So erstellen Sie Vertraulichkeitsbezeichnungen für den Datenschutz und den erweiterten Copilot-Datenschutz mit Data & More
Einführung
Der Copilot-Schutz von Data & More arbeitet in Verbindung mit Microsoft Purview, um zu verhindern, dass Copilot (oder eine andere KI-Technologie) auf Elemente zugreift, die Datenschutzdaten oder andere Informationen enthalten, die nicht von KI verarbeitet werden sollten.
Zur Erinnerung: Copilot respektiert die Berechtigungen des Benutzers, der Copilot ausführt, und kann nur auf Daten zugreifen, auf die dieser Benutzer Zugriff hat. Dennoch gibt es viele Situationen, in denen Copilot keinen Zugriff auf ALLE Daten haben sollte, auf die der Benutzer Zugriff hat. Es gibt auch viele Situationen, in denen freigegebene Daten nicht ordnungsgemäß gesichert sind oder nicht ordnungsgemäß gesichert werden können, um den Zugriff von Copilot auf die Daten zu verhindern.
In diesen Situationen können Purview-Vertraulichkeitsbezeichnungen verwendet werden, um die BerechtigungInhalt kopieren und extrahieren (EXTRACT) von den Daten zu entfernen, die Copilot benötigt, um auf den Inhalt des Elements zuzugreifen.
Voraussetzungen
1. Microsoft-Lizenzanforderungen
Sie müssen über eine Microsoft 365-E5-Lizenz verfügen, um die Vertraulichkeitsbezeichnung zu erstellen, die Copilot den Zugriff auf Daten verweigert, UND alle Benutzer müssen mindestens über eineE3-Lizenz verfügen, die Microsoft Information Protection (MIP)-Funktionen umfasst.
2. Zugriff auf das Microsoft Purview Compliance-Portal
Sie müssen über die erforderlichen Berechtigungen verfügen, um auf das Microsoft Purview Information Protection-Portal in Azure zuzugreifen.
3. Azure-Berechtigungen
Ihrem Konto müssen die erforderlichen Berechtigungen in Azure zugewiesen sein, um Vertraulichkeitsbezeichnungen erstellen und verwalten zu können. Dazu müssen Sie Mitglied einer Gruppe sein, der die BerechtigungVertraulichkeitsbezeichnungs-Administrator erteilt wurde. Standardmäßig verfügen diese Rollen über diese Berechtigung:
- Compliance-Datenadministrator
- Organisationsverwaltung
- Sicherheitsadministrator
4. Data & More-Lizenzanforderungen
Sie müssen für das ModulCopilot Protection von Data & More lizenziert sein.
5. Data & More-Berechtigungen
Ihr Konto muss über Administratorberechtigungen in Data & More verfügen, um zu bestätigen, dass die App-Registrierungsberechtigungen korrekt festgelegt sind und die Bezeichnungen veröffentlicht wurden, damit die Data & More-Software diese verwenden kann.
Erstellen der Vertraulichkeitsbezeichnung
Navigieren Sie zunächst zuadmin.microsoft.com und melden Sie sich an. Klicken Sie in der linken Navigation aufAlle anzeigen, um die Admin Center anzuzeigen, und klicken Sie dann aufMicrosoft Purview, um das Microsoft Purview-Portal zu öffnen. Klicken Sie im Microsoft Purview-Portal aufInformationsschutz.
Klicken Sie im Bildschirm „Informationsschutz" in der linken Navigation aufVertraulichkeitsbezeichnungen und anschließend aufBezeichnung erstellen, um den Assistenten zur Bezeichnungserstellung zu starten.
Geben Sie den Namen, die Beschreibung und die Farbe für die neue Bezeichnung an. Im gezeigten Beispiel heißt die BezeichnungExclude from AI.
Geben Sie den Bereich für die neue Bezeichnung an, indem Sie angeben, auf welche Elemente sie angewendet werden kann.
Der Schlüssel zur Erstellung einer Bezeichnung für den Copilot-Datenschutz liegt in der Festlegung der Berechtigungen, die auf bezeichnete Elemente angewendet werden. Um benutzerdefinierte Berechtigungen zu konfigurieren, wählen Sie die OptionZugriff steuern aus.
Wählen Sie die OptionBerechtigungen zuweisen aus, um die mit dieser Bezeichnung verbundenen Berechtigungen zu konfigurieren.
Verwenden Sie die OptionBenutzer oder Gruppen hinzufügen, um die zuzuweisende Gruppe (oder eine Reihe von Benutzern) auszuwählen.
Bei der Konfiguration der Zugriffssteuerung kann eine beliebige Kombination von Benutzern und Gruppen verwendet werden. Die Empfehlung lautet jedoch, einedynamische Microsoft 365-Gruppe zu verwenden, die so konfiguriert ist, dass sie nur aktive Konten enthält, die menschlichen Benutzern zugewiesen wurden.
Das gezeigte Beispiel verwendet eine dynamische Microsoft 365-Gruppe namensActive Human Accounts. Hier ist die Auswahllogik, die zur Festlegung der Mitgliedschaft für diese Gruppe verwendet wird.
Sobald eine Gruppe (oder eine Reihe von Benutzern) ausgewählt wurde, verwenden Sie die OptionBerechtigungen auswählen und das benutzerdefinierte Profil aus der Dropdown-Liste, um die Berechtigungsstufe festzulegen. Stellen Sie sicher, dass die BerechtigungInhalt kopieren und extrahieren nicht ausgewählt bleibt.
Bei der Konfiguration der Berechtigungen kann ein beliebiger Berechtigungssatz verwendet werden. Die Empfehlung lautet jedoch, denselben Berechtigungssatz wie für die RolleEditor zu verwenden, mit Ausnahme der BerechtigungInhalt kopieren und extrahieren.
Sobald die Berechtigungen festgelegt wurden, überprüfen Sie, ob die ausgewählte Gruppe (oder der Benutzersatz) und die Berechtigungen auf dem BildschirmBerechtigungen zuweisen korrekt angezeigt werden, und klicken Sie aufSpeichern, um die Änderung zu übernehmen.
Legen Sie die automatische Bezeichnung für Dateien und E-Mails fest.
Die automatische Bezeichnung von Microsoft ist äußerst ungenau. Daher wird empfohlen, die automatische Bezeichnung deaktiviert zu lassen und die Copilot-Bereitschaftsfunktion von Data & More zu nutzen, um die neue Bezeichnung auf die Inhalte anzuwenden, die sie benötigen.
Zusätzliche Schutzeinstellungen können zugewiesen werden, wenn Sie Elementen mit dieser Bezeichnung einen weitergehenden Schutz zuweisen möchten. Keine dieser Einstellungen ist erforderlich, um den Copilot-Zugriff auf Daten zu verhindern. Sie sollten daher nur aktiviert werden, um zusätzliche Geschäftsanforderungen oder Szenarien zu berücksichtigen.
Führen Sie eine abschließende Überprüfung der Einstellungen durch und klicken Sie auf die SchaltflächeBezeichnung erstellen.
Die neue Bezeichnung wird nun in der Hierarchie der Vertraulichkeitsbezeichnungen angezeigt. Standardmäßig wird die neue Bezeichnung mit der höchsten Vertraulichkeitsstufe erstellt. Stellen Sie sicher, dass Sie die Vertraulichkeitsstufe auf das entsprechende Niveau anpassen, wenn Sie andere Bezeichnungen in Ihrer Umgebung haben.
Veröffentlichen der Vertraulichkeitsbezeichnung
Bevor die neue Bezeichnung verwendet werden kann, muss sie veröffentlicht werden. Erweitern Sie dazu in der linken Navigation des BildschirmsPurview-Informationsschutz den BereichRichtlinien und klicken Sie aufBezeichnungsveröffentlichungsrichtlinien. Daraufhin wird die Liste der Veröffentlichungsrichtlinien angezeigt.
Wenn dies die erste Bezeichnung in Ihrer Umgebung ist, ist eine neue Veröffentlichungsrichtlinie erforderlich. Wenn bereits Bezeichnungen veröffentlicht wurden, kann die neue Bezeichnung entweder einer vorhandenen Richtlinie hinzugefügt oder über eine neue Richtlinie veröffentlicht werden. Wenn für diese Bezeichnung benutzerdefinierte Einstellungen erforderlich sind, ist eine andere Richtlinie erforderlich. Wenn dieselben Einstellungen verwendet werden, wird der Einfachheit halber empfohlen, die vorhandene Richtlinie zu ändern.
Um eine vorhandene Richtlinie zu ändern, wählen Sie die AktionRichtlinie bearbeiten aus.
Klicken Sie aufBearbeiten, um die Liste der zu veröffentlichenden Bezeichnungen zu ändern, und wählen Sie die neu erstellte Bezeichnung aus, um sie der Liste der zu veröffentlichenden Bezeichnungen hinzuzufügen.
Geben Sie die Verwaltungseinheiten an, sofern diese verwendet werden. Wenn Sie unsicher sind, lassen Sie dieVerwaltungseinheiten aufVollständiges Verzeichnis eingestellt, damit der Copilot-Informationsschutz überall verwendet werden kann.
Geben Sie den Bereich für die Bezeichnung an. Wenn Sie unsicher sind, lassen Sie den Bereich aufBenutzer und Gruppen eingestellt, damit der Copilot-Schutz für alle verfügbar ist.
Konfigurieren Sie die Richtlinieneinstellungen, sofern diese verwendet werden. Wenn Sie unsicher sind, lassen Sie alle Optionen deaktiviert – keine dieser Optionen ist für den Copilot-Schutz erforderlich.
Standardbezeichnungen sind für den Copilot-Schutz nicht erforderlich. Wenn Sie unsicher sind, lassen Sie dieStandardbezeichnung aufKeine eingestellt und behalten Sie die Standardeinstellungen für E-Mail, Besprechungen und Kalenderereignisse sowie Fabric- und Power BI-Inhalte bei.
Wenn Sie eine neue Richtlinie erstellen, geben Sie einen Namen an und klicken Sie dann aufSenden auf dem BildschirmÜberprüfen und abschließen, um die neue Richtlinie zu veröffentlichen.
Bestätigung der Data & More-Konfiguration
Klicken Sie in Data & More auf Ihren Namen in der oberen rechten Ecke und wählen SieOrganization Settings aus.
Klicken Sie in der linken Navigation aufApp registration, dann auf dasBearbeitungssymbol neben der App-Registrierung und bestätigen Sie, dassInformationProtectionPolicy.Read.All (MIP Labels) ein grünes Häkchen daneben hat.
Wenn das grüne Häkchen fehlt, müssen die Berechtigungen für die App-Registrierung aktualisiert werden, um die BerechtigungInformationProtectionPolicy.Read.All einzuschließen.
Um zu bestätigen, dass die neue Bezeichnung ordnungsgemäß veröffentlicht wurde, klicken Sie in Data & More auf Ihren Namen in der oberen rechten Ecke und wählen SieSettings aus. Scrollen Sie nach unten zum AbschnittMIP Labels und klicken Sie aufUpdate Labels. Warten Sie einige Minuten und klicken Sie dann aufShow/Hide Labels.
Die neue Bezeichnung ist ordnungsgemäß veröffentlicht, vollständig in Azure repliziert und einsatzbereit für den Copilot-Schutz von Data & More, wenn Sie sie in der Liste der MIP-Bezeichnungen sehen können.
Wie geht es weiter?
Der Copilot-Schutz von Data & More kann nun verwendet werden, um Elemente zu identifizieren, die von der Copilot-Verarbeitung ausgeschlossen werden sollen, und ihnen die neue Bezeichnung zuzuweisen.
Wenn Sie Hilfe beim Ausschließen von Inhalten aus Copilot benötigen oder Fragen zu anderen Funktionen des Copilot-Schutzes von Data & More haben, wenden Sie sich bitte an unser kompetentes Support-Team.