TL;DR Summary
Jaan kokemuksiani Microsoft 365 Copilotin käyttöönotoista, jotka itsessään ovat teknisesti helppoja, mutta todellinen haaste piilee datan hallinnassa. Vanhat ja suojaamattomat tiedostot SharePointissa ja Teamsissa voivat sisältää arkaluonteista tietoa, joita ei haluta Copilotin käyttöön.
Ratkaisuna toimii Microsoft Purview’n luottamuksellisuustunnisteet, opetettavat luokittelijat, joiden avulla dataa voi suojata automaattisesti ja tehokkaasti.
Summary generated by AI.
🎙️ Jargonia
Ihanaa. Ensimmäinen blogi-postaus ja se on tietenkin Copilotista, jonka kanssa olen saanut työskennellä jo sen Preview:sta saakka. Pitkään oli mielessä, että pitäisikö blogia lähteä kirjoittamaan lontooksi vai suomeksi? Lontooksi jos latelisi, niin sivusto voisi saada enemmän silmäpareja, mutta päädyin kumminkin suomenkieliseen sillä ohjeita ja materiaalia löytyy todella paljon jo englanniksi. Tämän takia halusin tuoda sisältöä myös suomenkielisenä suomalaiselle yleisölle, Copilot kollegoille ja oikeastaan tarjota kaikille paikan, mistä voi mahdollisesti saada apua. 🫡 Monet asiat saattavat olla tuttua huttua, mutta jos edes yksikin asia auttaa sinua, olen saavuttanut tämän blogin osalta alkuperäisen tavoitteen. 🥳
Mutta mennääs nyt sitten asiaan! Microsoft 365 Copilot käyttöönottohan ei ole kovinkaan tekninen muutos, vaan mitä se vaatii on sen, että tenant-ympäristön ylläpitäjä käy kliksuttelemassa lisenssit päälle ja voilá. Mutta se, että pystytään hyödyntämään Microsoft 365 Copilotia parhaalla mahdollisella tavalla on tärkeää huomioon ottaa data ja mitä Microsoft 365 Copilot sitten hyödyntää.
🔥 Tilanne: Todella paljon tiedostoja SharePoint ja Teams -ympäristöissä
Vaikka tiedostot näkyvätkin Teamsissa, niin tiedostot kaikki Teamsissa näkyvät tiedostot sijaitsevat SharePoint:ssa, mutta ei jäädä siihen jumiin.
Useasti ympäristöt saattavat olla täynnä vanhaa matskua ja sieltä löytyy paljon semmoista dataa, jota kukaan ei omista – saatika edes tiedetä sen datan olemassaolosta. Vaikka tiedostot olisivat vanhoja, niin niissä saattaa olla arkaluonteisia tietoja, joiden ei haluta päätyvän Copilotin käyttöön.
Microsoft tarjoaa tähän näppärän ratkaisun yhdistämällä automaattiset Sensitivity Labels(luottamukselliset tunnisteet), Trainable Classifier(opetettavat luokittelijat) ja Data Loss Prevention(Tietojen menetyksen estämiseen liittyvä käytäntö). Tässä vaiheessa jo kadun, että päätin alkaa kirjoittamaan suomeksi kun terminologia ainakin itsellä hakusessa suomeksi.
Mutta miten homma menee käytännössä?
🎟️ Sensitivity Label / Luottamuksellisuustunniste
1. Lähdetään ensimmäisenä joko valitsemaan olemassa oleva luottamuksellisuustunniste tai luodaan uusi. Tässä kuvan esimerkissä luon kokonaan uuden alaluokan Hide from Copilot -> High Confidential -pääluokan alapuolelle.
2. Kun olet napsutellut nimet ja valinnut scopeen tiedostot, niin voit valita myös tarvittaessa Control access päälle. Control Accessilla voidaan hallita, että ketkä pääsevät kiinni tämän tietoluokan tiedostoihin.
3. Voisimme myös laittaa auto-labelingin päälle ja tällä tavalla saisimme automaattisesti esimerkiksi tiettyihin dokumentteihin luottamuksellisuustunnisteet automaattisesti päälle. Tullaan kumminkin siihen kohtaan tässä postauksessa myöhemmin(tsekkaa kohta 8.).
Ja sitten tulee klassinen ”Next, next, Submit”.
🚀 Label publishing policies / Luottamuksellisuustunnisteen julkaisu
4. Jotta me saadaan luottamuksellisuustunniste käyttöön, tulee meidän julkaista se ympäristössä. Tietoluokan julkaisemisen jälkeen voi mennä jopa 24h, että se tulee näkyviin – joten nou hätä.
⚡ PowerShell
5. Tämän jälkeen blokataan Content Analysis Services PowerShellillä, jotta Copilot ei voi voi analysoida tiedostoja Copilot Chatin kautta:
Tässä vielä komennot:
Connect-IPPSSession -UserPrincipalName Firstname.Lastname@domain.com
Set-Label -Identity ”Hide from Copilot” -AdvancedSettings @{BlockContentAnalysisServices=”True”}
🛡️ Data Loss Prevention / Tietojen menetyksen estämiseen liittyvä käytäntö
6. Seuraavana meidän täytyy luoda DLP-käytäntö, jolla estetään, ettei Copilot pääse kiinni Hide from Copilot tietoluokan tiedostoihin.
Tässä on tärkeää valita Actions ja Prevent copilot from processing content (preview) päälle.
🥼 Testaaminen
Seuraavana lähdetään testaamaan, että miten se Copilot sitten käsittelee minun tiedostoja, jotka on luokiteltu Hide from Copilot tunnisteella. Olen luonut rakkaasta kotikaupungistani tiedoston Lahen Chicago ja Copilot näppärästi loi sisällön. En ota vastuuta sisällöstä ja mainittakoon, että olen tosiaan Oulusta kotoisin. Ja takaisin asiaan: Olen lisännyt nyt tuolle tiedostolle Hide from Copilot tunnisteen:
✅ Testi 1 – Copilot Chat tiedostoon viitaten
Yritän kysyä Copilot Chatiltä yhteenvetoa viitaten dokumentiin, niin Copilot ilmoittaa, ettei voi antaa sen yhteenvetoa dokumentista:
Toki saattaa jäädä mietityttämään, että onko kumminkin ongelma jos Copilot löytää tiedoston – vaikkei se siitä sisältöön pääsekään tässä kiinni?
✅ Testi 2 – Copilot Chat sisältöön viitaten
Kokeillaampas sitten dokumentin sisällöllä hakea tietoa, josko sitten se Copilot meille antaisi jotain – no todetaan tässä vaiheessa, että vieläkin näyttää tepsivän tietoturvakäytännöt erinomaisesti!
✅ Testi 3 – Copilot Agentti
Tekasin uuden agentin, jolle opetin kaikki villin lännen salat, mutta sen lisäksi aiemmin luomanu dokumentin. Huomasin, että ensin Copilot vastaa minulle: ”Sorry, it looks like I can’t chat about this. Let’s try a different topic”
Ja tämän jälkeen se meneekin virheeseen ja pyytää aloittamaan uuden keskustelun:
✅ Testi 4 – Copilotin käyttö asennetussa sovelluksessa
Nyt kokeillaan avata tietokoneelle asennetulla Word-sovelluksella dokumenttia. Sielläkin näyttää olevan Copilot-nappi harmaana. Eli myöskin täältä Copilot on estetty!
✅ Testi 5 – Copilot OneDrive:n kautta
Kokeilin tehdä yhteenvetoa dokumentista vielä OneDriven kautta, mutta sieltäkin on estetty:
❌ Testi 6 – Copilot sovelluksen web-käyttöliittymän kautta
Valitettavasti Wordin web-officen kautta Copilotilta pystyy silti tekemään yhteenvedon.
Tämän mahdollisesti saisi blokattua DKE:llä, jolloin pystyttäisiin estämään koko tunnisteen/luokan avaaminen web-officen työkaluilla.
Päätelmänä voidaan todeta, että nyt Copilot piilottaa tämän tiedoston, mutta se ei varmastikkaan paljoa helpota jos pitää jokaiseen tiedostoon yksitellen lisätä tämä tieto. Mutta onneksi ei tarvitse ja Purview auttaa meitä myös tässäkin!
Lähdetään miettimään semmoista tietoluokkaa, joka voisi olla mitä ei haluta Copilotin käsittelevän. Joku saattaa miettiä, että piilotetaan kaikki sopimukset – tätä en suosittele. Copilotilla saadaan sopimuksista erittäin paljon irti. Toki jotkin voivat olla erittäin arkaluonteisia sopimuksia, jonka takia ne pitää piilottaa, esimerkkinä työntekijäsopimukset.
🏃♂️➡️ Trainable Classifiers / Koulutettava luokitus
7. Luo uusi koulutettava luokitus (Trainable classifiers) tai valitse olemassa oleva.
Jos luot uuden koulutettavan luokituksen, tulee huomioida seuraavat asiat:
- Sinulla tulee olla SharePoint sivustoilla 50–500 tiedostoa, josta Purview opettelee luokituksen.
- Sisällön on oltava englanniksi. Muut kielet eivät ole vielä tuettuja.
- Tuetut tiedostotyypit:
- Office-dokumentit (Word, PowerPoint, Excel)
- PDF-tiedostot
- Tekstitiedostot
- ”Sekä muita yleisiä tiedostoformaatteja” (c) Microsoft
Tämän takia nyt demossa päätin ottaa Agreements koulutettavan luokituksen.
🎟️ Sensitivity Label / Luottamuksellisuustunniste
8. Lupasin palata aiemmin tähän kohtaan. Tässä kohtaa voimme lisätä luottamuksellisuustunnisteelle automaattisesti joko:
- Sensitive Info Type (Arkaluonteiset tietotyypit)
- Esimerkiksi tiedostot, jotka sisältävä suomalaisia henkilötunnuksia, pankkikortteja jne. Microsoft on tehnyt yli 300 valmista pohjaa joista valita ja näitäkin pystyy tekemään itse regexillä tai keywordeillä.
- Trainable Classifiers (Koulutettavan luokituksen)
9. Tämän esimerkin mukaisesti lisäsin Agreements koulutetun luokituksen.
Mitä on hyvä huomata, niin voin valita, että automaattisesti kun Purview tunnistaa, että Agreements tiedostoa käsitellään, lätkäsee se sille Hide from Copilot tunnisteen – tai vaihtoehtoisesti se ehdottaa käyttäjälle sen lisäämistä.
Myös voin lisätä viestin mikä menee käyttäjälle, kun tietoluokka lätkäistään tiedostolle.
🔦 Auto-labeling policy / Automaattiset tunnisteiden lisäämisen käytännöt
10. Sitten lisätään label policies, jolla varmistetaan, että tunnistetut dokumentit merkitään automaattisesti Hide from Copilot luokituksella.
11. Seuraavana joko luodaan uusi Tietojen menetyksen estämiseen liittyvä käytäntö(Data Loss Prevention) tai muokataan olemassa olevaan. Tämä tosiaan estää Copilotin pääsyn dokumentteihin, joihin on liitetty tietty luottamuksellisuustunniste ja tällä tavalla saadaan myös opetettuihin luokkiin DLP-esto!
Tässä saattaa mennä tovi kun se taustalla rullailee, mutta nou hätä. Tämä säästää todella paljon aikaa sitten sen osalta, että ei tarvitse manuaalisesti yksitellen tiedostoja luokitella.
