Seguridad de datos de Microsoft Purview para Microsoft Copilot

Copilot ofrece información valiosa y aumenta la productividad de los usuarios pero requiere una gestión de la seguridad y el cumplimiento.

Purview refuerza las seguridad de los datos en Copilot

Las siguientes capacidades de Microsoft Purview refuerzan la seguridad de los datos y el cumplimiento normativo de Microsoft Copilot para Microsoft 365:

• Etiquetas de sensibilidad y contenido cifrado por Microsoft Purview Information Protection
• Clasificación de datos
• Clave de cliente
• Cumplimiento de las comunicaciones
• Auditoría
• Búsqueda de contenidos
• eDiscovery
• Retención y eliminación
• Bloqueo de clientes

Para comprobar si los planes de licencias de tu organización admiten estas capacidades, consulta el vínculo de orientación sobre licencias al final de la página.

¿Qué es Purview?

Microsoft Purview es una solución de gobierno de datos unificada que facilita la administración y el control de los datos del entorno local, de un entorno multinube y de software como servicio (SaaS). Permite que los consumidores de datos accedan a una administración de datos fiable y de gran valor.

• Mapa unificado de los recursos de datos y sus relaciones para lograr un gobierno de datos más eficaz
• Glosario con términos de búsqueda técnicos y empresariales para facilitar la detección de datos
• Conclusiones sobre la administración de datos confidenciales en todo el patrimonio de datos
• Uso compartido de datos local casi en tiempo real y fácil aprovisionamiento de acceso a datos

Microsoft Purview refuerza la protección de la información para Copilot

Copilot utiliza los controles existentes para garantizar que los datos almacenados en su tenant nunca se devuelven al usuario ni son utilizados por un LLM si el usuario no tiene acceso a esos datos. Cuando los datos tienen etiquetas de sensibilidad de tu organización aplicadas al contenido, hay una capa extra de protección:

Cuando se abre un archivo en Word, Excel, PowerPoint, o del mismo modo un correo electrónico o un evento de calendario en Outlook, la sensibilidad de los datos se muestra a los usuarios en la aplicación con el nombre de la etiqueta y las marcas de contenido (como texto de encabezado o pie de página) que se han configurado para la etiqueta.

Cuando la etiqueta de sensibilidad aplica el cifrado, los usuarios deben tener el derecho de uso EXTRAER, así como VER, para que Copilot devuelva los datos.

Esta protección se extiende a los datos almacenados fuera de tu tenant de Microsoft 365 cuando están abiertos en una app de Office (datos en uso). Por ejemplo, almacenamiento local, recursos compartidos de red y almacenamiento en la nube.

Además, cuando se utiliza el chat basado en Microsoft Copilot Graph (anteriormente Microsoft 365 Chat) que puede acceder a datos de una amplia gama de contenidos, la sensibilidad de los datos etiquetados devueltos por Copilot para Microsoft 365 se hace visible para los usuarios con la etiqueta de sensibilidad mostrada para las citas y los elementos enumerados en la respuesta. Utilizando el número de prioridad de las etiquetas de sensibilidad que se define en el portal de cumplimiento de Microsoft Purview, la última respuesta de Copilot muestra la etiqueta de sensibilidad de mayor prioridad de los datos utilizados para esa conversación de Copilot.

Aunque los administradores de cumplimiento definen la prioridad de una etiqueta de sensibilidad, un número de prioridad más alto suele denotar una mayor sensibilidad del contenido, con permisos más restrictivos. Como resultado, las respuestas de Copilot se etiquetan con la etiqueta de sensibilidad más restrictiva.

Aunque las políticas de DLP aún no admiten interacciones para Microsoft Copilot para Microsoft 365, se admiten la clasificación de datos para tipos de información confidencial y clasificadores entrenables para identificar datos confidenciales en las solicitudes de los usuarios a Copilot y en las respuestas.

Protección de Copilot con transferencia de la etiqueta de sensibilidad

Cuando se utiliza Copilot para crear nuevo contenido basado en un elemento que tiene una etiqueta de sensibilidad aplicada, la etiqueta de sensibilidad del archivo de origen se hereda automáticamente, con la configuración de protección de la etiqueta.

Por ejemplo, un usuario selecciona Borrador con Copilot en Word y, a continuación, Referencia un archivo. O un usuario selecciona Crear presentación a partir de un archivo en PowerPoint. El contenido de origen tiene aplicada la etiqueta de sensibilidad Confidencial (sin restricciones) y esa etiqueta está configurada para aplicar un pie de página que muestra «Confidencial». El nuevo contenido se etiqueta automáticamente como Confidencial para todos (sin restricciones) con el mismo pie de página.

Si se utilizan varios archivos para crear nuevos contenidos, la etiqueta de sensibilidad con mayor prioridad se utiliza para la herencia de etiquetas.

Como en todos los escenarios de etiquetado automático, el usuario siempre puede anular y sustituir una etiqueta heredada (o eliminarla, si no está utilizando etiquetado obligatorio).

Protección de Microsoft Purview sin etiquetas de sensibilidad

Aunque no se aplique una etiqueta de sensibilidad al contenido, muchos servicios y productos utilizan las capacidades de cifrado de Azure Information Protection y el servicio Azure Rights Management. Como resultado, Copilot para Microsoft 365 puede seguir comprobando los derechos de uso VIEW y EXTRACT antes de devolver datos y enlaces a un usuario, pero no hay herencia automática de la protección para nuevos elementos.

Ejemplos de productos y servicios que pueden utilizar las capacidades de cifrado de Azure Information Protection sin etiquetas de sensibilidad:

• Microsoft Purview Message Encryption
• Microsoft Information Rights Management (IRM)
• Conector de Microsoft Rights Management
• SDK de gestión de derechos de Microsoft

Otros métodos de cifrado que no utilizan Azure Information Protection:

• Los correos electrónicos protegidos con S/MIME no serán devueltos por Copilot, y Copilot no estará disponible en Outlook cuando esté abierto un correo electrónico protegido con S/MIME.
• Copilot para Microsoft 365 no puede acceder a los documentos protegidos con contraseña a menos que el usuario ya los haya abierto en la misma aplicación (datos en uso). Las contraseñas no son heredadas por un elemento de destino.

Al igual que con otros servicios de Microsoft 365, como eDiscovery y la búsqueda, los elementos cifrados con Microsoft Purview Customer Key son compatibles y pueden ser devueltos por Copilot para Microsoft 365.

Copilot respeta la protección existente con el derecho de uso EXTRACT

Aunque es posible que no estés muy familiarizado con los derechos de uso individuales para contenido cifrado, existen desde hace mucho tiempo. Desde Windows Server Rights Management, pasando por Active Directory Rights Management, hasta la versión en la nube que se convirtió en Azure Information Protection con el servicio Azure Rights Management.

Si alguna vez has recibido un correo electrónico de «Do Not Forward» (no reenviar), está utilizando derechos de uso para evitar que reenvíes el correo electrónico después de haber sido autenticado. Al igual que otros derechos de uso agrupados que se asignan a escenarios empresariales comunes, un correo electrónico de «Do Not Forward» concede al destinatario derechos de uso que controlan lo que puede hacer con el contenido, y no incluye el derecho de uso de FORWARD (reenviar). Además de no reenviar, no puedes imprimir este correo electrónico de «Do Not Forward» ni copiar texto de él. El derecho de uso que concede permiso para copiar texto es EXTRACT (extraer). Es este derecho de uso el que determina si Copilot para Microsoft 365 puede mostrar texto al usuario a partir de contenido cifrado.

Cuando se utiliza el portal de cumplimiento de Microsoft Purview para configurar una etiqueta de sensibilidad para aplicar el cifrado, la primera opción es si asignar los permisos ahora o dejar que los usuarios asignen los permisos. Si asigna ahora, configure los permisos seleccionando un nivel de permiso predefinido con un grupo preestablecido de derechos de uso, como Coautor o Revisor. O bien, puede seleccionar permisos personalizados en los que puede seleccionar individualmente los derechos de uso disponibles.

En el portal de cumplimiento de Microsoft Purview, el derecho de uso EXTRACT se muestra como copiar (COPY) y extraer contenido (EXTRACT). Por ejemplo, el nivel de permiso predeterminado seleccionado es Coautor, donde se muestra copiar (COPY) y extraer contenido (EXTRACT) está incluido. Como resultado, el contenido protegido con esta configuración de cifrado puede ser devuelto por Copilot para Microsoft 365:

Nota: La persona que aplica el cifrado siempre tiene el derecho de uso EXTRACT, porque es el propietario de Rights Management. Esta función especial incluye automáticamente todos los derechos de uso, lo que significa que el contenido que un usuario haya cifrado por sí mismo siempre podrá serle devuelto por Copilot para Microsoft 365. Las restricciones de uso configuradas se aplican a otras personas autorizadas a acceder al contenido.

Si seleccionas la configuración de cifrado para permitir que los usuarios asignen permisos, para Outlook, esta configuración incluye permisos predefinidos para «Do Not Forward» y Encrypt-Only (solo cifrar). La opción «Encrypt-Only«, a diferencia de «Do Not Forward«, incluye el derecho de uso EXTRACT.

Cuando seleccionas permisos personalizados para Word, Excel y PowerPoint, los usuarios seleccionan sus propios permisos en la aplicación de Office cuando aplican la etiqueta de sensibilidad. Se les informa que de las dos selecciones, READ (leer) no incluye el permiso de copiar contenido, pero CHANGE (cambiar) sí. Estas referencias a copiar se refieren al derecho de uso EXTRACT. Si el usuario selecciona Más opciones, puede agregar el derecho de uso EXTRACT a READ seleccionando Permitir a los usuarios con acceso de lectura copiar contenido.

Microsoft Purview admite el compliance management para Copilot

Utiliza el compliance management de Microsoft Purview para respaldar tus requisitos de riesgo y cumplimiento para Copilot para Microsoft 365.

Las interacciones con Copilot se pueden supervisar para cada usuario de tu tenant. Como tal, puede utilizar la clasificación de Purview (tipos de información confidencial y clasificadores entrenables), la búsqueda de contenido, el cumplimiento de las comunicaciones, la auditoría, el eDiscovery y las capacidades de retención y eliminación automáticas mediante el uso de políticas de retención.

Para el cumplimiento de las comunicaciones, puedes analizar las solicitudes de los usuarios y las respuestas de Copilot para detectar interacciones inapropiadas o arriesgadas o el uso compartido de información confidencial.

Para la auditoría, se capturan detalles cuando los usuarios interactúan con Copilot. Los eventos incluyen cómo y cuándo interactúan los usuarios con Copilot, en qué servicio de Microsoft 365 tuvo lugar la actividad y las referencias a los archivos almacenados en Microsoft 365 a los que se accedió durante la interacción. Si estos archivos tienen una etiqueta de sensibilidad aplicada, eso también se captura. En la solución Auditoría del portal de cumplimiento Microsoft Purview, selecciona Actividades de Copilot («copilot activities«) e Interactuó con Copilot («interacted with copilot«). También puedes seleccionar Copilot como carga de trabajo («workload«).

Para la búsqueda de contenido, dado que las indicaciones del usuario a Copilot y las respuestas de Copilot se almacenan en el buzón de correo de un usuario, se pueden buscar y recuperar cuando se selecciona el buzón de correo del usuario como origen de una consulta de búsqueda. Seleccione y recupere estos datos del buzón de origen seleccionando Añadir condición > Tipo > Interacciones de Copilot.

Del mismo modo, para eDiscovery, se utiliza el mismo proceso de consulta para seleccionar los buzones de correo y recuperar las solicitudes de los usuarios a Copilot y las respuestas de Copilot. Una vez creada la recopilación y enviada a la fase de revisión en eDiscovery (Premium), estos datos están disponibles para realizar todas las acciones de revisión existentes. Estas recopilaciones y conjuntos de revisión se pueden poner en espera o exportar.

Para las políticas de retención que admiten la retención y la eliminación automáticas, las solicitudes de los usuarios a Copilot y las respuestas de Copilot se identifican por la ubicación de los chats de Teams y las interacciones de Copilot. Anteriormente denominados sólo chats de Teams, los usuarios no necesitan estar utilizando el chat de Teams para que esta política se aplique a ellos. Todas las políticas de retención existentes configuradas anteriormente para los chats de Teams ahora incluyen automáticamente las indicaciones y respuestas de los usuarios hacia y desde Microsoft Copilot para Microsoft 365:

Al igual que con todas las políticas de retención y retenciones, si a un usuario se le aplica más de una política para la misma ubicación, los principios de retención resuelven cualquier conflicto. Por ejemplo, los datos se conservan durante el período más largo de todas las políticas de retención o retenciones de eDiscovery aplicadas.

Para que las etiquetas de retención conserven automáticamente los archivos a los que se hace referencia en Copilot, seleccione la opción para archivos adjuntos en la nube con una política de etiquetas de retención de aplicación automática: Aplicar etiqueta a archivos adjuntos en la nube y enlaces compartidos en Exchange, Teams, Viva Engage y Copilot. Al igual que con todos los archivos adjuntos en la nube conservados, se conserva la versión del archivo en el momento en que se hace referencia a él.

Instrucciones de configuración de Purview para Copilot

• Para configurar las políticas de cumplimiento de las comunicaciones para las interacciones de Copilot, consulta Create and manage communication compliance policies.
• Para buscar interacciones de Copilot en el registro de auditoría, consulta Audit New Search.
• Para utilizar la búsqueda de contenido para encontrar interacciones de Copilot, consulta Search for content.
• Para utilizar eDiscovery para las interacciones de Copilot, consulta Microsoft Purview eDiscovery solutions.
• Para crear o modificar una política de retención para las interacciones de Copilot, consulta Create and configure retention policies.
• Para crear una política de etiquetas de retención de aplicación automática para los archivos a los que se hace referencia en Copilot, consulta Automatically apply a retention label to retain or delete content.

¿Quieres saber más sobre Microsoft Purview y Copilot? En DQS/ te asesoramos. ¿Por qué no nos preguntas cómo podemos ayudarte?

Este post está basado en la publicación Microsoft Purview data security and compliance protections for Microsoft Copilot y Microsoft 365 licensing guidance for security & compliance.