Aplicar os princípios de Confiança Zero ao Microsoft Copilot

Resumo: Para aplicar princípios de Confiança Zero ao Microsoft Copilot, você precisa:

1. Implemente proteções de segurança para prompts baseados na Web na Internet.
2. Adicione proteções de segurança para resumo do navegador Microsoft Edge.
3. Conclua as proteções de segurança recomendadas para o Copilot para Microsoft 365.
4. Mantenha as proteções de segurança ao usar o Microsoft Copilot e o Copilot para Microsoft 365 em conjunto.

Introdução

O Microsoft Copilot ou Copilot é um companheiro de IA em coplilot.microsoft.com, no Windows, no Edge, no Bing e no aplicativo móvel do Copilot. Este artigo ajuda você a implementar proteções de segurança para manter sua organização e seus dados seguros ao usar o Copilot. Ao implementar essas proteções, você estará criando uma base de Confiança Zero.

As recomendações de segurança de Confiança Zero para o Copilot concentram-se na proteção de contas de usuários, dispositivos de usuários e dados que estão no escopo da maneira como você configura o Copilot.

Você pode introduzir o Copilot em fases, desde a permissão de prompts com base na Web para a Internet até a permissão de prompts com base na Web e no Microsoft 365 Graph para a Internet e para os dados da sua organização. Este artigo ajuda você a entender o escopo de cada configuração e, consequentemente, as recomendações para preparar seu ambiente com proteções de segurança adequadas.

Como a Confiança Zero ajuda com a IA?

A segurança, especialmente a proteção de dados, costuma ser uma das principais preocupações ao introduzir ferramentas de IA em uma organização. Confiança Zero é uma estratégia de segurança que verifica cada solicitação de usuário, dispositivo e recurso para garantir que cada um deles seja permitido. O termo "confiança zero" refere-se à estratégia de tratar cada conexão e solicitação de recurso como se fosse originária de uma rede não controlada e de um agente mal-intencionado. Independentemente de onde a solicitação se origina ou qual recurso acessa, a Confiança Zero nos ensina a "nunca confiar, sempre verificar".

Como líder em segurança, a Microsoft fornece um roteiro prático e diretrizes clara para a implementação da Confiança Zero. O conjunto de Copilots da Microsoft foi criado com base nas plataformas existentes, que herdam as proteções aplicadas a essas plataformas. Para obter detalhes sobre a aplicação da Confiança Zero às plataformas da Microsoft, consulte o Centro de Diretrizes de Confiança Zero. Ao implementar essas proteções, você está construindo uma base de segurança de Confiança Zero.

Este artigo baseia-se nessas diretrizes para prescrever as proteções de Confiança Zero relacionadas ao Copilot.

O que está incluído neste artigo

Este artigo apresenta as recomendações de segurança que se aplicam em quatro fases. Isso fornece um caminho para a introdução do Copilot no seu ambiente enquanto você aplica proteções de segurança para usuários, dispositivos e dados acessados pelo Copilot.

Estágio	Configuração	Componentes a serem protegidos
1	Prompts com base na Web para a Internet	Higiene básica de segurança para usuários e dispositivos usando políticas de identidade e acesso.
2	Prompts com base na Web para a Internet com o resumo de páginas do navegador Edge habilitado	Os dados da sua organização no local, na intranet e na nuvem que o Copilot no Edge pode resumir.
3	Prompts com base na Web para a Internet e acesso ao Copilot para Microsoft 365	Todos os componentes afetados pelo Copilot para Microsoft 365.
4	Prompts com base na Web para a Internet e acesso ao Copilot para Microsoft 365 com o resumo de páginas do navegador Edge habilitado	Todos os componentes listados acima.

Estágio 1. Comece com as recomendações de segurança para prompts com base na Web para a Internet

A configuração mais simples do Copilot fornece assistência de IA com prompts com base na Web.

Na ilustração:

• Os usuários podem interagir com o Copilot por meio de copilot.microsoft.com, do Windows, do Bing, do navegador Edge e do aplicativo móvel Copilot.
• Os prompts são baseados na Web. O Copilot usa apenas dados disponíveis publicamente para responder aos prompts.

Com essa configuração, os dados da sua organização não são incluídos no escopo de dados a que o Copilot faz referência.

Use essa fase para implementar políticas de identidade e acesso para usuários e dispositivos a fim de impedir que agentes mal-intencionados utilizem o Copilot. No mínimo, você deve configurar políticas de acesso condicional que exijam:

• Autenticação multifator para todos os usuários
• Dispositivos confiáveis e íntegros

Recomendações adicionais para o Microsoft 365 E3

• Para autenticação e acesso à conta de usuário, configure também as políticas de identidade e acesso para Bloquear clientes que não dão suporte à autenticação moderna.
• Usar os recursos de proteção do Windows.

Recomendações adicionais para o Microsoft 365 E5

Implemente as recomendações para o E3 e configure as seguintes políticas de identidade e acesso:

• Exigir a MFA quando o risco de entrada for médio ou alto
• Usuários de alto risco devem alterar suas senhas

Estágio 2. Adicionar proteções de segurança para o resumo do navegador Edge

Na barra lateral do Microsoft Edge, o Microsoft Copilot ajuda você a obter respostas e inspirações de toda a Web e, se habilitado, de alguns tipos de informações exibidas em guias abertas do navegador.

Aqui estão alguns exemplos de páginas da Web privadas ou da organização e tipos de documentos que o Copilot no Edge pode resumir:

• Sites de intranet, como o SharePoint, exceto documentos do Office inseridos
• Outlook Web App
• PDFs, inclusive os armazenados no dispositivo local
• Sites não protegidos por políticas DLP do Microsoft Purview, políticas de gerenciamento de aplicativos móveis (MAM) ou políticas MDM

Observação

Para obter a lista atual de tipos de documentos com suporte pelo Copilot no Edge para análise e resumo, consulte Comportamento do resumo de páginas da Web do o Copilot no Edge.

Os sites e documentos potencialmente confidenciais da organização que o Copilot no Edge pode resumir podem ser armazenados localmente, na intranet ou na nuvem. Esses dados da organização podem ser expostos a um invasor que tenha acesso ao dispositivo e use o Copilot no Edge para produzir rapidamente resumos de documentos e sites.

Os dados da organização que podem ser resumidos pelo Copilot no Edge podem incluir:

• Recursos locais no computador do usuário

  PDFs ou informações exibidas em uma guia do navegador Edge por aplicativos locais que não estão protegidos por políticas MAM

• Recursos de intranet

  PDFs ou sites de aplicativos e serviços internos que não estão protegidos pelas políticas DLP do Microsoft Purview, políticas MAM ou políticas MDM

• Sites do Microsoft 365 que não estão protegidos pelas políticas DLP do Microsoft Purview, políticas MAM ou políticas MDM

• Recursos do Microsoft Azure

  PDFs em máquinas virtuais ou sites de aplicativos SaaS que não estão protegidos pelas políticas DLP, políticas MAM ou políticas MDM do Microsoft Purview

• Sites de produtos de nuvem de terceiros para aplicativos e serviços SaaS baseados em nuvem que não estejam protegidos pelas políticas DLP, políticas MAM ou políticas MDA do Microsoft Purview

Use esta fase para implementar níveis de segurança para evitar que agentes mal-intencionados usem o Copilot para descobrir e acessar dados confidenciais mais rapidamente. No mínimo, você deve:

• Implantar proteções de segurança e conformidade de dados com o Microsoft Purview
• Configurar permissões mínimas de usuário para os dados
• Implantar proteção contra ameaças para aplicativos em nuvem com o Microsoft Defender para Aplicativos de Nuvem

Para obter mais informações sobre o Copilot no Edge, consulte:

• Copilot no Edge
• Comportamento de resumo de páginas da Web do Copilot no Edge

Esta ilustração mostra os conjuntos de dados disponíveis para o Microsoft Copilot no Edge com o resumo do navegador habilitado.

Recomendações para E3 e E5

• Implemente as políticas de proteção de aplicativos (APP) do Intune para proteção de dados. O APP pode impedir a cópia inadvertida ou intencional do conteúdo gerado pelo Copilot para aplicativos em um dispositivo que não estejam incluídos na lista de aplicativos permitidos. O APP pode limitar o raio de explosão de um invasor utilizando um dispositivo comprometido.

• Ative o Plano 1 do Microsoft Defender para Office 363, que inclui a Proteção Online do Exchange (EOP) para Anexos Seguros, Links Seguros, limites avançados de phishing e proteção contra personificação, além de detecções em tempo real.

Fase 3. Proteções de segurança completas recomendadas para o Copilot para Microsoft 365

O Copilot para Microsoft 365 pode usar os seguintes conjuntos de dados para processar prompts com base em Graph:

• Seus dados de locatário do Microsoft 365
• Dados da Internet por meio da pesquisa do Bing (se habilitado)
• Os dados usados por plug-ins e conectores habilitados pelo Copilot

Para obter mais informações, consulte Aplicar os princípios de Confiança Zero ao Microsoft Copilot para Microsoft 365.

Recomendações para o E3

Implemente o seguinte:

• Políticas de requisitos de conformidade de dispositivos e gerenciamento de dispositivos do Intune

• Proteção de dados em seu locatário do Microsoft 365

  • Rótulos de confidencialidade

  • Políticas de Prevenção contra Perda de Dados (DLP)

  • Políticas de retenção

• Ativar o Microsoft Defender para Ponto de Extremidade

Recomendações para o E5

Implemente as recomendações para o E3 e as seguintes:

• Use uma variedade maior de classificadores para encontrar informações confidenciais.
• Automatize seus rótulos de retenção.
• Experimente os recursos do Plano 2 no Defender para Office 365, que incluem investigação pós-violação, busca e resposta, automação e simulação.
• Ative o Microsoft Defender para Aplicativos de Nuvem.
• Configure o Defender para Aplicativos em Nuvem para descobrir aplicativos de nuvem e monitorar e auditar seu comportamento.

Etapa 4. Mantenha as proteções de segurança enquanto você usa o Microsoft Copilot e o Copilot para Microsoft 365 juntos

Com uma licença do Copilot para Microsoft 365, você verá um controle de alternância Trabalho/Web no navegador Edge, no Windows e na pesquisa do Bing que permite alternar entre o uso:

• Prompts com base em Graph que são enviados ao Copilot para Microsoft 365 (alternância definida como Trabalho).
• Prompts com base na Web que usam principalmente dados da Internet (alternância definida como Web).

Aqui está um exemplo para copilot.microsoft.com.

Esta ilustração mostra o fluxo de prompts com base em Graph e na Web.

No diagrama:

• Os usuários de dispositivos com uma licença do Copilot para Microsoft 365 podem escolher o modo Trabalho ou Web para os prompts do Microsoft Copilot.
• Se Trabalho for escolhido, os prompts com base em Graph serão enviados ao Copilot para Microsoft 365 para processamento.
• Se Web for escolhido, os prompts com base na Web inseridos via Windows, Bing ou Edge usarão dados da Internet em seu processamento.
• No caso do Edge e quando habilitado, o Windows Copilot inclui alguns tipos de dados em guias abertas do Edge em seu processamento.

Se o usuário não tiver uma licença para o Copilot para Microsoft 365, a alternância Trabalho/Web não será exibida e todos os prompts serão baseados na Web.

Aqui estão os conjuntos de dados da organização acessíveis para o Microsoft Copilot, que incluem prompts com base em Graph e na Web.

Na ilustração, os blocos sombreados em amarelo referem-se aos dados da sua organização que podem ser acessados pelo Copilot. O acesso a esses dados por um usuário por meio do Copilot depende das permissões para os dados atribuídos à conta do usuário. Ele também pode depender do status do dispositivo do usuário se o acesso condicional estiver configurado para o usuário ou para o acesso ao ambiente em que os dados residem. Seguindo os princípios de Confiança Zero, esses são os dados que você deseja proteger caso um invasor comprometa uma conta de usuário ou um dispositivo.

• Para prompts com base em Graph (alternância definida como Trabalho), isso inclui:

  • Seus dados de locatário do Microsoft 365

  • Dados de plug-ins e conectores habilitados pelo Copilot

  • Dados da Internet (se o plug-in da Web estiver habilitado)

• Para prompts com base na Web do navegador Edge com o resumo da guia aberta do navegador habilitado (alternância definida como Web), isso pode incluir dados da organização que podem ser resumidos pelo Copilot no Edge a partir de locais, intranet e nuvem.

Use esta etapa para verificar a implementação dos seguintes níveis de segurança para evitar que atores mal-intencionados usem o Copilot para acessar seus dados confidenciais:

• Implantar proteções de segurança e conformidade de dados com o Microsoft Purview
• Configurar permissões mínimas de usuário para os dados
• Implantar proteção contra ameaças para aplicativos em nuvem com o Microsoft Defender para Aplicativos de Nuvem

Recomendações para o E3

• Revise sua configuração e os recursos do Plano 1 do Defender para Office 365 e Plano 1 do Defender para Ponto de extremidade e implemente recursos adicionais conforme necessário.
• Configure os níveis de proteção adequados para o Microsoft Teams.

Recomendações para o E5

Implemente as recomendações para o E3 e estenda os recursos XDR em seu locatário do Microsoft 365:

• Ative o Microsoft Defender para Identidade.

• Revise sua configuração e implemente recursos adicionais conforme necessário para aumentar sua proteção contra ameaças com o conjunto completo do Microsoft Defender XDR:

  • Defender para Ponto de Extremidade

  • Defender para Office 365

  • Defender para Identidade

  • Defender for Cloud Apps

  • Configurar políticas de sessão para o Defender para Aplicativos de Nuvem

Resumo da configuração

Esta figura resume as configurações do Microsoft Copilot e os dados acessíveis resultantes que o Copilot usa para responder aos prompts.

Essa tabela inclui recomendações de Confiança Zero para a configuração escolhida.

Configuração	Dados acessíveis	Recomendações da Confiança Zero
Sem licenças do Copilot para Microsoft 365 (a alternância Trabalho/Web não está disponível) AND Resumo de páginas do navegador Edge desabilitado	Para prompts com base na Web, somente dados da Internet	Não é necessário, mas é altamente recomendado para a higiene geral da segurança.
Sem licenças do Copilot para Microsoft 365 (a alternância Trabalho/Web não está disponível) AND Resumo de páginas do navegador Edge habilitado	Para prompts com base na Web: - Dados da Internet - Dados da organização no local, na intranet e na nuvem que o Copilot no Edge pode resumir	Para seu locatário do Microsoft 365, consulte Confiança Zero para o Copilot para Microsoft 365 e aplique proteções de Confiança Zero. Para dados da organização no local, na intranet e na nuvem, consulte Gerenciar dispositivos com a Visão Geral do Intune para políticas MAM e MDM. Consulte também Gerenciar a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para ver as políticas DLP.
Com as licenças do Copilot para Microsoft 365 (a alternância Trabalho/Web está disponível) AND Resumo de páginas do navegador Edge desabilitado	Para prompts com base em Graph: - Dados do locatário do Microsoft 365 - Dados da Internet se o plug-in da Web estiver habilitado - Dados de plug-ins e conectores habilitados pelo Copilot Para prompts com base na Web, somente dados da Internet	Para seu locatário do Microsoft 365, consulte Confiança Zero para o Copilot para Microsoft 365 e aplique proteções de Confiança Zero.
Com as licenças do Copilot para Microsoft 365 (a alternância Trabalho/Web está disponível) AND Resumo de páginas do navegador Edge habilitado	Para prompts com base em Graph: - Dados do locatário do Microsoft 365 - Dados da Internet se o plug-in da Web estiver habilitado - Dados de plug-ins e conectores habilitados pelo Copilot Para prompts com base na Web: - Dados da Internet - Dados da organização que podem ser renderizados em uma página do navegador Edge, incluindo recursos locais, de nuvem e de intranet	Para seu locatário do Microsoft 365, consulte Confiança Zero para o Copilot para Microsoft 365 e aplique proteções de Confiança Zero. Para dados da organização no local, na intranet e na nuvem, consulte Gerenciar dispositivos com a Visão Geral do Intune para políticas MAM e MDM. Consulte também Gerenciar a privacidade e a proteção de dados com o Microsoft Priva e o Microsoft Purview para ver as políticas DLP.

Próximas etapas

Confira estes artigos adicionais para Confiança Zero e Copilots da Microsoft:

• Visão geral
• Microsoft Copilot para Microsoft 365
• Microsoft Copilot para Segurança

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• Copilot no Edge
• Comportamento de resumo de páginas da Web do Copilot no Edge
• Gerenciar o Copilot no Windows
• Gerenciar o acesso ao conteúdo público da Web nas respostas do Microsoft Copilot para Microsoft 365
• Dados, privacidade e segurança do Microsoft Copilot para Microsoft 365