la respuesta, la automatización y la simulación.
• Active Microsoft Defender for Cloud Apps.
• Configure Defender for Cloud Apps para detectar aplicaciones en la nube y supervisar y auditar su comportamiento.

Fase 4. Mantener las protecciones de seguridad mientras usa Microsoft Copilot y Copilot para Microsoft 365 juntos

Con una licencia para Copilot para Microsoft 365, verá un control de alternancia Trabajo/Web en el explorador Edge, Windows y búsqueda de Bing que le permite cambiar entre usar:

• Avisos basados en Graph que se envían a Copilot para Microsoft 365 (alternancia establecida en Trabajo).
• Avisos basados en web que usan principalmente datos de Internet (alternancia establecida en Web).

Este es un ejemplo de copilot.microsoft.com.

En esta ilustración se muestra el flujo de mensajes basados en Graph y Web.

En el diagrama:

• Los usuarios de dispositivos con una licencia para Copilot para Microsoft 365 pueden elegir el modo trabajo o web para solicitudes de Microsoft Copilot.
• Si se elige Trabajo, los mensajes basados en Graph se envían a Copilot para Microsoft 365 para su procesamiento.
• Si se elige Web, las solicitudes basadas en web escritas a través de Windows, Bing o Edge usan datos de Internet en su procesamiento.
• En el caso de Edge y cuando está habilitado, Windows Copilot incluye algunos tipos de datos en pestañas de Edge abiertas en su procesamiento.

Si el usuario no tiene una licencia para Copilot para Microsoft 365, no se muestra el botón de alternancia Trabajo/Web y todas las solicitudes están basadas en web.

Estos son los conjuntos de datos de la organización accesibles para Microsoft Copilot, que incluyen mensajes basados en Graph y Web.

En la ilustración, los bloques sombreados amarillos son para los datos de la organización a los que se puede acceder a través de Copilot. El acceso a estos datos por parte de un usuario a través de Copilot depende de los permisos para los datos asignados a la cuenta de usuario. También puede depender del estado del dispositivo del usuario si el acceso condicional está configurado para el usuario o para el acceso al entorno donde residen los datos. Siguiendo los principios de Confianza cero, estos son los datos que desea proteger en caso de que un atacante ponga en peligro una cuenta de usuario o un dispositivo.

• En el caso de los mensajes basados en Graph (alternancia establecido en Trabajo), esto incluye:

  • Datos de inquilino de Microsoft 365

  • Datos para conectores y complementos habilitados para Copilot

  • Datos de Internet (si el complemento web está habilitado)

• En el caso de las solicitudes basadas en web desde el explorador Edge con el resumen de pestaña abrir explorador habilitado (alternador establecido en Web), esto puede incluir datos de la organización que Copilot puede resumir en Edge desde ubicaciones locales, intranet y en la nube.

Use esta fase para comprobar la implementación de los siguientes niveles de seguridad para evitar que los actores maliciosos usen Copilot para acceder a los datos confidenciales:

• Implementar protecciones de cumplimiento y seguridad de datos con Microsoft Purview
• Configurar permisos mínimos de usuario para los datos
• Implementar la protección contra amenazas para aplicaciones en la nube con Microsoft Defender for Cloud Apps

Recomendaciones para E3

• Revise la configuración y las características de Defender para Office 365 Plan 1 y Defender para punto de conexión Plan 1 e implemente funcionalidades adicionales según sea necesario.
• Configure los niveles de protección adecuados para Microsoft Teams.

Recomendaciones para E5

Implemente las recomendaciones para E3 y amplíe las funcionalidades de XDR en el inquilino de Microsoft 365:

• Active Microsoft Defender for Identity.

• Revise la configuración e implemente funcionalidades adicionales según sea necesario para aumentar la protección contra amenazas con el conjunto completo de Microsoft Defender XDR:

  • Defender para punto de conexión

  • Defender para Office 365

  • Defender for Identity

  • Defender para aplicaciones en la nube

  • Configuración de directivas de sesión para Defender for Cloud Apps

Resumen de la configuración

En esta ilustración se resumen las configuraciones de Microsoft Copilot y los datos accesibles resultantes que Copilot usa para responder a las solicitudes.

En esta tabla se incluyen recomendaciones de confianza cero para la configuración elegida.

Configuración	Datos accesibles	Recomendaciones de confianza cero
Sin licencias de Copilot para Microsoft 365 (alternancia trabajo/web no disponible) AND Resumen de página del explorador Edge deshabilitado	En el caso de las solicitudes basadas en web, solo los datos de Internet	No es necesario, pero se recomienda encarecidamente para la higiene general de la seguridad.
Sin licencias de Copilot para Microsoft 365 (alternancia trabajo/web no disponible) AND Resumen de página del explorador Edge habilitado	En el caso de las solicitudes basadas en web: - Datos de Internet - Datos de la organización en ubicaciones locales, intranet y en la nube que Copilot en Edge puede resumir	Para el inquilino de Microsoft 365, consulte Confianza cero para Copilot para Microsoft 365 y aplique protecciones de confianza cero. Para obtener datos de la organización en ubicaciones locales, de intranet y en la nube, consulte Administración de dispositivos con información general de Intune para directivas MAM y MDM. Consulte también Administración de la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview para directivas DLP.
Con licencias de Copilot para Microsoft 365 (alternancia de trabajo/web disponible) AND Resumen de página del explorador Edge deshabilitado	En el caso de los mensajes basados en Graph: - Datos de inquilinos de Microsoft 365 - Datos de Internet si el complemento web está habilitado - Datos para conectores y complementos habilitados para Copilot En el caso de las solicitudes basadas en web, solo los datos de Internet	Para el inquilino de Microsoft 365, consulte Confianza cero para Copilot para Microsoft 365 y aplique protecciones de confianza cero.
Con licencias de Copilot para Microsoft 365 (alternancia de trabajo/web disponible) AND Resumen de página del explorador Edge habilitado	En el caso de los mensajes basados en Graph: - Datos de inquilinos de Microsoft 365 - Datos de Internet si el complemento web está habilitado - Datos para conectores y complementos habilitados para Copilot En el caso de las solicitudes basadas en web: - Datos de Internet - Datos de la organización que se pueden representar en una página del explorador Edge, incluidos los recursos locales, en la nube y en la intranet	Para el inquilino de Microsoft 365, consulte Confianza cero para Copilot para Microsoft 365 y aplique protecciones de confianza cero. Para obtener datos de la organización en ubicaciones locales, de intranet y en la nube, consulte Administración de dispositivos con información general de Intune para directivas MAM y MDM. Consulte también Administración de la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview para directivas DLP.

Pasos siguientes

Consulte estos artículos adicionales para conocer sobre Confianza cero y Copilots de Microsoft:

• Información general
• Microsoft Copilot para Microsoft 365
• Microsoft Copilot para seguridad

Referencias

Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.

• Copilot en Edge
• Comportamiento de resumen de la página web de Copilot en Edge
• Administrar Copilot en Windows
• Administrar el acceso al contenido web público en Microsoft Copilot para respuestas de Microsoft 365
• Datos, privacidad y seguridad de Microsoft Copilot para Microsoft 365