Prêt pour Microsoft Copilot pour Microsoft 365 ? / Blogs / Perficient / Prêt pour Copilot pour Microsoft 365

Les organisations souhaitent tirer parti des améliorations de productivité que Microsoft Copilot pour Microsoft 365 peut permettre, mais souhaitent éviter une surexposition involontaire des informations organisationnelles pendant que les utilisateurs accèdent à ces expériences Copilot. Notre équipe Microsoft répond à de nombreuses questions de clients sur la manière de sécuriser et de gouverner Microsoft Copilot pour Microsoft 365. Ces organisations souhaitent garantir un gain de productivité maximal tout en minimisant leurs risques. Cet article décrira les principales considérations qu’une organisation devrait prendre en compte.

Contexte Microsoft Copilot pour Microsoft 365

Tout d’abord, une petite précision. Microsoft a publié plusieurs instances de Copilot à utiliser dans différents contextes. Au moment d’écrire ces lignes, les instances Copilot incluent Microsoft Copilot (intégré à Bing et au navigateur Edge), Microsoft Security Copilot, Github Copilot, etc. Dans cet article, j’aborde Microsoft Copilot pour Microsoft 365, une instance des technologies Copilot intégrées aux locataires et applications Microsoft 365, via Microsoft Graph. Microsoft Copilot pour Microsoft 365 nécessite une licence complémentaire en plus des autres Licence Microsoft 365.

Microsoft Copilot pour Microsoft 365 est également extensible aux sources de données non Microsoft 365. Prête à l’emploi, la « mise à la terre du Web » est activé au niveau du locataire et désactivé au niveau de l’utilisateur (l’utilisateur peut l’activer). La mise à la terre Web permet à Copilot d’inclure des recherches sur le Web et d’inclure les informations résultantes dans les réponses. De plus, via Copilot Studio, les organisations peuvent personnaliser les expériences basées sur Microsoft 365 et étendre les réponses Copilot pour inclure des sources d’informations non Microsoft 365.

La sécurité et la gouvernance de Microsoft 365 contrôlent l’expérience Microsoft Copilot

Voici la principale considération que votre organisation doit comprendre et sur laquelle agir afin de minimiser la surexposition involontaire de vos informations via Microsoft Copilot pour Microsoft 365 : IntentionnellementMicrosoft Copilot pour Microsoft 365 accède et inclut les informations auxquelles vos utilisateurs ont déjà accès dans votre client et dans les limites de engagements Microsoft existants. Microsoft Copilot pour Microsoft 365 fournit une interface supplémentaire pour exposer ces informations et fait le gros du travail pour vos utilisateurs dans la recherche, la compilation et la contextualisation de ces informations. Mais, en fin de compte, il s’agit d’exposer des informations auxquelles un utilisateur aurait pu accéder par lui-même en utilisant ses autorisations existantes et en disposant de suffisamment de compétences pour utiliser les outils et applications Microsoft 365 pour rechercher, interroger ou accéder à ces informations. Dans cet article, je n’aborde pas tout échec potentiel de Copilot à suivre les paramètres de conception publiés. Il est conseillé de surveiller et de rendre compte de l’utilisation pour faire face à cette possibilité (peu probable).

Microsoft Copilot pour Microsoft 365 est l’outil le plus récent, et peut-être le plus avancé, permettant de présenter les données Microsoft 365 aux utilisateurs. Dans un sens, Microsoft Copilot est la prochaine itération de Microsoft Search et Microsoft Delve. Chacun de ces outils dispose de contrôles administratifs qui permettent aux administrateurs de limiter les informations renvoyées à un utilisateur occasionnel des outils. Cependant, les utiliser de cette manière revient un peu à réparer un problème structurel avec une couche de boue pour cloisons sèches. Votre approche principale doit consister à sécuriser les contrôles d’accès sous-jacents et l’appartenance à vos actifs Microsoft 365. Ces actifs incluent les sites SharePoint Online, les sites OneDrive Entreprise, les groupes et équipes Microsoft 365, les boîtes aux lettres Exchange Online et d’autres actifs Microsoft 365. Les étiquettes de confidentialité Microsoft Purview et leurs contrôles d’accès peuvent également faire partie de votre solution pour sécuriser les informations et restreindre l’accès aux utilisateurs appropriés.

L’essentiel ici est qu’il n’existe pas de solution rapide Microsoft Copilot pour Microsoft 365 pour la surexposition des informations. Les organisations qui estiment que leur utilisation et leur architecture Microsoft 365 existantes ont rendu les informations trop largement disponibles doivent faire le gros du travail en ajustant correctement les autorisations et les appartenances aux actifs sous-jacents, en ajustant divers paramètres et politiques de charge de travail Microsoft 365 et en envisageant une analyse bien planifiée. /walk/run pour le déploiement de contrôles Microsoft Purview tels que les étiquettes de sensibilité (et autres) pour répondre à des scénarios supplémentaires. Votre organisation doit d’abord aborder les contrôles d’accès aux informations au niveau fondamental. Une fois la fondation sécurisée, optimisez les contrôles autour des méthodes d’accès spécifiques telles que Microsoft Copilot.

Considérations clés pour la préparation de Microsoft 365 pour Microsoft Copilot

Les principales considérations que votre organisation doit prendre en compte lorsqu’elle envisage un déploiement de Microsoft Copilot pour Microsoft 365 incluent :

Considérations de niveau 1

• Groupes Microsoft 365 (et équipes)
  • Utilisez-vous trop les groupes publics et les équipes ? Sauf si les autorisations sont personnalisées, tout le contenu des fichiers dans les groupes et équipes publics est accessible à tous les membres de l’organisation. N’importe qui dans l’organisation peut accéder à ces informations via une navigation directe vers le site SharePoint Online sous-jacent, ou via Microsoft Search, Microsoft Delve ou Microsoft Copilot pour Microsoft 365. (Cela ne s’applique pas aux canaux privés et partagés.)
• Sites SharePoint en ligne
  • Les autorisations de votre site sont-elles trop larges ?
  • Le groupe « Tout le monde » ou « Tout le monde sauf les utilisateurs externes » est-il surutilisé dans certains sites ?
• Autorisations de partage SharePoint et OneDrive
  • Avez-vous défini les restrictions et les valeurs par défaut pour le partage de liens de manière appropriée au niveau mondial ?
  • Avez-vous configuré les contrôles des liens de partage par site de manière appropriée pour le site ?
• Mise à la terre du Web
• Domaine de compétence Microsoft
  • Envisagez d’utiliser des étiquettes de conteneur (étiquettes de sensibilité spécifiquement destinées à appliquer la politique au niveau du groupe/équipe/site) pour appliquer les normes organisationnelles au niveau du groupe/équipe/site.
  • Disposez-vous d’un système de taxonomie et de classification des informations d’entreprise ? Avez-vous implémenté votre taxonomie en tant qu’étiquettes de sensibilité ? Il existe des cas d’utilisation tactiques légitimes pour les étiquettes de sensibilité, mais la plupart des organisations ont besoin d’un déploiement stratégique « explorer, marcher, courir » sur plusieurs mois ou années pour atteindre une efficacité à long terme et une adoption par les utilisateurs.

Considérations de niveau 2

• Cycle de vie des données de portée
  • Avez-vous mis en œuvre ou êtes-vous en train de mettre en œuvre des politiques de cycle de vie des informations dans Microsoft Purview ? Pour rendre la sortie de qualité de Microsoft Copilot pour Microsoft 365 plus probable, vous devez traiter les informations ROT (redondantes, obsolètes ou triviales) dans votre locataire tout en préservant également les enregistrements importants et pertinents qui peuvent contribuer à une sortie de qualité. Les politiques et étiquettes de conservation et de suppression feront probablement partie de la solution au problème du ROT. Des actions de suppression appropriées peuvent également réduire le risque de surexposition d’informations plus anciennes mais toujours sensibles.
• Surveillance de l’activité des utilisateurs
  • Capturez-vous et examinez-vous l’activité des utilisateurs dans votre locataire ? Spécifiquement pour Copilot, surveillez-vous le Rapports d’utilisation de Microsoft Copilot? Avez-vous activé la capture de télémétrie qui fournit des informations d’utilisation plus détaillées ?

La liste ci-dessus n’inclut pas toutes les considérations relatives à la sécurisation de votre locataire Microsoft 365. Par exemple, nous n’avons pas abordé les scénarios d’accès conditionnel ou d’authentification multifacteur. Cependant, les considérations ci-dessus sont plus directement liées à la consommation de Microsoft Copilot.

Conclusion

Microsoft 365 pourrait ajouter des contrôles de configuration et de gouvernance supplémentaires spécifiques à Copilot à l’avenir. Cependant, la meilleure approche consiste à garantir que vos actifs Microsoft 365 sous-jacents sont correctement autorisés et configurés. À mesure que de nouvelles fonctionnalités et contrôles Microsoft 365 seront publiés, ces actions continueront de porter leurs fruits.

Notre équipe Perficient Microsoft possède une vaste expérience en aidant des organisations comme la vôtre à analyser l’état actuel, à identifier les lacunes et à prendre des mesures pour sécuriser et gouverner leur client Microsoft. Ce travail a un impact direct sur l’expérience Microsoft Copilot pour Microsoft 365. Nos engagements vont de la feuille de route aux mises en œuvre fondamentales de sécurité et de gouvernance, en passant par des offres étendues de migration et/ou d’activation et de support et nous sommes en mesure de personnaliser ces engagements en fonction de vos domaines de préoccupation particuliers. Nous aimons collaborer avec nos clients pour les aider à obtenir les meilleurs résultats possibles en matière d’adoption et de gouvernance des services Microsoft 365.