將 零信任 原則套用至 Microsoft Copilot for Microsoft 365
摘要:若要將 零信任 原則套用至 Microsoft Copilot for Microsoft 365,您必須在 Microsoft 365 租使用者中套用七層保護:
- 資料保護
- 身分識別與存取
- 應用程式保護
- 裝置管理和保護
- 威脅保護
- 使用 Teams 保護共同作業
- 數據的用戶許可權
簡介
在您將 Microsoft Copilot for Microsoft 365 或 Copilot 引入您的環境中之前,Microsoft 建議您建置強大的安全性基礎。 幸運的是,強式安全性基礎的指引會以 零信任 的形式存在。 零信任 安全性策略會將每個連線和資源要求視為源自不受控制的網路和不良動作專案。 無論要求的來源或存取的資源為何,零信任 教導我們「永遠不要信任,永遠驗證」。
本文提供套用 零信任 安全性原則的步驟,以下列方式準備適用於 Copilot 的環境:
| 零信任 原則 | 定義 | 符合者 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 | 強制執行使用者認證、裝置需求和應用程式許可權和行為的驗證。 |
| 使用最低權限存取 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則和數據保護來限制使用者存取。 | 藉由確保將正確的許可權指派給檔案、資料夾、Teams 和電子郵件,驗證整個組織的 JEA 以消除過度共用。 使用敏感度標籤和數據外洩防護原則來保護數據。 |
| 假設缺口 | 將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 | 使用 Exchange Online Protection (EOP) 和 Microsoft Defender 全面偵測回應 服務,自動防止常見的攻擊,並偵測及回應安全性事件。 |
如需 Copilot 的基本概念,請參閱 概觀 以及如何 開始使用。
邏輯架構
您可以套用整個架構的 Copilot 零信任 原則,從使用者和裝置到他們可存取的應用程式數據。 下圖顯示邏輯架構元件。
在此圖表中:
- 用戶裝置已安裝 Microsoft 365 應用程式,使用者可以從中起始 Copilot 提示
- Copilot 元件包括:
- Copilot 服務,可協調使用者提示的回應
- Microsoft 365 租用戶數據的 Microsoft Graph 實例
- 包含組織數據的 Microsoft 365 租使用者
本文的內容
本文將逐步引導您完成套用 零信任 原則的步驟,以準備適用於 Copilot 的 Microsoft 365 環境。
| 步驟 | Task | 零信任 原則(s) 已套用 |
|---|---|---|
| 1 | 部署或驗證數據保護 | 明確驗證 使用最低權限存取 |
| 2 | 部署或驗證您的身分識別和存取原則 | 明確驗證 使用最低權限存取 |
| 3 | 部署或驗證您的應用程式保護原則 | 使用最低許可權存取 假設缺口 |
| 4 | 部署或驗證裝置管理和保護 | 明確驗證 |
| 5 | 部署或驗證威脅防護服務 | 假設缺口 |
| 6 | 使用 Teams 部署或驗證安全共同作業 | 明確驗證 使用最低權限存取 |
| 7 | 將用戶權力部署或驗證至數據 | 使用最低權限存取 |
因為不同的組織可以在部署 零信任 保護的各個階段,在這些步驟中:
- 如果您未使用步驟中所述的任何保護,請花時間試驗並部署它們,再指派 Copilot 授權。
- 如果您使用步驟中所述的一些保護,請使用步驟中的資訊作為檢查清單,並確認每個所述的保護已在指派 Copilot 授權之前先試驗和部署。
如需 Microsoft 365 安全性相關和其他功能的最新 Copilot 支援,請參閱 Copilot 需求。
注意
從 2024 年 1 月 1 日起,Copilot 正式推出 Microsoft 365 A3 和 A5 教職員。 如需詳細資訊,請參閱 此技術社群文章 。
步驟 1: 部署或驗證數據保護
為了防止貴組織的數據面臨過度公開或過度共享的風險,下一個步驟是保護 Microsoft 365 租用戶中的數據。 您必須確定:
- 您的數據會分類為敏感度層級。
- 敏感度標籤代表由用戶或自動套用的敏感度層級。
- 您可以檢視敏感度標籤在 Microsoft 365 租使用者中的使用方式。
這些數據保護功能也可以用來確保貴組織遵守數據法規,例如處理保護個人資訊的人員。
Microsoft Purview 的下列功能強化了 Copilot 的數據安全性和合規性:
- Microsoft Purview 資訊保護 加密的敏感度標籤和內容
- 資料分類
- 客戶金鑰
- 通訊合規性
- 稽核
- 內容搜尋
- 電子文件探索
- 保留和刪除
- 客戶加密箱
如需詳細資訊,請參閱 適用於 Microsoft Copilot 的 Microsoft Purview 資料安全性和合規性保護,以及 部署適用於 Copilot 之 Microsoft Purview 數據安全性和合規性保護的考慮。
開始使用 E3
敏感度標籤 構成保護數據的基石。 建立標籤以表示專案的敏感度,以及套用的保護動作之前,您必須瞭解貴組織現有的分類分類法,以及它如何對應至使用者在應用程式中查看並套用的標籤。 建立敏感度標籤之後,請發佈標籤,並提供指引給使用者如何在 Word、Excel、PowerPoint 和 Outlook 中套用標籤的方式和時機。
如需詳細資訊,請參閱
請考慮使用預設標籤和強制標籤的敏感度標籤原則設定來增強手動標籤。 默認標籤有助於設定您想要套用至所有內容的保護設定基底層級。 強制標籤可確保使用者為文件和電子郵件加上標籤。 不過,如果沒有完整的用戶訓練和其他控件,這些設定可能會導致標籤不正確。
請參閱下列其他資源來保護貴組織的數據:
- 建立檔案和電子郵件的 DLP 原則 。
- 建立保留原則 以保留您需要的內容,並刪除您不需要的內容。
- 使用內容總 管來查看並驗證具有敏感度標籤、保留標籤或已分類為組織中的敏感性資訊類型的專案。
使用 E5 的後續步驟
透過 Microsoft 365 E5,您可以擴充敏感度標籤,以保護更多內容和更多標籤方法。 例如,使用容器標籤 SharePoint 網站和 Teams,並在 Microsoft 365 和更新版本自動標記專案。 如需詳細資訊,請參閱常見標籤案例的清單,以及它們如何符合商務目標。
請考慮下列其他 Microsoft 365 E5 功能:
- 將數據外洩防護原則延伸至更多位置,並使用更廣泛的分類器來尋找敏感性資訊。
- 當找到需要與保留原則不同的設定或更高層級的管理時,可以自動套用 保留標籤。
- 為了協助您進一步瞭解敏感數據及其標籤方式,請使用 活動 總管和內容總管的完整功能。
步驟 2。 部署或驗證您的身分識別和存取原則
若要防止不良執行者使用 Copilot 更快速地探索和存取敏感數據,第一個步驟是防止他們取得存取權。 您必須確定:
- 用戶必須使用無法單獨猜測用戶密碼而遭到入侵的強身份驗證。
- 驗證嘗試會評估其風險,並施加更多需求。
- 您可以執行授與使用者帳戶存取權的檢閱,以防止過度共用。
開始使用 E3
Microsoft 365 E3 包含 Microsoft Entra ID P1 授權。 使用此方案時,Microsoft 建議使用 常見的條件式存取原則,如下所示:
請確定您在這些原則的範圍內包含 Microsoft 365 服務和其他 SaaS 應用程式。
如果您的環境包含具有 內部部署的 Active Directory Domain Services 的混合式身分識別,請務必部署 Microsoft Entra Password Protection。 此功能會偵測並封鎖已知的弱式密碼及其變體,也可以封鎖貴組織專屬密碼內較弱的字詞。
使用 E5 的後續步驟
Microsoft 365 E5 包含 Microsoft Entra ID P2 授權。 開始實作 Microsoft 建議的 一組條件式存取和相關原則,包括:
- 登入風險為中或高時需要 MFA。
- 要求高風險的使用者變更其密碼(適用於您未使用無密碼驗證時)。
如需根據授權方案實作身分識別和存取保護的詳細資訊,請參閱 使用 MFA 增加混合式背景工作角色的登入安全性。
Microsoft 365 E5 和 Microsoft Entra ID P2 都包含更多特殊許可權帳戶的保護。 實作下表摘要說明的功能。
| 功能 | 資源 |
|---|---|
| Privileged Identity Management (PIM) | 為存取資源的特殊許可權帳戶提供保護,包括 Microsoft Entra ID、Azure 和其他 Microsoft Online Services 中的資源,例如 Microsoft 365 或 Microsoft Intune。 請參閱 規劃 Privileged Identity Management 部署。 |
| Microsoft Purview Privileged Access Management | 允許對 Office 365 中特殊許可權 Exchange Online 系統管理員工作的細微訪問控制。 其可協助組織防範缺口,這些缺口會使用現有的特殊權限管理員帳戶,對敏感性資料進行常設存取或對重大組態設定進行存取。 請參閱 特殊許可權存取管理概觀。 |
最後,請考慮實作 存取權檢閱 ,作為整體 JEA 策略的一部分。 存取權檢閱可讓組織有效率地管理群組成員資格、企業應用程式和角色指派的存取權。 您可以定期檢閱使用者的存取權,以確保只有適當的人員具有適當的持續存取權。
步驟 3: 部署或驗證您的應用程式保護原則
針對 Microsoft 365 E3 和 E5,請使用 Intune 應用程式保護原則 (APP),這些原則是確保組織數據保持安全或包含在受控應用程式中的規則。
透過APP,Intune會在組織資料和個人資料之間建立牆。 APP 可確保指定的應用程式中的組織數據無法複製並貼到裝置上的其他應用程式,即使裝置未受管理也一樣。
APP 可防止意外或刻意將 Copilot 產生的內容複製到未包含在允許應用程式清單中的裝置上的應用程式。 APP 可以使用遭入侵的裝置來限制攻擊者的爆破半徑。
如需詳細資訊,請參閱 建立應用程式保護原則。
步驟 4. 部署或驗證您的裝置管理和保護
若要防止不良動作專案危害裝置或使用遭入侵的裝置來存取 Copilot,下一個步驟是使用 Microsoft 365 裝置管理和保護功能。 您必須確定:
- 裝置已在 Microsoft Intune 中註冊,且必須符合健康情況和合規性需求。
- 您可以在裝置上管理設定和功能。
- 您可以監視裝置的風險層級。
- 您可以主動防止數據遺失。
開始使用 E3
Microsoft 365 E3 包含用於管理裝置的 Microsoft Intune。
接下來,開始註冊裝置以管理。 註冊之後,請設定合規性政策,然後要求狀況良好且符合規範的裝置。 最後,您可以部署裝置配置檔,也稱為組態配置檔,以管理裝置上的設定和功能。
若要部署這些保護,請使用下列一組發行項。
使用 E5 的後續步驟
Microsoft 365 E5 也包含 適用於端點的 Microsoft Defender。 部署 適用於端點的 Microsoft Defender 之後,您可以整合 Microsoft Intune 與適用於端點的 Defender,以取得更深入的裝置見解和保護。 針對行動裝置,這包括監視裝置風險作為存取條件的能力。 針對 Windows 裝置,您可以監視這些裝置與安全性基準的合規性。
Microsoft 365 E5 也包含端點數據外洩防護 (DLP)。 如果您的組織已經瞭解您的數據、已開發數據敏感度架構,並套用架構,您可能已準備好使用 Microsoft Purview DLP 原則將此架構的元素延伸至端點。
若要部署這些裝置保護和管理功能,請使用下列文章:
步驟 5: 部署或驗證威脅防護服務
若要偵測不良動作項目的活動,並防止他們存取 Copilot,下一個步驟是使用 Microsoft 365 的威脅防護服務。 您必須確定:
- 您可以自動防止常見的電子郵件和裝置型攻擊類型。
- 您可以使用功能來減少 Windows 裝置的攻擊面區域。
- 您可以使用完整的威脅防護服務套件來偵測及回應安全性事件。
開始使用 E3
Microsoft 365 E3 包含數個主要功能,適用於 Office 365 的 Defender 和適用於端點的 Defender。 此外,Windows 11 和 Windows 10 包含許多威脅防護功能。
適用於 Office 365 的 Microsoft Defender P1
適用於 Office 365 的 Microsoft Defender P1 包含 Exchange Online Protection (EOP),這些保護包含在 Microsoft 365 E3 中。 EOP 可協助保護您的電子郵件和共同作業工具免於網路釣魚、模擬和其他威脅。 使用這些資源來設定反惡意代碼、反垃圾郵件和反網路釣魚防護:
適用於端點的Defender P1
Microsoft 365 E3 包含 適用於端點的 Microsoft Defender P1,其中包含下列功能:
- 新一代保護 – 協助保護您的裝置免於實時出現威脅。 這項功能包括 Microsoft Defender 防毒軟體,它會使用檔案和進程行為監視持續掃描您的裝置。
- 受攻擊面縮小 – 藉由設定自動封鎖潛在可疑活動的設定,防止攻擊在一開始發生。
使用這些資源來設定適用於端點的 Defender 方案 1:
Windows 保護功能
根據預設,Windows 包含跨硬體、操作系統、應用程式等的強式安全性與保護。 若要深入瞭解,請參閱 Windows 安全性 簡介。 下表列出 Microsoft 365 E3 隨附的重要 Windows 用戶端威脅防護功能。
| 功能 | 資源 |
|---|---|
| Windows Hello | Windows Hello 企業版概觀 |
| Windows Defender 防火牆 | Windows Defender 防火牆檔 |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen 概觀 |
| Windows 版應用程式控制 | Windows 應用程控 |
| BitLocker | BitLocker 裝置加密概觀 |
| 適用於 Edge 的 Microsoft Defender 應用程式防護 | Microsoft Defender 應用程式防護 概觀 |
這些功能可以直接在用戶端上設定,方法是使用組策略物件(GPO),或使用裝置管理工具,包括 Intune。 不過,您只能在 Intune 中的裝置上管理設定,方法是部署 設定設定檔,這是 Microsoft 365 E5 的功能。
使用 E5 的後續步驟
如需更全面的威脅防護、試驗和部署 Microsoft Defender 全面偵測回應,其中包括:
- 適用於身分識別的 Defender
- 適用於 Office 365 的 Defender P2
- 適用於端點的Defender P2
- 適用於雲端應用程式的 Defender
Microsoft 建議依說明的順序啟用 Microsoft 365 的元件:
如需此圖的詳細資訊和描述,請參閱評估和試驗 Microsoft Defender 全面偵測回應。
部署 Microsoft Defender 全面偵測回應 之後,將這些 eXtended 偵測和回應 (XDR) 工具與 Microsoft Sentinel 整合。 Microsoft Sentinel 的授權與 Microsoft 365 E5 分開計費。 如需詳細資訊,請使用這些資源:
步驟 6。 部署或驗證 Microsoft Teams 的安全共同作業
Microsoft 提供在三個不同層級保護 Teams 的指引:基準、敏感性和高度敏感性。 Copilot 簡介是檢閱環境並確定已設定適當保護的好時機。 採取以下步驟:
- 識別需要高度敏感保護的Teams或專案。 設定此層級的保護。 許多組織沒有需要此層級保護的數據。
- 識別需要敏感性保護並套用此保護的Teams或專案。
- 請確定所有 Teams 和專案都至少已設定為基準保護。
如需詳細資訊,請參閱這些資源:
外部共用
Copilot 簡介是檢閱原則,以便與組織外部人員共用檔案,以及允許外部參與者。 來賓帳戶未獲得使用 Copilot 的授權。
若要與組織外部的人員共用,您可能需要共用任何敏感度的資訊。 請參閱這些資源:
如需與組織外部人員共同作業,請參閱下列資源:
- 共同作業檔 以共用個別檔案或資料夾
- 在 SharePoint 網站的來賓網站上 共同作業
- 以小組來賓的小組 身分共同作業
- 與頻道 中的外部參與者共同作業,讓組織外部人員在共用頻道中
步驟 7。 部署或驗證數據的最低用戶權力
為了防止貴組織的數據面臨過度公開或過度共享的風險,下一個步驟是確保所有使用者都有 Just Enough Access (JEA)來執行其工作,而不再執行。 使用者不應該探索他們不應該檢視或共用不應共享的數據。
若要防止過度共用,請實作所有用戶必須遵循的許可權需求和組織原則,並訓練您的使用者加以使用。 例如,放置控件,例如要求網站擁有者進行網站存取權檢閱,或限制從一個中央位置存取已定義安全組的存取權。
若要偵測現有的過度共用:
在檔案層級
使用 Microsoft Purview 的 資訊保護 及其數據分類控件、整合式內容卷標,以及對應的數據外泄防護原則。
這些功能可協助您識別 Microsoft Teams、SharePoint 網站、OneDrive 位置、電子郵件、聊天交談、內部部署基礎結構,以及包含敏感性資訊或機密內容的端點裝置中的檔案,然後自動套用控件以限制其存取。
在 Microsoft Teams 和 SharePoint 內的網站小組和容器層級
您可以在網站和小組層級稽核對共用內容的存取權,並強制執行限制,限制資訊探索只限制應具有存取權的人員。
為了協助將此程式自動化更多, Microsoft Syntex – SharePoint 進階管理 可協助您找出 SharePoint 和 Microsoft Teams 檔案的潛在過度共用。
平行套用保護及部署 Copilot
若要使用適當的保護來簡化租使用者中 Copilot 授權的指派,您可以平行執行這兩項作業。 下圖顯示如何在將 Copilot 授權指派給個別用戶帳戶及其裝置一旦受到保護之前,先進行推出保護的階段。
如圖所示,您可以在部署身分識別和裝置存取保護時,跨組織推出信息保護。
訓練
開始使用 Copilot
| 訓練 | 開始使用 Copilot |
|---|---|
|
此學習路徑會逐步引導您完成 Copilot 的基本概念、展示其在各種 Microsoft 365 應用程式的多功能性,並提供最大化其潛力的建議。 |
| 訓練 | 為 Copilot 準備您的組織 |
|---|---|
|
|
此學習路徑會檢查 Copilot 設計、其安全性和合規性功能,並提供如何實作 Copilot 的指示。 |
下一步
觀看如何準備 Copilot 影片。
如需 零信任 和 Microsoft 的 Copilots,請參閱下列其他文章:
另請參閱:
- Microsoft Copilot 的 Microsoft Purview 數據安全性和合規性保護
- 適用於 Microsoft 365 的 Copilot 數據、隱私權和安全性
- Copilot for Microsoft 365 檔
摘要海報
如需本文中資訊的可視化摘要,請參閱 Copilot 架構和部署 海報。
使用 Visio 檔案來自定義這些圖例以供您自己的使用。
如需更多 零信任 技術圖例,請按兩下這裡。
參考資料
請參閱這些連結,以瞭解本文所述的各種服務和技術。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應