Tel: 70 26 48 50
Opret din support sag       Remote support 

Microsoft 365 Copilot sikkerhed: stop oversharing nu

Illustration af Microsoft 365 Copilot der søger i SharePoint, mens adgangsrettigheder og følsomhedsmærker kontrolleres

Microsoft 365 Copilot sikkerhed: stop oversharing nu

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Copilot “finder” ikke nye data. Den gør jeres eksisterende rettigheder synlige og lette at udnytte. Hvis en medarbejder allerede har for bred adgang i SharePoint, kan Copilot trække lønark, tilbud og strategi ind i et svar på få sekunder. Her får I en praktisk tjekliste til Microsoft 365 Copilot sikkerhed, så I kan tænde for Copilot uden intern datalæk.

Key takeaways: sådan reducerer I Copilot-risiko på 30 dage

  • Kortlæg oversharing først: auditér SharePoint/Teams-medlemskaber og “Alle undtagen eksterne”/“Everyone”-adgange, før I køber flere Copilot-licenser.
  • Gør mindst mulige rettigheder til standard: skift fra brede grupper til målrettede M365-grupper og rollebaseret adgang (least privilege).
  • Indfør Sensitivity Labels (Purview): mærk fortrolige dokumenter og håndhæv kryptering/ adgangskrav, så Copilot kun kan arbejde inden for jeres politik.
  • Ryd op i “dark data”: arkivér/slet gamle områder og stop inheritance-kaos, så I reducerer det Copilot kan “se”.
  • Log og dokumentér: aktiver relevante audit-logs og lav en enkel Copilot-brugsregel, der kan forklares til ledelse og revisor.

Tjek af SharePoint-rettigheder og Teams-medlemskaber før udrulning af Copilot

Hvorfor Copilot gør gamle rettighedsfejl farlige

Microsofts egen vejledning om Data Security for Copilot for Microsoft 365 er tydelig på én pointe: Copilot respekterer de adgangsrettigheder, I allerede har. Det er godt. Problemet er bare, at mange SMB’er har vokset sig ind i en SharePoint-struktur, hvor “hurtig adgang” blev vigtigere end “rigtig adgang”.

Typiske mønstre vi ser:

  • Teams er lavet som “alle må være med”, men bruges reelt til HR/ledelse.
  • SharePoint-sites har gæsteadgang eller brede medlemmer “for nemhedens skyld”.
  • Filer ligger i fællesområder, fordi “det var sådan på filserveren”.

Før → Efter (1):
Før: “Alle” har adgang til et site med blandede dokumenter (projekter + kontrakter + personale). Copilot kan opsummere indholdet for alle med adgang.
Efter: I segmenterer i separate sites/kanaler, strammer medlemskab og mærker fortrolige dokumenter. Copilot bliver nyttig i projektmateriale, men “rammer muren” ved løn/HR.

Sådan spotter I oversharing i SharePoint og Teams

Start med det, der giver størst effekt pr. time. I behøver ikke total perfektion for at få kontrol, men I skal kende jeres værste områder.

Hurtig risikoscreening (2–4 timer)

  1. Find brede adgangsgrupper: M365-grupper, der reelt dækker “hele virksomheden”, men som har adgang til områder med fortroligt indhold.
  2. Gennemgå gæsteadgang: hvilke Teams/sites tillader eksterne? Er der følsomme mapper/dokumenter i samme område?
  3. Se efter brudt arv (broken inheritance): tilfældige undtagelser på mapper giver uforudsigelig adgang. Copilot gør uforudsigelighed til risiko.
  4. Udpeg 5 “kritiske datatyper”: løn, kontrakter, kundepriser, strategi, IP/teknisk dokumentation. Notér hvor de ligger.

Gartner peger i deres AI-trend-arbejde (Hype Cycle 2025/26 og relaterede governance-trends) på, at styring af tillid/risiko omkring AI er blevet et krav. Oversat til SMB: det er ikke nok at aktivere Copilot og håbe, at adfærd alene løser det.

Eksempel på segmentering af data: offentligt, internt og fortroligt med Microsoft Purview sensitivity labels

Tjekliste: Copilot data governance før I tænder for AI

Brug tjeklisten som beslutningsgrundlag: Hvis I ikke kan sige “ja” til punkt 1–3, så udrul Copilot til en mindre pilotgruppe først.

Kontrolpunkt Hvad I konkret kigger efter Hvad I gør, hvis det fejler
1) Adgang er segmenteret Kritiske datatyper ligger ikke i “fælles” Teams/sites. Medlemskab kan forklares med rolle og behov. Flyt HR/ledelse/finance til separate sites/Teams. Stram medlemskab og brug ejere med ansvar.
2) Least privilege er standard Ingen “everyone”-adgang til fortrolige områder. Deling sker via grupper, ikke direkte på dokumenter. Erstat ad hoc-delinger med M365-grupper. Fjern overflødige medlemmer og stop “wildcard”-grupper.
3) Sensitivity Labels er i drift “Fortrolig” udløser håndhævelse (fx kryptering, blokering af ekstern deling, vandmærke). Opsæt Microsoft Purview labels + baseline-politikker. Start med 3 labels: Offentlig, Intern, Fortrolig.
4) Livscyklus og oprydning kører Gamle projekter er arkiveret/slettet. Ingen sites uden ejer. Ingen “forladte” Teams. Indfør site/Team-governance: ejerskab, udløb/recertificering, arkivering. Brug retention bevidst.
5) Logging og review er aftalt I kan dokumentere, hvem der har adgang til hvad, og hvordan I følger op på afvigelser. Aktivér relevante audit-funktioner og lav en månedlig review-rytme (adgang + deling + labels).

Før → Efter (2):
Før: Dokumenter bliver “sikret” ved at ligge dybt i mapper med uens rettigheder. Ingen ved, hvem der har adgang, og hvorfor.
Efter: I mærker dokumenterne (Purview) og håndhæver politik på indholdet. Adgang bliver tydelig, og afvigelser kan findes og rettes.

Vil I teste Copilot uden at gamble med interne data?
Vi kan lave et kort Oversharing-tjek af jeres SharePoint/Teams-rettigheder og give en prioriteret plan for labels, adgang og oprydning. Start med 60 minutter online, og få de 10 vigtigste fund i et notat.

Læs mere om IT-sikkerhed og compliance, eller kontakt os via /kontakt.

Sådan bruger I Microsoft Purview som “sikkerhedssele”

CISA og NIST peger på least privilege som et grundprincip, og at identitet alene ikke er nok. I praksis betyder det: I skal kombinere adgangsstyring (hvem må se) med datamærkning (hvad er det for noget data) og håndhævelse.

En enkel label-model der virker i SMB

  • Offentlig: må deles eksternt. Ingen kryptering. Bruges sjældent internt.
  • Intern: standard for interne dokumenter. Ekstern deling styres, men er mulig med godkendelse.
  • Fortrolig: kryptering + begrænset deling. Kræv stærk autentificering. Overvej at blokere eksterne gæster helt.

Start med at mærke de 5 kritiske datatyper. Lad være med at mærke “alt” fra dag 1. Det giver modstand og lav kvalitet.

Eksempel på Copilot readiness tjekliste med fokus på adgang, labels og logging

Fejl der koster mest, når I udruller Copilot

  1. I køber licenser før oprydning: Copilot bliver stoppet efter få dage, fordi nogen finder noget, de ikke burde kunne se. Se også jeres licensovervejelser i bloggen (vi har tidligere skrevet om licens- og omkostningsvinklen).
  2. I pilot’er med “hele firmaet”: pilot skal være en kontrolleret test, ikke et lotteri. Vælg 10–20 brugere med klart afgrænsede dataområder.
  3. I lader Teams være filarkiv for alt: Teams er fantastisk til samarbejde, men farligt som “én spand til alt”. Segmentér først.
  4. I glemmer ejerskab: et site uden aktiv ejer bliver hurtigt en oversharing-magnet.

FAQ: Microsoft 365 Copilot sikkerhed og oversharing

Er Microsoft 365 Copilot sikker at bruge?

Ja, hvis jeres adgangsrettigheder og datamærkning er på plads. Copilot følger jeres eksisterende rettigheder. Derfor er den største risiko typisk interne over-adgange (oversharing), ikke at Copilot “bryder ind”.

Hvad betyder oversharing i SharePoint i praksis?

At medarbejdere har adgang til flere sites, teams eller dokumentbiblioteker end deres rolle kræver. Tommelfingerregel: hvis I ikke kan forklare hvorfor en gruppe har adgang, skal adgangen recertificeres eller fjernes.

Kan vi begrænse Copilot til udvalgte SharePoint-sites?

I kan ikke “skrue Copilot fra” for enkelte sites som en simpel toggle på alle planer. Den praktiske vej er at styre adgang (hvem har rettigheder) og indholdets beskyttelse (Purview labels/kryptering). Start med at sikre de mest følsomme sites, før I udvider pilotten.

Skal vi bruge Microsoft Purview for at få Copilot data governance?

Hvis I vil håndhæve tydelige regler på dokumentniveau (fx “Fortrolig” med kryptering og delingsbegrænsning), er Purview det mest direkte værktøj i Microsoft 365. Uden labels ender I med at løse alt via mapper og manuelle processer.

Hvor starter vi med M365 sensitivity labels?

Start med 3 labels (Offentlig/Intern/Fortrolig) og 2–3 politikker, der reelt håndhæver noget for “Fortrolig”. Mål succes på to ting: (1) andelen af kritiske dokumenter, der er mærket korrekt, og (2) færre delinger til brede grupper.

Hvad er en realistisk Copilot readiness tjekliste for en SMB?

Minimum før bred udrulning: segmenterede sites, least privilege på kritiske områder, labels i drift for fortrolige data og en fast månedlig review af adgang/ejerskab. Hvis ét af de punkter mangler, så kør pilot og ret de største huller først.

Hvad gør vi, hvis vi allerede har rullet Copilot ud?

Frys udvidelsen (ikke nødvendigvis Copilot helt), og lav en hurtig risikoscreening af de 10 mest brugte Teams/sites. Luk brede adgange, etabler ejerskab og få “Fortrolig”-label på de vigtigste datatyper. Når de områder er under kontrol, kan I udvide igen.

Sådan kommer I i gang: 7 konkrete skridt

  1. Udpeg en dataejer pr. kritisk område (HR, finance, ledelse, salg) med ansvar for adgang.
  2. Lav en liste over jeres 20 vigtigste Teams/sites og notér formål, ejer og målgruppe.
  3. Fjern brede medlemmer fra de 5 mest følsomme områder og erstat med målrettede grupper.
  4. Segmentér: flyt HR/finance/ledelse ud af “fælles”-teams til egne sites/teams med stramt medlemskab.
  5. Opsæt 3 Sensitivity Labels i Purview og en håndhævet politik for “Fortrolig”.
  6. Kør en pilot med begrænset brugergruppe og mål: færre adgangsafvigelser, korrekt label på kritiske filer.
  7. Indfør månedlig recertificering af ejerskab og adgang (fast møde + kort rapport).

Vil I have hjælp til at få det gjort uden at drukne i detaljer, så tag fat i os. Vi kan kombinere oprydning, drift og compliance, så Copilot bliver et værktøj – ikke en intern lækagekanal.

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde