Copilot 与 ASD 蓝图对齐的建议配置

Copilot for Microsoft 365 配置和规划指南,面向澳大利亚和新西兰敏感和受监管行业客户,与 澳大利亚信号局 (ASD) 蓝图安全云 配置指南Microsoft 365 一致。

本部分引用建议的配置。 建议 的元素用于处理被视为适合敏感环境且适合用途的配置。 偏离这些建议不会阻止 Copilot 正常运行,但可能会降低整体功能,并可能增加风险敞口。

Office 发布频道

适用于 Microsoft 365 的 Copilot 需要 office Microsoft 365 应用版 版本,在旧版本上不受支持。 适用于 Microsoft 365 的 Copilot 在 Microsoft 365 应用版 的当前和每月企业更新频道上提供。

客户根据其用户要求和风险评估选择其更新渠道,平衡对当前 () 最新功能的访问,以及更稳定的内部版本 (每月企业版) 。 两者都适用于敏感环境,可应用于用户组或单个用户。

适用于更新频道的 Office 自定义工具配置。

有关如何配置更新通道的详细信息,请参阅 如何更改 Copilot 的通道

Office 自定义工具可用于帮助生成Microsoft 365 应用版配置,包括更新通道的选择。

客户还必须确保已启用 Office 功能汇报任务,以便 Office 应用程序继续正确使用 Copilot。 Office 功能汇报任务检查 Microsoft 365 中连接体验的更新,例如 Copilot。

反馈示例

虽然在敏感环境中禁用产品内反馈机制是标准做法,但值得重申的是,与 Copilot for Microsoft 365 相关的建议,因为如果启用了“ 允许用户在将反馈提交到Microsoft时包含日志文件和内容示例 ”策略,可以将交互和响应交互提交到Microsoft。

因此,建议禁用“ 在将反馈提交到Microsoft时允许用户包含日志文件和内容示例 ”策略。

虽然可以在Active Directory 域连接环境中配置组策略,但必须在至少 Microsoft 365 的云策略中配置,因为 Web 体验和新式应用完全由云策略控制。 富客户端 Office 应用程序 (Win32 应用) 可以由 组策略 和云策略控制,组策略优先使用这两者。 对于结合使用组策略和云策略的组织,建议它们彼此保持一致,以避免混淆。

反馈云策略。

反馈云策略是从 Microsoft 365 门户配置的

有关反馈策略的详细信息,请参阅 管理反馈策略

注意

连接体验策略还受控制反馈的组策略和云策略机制控制。

Microsoft Teams

Copilot for Microsoft 365 最受欢迎的功能之一是与 Microsoft Teams 集成。 Copilot 以两种不同的方式集成到 Teams 中:

  1. 帮助完成日常任务,例如汇总 & 重新召开会议和帮助回答聊天和频道中的问题。
  2. 作为独立的 Copilot 聊天体验。

Microsoft Teams 中显示的 Copilot 聊天体验以其全名称为“Microsoft Copilot与基于 Graph 的聊天”,这反映在许可证元素更广泛地控制该功能的可用性中。

这是对话通用 Copilot 聊天体验,不仅可以通过 Microsoft Teams 访问,还可以通过基于 Web 的 Copilot 体验Microsoft Edge 浏览器、Windows 桌面Copilot 移动应用访问。

建议客户在启用 Copilot Microsoft 365 与 Microsoft Teams 集成时考虑以下配置元素:

Teams 会议

Teams 中的 Copilot会议允许用户了解他们迟到的会议,并获取结构化会议回顾,其中包含已完成会议的笔记。 用户还可以询问有关会议中发生的内容和讨论的 Copilot 问题。

要使 Copilot 能够在会议中工作,需要 Teams 生成的脚本。 这为组织创建一个决策,以考虑 Teams 在此方案中的工作方式。 Copilot 处理听录基本上有两种方法:保留脚本和临时脚本。

保留的脚本

保留的脚本可以由用户在会议中启动,也可以通过会议配置自动启动,脚本将根据组织的保留设置与会议一起创建和存储。

用户可以访问、下载、保留或删除这些脚本,在组织选择的时间范围内。

这是功能最丰富的体验,因为它允许 Copilot 在保留脚本时继续回答问题和会议参考详细信息。

临时脚本

对于担心脚本的保留和可发现性的组织,此选项仅为 Copilot 创建临时脚本。 它不可发现或下载,并在会议完成后不可撤销地删除。

Copilot 完成会议笔记后,将销毁脚本。 这有利于不希望以用户或发现进程可以检索的方式创建脚本的组织。 但权衡是,一旦会议结束,科皮洛就不能再用于讨论会议内容。

听录方法

有关使用哪种脚本方法的决定不是由环境的分类决定的。 敏感环境可以使用任一听录方法。 《澳大利亚隐私原则和隐私法》不规范组织选择的方法。 每个客户决定哪种模型最适合其保留需求,而不是处置会议脚本以满足自己的保留和发现义务和需求。

Teams 会议策略的灵活性意味着不同的用户可能受制于不同的要求,这为组织提供了高度的可配置性,以便为不同的用户组提供不同的设置。

Teams 会议策略

Teams 会议策略在 Microsoft Teams 管理门户中配置。

可以根据各种客户需求配置 Teams 会议策略,因此,必须充分了解可用于获取组织要求的正确配置的功能和设置。

适用于 Copilot 的 Teams 会议策略。

会议策略听录设置确定用户触发创建保留脚本的能力。

具体而言,如果听录设置为 “关闭 ”,则受影响的用户将无法触发保留脚本的创建。

然后,这将如何影响 Copilot 取决于两个设置:用户的会议策略 Copilot 设置,以及创建会议时选择的录制 & 脚本会议选项。

会议策略 Copilot 设置只能 与保留的脚本打开。 这允许管理员要求保留的脚本,以便用户访问 Copilot,或者允许用户通过保留的或临时的脚本与 Copilot 互动。 通过将此设置与会议策略脚本设置相结合,可以根据各个组织和用户组的特定要求建立一系列方案。

第三个改变 Copilot 在会议中工作方式的元素是会议组织者在配置计划会议本身的“录制 & 脚本” 设置 时的选择。

如果用户将“听录”设置为“打开”的会议策略,则“自动录制和转录”选项可用。 自动启用录制和听录后,会在会议开始时立即创建保留的脚本。 Copilot 可用于此类会议中的许可用户。

如果未启用自动录制和听录,则 “谁可以录制和转录 ”和 “允许 Copilot ”设置将变为可用于配置,并会影响 Copilot 的操作方式。

可以录制和听录 设置确定谁可以启用录制和听录。

“允许 Copilot”设置有两个选项:

  • 仅在会议期间:此设置指示 Copilot 在会议开始时创建临时脚本,并在会议结束时将其处理。 因此,除非用户在会议期间打开听录功能,否则 Copilot 在会议结束后不可用。 这将创建一个保留的脚本,Copilot 可以在会议结束后使用该脚本。
  • 会议期间和会议结束后:此设置使会议中的用户能够打开听录,创建保留的脚本,Copilot 使用该脚本在会议期间和会议结束后提供功能。

有关 Teams 会议 Copilot 配置的详细信息,请参阅 听录设置

Copilot 聊天

适用于 Microsoft 365 的 Copilot 直接在 Microsoft Teams 中提供 AI 聊天。 这是一种通用聊天体验,提供一种回答问题、执行研究和起草内容的方法。 若要确保此功能可供 Copilot 用户使用,需要确认 Teams 应用集成未受到你可能已制定的任何应用阻止策略的阻止。

导航到 Teams 管理员 门户,然后导航到 Teams 应用“管理应用”菜单,检查应用可用性。 在 Copilot 应用集成上找到并选择。

适用于 Microsoft Teams 的 Copilot 应用。

注意

可以使用“管理应用”页上的搜索框通过输入“Copilot”缩小可用应用列表的范围

导航到应用详细信息页后,如果发现应用被阻止,请选择“取消阻止应用”来取消 阻止应用

策略阻止的 Copilot Teams 应用。

如果 Teams 应用被取消阻止并允许,则已启用 Copilot 的用户会找到固定到 Microsoft Teams 中“聊天”选项卡顶部的 Copilot 聊天应用:

Microsoft Teams 中的 Copilot 聊天。

访问 Web 内容 (必应集成)

Copilot for Microsoft 365 附带了 来自 Microsoft 必应 的 Web 内容集成,以便通过 Bing 的公共 Web 内容增强从 Microsoft 365 环境中收集的服务和信息的训练知识。 有关详细信息,请参阅 服务体系结构

这种集成在 Copilot 进程的地面阶段运作,作为一种机制,从互联网上获取相关的最新公共信息。 这是通过将用户交互重写为匿名发送到必应的搜索关键字来完成的。 然后,必应的相关结果与内部数据一起使用,以在大型语言模型中创建响应。

例如,在下面可以看到交互“谁赢得了最近的灰烬系列? 首先由 Copilot 运行并禁用 Web 内容,然后启用 Web 内容。

在禁用 Web 内容的情况下,Copilot 无法回答此问题:

在禁用 Web 内容的情况下,Copilot 无法回答此问题。

Copilot 可以在启用 Web 内容的情况下进行回答:

Copilot 可以在启用 Web 内容的情况下进行回答。

虽然 copilot for Microsoft 365 在 Microsoft 365 服务边界内运行,但插件在该边界之外运行。 对于集成的 Web 内容插件也是如此。 尽管必应是Microsoft通过Microsoft网络连接的第一方服务,但它不在 Microsoft 365 服务边界之外,尚未经过 IRAP 评估。 因此,Microsoft无法断言必应适合处理分类材料。

适用于 Microsoft 365 的 Copilot 不会 向必应发送以下信息:

  • 用户的原始交互
  • 整个Microsoft 365 个文件 (,即整个文档或电子邮件)
  • 标识用户Microsoft Entra ID对象的信息,例如用户名、域、用户 ID 或租户 ID

重要的是,Copilot 为 Microsoft 365 创建并发送到必应的搜索查询与商业数据保护Microsoft Copilot一致:

  • 不存储在 必应搜索 索引的排名参数中,并且与这些参数无关。
  • 不能通过必应网站管理员工具或提供给第三方的任何其他工具访问, (包括Microsoft合作伙伴或广告客户) 。

但是,虽然Microsoft采取有力措施保护客户数据的安全性、隐私和合规性,但必应目前尚未评估是否适合处理机密材料。 具有敏感环境的客户需要考虑这一点。

建议最初,当用户越来越熟悉 Copilot for Microsoft 365 时,对于处理敏感材料的任何用户,建议 禁用 此功能。

租户级 Web 内容插件设置。

租户级 Web 内容插件设置是从 Microsoft 365 管理门户配置的。

用户熟悉 copilot for Microsoft 365 后,可能适合引入 Web 内容与相关员工培训的集成。 管理员启用后,最终用户可以根据需要打开或关闭 Web 内容。 这使最终用户可以控制何时可将来自当前会话的信息发送到必应。

最终用户 Web 内容设置。

由于用户可以随时打开和关闭 Web 内容插件,因此可以负责任地使用此功能。 这类似于最终用户决定当前与公共搜索引擎互动的内容和时间。 但是,使用 Copilot for Microsoft 365 Web 内容插件比在使用者 Web 搜索中应用更多的隐私控制。

建议员工逐个会话使用 Web 内容插件,使插件能够参与来自 Web 的材料,然后在“新聊天”开始时禁用它,以处理更敏感的信息。

显示“新建聊天”按钮的“Copilot 聊天”。

有关 Copilot Web 内容体验的详细信息,请参阅使用商业数据保护Microsoft Copilot。

使用商业数据保护Microsoft Copilot

Microsoft Copilot商业数据保护是单独的 Copilot 体验,它不属于适用于 Microsoft 365 的 Copilot,并且无法与 Microsoft 365 数据连接。 它通过必应连接到 Web。 商业数据保护基于消费者Microsoft Copilot体验,为商业客户添加特定的数据保护承诺。

每个 Copilot for Microsoft 365 客户都可以通过其符合条件的Office 365或Microsoft 365 许可访问商业数据保护产品/服务。

Microsoft Copilot商业数据保护可提供更强的安全性、合规性和隐私承诺,超出消费者服务可能提供的内容,例如:

  • 承诺不基于交互和数据训练基础 AI 模型。
  • 交互和响应是加密的,对Microsoft员工不可见。
  • 不会将用户的交互链接回他们或组织。

重要的是,与将 Copilot 用于 Microsoft 365 一致,Microsoft Copilot创建并发送到必应的搜索查询:

  • 不存储在 必应搜索 索引的排名参数中,并且与这些参数无关。
  • 不能通过必应网站管理员工具或提供给第三方的任何其他工具访问, (包括Microsoft合作伙伴或广告客户) 。

Microsoft Copilot未包含在 Copilot for Microsoft 365 的 IRAP 评估中,并且本质上与必应关联以访问 Web。 因此, 不适合处理分类材料。

但是,正如许多组织现在允许员工访问 Web 搜索引擎一样,培训其员工避免将敏感信息输入搜索引擎中一样,Microsoft Copilot商业数据保护可以提供一种安全、安全且私密的方式来访问生成 AI 功能,而无需使用消费者级公共 Internet 服务,该服务可能会向未知第三方公开政府信息, 或使用数据训练 AI 模型。

出于这些原因,对于允许公共 Web 搜索引擎从最终用户计算环境进行访问的客户,建议使用商业数据保护Microsoft Copilot,以替代安全性较低的公共生成 AI 服务。

若要配置商业数据保护Microsoft Copilot,客户应执行此链接中的实现步骤。

强制实施商业数据保护

若要确保用户仅在商业数据保护处于活动状态且不使用使用者服务时使用Microsoft Copilot,需要配置。 需要应用的配置会将用户从使用者服务重定向到商业数据保护服务。

有三种方法可以强制使用商业数据保护:

  1. DNS CNAME:为各种 Copilot 入口点创建 DNS 重定向:

    • 对于必应中的 Copilot,Microsoft Edge 中的 Copilot 和 Windows 中的 Copilot:通过将 www.bing.com> 的 <DNS 条目设置为 nochat.bing.com 的 CNAME 来更新 DNS 配置。
    • 对于 copilot.microsoft.com 和 Copilot 移动应用:通过将 copilot.microsoft.com 的 DNS 条目设置为 cdp.copilot.microsoft.com 的 CNAME 来更新 DNS 配置。

    有关Active Directory 域服务 DNS 配置的详细信息,请参阅 Active Directory 域服务 DNS 配置

  2. 标头注入:将以下 HTTP 标头追加到 www.bing.com>、edgeservices.bing.com 和 copilot.microsoft.com 的所有传出请求<:

    • x-ms-entraonly-copilot: 1
  3. 目标网络地址转换 (DNAT) :使用公司防火墙执行目标网络地址转换 (DNAT) :

    • 对于必应中的 Copilot,Microsoft Edge 中的 Copilot 和 Windows 中的 Copilot:将 www.bing.com> 和 edgeservices.bing.com 解析<为 DNAT IP 地址 nochat.bing.com。
    • 对于 copilot.microsoft.com 和 Copilot 移动应用:将 copilot.microsoft.com 解析为 DNAT IP 地址 cdp.copilot.microsoft.com。

应用用户许可证

要访问具有商业数据保护Microsoft Copilot的每个用户都需要拥有“Microsoft Copilot商业数据保护”许可证元素 (许可证 ID:0d0c0d31-fae7-41f2-b909-eaf4d7f26dba) 应用于其Microsoft Entra ID用户对象。

为Microsoft Copilot许可证项应用商业数据保护。

适用于 Microsoft Copilot 许可证元素的商业数据保护包含在 Copilot for Microsoft 365 先决条件许可证类型的Office 365 企业版和一线,以及Microsoft 365 企业版、商业、一线和教育。

审核、发现和保留

实现任何新技术时,请务必考虑审核使用情况、存在的搜索和发现过程以及应用材料保留的策略。 适用于 Microsoft 365 的 Copilot 也不例外,尽管它集成到 Microsoft 365 中,这更多的是了解该去哪里和找到什么,而不是需要设置任何你还没有的新机制。

Microsoft 365 管理门户中的 Copilot 设置页提供了对审核、发现和保留设置 (以及 敏感度标签通信合规性 设置) 的快速访问。

数据安全性和合规性快速链接。

组织管理员可以从 Microsoft 365 管理门户访问 Copilot 数据安全性和合规性快速链接。

审核

每次与 Copilot 交互都会以与 SharePoint、OneDrive 或 Teams 中的用户操作相同的方式生成 审核日志条目 。 标准 Microsoft 365 审核日志 现在包括名为 Copilot Interaction 的 Copilot 审核条目类别。

审核 Copilot 交互的日志数据。

在审核日志数据中,活动、操作和工作负荷信息都指向 Copilot 交互, CopilotEventData 条目的 JSON 有效负载指示在交互过程中访问的资源、发起主机应用程序和聊天线程 ID。 此信息可用于访问用户交互和 Copilot 响应。 有关详细信息,请参阅 保留发现

保留

适用于 Microsoft 365 提示和响应交互的 Copilot 存储为Microsoft Teams 消息,就像 Teams 今天存储两个用户之间的聊天消息一样。 此数据保存在用户的邮箱存储中,受Microsoft 365 保留和处置策略的约束,其方式与 Teams 聊天相同。

实施 Copilot for Microsoft 365 的组织应考虑此类交互的保留和处置要求,并确保保留和/或处置策略到位,以便根据需要发现和检索与 Copilot 的用户交互。

为 Teams 聊天和 Copilot 交互配置保留策略。

与其他保留策略一样,Teams 聊天和 Copilot 交互可以保留任意所选持续时间(包括无限期),并在保留期结束时选择性地自动删除。 适用于 Microsoft 365 客户的 Copilot 应决定适当的保留期,并应用适当的策略以从 Microsoft Purview 门户进行匹配。

继续为 Teams 聊天和 Copilot 交互配置保留策略。

电子数据展示

由于 Copilot for Microsoft 365 交互的存储方式与来自 Microsoft Teams 的聊天消息相同,因此客户可以使用相同的 内容搜索电子数据展示 功能来访问它们。

适用于 Microsoft 365 的 Copilot 为 Microsoft 365 中的发现功能引入了名为 Copilot 交互的新内容类型。

执行内容搜索时,使用 Copilot 交互类型允许管理员或电子数据展示官员专门定位给定用户或组的交互,或者查找已通过审核日志标识的特定交互。

无论你是电子数据展示案例的管理员还是经理,Copilot 交互都会被记录,并且可以在其默认保留期内或保留策略涵盖期间检索。