Anleitung zur restriktiven Einrichtung von Microsoft Copilot in Microsoft Cloud Apps
Diese Anleitung richtet sich an IT-Administratoren, die eine restriktive Bereitstellung von Microsoft Copilot (MC) in Microsoft Cloud Apps planen und sicherstellen wollen, dass Sicherheits- und Datenschutzanforderungen strikt eingehalten werden. Die Anleitung berücksichtigt notwendige Konfigurationen im Microsoft 365 Admin Center und Microsoft Purview. PowerShell-Befehle werden dort eingebunden, wo eine automatisierte Verwaltung sinnvoll ist, vor allem bei der Bereitstellung auf einer großen Anzahl von Geräten.
1. Grundvoraussetzungen und Vorbereitung
- Zugriffsrechte: Stellen Sie sicher, dass Sie über die Berechtigungen als Globaler Administrator und Compliance Administrator verfügen.
- Microsoft Copilot-Compliance: Vergewissern Sie sich, dass Microsoft Copilot-Lizenzen für Ihre Organisation aktiviert und kompatibel sind.
- Anwenderanalyse: Erstellen Sie eine Übersicht, welche Benutzergruppen Microsoft Copilot nutzen sollen, und differenzieren Sie Berechtigungen je nach Rolle (z. B. Management, Abteilungen mit sensiblen Daten).
2. Einstellungen im Microsoft 365 Admin Center
2.1. Microsoft Copilot Berechtigungen und Zugriffseinschränkungen
Im Microsoft 365 Admin Center kann der Zugriff auf Microsoft Copilot gesteuert und für spezifische Gruppen eingeschränkt werden.
-
Navigieren zum Microsoft Copilot-Einstellungen:
- Melden Sie sich im Microsoft 365 Admin Center an.
- Gehen Sie zu Einstellungen > Microsoft 365 Copilot.
-
Berechtigungen für Benutzergruppen konfigurieren:
- Unter Benutzer und Gruppen können Sie spezifische Benutzergruppen für die Nutzung von Copilot festlegen.
- Legen Sie Berechtigungen so fest, dass nur autorisierte Benutzer Copilot verwenden können, indem Sie den Zugriff auf bestimmte Gruppen wie "Management" oder "Teamleiter" beschränken.
-
Freigabe-Einstellungen:
- In den Einstellungen für die Nutzung von Inhalten können Sie die Möglichkeit einschränken, Inhalte aus Copilot-Ergebnissen mit externen Nutzern zu teilen.
- Setzen Sie externe Freigabe auf Deaktiviert, um die Weitergabe sensibler Informationen zu verhindern.
2.2. Einschränkungen für Edge (Bing-Integration)
Um sicherzustellen, dass Microsoft Copilot bei Suchanfragen in Edge nur berechtigte Daten anzeigt:
- Microsoft Edge Richtlinien im M365 Admin Center konfigurieren:
- Gehen Sie zu Geräteverwaltung > Edge Verwaltung.
- Aktivieren Sie Unternehmenssuchen beschränken, sodass die Suchergebnisse auf zugriffsbeschränkte Inhalte innerhalb von SharePoint und OneDrive begrenzt werden.
- Aufgabenspezifische Beschränkungen:
- Bei der Konfiguration von Edge Copilot-Richtlinien können Sie auch Berechtigungseinstellungen auf Dokumentenbasis erzwingen. So wird sichergestellt, dass bei Suchanfragen die im jeweiligen Dokument hinterlegten Berechtigungen berücksichtigt werden.
3. Einstellungen in Microsoft Purview
Microsoft Purview bietet Compliance- und Datenschutzsteuerungen, die eine restriktive und DSGVO-konforme Implementierung von Microsoft Copilot unterstützen.
3.1. Zugriffssteuerungen und Datenschutz-Richtlinien
-
Sensible Informationstypen definieren:
- Gehen Sie in Microsoft Purview Compliance Center zu Information Protection > Sensible Informationstypen.
- Legen Sie sensible Informationstypen fest, die nicht in Copilot-Suchen erscheinen dürfen, z. B. Kreditkarteninformationen oder personenbezogene Daten.
-
Richtlinien für Informationsschutz anwenden:
- Navigieren Sie zu Informationsschutz > Beschriftungen und erstellen Sie neue Beschriftungen, um vertrauliche Informationen vor unbefugtem Zugriff durch Copilot zu schützen.
- Fügen Sie benutzerdefinierte Berechtigungsrichtlinien hinzu, um Copilot-Anfragen in SharePoint und OneDrive nur auf Inhalte zu beschränken, die explizit freigegeben wurden.
3.2. Datensichtbarkeit einschränken
Konfigurieren Sie Datenverlustverhinderungsrichtlinien (DLP), um sicherzustellen, dass bestimmte Informationen in Suchanfragen blockiert werden:
-
Erstellen einer DLP-Richtlinie:
- Erstellen Sie unter Datenschutz und DLP-Richtlinien eine neue Richtlinie, um die Datenzugänglichkeit zu steuern.
- Fügen Sie Kriterien hinzu, die den Zugriff von Copilot auf Dateien und Ordner einschränken, die spezifische Schlagwörter wie „vertraulich“ oder „intern“ enthalten.
-
Eingeschränkte Verbreitung festlegen:
- Definieren Sie in der DLP-Richtlinie, dass Inhalte mit sensiblen Informationen (z. B. medizinische oder finanzielle Daten) nicht für die Verwendung in Copilot verfügbar sind.
4. PowerShell-Skripte für die Massenbereitstellung und Verwaltung
Für die Einrichtung und Verwaltung der Berechtigungen in großem Umfang ist PowerShell sehr hilfreich. Verwenden Sie die folgenden Skripte, um Einstellungen für Copilot sowie für SharePoint und OneDrive systematisch anzuwenden.
4.1. Skript zur Einschränkung von Copilot-Berechtigungen
# Verbinden Sie sich mit Microsoft 365
Connect-MgGraph -Scopes "User.Read.All", "Directory.ReadWrite.All"
# Beispiel: Zugriff auf Copilot für alle Benutzer außer Management-Gruppe deaktivieren
$users = Get-MgUser -Filter "Department ne 'Management'"
foreach ($user in $users) {
# Deaktivieren Sie Microsoft Copilot für den Benutzer
Set-MgUserLicense -UserId $user.Id -RemoveLicenses Copilot_License
}
4.2. Skript zur Verwaltung der Edge-Richtlinien
# Verbindung zu den Security- und Compliance-Einstellungen von Edge
Import-Module -Name Microsoft.Graph.Identity.Governance
# Richtlinie für Unternehmenssuche festlegen
$policyName = "RestrictiveCopilotPolicy"
New-EdgePolicy -Name $policyName -RestrictedSites "SharePoint", "OneDrive" -Permissions "ReadOnly"
4.3. Skript zur Anwendung von DLP-Richtlinien in Microsoft Purview
# Verbindung zum Microsoft Purview Compliance Center
Connect-IPPSSession
# Neue DLP-Richtlinie für vertrauliche Dokumente erstellen
$dlpPolicy = New-DlpCompliancePolicy -Name "RestrictiveCopilotDLP" -Mode Enforce -ContentContainsSensitiveInformation @(“CreditCardNumber”)
# Richtlinie auf SharePoint und OneDrive anwenden
Set-DlpComplianceRule -Policy $dlpPolicy.Id -Location "SharePoint", "OneDrive" -BlockAccess
5. Testen und Überwachen der Richtlinien
- Testläufe durchführen: Führen Sie Testläufe durch, indem Sie die Suchfunktion von Microsoft Copilot für verschiedene Benutzergruppen testen.
- Überwachung in Microsoft Purview: Verwenden Sie das Compliance-Center, um Audit-Protokolle und DLP-Benachrichtigungen zu prüfen.
- Feedback der Benutzer einholen: Sammeln Sie nach dem Rollout Feedback der Benutzer, um sicherzustellen, dass die Zugriffsberechtigungen wie gewünscht funktionieren und keine ungewollten Einschränkungen auf die Produktivität ausüben.