Microsoft 365 Copilot sikkerhed: stop oversharing nu
Copilot gør ikke jeres data “offentlige” – men den gør jeres eksisterende overdelinger synlige på sekunder. Det er sådan en praktikant ender med at få et svar, der bygger på HR-dokumenter eller ledelsesnoter. Microsoft 365 Copilot sikkerhed handler derfor mindre om prompts og mere om adgang, klassificering og hvad der overhovedet må indekseres. I kan lukke de største huller på dage, ikke måneder.
Key takeaways: det I kan gøre i denne uge
- Stop Copilot i de mest følsomme SharePoint-sites: brug SharePoint Restricted Search, så HR/ledelse ikke dukker op i Copilot-svar.
- Skær adgang ned til “need-to-know”: ryd op i ejere, medlemmer og gæster – og brug Entra ID Access Reviews til at holde det ved lige.
- Gør følsomme dokumenter tydelige for systemet: udrul Purview sensitivity labels og håndhæv minimumskrav for, hvad der må deles.
- Krav om compliant enhed: håndhæv Conditional Access, så Copilot kun bruges fra enheder med Intune-compliance.
- Auditér før I skalerer: brug Copilot-/M365-logs til at se, hvor spørgsmål og svar peger hen – og ret dér, hvor risikoen faktisk er.
Hvorfor Copilot “finder for meget” i Microsoft 365
Copilot respekterer brugernes rettigheder. Problemet er, at rettigheder i mange SMB-miljøer er vokset vildt: gamle projektteams, “alle medarbejdere”-grupper, gæsteadgang og ad hoc-delinger. Når Copilot kan søge på tværs af mail, OneDrive og SharePoint, bliver overdeling pludselig målbart.
Microsoft peger selv på governance-gabet: I en WorkLab-opsamling (2026) er Copilot-adoption høj, mens udrulning af sensitivity labels halter. Det matcher det, vi ser i praksis: Copilot bliver bremset, fordi ingen tør slippe den løs – ikke fordi teknikken fejler.
Micro “Før → Efter” #1 (SharePoint)
Før: HR-site ligger i SharePoint med “Medlemmer: Alle medarbejdere” (ingen opdager det, fordi det “altid har virket”).
Efter: HR-site ekskluderes fra indeksering via Restricted Search, og medlemslisten ryddes op. Copilot kan stadig bruges, men svar trækker ikke HR-indhold ind.
Sådan bruger I SharePoint Restricted Search til at beskytte HR og ledelse
Restricted Search er et af de mest konkrete greb mod oversharing, fordi I kan afskære bestemte områder fra at blive fundet i søgning/Copilot – uden at ændre hver enkelt filrettighed som første skridt. Microsoft Tech Community (Q4 2025) beskriver muligheden for at ekskludere specifikke sites/områder fra indeksering, netop til følsomme domæner som HR og ledelse.
Hvornår giver Restricted Search mening?
- I har Copilot-licenser, men tør ikke aktivere bredt endnu.
- I ved, at SharePoint-strukturen er historisk rodet, og oprydning tager tid.
- I vil beskytte få, tydelige “røde zoner” (HR, ledelse, M&A, løn, personalesager) med det samme.
Tjekliste: Copilot data governance på 10 konkrete kontroller
Brug tjeklisten som et mini-audit. Den er designet til at finde de klassiske steder, hvor Copilot får for bredt udsyn.
| Kontrol | Hvad I kigger efter | Handling (hurtig) |
|---|---|---|
| 1) Følsomme SharePoint-sites | HR/ledelse/økonomi ligger i almindelige teamsites | Indfør Restricted Search for de sites, mens I rydder rettigheder op |
| 2) “Alle medarbejdere”-grupper | Store grupper står som Members/Visitors på følsomme sites | Erstat med målgrupper/rollegrupper og mindst mulig adgang |
| 3) Gæster i M365 | Gamle leverandører/partnere har stadig adgang | Kør Entra ID Access Reviews på gæster (månedligt/kvartalsvist) |
| 4) Delingslinks | “Anyone with the link” eller links uden udløb | Stram sharing policies og kræv udløb + begræns eksterne delinger |
| 5) Sensitivity labels | Følsomme dokumenter er ulabelled | Udrul 3–5 labels (fx Offentlig/Intern/Fortrolig/Strengt fortrolig) via Purview |
| 6) Automatisk mærkning | Løn/CPR/personalesager ligger som “almindelige” filer | Opsæt auto-labeling (start med de tydeligste mønstre/placeringer) |
| 7) Conditional Access | Copilot kan tilgås fra ukendte/ikke-administrerede enheder | Krav om MFA + compliant device (Intune) for adgang |
| 8) Intune baseline | Enheder mangler disk-kryptering, patching eller lokal admin-kontrol | Håndhæv compliance policies og bloker ved non-compliance |
| 9) Logning & audit | I kan ikke dokumentere brug/misbrug | Aktivér og gennemgå relevante M365 audit logs + rapporter i admin center |
| 10) Vedligeholdelse | Governance er et engangsprojekt | Planlæg faste reviews (rettigheder, gæster, labels, delingspolitik) i drift |
Micro “Før → Efter” #2 (adgangsreview)
Før: IT rydder manuelt op i adgang én gang om året, når “noget føles forkert”.
Efter: Entra ID Access Reviews kører kvartalsvist på gæster og kritiske grupper. Ejere skal aktivt bekræfte adgang, ellers fjernes den. Resultatet er færre “glemte” delinger, og Copilot-svar bliver mere forudsigelige.
Fejl der koster jer mest ved Copilot-udrulning
1) I blokerer Copilot helt – og får Shadow AI i stedet
CISA’s AI-sikkerhedsvejledning peger på et velkendt mønster: hvis godkendte værktøjer bliver for svære at bruge, finder medarbejdere alternativer. Når Copilot er slukket, ryger data typisk over i private AI-tjenester via copy/paste. Det er sværere at logge, sværere at styre og sværere at dokumentere til compliance.
2) I tror oprydning alene løser det
At slette gamle filer (retention/oprydning) reducerer støj, men stopper ikke overdeling. Hvis 50 personer stadig har adgang til en mappe med følsomme dokumenter, kan Copilot stadig bruge den som kilde.
3) MFA som eneste sikkerhedskrav
MFA hjælper, men den stopper ikke adgang fra en usikret enhed. For Copilot (og generelt M365) bør I kombinere MFA med krav om compliant device via Intune, så I har kontrol over patching, kryptering og baselines.
Få et Data Exposure Check før I skalerer Copilot
Vi gennemgår jeres Microsoft 365 på de 10 kontroller ovenfor: følsomme SharePoint-sites, delingslinks, gæster, labels, Conditional Access og device compliance. I får en kort prioriteringsliste med “luk nu” og “ret over 30 dage”.
Book et uforpligtende Data Exposure Check – eller se, hvordan vi arbejder med IT-sikkerhed og compliance i drift.
Hvordan vælger I mellem Purview, Entra ID og SharePoint-tiltag?
Brug denne tommelfingerregel, når I skal prioritere:
- Hvis problemet er “for mange har adgang”: start med Entra ID (grupper, Access Reviews) og SharePoint-permissions.
- Hvis problemet er “vi ved ikke hvad der er følsomt”: start med Purview (labels, auto-labeling, DLP hvor relevant).
- Hvis problemet er “vi skal have Copilot i gang, men sikkert”: start med Restricted Search på de røde zoner og udrul derefter labels + reviews.
- Hvis problemet er “brug fra private pc’er”: start med Conditional Access + Intune compliance.
FAQ: spørgsmål vi oftest får om Copilot data governance
Hvordan sikrer vi Microsoft 365 Copilot sikkerhed uden at slukke for det hele?
Start med at afgrænse “røde zoner” (HR/ledelse/økonomi) med Restricted Search, og håndhæv device compliance via Conditional Access. Derefter: labels i Purview og løbende Access Reviews. Så får I kontrolleret brug i stedet for forbud.
Hvad er oversharing i Microsoft 365, og hvorfor bliver det værre med Copilot?
Oversharing er, når brugere eller grupper har adgang til mere, end de reelt skal bruge. Copilot gør det værre, fordi den kan finde og sammenfatte indhold på tværs hurtigt. Tommelfingerregel: hvis en mappe er “praktisk” at dele bredt, er den også praktisk at lække fra.
Kan vi bare rydde op i SharePoint først og vente med Copilot?
I kan, men I risikerer Shadow AI og tabt værdi. Bedre rækkefølge i SMB: 1) luk de følsomme områder med Restricted Search, 2) stram adgang på de største sites, 3) kør oprydning/retention løbende. Så får I fremdrift uden at åbne alt.
Er sensitivity labels nødvendige for Copilot?
Copilot kan køre uden labels, men labels gør governance håndgribelig: I kan definere, hvad “Fortrolig” betyder, og hvordan det må deles. Start småt: 3–5 labels, tydelige navne og en enkel politik. Udvid først, når brugerne rammer grænserne.
Hvad skal vi logge og auditere, hvis vi skal kunne dokumentere det til compliance/NIS2?
Log og gennemgå mindst: ændringer i delingspolitik, gæsteadgang, gruppe-/site-medlemskaber, samt relevante M365 audit logs for adgang og deling. Beslutningsregel: alt der ændrer hvem der kan se hvad, skal kunne forklares bagefter med dato, ansvarlig og begrundelse.
Hvor ofte skal vi køre Access Reviews?
For gæster: typisk månedligt eller kvartalsvist afhængigt af projekttempo. For kritiske grupper (HR/ledelse/økonomi): mindst kvartalsvist. Hvis I har høj udskiftning eller mange projekter, så kør oftere – og gør det til en fast driftsrutine under drift/MSP.
Sådan kommer I i gang: 7 konkrete skridt
- Kortlæg 5–10 følsomme SharePoint-sites (HR, ledelse, økonomi, bestyrelse, M&A).
- Aktivér Restricted Search for de sites, så de ikke dukker op i Copilot-søgning.
- Ryd gruppemedlemskaber op: fjern “alle”-grupper fra følsomme sites og opret rollebaserede grupper.
- Slå Entra ID Access Reviews til for gæster og for de vigtigste sikkerhedsgrupper.
- Udrul Purview sensitivity labels (3–5 stk.) og beslut, hvilke labels der må deles eksternt.
- Håndhæv Conditional Access: MFA + krav om Intune-compliant enhed for Copilot og M365.
- Planlæg et månedligt 30-minutters review: gæster, delingslinks uden udløb, og nye “røde zoner”. Dokumentér ændringerne.
