微软扩展 Copilot 数据防泄漏支持范围,阻止敏感文件处理
微软正在扩展 Purview 数据防泄漏(DLP)控制功能,将阻止 Microsoft 365 Copilot 处理所有存储位置(包括本地设备)中带有敏感标签的文件。这项变更旨在弥补企业AI部署中的关键治理空白。
此前,针对 Copilot 的DLP策略执行仅限于存储在 SharePoint Online 和 OneDrive for Business 中的文件。这造成了一个重大盲区:存储在员工本地设备或可通过网络驱动器访问的文件仍可能被 Copilot 读取。即使组织已部署DLP策略来限制敏感内容,这一漏洞依然存在。
DLP扩展功能的技术原理
此次技术变更的核心在于 Copilot 增强循环(AugLoop)获取敏感标签信息的方式。此前,AugLoop 通过调用 Microsoft Graph 并使用文件的 SharePoint 或 OneDrive URL 来检测文件标签,这种方法天然排除了本地存储文件。
本次更新后,Office客户端已增强功能,可直接在客户端向AugLoop提供敏感标签,无需再依赖基于云的URL查询。这一架构变更使得DLP策略能够一致地评估和执行限制,无论文件存储在OneDrive、SharePoint、网络驱动器还是本地设备上。
当活跃的DLP策略检测到文件带有受限敏感标签时,Copilot将被阻止在Word、Excel或PowerPoint中处理该文件内容。
| 详情 | 信息 |
|---|---|
| 路线图ID | 557255 |
| 消息ID | MC1234661 |
| 受影响应用 | Word、Excel、PowerPoint |
| 部署开始时间 | 2026年3月下旬 |
| 部署完成时间 | 2026年4月下旬 |
| 所需许可证 | Microsoft 365 Copilot + M365 E5 |
| 需策略变更 | 无 |
| 默认状态 | 开启(针对已配置DLP规则的租户) |
对于已配置相关DLP规则的租户,无需进行策略迁移或重新配置。现有策略将继续保持原有功能,仅自动获得更广泛的执行范围。
部署时间表与要求
微软已通过路线图ID 557255和消息ID MC1234661确认此更新。全球版和政府社区云(GCC)环境计划于2026年3月下旬开始全面部署,预计2026年4月下旬完成。
建议管理Purview DLP策略的管理员审查现有基于敏感标签的限制措施,并相应更新内部帮助台文档。同时建议向安全和合规团队通报,确保其了解扩展后的执行范围。
当前使用Microsoft 365 Copilot的组织需注意,要充分利用此DLP功能,需要同时具备Microsoft 365 Copilot许可证和Microsoft 365 E5许可证(或同等产品)。本次更新不会改变Copilot的核心功能,仅强化了关于Copilot可访问和处理内容的治理边界。
参考来源:
Microsoft to Extends DLP Support for Copilot to Prevent Sensitive File Processing
官方