DLP для Copilot: как не выпустить конфиденциальные данные в Bing и сохранить пользу от ИИ

Что нового

Microsoft расширила Microsoft Purview DLP на промты Microsoft 365 Copilot и Copilot Chat. Теперь ИБ‑команда может управлять не только файлами и почтой, но и тем, что пользователи вводят в Copilot.

Появились две конкретные возможности:

1. Полная блокировка промта
   Если запрос пользователя совпадает с правилом DLP, Copilot вообще не обрабатывает его и отвечает фразой:
   «This request cannot be completed because your organization has blocked Copilot from processing or responding.»

2. Блокировка только веб‑grounding (Bing Search)
   Copilot продолжает отвечать, используя:

   • собственные возможности рассуждения,
   • данные внутри Microsoft Graph вашего тенанта (почта, файлы, чаты и т.д.), но не отправляет промт во внешний Bing Search. Пользователь видит, что веб‑поиск отключён политикой безопасности.

Эти действия работают как единая DLP‑политика для двух сценариев:

• Copilot Chat (чаты в веб‑интерфейсе);
• полный Microsoft 365 Copilot (интеграция в Word, Excel, Teams и т.д.).

Ключевой момент: одна и та же DLP‑политика применяется ко всем пользователям, даже если у части сотрудников только Copilot Chat, а у части — полный Microsoft 365 Copilot.

Как это работает

Где именно возникает риск

Copilot использует так называемый web grounding: когда ему не хватает контекста, он отправляет запрос в Bing Search.
Пока промт и контекст живут внутри вашего тенанта Microsoft 365, на них распространяются ваши договорённости по приватности и безопасности с Microsoft.
Как только промт уходит в Bing, он выходит за эти рамки.

Раньше единственный жёсткий способ закрыть дыру — полностью отключить web grounding. Без интернета Copilot становился гораздо менее полезным.

Теперь Microsoft предлагает более тонкий контроль через Purview DLP.

Конструкция политики

Вы настраиваете политику в Microsoft Purview как обычную DLP‑политику:

1. Выбор области действия (scope):

   • указываете workloads: Microsoft 365 Copilot и Copilot Chat;
   • задаёте, для каких пользователей или групп она работает.

2. Создание правил внутри политики: каждое правило состоит из:

   • условия (condition) — что ищем в промте;
   • действия (action) — что делаем, если сработало.

Поддерживаемые условия:

• Sensitive information types — встроенные типы чувствительных данных (например, номера карт, паспортов, ИНН и т.п. в терминах Microsoft);
• Custom keyword list — ваш список слов и фраз (названия проектов, кодовые имена, внутренние термины);
• Sensitivity labels — метки конфиденциальности, которые вы уже используете в документах и письмах.

Поддерживаемые действия:

• Block prompt — полностью блокировать обработку промта Copilot;
• Block web grounding only — запретить только обращение к Bing Search, но оставить работу Copilot с локальными данными.

Ограничения логики

У DLP для Copilot есть несколько важных ограничений:

• Одно действие на правило. Нельзя в одном правиле одновременно блокировать промт и web grounding. Придётся создавать два разных правила или две политики.
• Нельзя смешивать некоторые условия. В одном правиле вы не комбинируете условие по sensitivity label и по sensitive information type.
  Нужны отдельные правила или даже отдельные политики.

Практический паттерн от команды Microsoft:

• одна политика — для блокировки по ключевым словам;
• вторая политика — для ограничения веб‑поиска по меткам чувствительности.

Роль sensitivity labels

Метки чувствительности дают ещё один уровень контроля:

• Документ с меткой «Highly Confidential» можно вообще не отдавать Copilot: он не сможет читать, пересказывать и использовать его содержимое.
• Альтернативный сценарий: разрешить Copilot суммировать и переформатировать такой документ, но запретить вызывать веб‑поиск, если в промте участвует этот контент.

Так вы отделяете работу с внутренними данными от выхода во внешний интернет.

Логи и аналитика

Если у вас развернут полный набор Purview, каждая сессия Copilot попадает в Activity Explorer в разделе AI activity.

В логах вы видите:

• текст промта пользователя;
• какое правило сработало;
• confidence score совпадения условия (насколько уверенно DLP считает, что нашла чувствительные данные);
• результат: промт заблокирован или только помечен нарушением.

Можно фильтровать события по:

• конкретной политике;
• диапазону дат и времени.

Simulation mode

Перед тем как включить жёсткое блокирование, Microsoft предлагает использовать simulation mode:

• вы включаете правило в режиме симуляции;
• в Activity Explorer появляются нарушения DLP, но пользователи ничего не замечают — Copilot продолжает работать как раньше;
• через неделю‑две вы смотрите статистику, правите условия, снижаете шум и сокращаете ложные срабатывания;
• только после этого включаете реальное блокирование.

Что это значит для вас

Когда это действительно нужно

DLP для Copilot полезен, если у вас:

• E5‑лицензирование и вы уже используете Microsoft Purview;
• жёсткие требования по защите данных (финансы, госструктуры, крупный корпоративный сектор);
• опасения, что сотрудники начнут копировать в Copilot:
  • номера договоров и карт,
  • персональные данные клиентов,
  • закрытые финансовые отчёты,
  • внутренние кодовые названия продуктов.

Вместо тотального запрета Copilot вы получаете тонкую настройку:

• блокируете только рискованные сценарии;
• оставляете пользователям помощь ИИ на внутренних данных.

Практические сценарии

1. Полный запрет на вывод особо чувствительных данных наружу

   • Создаёте правило: если в промте есть номера карт или паспортов → Block prompt.
   • Copilot не отвечает и честно говорит, что запрос заблокирован политикой.

2. Разрешить работу с секретными документами, но без интернета

   • Документы с меткой «Highly Confidential» можно:
     • читать и резюмировать внутри Copilot;
     • использовать для форматирования и подготовки презентаций;
     • но нельзя на их основе вызывать Bing Search.
   • Для этого настраиваете правило: при обнаружении такой метки → Block web grounding only.

3. Защита кодовых имён проектов

   • Создаёте custom keyword list с названиями внутренних инициатив.
   • Если пользователь пишет промт с таким словом, Copilot:
     • либо вообще не отвечает,
     • либо отвечает, но без обращения к вебу — по вашему выбору.

4. Пилот Copilot без риска утечки

   • Запускаете Copilot Chat на широкую аудиторию с E5;
   • включаете DLP‑политику в simulation mode;
   • через неделю смотрите, какие данные пользователи реально пытаются ввести в Copilot;
   • по результатам решаете, где нужен полный блок, а где достаточно ограничить Bing.

Кому это не подойдёт

• Организациям только на E3: таких лицензий недостаточно. Вам нужен компонент Information Protection and Governance из состава Purview под E5.
• Тем, кто вообще не использует Microsoft 365 Copilot. Здесь нет смысла — это строго про экосистему Microsoft.

Если вы работаете из России, нужно учитывать два момента:

• Microsoft 365 Copilot и связанные облачные сервисы официально доступны не во всех юрисдикциях;
• часть компаний использует VPN и зарубежные тенанты, чтобы работать с Microsoft 365. В этом случае DLP‑настройки применяются именно к тому тенанту, где живут ваши данные.

Плюсы и минусы подхода

Плюсы:

• защита до отправки запроса во внешний интернет, а не пост‑фактум;
• единый стек: те же DLP‑механизмы, что и для почты/документов;
• возможность оставить Copilot полезным за счёт частичной блокировки только web grounding;
• детальная аналитика по реальным промтам сотрудников.

Минусы:

• нужен E5 и Information Protection and Governance — это дороже, чем E3;
• ограничения по комбинированию условий и действий усложняют дизайн политик;
• требуется время на настройку и отладку через simulation mode.

Место на рынке

DLP для Copilot промтов — это надстройка над уже существующим стеком Microsoft Purview и E5‑безопасности.
Microsoft не сравнивает её по скорости или цене с другими ИИ‑ассистентами, потому что это не отдельный ассистент, а функция контроля данных внутри Microsoft 365.

По сути, это ответ на типичный сценарий, когда компании:

• не хотят полностью отключать web grounding Copilot;
• но боятся утечки чувствительных данных в Bing Search.

На рынке ИИ‑ассистентов многие игроки предлагают собственные DLP‑решения, но в этом случае Microsoft использует сильную сторону — глубокую интеграцию с:

• Microsoft Graph,
• существующими sensitivity labels,
• DLP‑политиками Purview,
• Activity Explorer.

Главный конкурентный аргумент — если вы уже живёте в экосистеме Microsoft 365 с E5 и Purview, то дополнительных продуктов для контроля промтов Copilot не нужно. Вы расширяете текущие политики на новый тип активности — запросы к ИИ.

Что делать сейчас

Если у вас есть E5 и Purview:

1. Создайте одну тестовую DLP‑политику для Copilot в simulation mode.
2. Добавьте в неё:
   • несколько чувствительных типов данных,
   • небольшой список ключевых слов.
3. Дайте ей поработать хотя бы неделю.
4. Посмотрите в Activity Explorer, какие промты реально нарушают политику.
5. После этого решайте, где включать блокировку промтов, а где достаточно резать только web grounding.

Так вы получите реальную картину поведения пользователей и поймёте, насколько Copilot безопасен именно в вашем тенанте.

---

Читайте также

• SkillSpector: сканер безопасности для навыков AI-агентов от NVIDIA
• Microsoft Entra Suite: как Microsoft предлагает закрыть все вопросы с доступом сотрудников
• Anthropic запустила Claude 3.5 Sonnet и Artifacts: быстрый ИИ‑ассистент с рабочим пространством