Applicazione dei principi Zero Trust alla tua strategia di adoption
Prepara il tuo ambiente Microsoft 365 Copilot
Copilot per Microsoft 365 offre agli utenti finali la possibilità di porre qualsiasi domanda sui dati e ottenere una risposta, ma potrebbe consentire anche ai malintenzionati di fare lo stesso. Questo rende un approccio Zero Trust fondamentale per la tua strategia di adozione di Copilot.
Principi Zero Trust
Nel mondo odierno, caratterizzato da un aumento degli attacchi informatici e delle violazioni dei dati, i tradizionali modelli di sicurezza perimetrale non sono più sufficienti. Le organizzazioni hanno bisogno di un nuovo approccio che non presupponga fiducia e verifichi ogni richiesta, indipendentemente dall'origine e dalla destinazione. Questa è l'essenza del modello Zero Trust, un elemento fondamentale per un'implementazione sicura di Copilot per Microsoft 365. In questo whitepaper, imparerai come preparare il tuo ambiente per l'utilizzo di Copilot per Microsoft 365 e come applicare i principi Zero Trust e sfruttare appieno il valore delle licenze M365 E5.
Ciò significa anche che la fiducia non deve essere derivata da interazioni passate o presunta sulla base di limiti predefiniti. Al contrario, la fiducia deve essere valutata e convalidata continuamente durante l'intera sessione o transazione. Per applicare questo principio a Copilot per Microsoft 365, assicurati che la Multi-Factor Authentication (MFA) sia combinata con criteri di accesso condizionale. Ciò verificherà le dichiarazioni di identità degli utenti e l'attuale stato di sicurezza del dispositivo. Sfruttando la potenza di Microsoft EntraTM ID Protection, è possibile valutare il livello di rischio di ogni utente e tentativo di accesso con l'attuazione di criteri di accesso condizionale granulari basati sul ruolo dell'utente, sulla posizione, sullo stato del dispositivo e sulla sensibilità delle app, aiutando a bloccare gli accessi non autorizzati.
Convalidare sempre tutti i dati disponibili, tra cui:
Verificare esplicitamente
Identità e posizione dell'utente Stato del dispositivo Contesto del servizio o del carico di lavoro Classificazione dei dati Anomalie
Per proteggere sia i dati che la produttività, limitare l'accesso degli utenti con:
Utilizzare l’accesso con privilegi minimi
Accesso just-in-time (JIT) Accesso sufficiente (JEA) Politiche adattative basate sul rischio Protezione dei dati contro vettori
Ridurre al minimo il raggio di influenza delle minacce e prevenire il movimento laterale:
Considerare di aver subito una violazione.
Segmentazione dell'accesso in base a rete, utente, dispositivi e consapevolezza delle app Cifratura di tutte le sessioni End to End Utilizzo delle analisi per il rilevamento delle minacce, la visibilità dello stato e il miglioramento delle difese
Con il principio Zero Trust ogni richiesta di accesso o di risorse deve essere autenticata e autorizzata in base a tutti i dati disponibili, tra cui:
Un altro principio importante per proteggere Copilot per Microsoft 365 è quello di utilizzare sempre il modello di accesso con privilegi minimi . Ciò significa che gli utenti e le applicazioni devono avere solo il livello minimo di autorizzazioni e diritti di accesso necessari per svolgere le loro attività. Limitando l'esposizione di dati e risorse sensibili, si riduce il rischio di compromissione o uso improprio. Inoltre, in caso di violazione, l'impatto e i danni possono essere contenuti e mitigati. Per applicare questo principio a Copilot per Microsoft 365, assicurarsi che sia implementato il controllo degli accessi basato sui ruoli (RBAC) per assegnare ruoli e autorizzazioni agli utenti e alle applicazioni in base alle loro responsabilità e necessità. Utilizzando l'RBAC, è possibile applicare il principio della separazione delle funzioni, che previene i conflitti di interessi e le azioni non autorizzate. È inoltre possibile utilizzare Microsoft Entra Privileged Identity Management (PIM) per gestire, monitorare e verificare l'utilizzo di account e ruoli privilegiati. Il PIM offre funzionalità come l'accesso just-in-time, l'accesso temporizzato, l'approvazione dei workflow e le revisioni degli accessi per garantire che gli accessi privilegiati vengano concessi solo quando necessario (e revocati quando non in uso). Un terzo principio importante per proteggere Copilot per Microsoft 365 è quello di presumere una violazione. Ciò significa che non dovresti affidarti solo a misure di sicurezza basate sul perimetro, ma piuttosto adottare una strategia di difesa in profondità che presupponga che gli attaccanti abbiano già compromesso la tua rete o i tuoi dispositivi. Presumendo una violazione, è possibile progettare criteri e controlli di sicurezza che proteggano i dati e le risorse a ogni livello (identità, dispositivo, applicazione e dati). È inoltre possibile implementare funzionalità di monitoraggio proattivo e rilevamento delle minacce per identificare e rispondere a qualsiasi attività o anomalia malevola nell'ambiente.
Esplora questo argomento
Identità
Dispositivi
Sede
Ambito di applicazione
Rete
02
Prepara il tuo ambiente Microsoft 365 Copilot | it.insight.com
Contents
Copilot per Microsoft 365: Architettura tecnica
03
Copilot per Microsoft 365: Architettura logica di servizio e tenant
04
Indice semantico di Copilot per Microsoft 365
Raccomandazioni per la sicurezza e la protezione delle informazioni
05
Punti chiave e Conclusione
06
Nel descrivere l'architettura logica di Copilot per Microsoft 365, possiamo esaminare i suoi componenti principali e come interagiscono. Il servizio Copilot è il componente che elabora le richieste in linguaggio naturale degli utenti e restituisce risposte pertinenti. Il servizio Copilot si basa su Microsoft® Graph, un'API completa che espone i dati e le funzionalità di vari servizi cloud Microsoft. Microsoft Graph si connette al tenant di Microsoft 365® . Si tratta del contenitore dei dati e delle risorse dell'organizzazione, incluse entità come utenti e dispositivi, file e cartelle, siti del team e siti di comunicazione, caselle di posta e chat, registrazioni e app. I tuoi dati cliente rimangono all'interno del confine del servizio Microsoft 365. I tuoi prompt, le tue risposte e i tuoi dati in Microsoft Graph non vengono utilizzati per formare i Large Language Models (LLM) di base che Copilot sfrutta. I dati sono protetti in base alle policy di sicurezza, conformità e privacy già implementate dalla tua organizzazione.
Utenti e dispositivi
Applicazioni di Microsoft 365
Copilot e relative componenti
Dati dell'organizzazione (esempio di dati)
Indice semantico per Copilot
Mappa i dati e le relazioni Fornisce informazioni personalizzate, rilevanti e fruibili
Microsoft CSP
Correla le relazioni e comprende le autorizzazioni con Microsoft Graph
Il tenant si trova all'interno del confine del servizio Microsoft 365, dove viene mantenuto l'impegno di Microsoft per la sicurezza, la conformità, la posizione dei dati e la privacy. Copilot è un servizio condiviso come molti altri servizi in Microsoft 365. La comunicazione tra il tenant e i componenti Copilot è crittografata.
Il Semantic Index per Copilot identifica relazioni e connessioni dei dati utente e aziendali. Insieme a Copilot e Microsoft Graph, crea una mappa sofisticata di tutti i dati e contenuti nella tua organizzazione per consentire a Copilot di fornire risposte personalizzate e pertinenti. Il Semantic Index fa parte del servizio Microsoft 365 e viene creato automaticamente.
Dispositivi e utenti
Applicazioni sui dispositivi
Limite del servizio Microsoft 365
Caselle di posta Exchange
Microsoft Teams
File OneDrive
File ed elenchi SharePoint
Dati del cliente: File, caselle di posta, dati di chat, video, ecc.
Microsoft Graph
Servizi Microsoft CSP
Il tuo tenant di Microsoft 365
Copilot per Microsoft 365
LLM
Abbonamento al servizio Azure OpenAI per Microsoft 365
Componenti di Copilot per Microsoft 365
L'indice semantico cataloga i file di testo in SharePoint® condivisi con due o più persone. A livello utente, Semantic Index cataloga tutte le e-mail. Inoltre, indicizza in OneDrive® tutti i file di testo di un utente che sono stati condivisi, con cui si è interagito (anche solo da parte dell'utente) o su cui sono stati lasciati commenti.
Documenti Word (.doc/.docx) PowerPoint® (.pptx) PDF Pagine web (.html/.aspx) OneNote® (.one)
Cosa è attualmente indicizzato:
I tipi di file attualmente supportati includono:
M365 E5 è la soluzione cloud più completa e sicura per le aziende che vogliono offrire ai propri dipendenti, clienti e partner il meglio di Microsoft. E5 offre diversi vantaggi rispetto a E3 in termini di identità e accesso, app Microsoft, dispositivi, protezione dalle minacce, dati aziendali, gestione di team e di ospiti esterni.
Potrebbe essere necessario condividere informazioni sensibili con persone esterne all'organizzazione. Utilizza queste metodologie:
Condivisione con persone esterne all'organizzazione
Utilizza queste risorse per configurare il tuo ambiente di collaborazione con persone esterne alla tua azienda:
Collaborazione con persone esterne all'organizzazione
Applica le best practice per la condivisione di file e cartelle con utenti non autenticati. Limita l'esposizione accidentale ai file quando li condividi con persone esterne alla tua organizzazione. Crea un ambiente di condivisione degli ospiti sicuro.
Collaborazione sui documenti: condividi singoli file o cartelle. Collaborazione su un sito: collabora con gli ospiti su un sito SharePoint. Collaborazione come team: collabora con gli ospiti in un team. Collaborazione con partecipanti esterni in un canale: collabora con persone esterne all'organizzazione in un canale condiviso.
Identità e accesso
Protezione dei dati
Dati organizzativi
Teams e ospiti esterni
M365 E5 include Azure® Active Directory® Premium P2, che fornisce funzionalità avanzate di gestione delle identità e degli accessi, come protezione delle identità, gestione delle identità privilegiate, accesso condizionale e revisione degli accessi. Queste funzionalità aiutano le organizzazioni a prevenire la compromissione delle identità, a gestire gli account privilegiati, a implementare criteri di accesso granulari e a verificare le decisioni di accesso.
Configurare criteri di accesso condizionale comuni:
Richiedere MFA per gli amministratori. Richiedere MFA per tutti gli utenti. Bloccare l'autenticazione legacy.
Per le identità ibride, implementare Microsoft Entra Password Protection for Active Directory Domain Services on-premise.
Configurare i criteri consigliati per Zero Trust:
Richiedere la MFA quando il rischio di accesso è medio o elevato. Richiedere agli utenti ad alto rischio di modificare la password. Configurazione PIM.
App Microsoft: E5 include Office 365® E5, che offre app di produttività e collaborazione premium come Word, Excel®, PowerPoint, Outlook®, OneNote, Teams®, SharePoint, OneDrive, Yammer® e Stream. Inoltre, M365 E5 include funzionalità avanzate come Power BI® Pro, Power Apps, Power Automate®, Forms, Planner, To Do e Sway®. Queste funzionalità consentono agli utenti di creare, analizzare, automatizzare e condividere dati e informazioni in tutta l'organizzazione.
Implementare App Protection Policies (APP) di Intune: Con le APP, Intune® crea un muro tra i dati dell'organizzazione e i dati personali. I criteri garantiscono che i dati aziendali nelle app specificate non possano essere copiati e incollati in altre app sul dispositivo, anche se il questo non è gestito.
M365 E5 include Windows® 10 Enterprise E5, che fornisce il sistema operativo più sicuro e flessibile per i dispositivi aziendali. Windows 10 Enterprise E5 include funzionalità quali Windows Defender Advanced Threat Protection, Windows Defender Application Guard, Windows Defender Credential Guard, Windows Defender Device Guard e Windows Defender Exploit Guard. Queste funzionalità proteggono i dispositivi da malware, ransomware, phishing, zero-day attacks e altre minacce avanzate.
Gestione dei dispositivi:
Registrazione dei dispositivi in gestione. Impostazione dei criteri di conformità. Richiesta di dispositivi sani e conformi. Distribuzione dei profili dei dispositivi.
Monitoraggio del rischio e della compliance dei dispositivi secondo le linee guida di sicurezza:
Integrazione di Intune con Defender for Endpoint per monitorare il rischio dei dispositivi come condizione di accesso. Per i dispositivi Windows, monitoraggio della conformità di questi dispositivi secondo le linee guida di sicurezza.
M365 E5 include Microsoft 365 Defender, una piattaforma di sicurezza integrata che sfrutta l'IA e il machine learning per rilevare, indagare e rispondere alle minacce su endpoint, e-mail, identità e app cloud. Microsoft 365 Defender include Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps. Queste funzionalità offrono visibilità, prevenzione, rilevamento, risposta e funzionalità di hunting per l'intera superficie di attacco.
Configurazione di Exchange Online Protection e Endpoint Protection
Distribuzione di Microsoft 365 Defender.
Per una protezione più completa contro le minacce, distribuire Microsoft 365 Defender, che include:
Defender for Identity Defender for Office 365 Defender for Endpoint Defender for Cloud Apps
M365 E5 include Microsoft 365 Compliance, una soluzione completa che aiuta le organizzazioni a conformarsi a varie normative e standard come GDPR, HIPAA, PCI DSS, ISO 27001 e NIST. Microsoft 365 Compliance include funzionalità quali Data Loss Prevention, Information Protection, Records Management, eDiscovery, Audit e Compliance Manager. Queste funzionalità aiutano le organizzazioni a scoprire, classificare, proteggere, conservare e gestire i propri dati sensibili su dispositivi, app e servizi cloud.
Sviluppa il tuo schema di classificazione, le etichette di sensibilità e altre policy:
Estendi i criteri a più dati e inizia a utilizzare l'automazione con i criteri di protezione dei dati:
L'etichettatura della sensibilità si espande per proteggere più contenuti e più metodi di etichettatura. Etichetta i siti SharePoint e Teams utilizzando etichette contenitore ed etichettando automaticamente gli elementi.
Consentire policy di prevenzione della perdita dei dati Creare criteri di conservazione. Utilizzare l'esploratore di contesto (per rivedere i risultati).
Adozione tecnica della protezione delle informazioni
Scopri e identifica i dati aziendali sensibili.
Sviluppa uno schema di classificazione e protezione.
Testa e guida lo schema con i dati in Microsoft 365.
Distribuisci lo schema di classificazione e protezione ai dati in Microsoft 365.
Estendi lo schema ai dati in altre app SaaS.
Continua a scoprire e proteggere i dati in altri archivi in base alle tue priorità.
Le fasi di adozione passano all'implementazione completa della produzione
M365 E5 include Microsoft Teams, che è l'hub per il lavoro di squadra e la comunicazione in Microsoft 365. Teams consente agli utenti di chattare, chiamare, incontrarsi e collaborare con colleghi e ospiti esterni in modo sicuro e conforme. Teams si integra anche con altre app e servizi Microsoft e di terze parti per fornire un'esperienza utente senza problemi. Inoltre, M365 E5 include funzionalità come Teams Phone System, Teams Calling Plan, Teams Audio Conferencing e Teams Live Events. Queste funzionalità consentono agli utenti di effettuare e ricevere chiamate telefoniche, ospitare e partecipare ad audioconferenze e trasmettere e registrare eventi dal vivo da Teams.
Massima protezione
Pochissimi team
Innanzitutto, identificare i team o i progetti che richiedono una protezione altamente sensibile. Configurare le protezioni per questo livello. Molte organizzazioni non dispongono di dati che richiedano questo livello di protezione.
Configura la condivisione sicura dei file e la collaborazione con Microsoft Teams la protezione appropriata: base, sensibile e altamente sensibile.
Protezione sensibile
Alcuni team
Successivamente, identificare i team o i progetti che richiedono una protezione sensibile e applicarla.
Protezione di base
La maggior parte dei team
Infine, assicurarsi che tutti i team e i progetti siano configurati almeno per la protezione di base.
Leggi di più
Microsoft 365 E5 è la soluzione cloud più completa e sicura per i clienti enterprise. Offre funzionalità avanzate per la gestione di identità e accessi, lavoro di squadra e comunicazione, protezione e governance dei dati, protezione e risposta alle minacce, business intelligence e analisi. Rispetto a Microsoft 365 E3, che offre funzionalità di produttività e sicurezza di base, Microsoft 365 E5 offre valore e protezione aggiuntivi per la tua organizzazione.
Etichettatura della sensibilità per siti SharePoint e Teams, che consente di classificare e proteggere i contenuti in base alla loro sensibilità e di applicare criteri come cifratura, controllo degli accessi e conservazione Etichettatura automatica degli elementi, che utilizza il machine learning per rilevare informazioni sensibili nei documenti e nelle e-mail, e applicare le etichette e i criteri di protezione appropriati Teams Phone System, Calling Plan, Audio Conferencing e Live Events, che consentono di effettuare e ricevere chiamate telefoniche, ospitare e partecipare ad audioconferenze e trasmettere in streaming e registrare eventi dal vivo da Teams, con sicurezza e conformità di livello aziendale Defender for Office 365, che protegge la posta elettronica, la collaborazione e l'archiviazione nel cloud da minacce avanzate come phishing, ransomware e Business Email Compromise (BEC) Defender for Endpoint, che offre Endpoint Detection and Response (EDR), gestione delle minacce e delle vulnerabilità, riduzione della superficie di attacco e indagine e correzione automatizzate per i dispositivi Defender for Identity, che monitora e protegge l'infrastruttura dagli attacchi basati sulle identità, come il furto di credenziali, l'escalation dei privilegi e il movimento laterale Microsoft Entra ID P2, che migliora la gestione delle identità e degli accessi con funzionalità quali protezione delle identità, gestione delle identità privilegiate, revisioni degli accessi e gestione dei diritti d'utilizzo Power BI Pro, che consente di creare e condividere dashboard e report interattivi con una ricca visualizzazione e analisi dei dati
Punti chiave
Conclusione
Guida l'innovazione con la trasformazione digitale Noi di Insight aiutiamo i clienti a promuovere l'innovazione con un approccio che coinvolge persone, processi e tecnologie. Crediamo che la strada migliore verso la trasformazione digitale sia integrativa, reattiva e proattivamente allineata alle esigenze del settore. Il nostro approccio incentrato sul cliente offre le migliori soluzioni tra un'ampia gamma di servizi, come Modern Workplace, Modern Application, Modern Infrastructure, Intelligent Edge, Cybersecurity, Data e AI.
Scopri di più
