Jak v Microsoftu interně řešíme správu Microsoft 365 Copilot – Inside Track Blog

Governance v éře AI

Odemknutí nové generace nástrojů pro produktivitu

Microsoft 365 Copilot spojuje sílu velkých jazykových modelů (LLMs) s daty Vaší organizace a mění zadání od zaměstnanců v jedny z nejvýkonnějších nástrojů pro produktivitu – přímo v rámci běžné práce. Je součástí aplikací Microsoft 365, které Vaši lidé používají každý den – včetně Wordu, Excelu, PowerPointu, Outlooku, Teams a dalších – a poskytuje inteligentní asistenci v reálném čase.

Interní průzkumy na pracovišti v Microsoftu ukazují, že AI nástroje mají napříč klíčovými firemními oblastmi výrazný a měřitelný dopad:

Jak nastavit governance správně

AI přináší spoustu příležitostí a možná už ve Vaší organizaci běží implementace Microsoft 365 Copilot. Stejně důležité jako samotné nasazení je ale udělat to bezpečně.

Copilot dokáže během okamžiku projít celé datové prostředí Vaší organizace, takže starý přístup „bezpečnost díky tomu, že to nikdo nenajde“ už nefunguje. Potřebujete mít pod kontrolou, kudy data ve Vašem tenant tečou, aby Copilot přesně věděl, k čemu smí a nesmí přistupovat nebo co může zobrazit.

Využijte zkušenosti Microsoftu s Microsoft 365 Copilot

Microsoft jako první velká enterprise organizace nasadil Microsoft 365 Copilot a cestou nasbíral řadu praktických poznatků. Na jejich základě vznikl tento průvodce nasazením a adopcí, který můžete využít i ve Vaší firmě—podívejte se:

• Zobrazit kompletní průvodce nasazením a adopcí Microsoft 365 Copilot. 
• Zobrazit zkrácenou verzi průvodce pro vedení. 

Aby se správná „datová hygiena“ promítla i do workflow s podporou AI, Microsoft navrhl Copilot tak, aby respektoval sensitivity labels a data loss prevention (DLP) kontroly, které si organizace nastaví ve svém prostředí Microsoft Azure. Administrátoři tak mají jistotu, že ke správným datům mají přístup správní lidé i aplikace a že citlivé informace se neobjeví tam, kde nemají.

Tým Microsoft Digital, tedy interní IT organizace Microsoftu, proto připravil celofiremní governance strategii, která tento problém řeší. Během práce Microsoft získal cenné zkušenosti, které se budou hodit každé organizaci používající Copilot.

„Vstupujeme do éry, kdy AI posiluje lidské schopnosti v dosud nevídaném měřítku – a kvalita i důvěryhodnost našich dat rozhoduje o tom, jak kvalitní bude i tahle proměna. Promyšlené governance pomáhá vyvážit adopci a rizika tak, aby z toho firma skutečně těžila.“

Brian Fielder, vice president, Microsoft Digital

Tento průvodce popisuje, jak Microsoft postupoval při návrhu a zavedení governance strategie, která přináší zaměstnancům Microsoftu přínosy Copilot a zároveň minimalizuje rizika pro datové prostředí. Microsoft sdílí interní zkušenosti, aby se zákazníci mohli rychle rozběhnout a vyhnout se zbytečným chybám nebo nepříjemným překvapením.

Pokračujte ve čtení a zjistěte, jak Copilot ve Vaší organizaci nasadit bezpečně a efektivně – s opravdu pevně nastavenou governance.

„Vstupujeme do éry, kdy AI posiluje lidské schopnosti v dosud nevídaném měřítku – a kvalita i důvěryhodnost našich dat rozhoduje o tom, jak kvalitní bude i tahle proměna,“ říká Brian Fielder, vice president v Microsoft Digital. „Promyšlené governance pomáhá vyvážit adopci a rizika tak, aby z toho firma skutečně těžila. AI zrychluje možnosti – a dělá to s jasnými pravidly, jistotou a neochvějnou důvěrou.“

Principy pro efektivní správu AI

Při čtení tohoto průvodce se můžete opřít o následující doporučení:

Podpořte self-service. Umožněte zaměstnancům vytvářet nové workspaces napříč aplikacemi Microsoft 365. Když budete všechna data držet v jednom sjednoceném Microsoft 365 tenant, Vaše governance strategie se automaticky vztáhne i na nově vzniklé workspaces.

Omezte počet information protection labels. Snažte se udržet taxonomii maximálně na pěti hlavních labels a pěti podřízených labels. Zaměstnanci se pak nebudou ztrácet v příliš velkém množství možností.

Používejte srozumitelné labels, které říkají přesně to, co znamenají. Držte labels jednoduché a dobře čitelné. Například label „business-critical“ může naznačovat důvěrnost, jenže pro řadu lidí je „kritická“ prakticky každá jejich práce. Naopak u „highly confidential“ nebo „public“ bývá význam jasný na první pohled.

Označujte container labels pro groups a sites. Označte datové kontejnery kvůli segmentaci, aby Vaše data nebyla ve výchozím stavu zbytečně příliš otevřená. Zvažte nastavení výchozího container label na „Private: no guests“.

Odvozujte file labels z nadřazených kontejnerů. Klasifikujte soubory podle jejich parent containers. Konzistence posiluje zabezpečení na více úrovních a zajistí, že odchylky od výchozího nastavení budou výjimkou, ne standardem.

Školte zaměstnance. Proškolte zaměstnance v práci s citlivými daty a v jejich označování, aby se zvýšila přesnost a aby dokázali rozpoznat „signály“ pro správné labelování napříč Vaší productivity suite.

Zaměstnancům důvěřujte, ale jejich práci ověřujte. Důvěřujte zaměstnancům, že sensitivity labels aplikují správně, ale zároveň to průběžně kontrolujte. Ověřujte proti DLP standardům a využijte auto-labeling a quarantining přes Microsoft Purview automation.

Zaveďte lifecycle management a attestation. Nastavte důsledné lifecycle management policies, které budou vyžadovat attestation kontejnerů ze strany zaměstnanců – tím vytvoříte jasnou linii odpovědnosti.

Promyslete výchozí nastavení sdílení odkazů. Omezte oversharing už u zdroje: povolte company-shareable links (alespoň jako sekundární volbu) místo toho, abyste zaměstnance nutili přidávat kvůli přístupu velké skupiny. U vysoce citlivých položek omezte sdílení jen na zaměstnance podle principu need-to-know.

Získejte inventář pro detekci a reporting oversharingu. Využijte Microsoft Graph Data Connect extraction společně s Microsoft Purview, abyste oversharing zachytili a reportovali i zpětně. Jakmile najdete nesrovnalosti, zranitelnost omezte, nebo vyžadujte, aby ji odpovědná osoba sama napravila.

Zjistit více

Jak to udělali v Microsoftu

• Podívejte se, jak Microsoft zvládá vlnu agentů díky dobře nastavenému governance. V článku se dozvíte, jak Microsoft nastavil první pravidla a maticový model governance pro agenty.
• Projděte si IT playbook pro éru AI a zjistěte, jak se Microsoft posouvá k modelu Frontier Firm. Článek popisuje cestu IT organizace Microsoftu při zavádění tohoto nového provozního modelu.
• Přečtěte si pětikrokového průvodce pro IT lídry, kteří chtějí posunout AI maturity ve firmě. Tento materiál Vám pomůže naplánovat další kroky a využít AI maturity k tomu, abyste v enterprise prostředí znovu definovali, co je možné.
• Zjistěte, jak se Microsoft stává AI-first Frontier Firm. Text ukazuje, jak Microsoft přistupuje k myšlence „agentic future“.

Další doporučení pro Vás

• Zabezpečte své agenty ve velkém měřítku s doporučeními Microsoft Agent 365 pro jednotnou identitu, compliance a řízení napříč platformami.
• Seznamte se s Responsible AI policies a postupy, které Microsoft používá jako rámec pro využívání AI.

Kapitola 1: Umožněte self-service

Jak dát zaměstnancům bezpečný self-service

Zavedení principů self-service do správy labeling a governance se pro Microsoft ukázalo jako zásadní krok.

Self-service je v Microsoftu jedním ze základů, jak posilovat samostatnost zaměstnanců. Cílem je, aby si každý mohl nezávisle vytvářet potřebné zdroje bez toho, aby musel zapojovat IT. Taková míra volnosti ale stojí na tom, že tým Microsoft Digital pro governance dokáže včas rozpoznat a chránit cenná data. Díky tomu si zaměstnanci mohou sami zavádět a spravovat kontejnery, workspaces i obsah, který potřebují pro produktivní práci.

Kontejner nebo workspace je logická jednotka pro ukládání obsahu, která je navázaná na konkrétní okruh spolupracovníků. Typickými kontejnery jsou SharePoint sites, Viva Engage communities, Outlook groups a Teams channels.

Self-service je základem celé governance strategie Microsoftu. Zaměstnanci si mohou vytvářet workspaces i obsah napříč řadou nástrojů, které používají každý den – včetně SharePoint, OneDrive, Teams a Power Platform. Tato volnost podporuje kulturu inovací a agility: lidé mohou spolupracovat napříč týmy i regiony bez „IT gating“, tedy bez nutnosti, aby IT muselo průběžně odemykat a zajišťovat běžné činnosti.

Díky tomu, že Microsoft podporuje spolupráci přímo v daném prostředí, tenant struktura zaměstnance odrazuje od posílání příloh e-mailem nebo od práce v příliš širokých a otevřených workspaces. Jako IT tým Microsoft dobře ví, že odstranění „IT gating“ výrazně snižuje čas i úsilí, které musí IT investovat do toho, aby zaměstnanci zůstali produktivní.

Taková „data hygiene“ není důležitá jen kvůli Microsoft 365 Copilot. Pomáhá udržet bezpečnost dat a compliance všude tam, kde zaměstnanci přistupují k firemnímu obsahu a informacím. Protože ale Copilot stojí na přístupu k datům organizace, je kvalitní governance klíčová pro to, aby vše zůstalo v jasně vymezených mantinelech – zvlášť v prostředí, kde je self-service standardem.

Tady jsou hlavní pilíře asset governance v Microsoftu:

• Podpořte self-service vytváření
• Používejte lifecycle management
• Zajistěte vzdělávání uživatelů a zvyšování povědomí/školení
• Zaveďte monitoring a auditování
• Nasaďte insider risk management

• Vyžadujte klasifikaci pro kontejnery
• Provádějte skenování pomocí služeb Microsoft Purview Data Loss Prevention a Information Protection

• Omezte dosah
• Vynucujte zásady
• Používejte podmíněný přístup nebo multifaktorové ověřování
• Uplatněte služby Microsoft Purview Data Loss Prevention a Information Protection

• Spravujte vlastnictví skupin nebo webů
• Kontrolujte externí členství
• Vytvářejte reporty

Odpovědný self-service

Self-service vytváření kontejnerů přináší spoustu výhod, ale zároveň otevírá témata kolem governance a bezpečnosti obsahu – typicky nadměrné sdílení, zbytečné bujení prostředků a riziko úniku dat. Aby Microsoft tyto výzvy pokryl, tým Microsoft Digital governance nastavil principy pro self-service tak, aby vyvážil potřeby zaměstnanců i firmy.

Dáváme pravomoci, ale i odpovědnost

S pravomocemi jde ruku v ruce odpovědnost. Každý zaměstnanec na plný úvazek může vytvořit workspace, ale každých šest měsíců musí znovu potvrdit (re-attest), že je v souladu s požadavky governance. Současně potvrzuje, že daný prostředek stále potřebuje a aktivně ho spravuje. Je na něm, aby si řídil vlastní obsah a zajistil jeho správnou klasifikaci, označení (labeling) a zabezpečení. Odpovědný vlastník obsahu také rozhoduje o tom, jaký má workspace dosah a zda má smysl ho dál udržovat. IT tak odpadá dohadování, jestli je daný site stále užitečný a jestli se o něj někdo stará.

Dáváme pravomoci, ale s guardrails

Prostředky jsou ve výchozím stavu zabezpečené a přístup se rozšiřuje podle reálných potřeb zaměstnanců.

Důvěřujeme, ale také ověřujeme

Microsoft Information Protection (MIP) sensitivity labels a Purview DLP fungují jako guardrails pro governance, kterou vedou samotní zaměstnanci.

Když tým Microsoft Digital pracoval na zlepšení celkové governance posture ve firmě, vyplynulo z toho několik důležitých poznatků. Pokud zvažujete self-service vytváření kontejnerů, vyplatí se položit si pár otázek:

• Komu věříte, že může vytvářet kontejnery? V Microsoftu jsou plné self-service možnosti vyhrazené zaměstnancům na plný úvazek. Tato oprávnění se pak nastavují v Microsoft Entra ID – konkrétně tak, aby bylo jasné, kdo může vytvářet Microsoft 365 Groups. Tito uživatelé musí absolvovat relevantní školení a Microsoft je drží odpovědné za kontejnery, které vytvoří.
• Kde self-service pro zaměstnance dává smysl? Různé role budou self-service potřebovat v různých prostředích. Potřebujete ho řešit v SharePoint? Power Platform? Teams?
• Jaká máte pravidla pro lifecycle? Promyslete si policy a sady pravidel. Kdo je odpovědný? Jak lifecycle vypadá v praxi?
• Jaká máte pravidla pro pojmenování? Jasná taxonomie může uživatelům pomoci s orientací a zároveň podpořit pořádek napříč organizací. Zároveň je dobré si ujasnit, která jména jsou opravdu užitečná a která naopak spíš matou. V Microsoftu používají blocked word list, ale nepřidávají plošně prefixy ani suffixy ke všem názvům skupin nebo webů, aby tím zbytečně nezhoršovali uživatelskou zkušenost.

Jakmile si nastavíte míru autonomie a místa, kde ji chcete uplatnit, můžete začít s AI governance. Zjistěte, jak nastavit kontejnery pro self-service.

Hlavní doporučení

Využijte následující tipy vycházející ze zkušeností Microsoftu, jak ve Vaší organizaci nastavit self-service v oblasti Copilot governance:

• Začněte strategií a připravte si půdu dopředu. Ještě před adopcí si promyslete prostředí a architekturu tenantů, klíčové persony a typické scénáře použití.
• Počítejte s opatrností. IT týmy jsou přirozeně obezřetné a self-service může působit jako velký skok. Když budete vysvětlovat business value self-service vytváření kontejnerů, ukažte zároveň i bezpečnostní pojistky. Zvažte také rizika, pokud tento krok neuděláte – například že zaměstnanci začnou nevhodně používat existující weby nebo jiné postupy, které IT nepodporuje.
• Získejte podporu vedení. Postavte jasný business case a ujistěte vedení, že vyšší flexibilita automaticky neznamená vyšší zranitelnost.
• Zhodnoťte současný stav. Prověřte, v jaké kondici je Vaše data hygiene, a co je potřeba rozšířit tak, aby byla připravená i pro AI.

Zjistěte více

Jak to Microsoft udělal u sebe

• Přečtěte si, jak Microsoft posiluje data governance pomocí Purview Unified Catalog. Článek popisuje, jak Microsoft centralizoval data governance a ve velkém měřítku zlepšil dohledatelnost dat díky Purview Unified Catalog.
• Zjistěte, jak Microsoft zvládá vlnu AI agentů díky dobrým governance postupům. Text ukazuje, jak Microsoft nastavil pevné governance principy, aby bylo možné bezpečně podpořit rychlou adopci AI agentů napříč organizací.

Další doporučení pro Vás

• Získejte přehled o přípravě před nasazením Microsoft 365 Copilot. Tento průvodce shrnuje klíčové kroky, které mohou organizace udělat ještě před rolloutem, aby byl Microsoft 365 Copilot bezpečný a v souladu s požadavky na compliance.
• Seznamte se s Copilot Success Kit – rozcestníkem pro většinu materiálů k nasazení a adopci Copilot. Najdete zde centralizovanou sadu nástrojů, doporučení a best practices pro nasazení a zavádění Copilot do praxe.
• Další informace o Microsoft Purview Data Loss Prevention a Microsoft Purview Data Governance – klíčových nástrojích, které Microsoft využívá k ochraně citlivých informací a k řízení datových aktiv v celém jejich životním cyklu.

Kapitola 2: Nastavte container labels a dejte uživatelům jasné, dobře ohraničené výchozí nastavení

Jak vyvážit volnost a důvěru pomocí jednoduché a srozumitelné taxonomie štítků

Možnost vytvářet kontejnery samoobslužně je základ strategie governance, která stojí na potřebách zaměstnanců. Aby tahle volnost fungovala bezpečně, tým Microsoft Digital governance nastavil minimální ochrany, které platí pro všechny kontejnery – a ty jsou postavené na sensitivity labels. Microsoft 365 Copilot labels respektuje, takže když máte dobře nastavené štítkování, promítne se ochrana dat i do toho, jak zaměstnanci používají AI.

Základní návyky při štítkování

Zaměstnanci musí označit každý container nebo workspace, který vytvoří, pomocí Purview Information Protection (PIP) container labels. V Microsoftu je to dané politikou: Když to není označené, smaže se to. Container labels Microsoft používá k jasnému oddělení dat a k tomu, aby se na kontejnery podle citlivosti a účelu automaticky a konzistentně aplikovaly ochranné a governance politiky.

Microsoft labels jsou rozdělené do čtyř kategorií:

• Highly confidential. Nejkritičtější data. Zaměstnanci je mohou sdílet jen s konkrétně určenými příjemci.
• Confidential. Citlivá firemní data, která jsou klíčová pro dosažení cílů. Sdílení by mělo být omezené na princip „need-to-know“.
• General. Štítek „General“ zahrnuje data, která se v Microsoftu běžně používají a sdílejí – například osobní nastavení nebo poštovní směrovací čísla. Jsou interně viditelná napříč Microsoftem.
• Public. Veřejná data bez omezení, vhodná pro otevřené externí použití. Patří sem například open-source kód nebo finanční informace, které firma zveřejnila. Zaměstnanci je mohou sdílet volně.

Container labels přinášejí dvě zásadní věci:

• Za prvé zvyšují povědomí uživatelů o tom, jak s obsahem zacházet. Například u „highly confidential“ je jasné, že se o tom nemluví třeba v kavárně.
• Za druhé ukazují, jaká data do kterého containeru patří. Jinými slovy dávají zaměstnanci signál, že vysoce citlivé dokumenty nemá ukládat na „general“ site.

Tým Microsoft Digital governance labels předdefinuje a centrálně spravuje tak, aby byly sladěné s širšími úrovněmi citlivosti MIP používanými pro e-maily, soubory, schůzky i kontejnery. Jde o stejné čtyři kategorie: „highly confidential“, „confidential“, „general“ a „public“, i když poslední z nich Microsoft pro kontejnery nepoužívá.

Sladění labelů s policies a ochranami

Každý label, který Microsoft definoval, má vlastní sadu nastavení ochrany – včetně policies pro věci jako povolení hostů nebo otevřenost členství. Zároveň řídí i děděné file labeling, které Microsoft používá pro šifrování.

Klasifikace containerů v zásadě komunikuje čtyři věci:

• Úroveň soukromí: Label určuje, jestli je workspace interně široce dostupný, nebo jde o privátní prostor.
• Externí oprávnění: Povolení hostů Microsoft spravuje přes classification skupiny – díky tomu mohou mít vybraní partneři přístup do Teams, když je to potřeba.
• Pravidla sdílení: Microsoft váže klíčové governance policies na label daného containeru. Například: mohou zaměstnanci sdílet tento workspace mimo Microsoft? Je tato skupina omezená na konkrétní divizi nebo tým? Nebo je přístup jen pro konkrétní osoby? Právě label tato pravidla nastavuje.
• Conditional access: Microsoft to sice zatím nenasadil, ale navázání ověřování identity a zařízení na container labely přidává další vrstvu governance kontrol.

Po řadě testů a iterací se Microsoft dostal k aktuálnímu schématu, jak container sensitivity labels mapuje na MIP policies. Vaše organizace může zvolit jiné vazby mezi labely a information protection policies, ale tento obrázek dobře ukazuje, jak může vypadat zdravý governance ekosystém:

Proces postavený na odpovědnosti zaměstnanců

Proces s labels funguje takto: když zaměstnanci vytvoří nový container, mají na starosti výběr container label, který odpovídá citlivosti a účelu obsahu, který do něj chtějí ukládat a sdílet. Ve výchozím nastavení Microsoft nové containers uzamyká, takže k nim mají přístup jen owner a members. Uzamčené containers brání neautorizovanému nebo nechtěnému přístupu k obsahu.

Owner může container odemknout, pokud potřebuje sdílet obsah s širším publikem v rámci organizace nebo s externími partnery. Owner může také změnit container label, pokud se v čase změní citlivost nebo účel obsahu.

V Microsoftu tento postup kombinuje potřebnou flexibilitu s ochranou a zároveň dává zaměstnancům do rukou efektivní self-service.

Hlavní poznatky

Tady jsou klíčové poznatky, které Microsoft získal z vlastních postupů při označování dat a které můžete využít i ve Vaší organizaci:

• Volte srozumitelné labely. Labely budou v praxi nastavovat Vaši zaměstnanci, proto musí být na první pohled jasné. Například „highly confidential“ je jednoznačné, zatímco „business-critical“ si může z pohledu citlivosti každý vyložit jinak.
• Využijte existující výchozí nastavení. Ujasněte si bezpečnostní požadavky a regulatorní compliance, které jsou specifické pro Vaši organizaci, a opřete se o vestavěné governance kontroly dostupné v nástrojích Microsoftu.
• Držte počet labelů v rámci 5×5. Udržte schéma co nejjednodušší, aby se v něm zaměstnanci neztráceli. Doporučení je nepřekročit pět hlavních labelů, z nichž každý má maximálně pět sub-labelů – a čím méně, tím lépe.
• Piloty mají velkou hodnotu. Začněte se sensitivity labeling v malé skupině interních „championů“, ověřte si nastavení v praxi a teprve potom tyto funkce rozšiřte spolu s adopční a vzdělávací iniciativou.

Zjistěte více

Jak to udělal Microsoft

• Podívejte se, jak Microsoft vytváří self-service sensitivity labels v Microsoft 365. Článek popisuje, jak Microsoft navrhl a nasadil self‑service sensitivity labels tak, aby dal zaměstnancům větší samostatnost a zároveň snížil administrativní zátěž.
• Zjistěte, jak Microsoft používá sensitivity labels pro vyšší zabezpečení. Text ukazuje, jak Microsoft kombinuje sensitivity labels s vestavěnými guardrails, aby posílil bezpečnost bez negativního dopadu na produktivitu zaměstnanců.

Další doporučení pro Vás

• Přečtěte si, jak začít se sensitivity labels. Dokumentace představuje základní koncepty, kroky nastavení a možnosti sensitivity labels v Microsoft Purview.
• Podívejte se, jak sensitivity labels aplikovat na soubory. Praktický návod, jak používat sensitivity labels u souborů a e‑mailů napříč aplikacemi Microsoft 365.

Kapitola 3: Odvozujte štítky souborů z nadřazených kontejnerů

Výchozí štítkování souborů podle štítků kontejnerů

Microsoft pomáhá týmům držet jednotný přístup k tomu, jak vytvářejí a ukládají obsah – tím, že výchozí štítkování souborů vychází ze štítku kontejneru. Pro zaměstnance to vypadá takto:

1. SharePoint a další kontejnery podporují výchozí štítky knihoven. Microsoft je nastavuje tak, aby odpovídaly štítku kontejneru – pomocí mapování definovaného v Purview.
2. Tam, kde je potřeba nastavit výchozí štítky knihoven u nástrojů bez kontejnerových štítků (například OneDrive for Business), Microsoft používá vlastní skripty. U OneDrive je přístup „secure by default“ – typicky s výchozím štítkem jako „Confidential\Internal-only“. To znamená, že jakýkoli typ souboru, který podporuje ochranu, zůstane chráněný – i když se omylem ponechá na zařízení, odešle se mimo firmu e‑mailem nebo se záměrně nasdílí externě. Dokud se štítek nesníží, výchozí ochranu externí subjekty nedokážou dešifrovat.
3. Nové položky bez štítku standardně zdědí štítek kontejneru, ve kterém jsou uložené. Zaměstnancům to pomáhá použít správný štítek a vyhnout se chybné klasifikaci. Například když zaměstnanec vytvoří nový dokument na SharePoint webu se štítkem „confidential“, dokument tento štítek dostane automaticky.
4. Zaměstnanci mohou štítek položky změnit, pokud citlivost nebo účel obsahu neodpovídá štítku kontejneru. Funguje to ale jen jedním směrem: do kontejneru s nižší úrovní důvěrnosti nelze ukládat soubory se štítky vyšší důvěrnosti. Například soubor v kontejneru „highly confidential“ mohou snížit na „general“, pokud nepotřebuje zvýšenou ochranu, ale soubor v kontejneru „general“ nemohou povýšit na nic nad tuto úroveň. SharePoint zároveň upozorní vlastníky webu, když detekuje nesoulad štítků – například když je štítek souboru citlivější než štítek jeho kontejneru.

Následující graf ukazuje, jak výchozí štítkování souborů ovlivňují štítky kontejnerů a další omezení sdílení:

Když nastavíte, aby štítky souborů standardně odpovídaly štítkům kontejnerů, zajistíte, že každá položka i každý prostor pro spolupráci bude v souladu s kontextem ve Vaší organizaci i s pravidly ochrany informací. Copilot pak tyto štítky a navázané zásady ochrany informací automaticky respektuje.

Klíčová doporučení

Níže najdete několik praktických tipů pro nastavení vazeb mezi kontejnery a soubory – vycházejí z toho, co si Microsoft ověřil v praxi:

• Vysvětlete vazbu mezi soubory a kontejnery. Zaměstnanci často automaticky nepochopí, jak soubory souvisejí se svými kontejnery. Při zavádění strategie pro labely proto počítejte i se školením k tomu, jak funguje odvozování (derivation) mezi kontejnery a soubory.
• Pomáhejte uživatelům opravou chyb. Řada zaměstnanců se nejlépe učí praxí, ne z instrukcí. Využijte automatické zprávy, které korigují hraniční situace – například když se někdo pokusí zpřístupnit soubor z důvěrného kontejneru pro všechny.
• Mějte jasno v tom, jaké používáte výchozí labely. Zaměstnanci ve většině případů ponechají výchozí nastavení, proto si ověřte, že defaulty odpovídají Vašim potřebám a firemním pravidlům.
• Zdůrazňujte důležitost file labels. Soubor lze přesunout nebo stáhnout mimo původní kontejner, a jediný způsob, jak informace dál chránit, je zajistit, aby jeho label zůstal „odolný“ a přenositelný. Tuto odolnost nastavte přímo v konfiguraci object labels.
• Slaďte výchozí labely pro kontejnery i soubory. Kde to jde, nastavte od začátku stejné defaulty pro kontejnery i soubory. Pokud startujete s rozdílnými labely nebo sadami politik, bude pozdější sjednocení změn výrazně složitější.

Zjistěte víc

Jak to udělal Microsoft

• Podívejte se, jak Microsoft používá sensitivity labeling jako další vrstvu zabezpečení pro schůzky v Microsoft Teams Premium. Článek popisuje, jak Microsoft aplikuje sensitivity labels na obsah v Teams Premium, aby chránil citlivou spolupráci.

Další doporučení pro Vás

• Přečtěte si víc o nastavení výchozích sensitivity labels v knihovnách SharePointu. Tento návod vysvětluje, jak výchozí sensitivity labels v knihovnách SharePointu pomáhají zajistit konzistentní ochranu uloženého obsahu.

Kapitola 4: Školení zaměstnanců

Podpora zaměstnanců: společná práce IT a uživatelů

Školení zaměstnanců v tom, jak pracovat s citlivými daty a jak je správně označovat, zůstává na cestě ke governance jedním z klíčových kroků.

Dobře nastavená strategie pro labeling je jen částí celé skládačky. Aby se ji podařilo prosadit v praxi, je stejně důležitá firemní kultura jako samotná pravidla.

V Microsoftu je vzdělávání a rozvoj zaměstnanců způsob, jak dostat sensitivity labeling z čistě administrativní roviny do každodenní práce. Pomáhá to zvyšovat přesnost používání labelů a zároveň zajistit, aby zaměstnanci rozpoznali „signály“ pro označování napříč celou produktivitní sadou.

Každý nový zaměstnanec Microsoftu absolvuje školení Standards of Business Conduct a bezpečnostní školení. V rámci tohoto procesu Microsoft vytvořil interní SharePoint zdroj, který zaměstnance učí, jaké mají povinnosti v oblasti labeling a dodržování governance pravidel. Vysvětluje logiku a principy, na kterých jsou pravidla postavená, nabízí zjednodušený přehled struktury sensitivity labelů a přidává praktické, aplikacemi specifické návody pro self-service labeling.

Efektivní vzdělávací materiály

Při tvorbě vzdělávacích materiálů pro zaměstnance se můžete inspirovat obsahem Microsoftu a zahrnout do něj tyto prvky:

1. Přehled

Zaměstnanci budou Vaše governance pravidla dodržovat mnohem snáz, když pochopí, co přesně dělají a proč jsou důležitá. Přehled od Microsoftu vysvětluje, proč je sensitivity labeling klíčový pro security a compliance, a zároveň zdůrazňuje roli zaměstnanců při jejich udržování.

2. Rychlá referenční příručka

Vizuální pomůcka pomůže zaměstnancům pochopit, jak spolu jednotlivé labels souvisí a k čemu slouží. Microsoft používá přehledný flowchart, který ukazuje základní strukturu labeling taxonomy, aniž by zaměstnance zahltil detaily. Když ho umístíte hned na začátek školení, získají rychle kontext ještě předtím, než se ponoří do podrobností.

3. Technické vysvětlení

Vzdělávací materiály Microsoftu obsahují část, která popisuje, jak labeling funguje v rámci data estate. Následuje detailní vysvětlení, jak jednotlivé labels nebo classifications pracují s obsahem uživatelů. Díky této části bude pro zaměstnance labeling srozumitelnější a „hmatatelnější“.

4. Doporučení podle aplikací

V této fázi dokumentace Microsoft postupně pokrývá nejčastější scénáře sensitivity labeling podle aplikací: soubory v Microsoft 365, Teams, Power BI a PDF, a také AIP a další typy souborů mimo Microsoft 365. Tento postup „aplikaci po aplikaci“ pomůže zaměstnancům rychle najít své nejběžnější situace a naučit se, jak v nich postupovat.

Kromě toho, že jako IT tým nastavíte pevné základy, je pro dobrou governance nejdůležitější získat pro ni i zaměstnance. Kvalitní a dobře zpracované vzdělávání je jeden z nejsilnějších nástrojů, jak ve firmě dlouhodobě budovat kulturu data security.

Klíčová zjištění

Tady jsou hlavní poznatky, které si Microsoft odnesl z interního školení zaměstnanců k řízení Copilot governance. Mohou Vám posloužit jako vodítko při přípravě vlastních školení.

• Začněte se vzděláváním hned od prvního dne. Lidé budou dělat jen to, co znají – proto se ujistěte, že zaměstnanci rozumí Vašim pravidlům a vědí, jak je v praxi dodržovat. Vzdělávání pevně zapracujte do strategie pro labeling a governance, ideálně už v rámci onboardingu.
• Nepodceňujte vzdělávání přímo v aplikacích. Labeling je skvělá příležitost, jak zaměstnancům průběžně připomínat jejich odpovědnosti. V in-app prostředí držte popisy labelů krátké a konkrétní.
• Dejte lidem snadný „nástup“ k dalším informacím. Nikdo si nepamatuje všechno. Do popisů labelů přidejte odkazy na relevantní materiály, aby si zájemci mohli znalosti rychle doplnit a upevnit.
• Zapojte se aktivně a podle situace. Pokud dojde k incidentům nebo některé týmy zaostávají, slaďte se s příslušnými manažery a znalosti zaměstnanců cíleně obnovte.

Zjistěte více

Jak to udělal Microsoft

• Podívejte se, jak Microsoft nasazuje Microsoft 365 Copilot s pomocí – ano, hádáte správně – Copilot. Článek popisuje, jak Microsoft využil samotný Copilot k plánování, nasazení a škálování Microsoft 365 Copilot napříč organizací.
• Zjistěte, jak Microsoft připravuje zaměstnance na budoucnost práce pomocí Agent Launchpad. Tento příspěvek představuje nejnovější školicí program, který pomáhá lidem vytěžit maximum z agentic AI.

Další doporučení pro Vás

• Přečtěte si více o sensitivity labels. Obsah na Microsoft Learn nabízí přehled sensitivity labels včetně toho, jak pomáhají klasifikovat, chránit a řídit citlivá data v rámci Microsoft 365.

Kapitola 5: Důvěřujte zaměstnancům, ale ověřujte jejich práci

Self-service s mantinely: jak technologiemi jistit práci zaměstnanců

Důvěřovat zaměstnancům a zároveň automatizovaně ověřovat, že jejich kroky jsou bezpečné, je zásadní.

Díky osvětě a přehlednému rozhraní pro označování věříme, že zaměstnanci správně používají sensitivity labels. Současně ale jejich rozhodnutí kontrolujeme. Právě tak zachytíme i to 1 % hraničních případů, kde by mohlo dojít k problému.

Děláme to tak, že soubory průběžně porovnáváme s našimi standardy pro data-loss prevention (DLP) a podle potřeby využíváme auto-labeling a quarantining. Rychlé dotažení „otevřených konců“ eliminuje položky, které by Microsoft 365 Copilot mohl během své práce nechtěně zahrnout. Další způsob ověření je požadavek na zdůvodnění ve chvíli, kdy zaměstnanec sníží úroveň security label.

Data-loss prevention (DLP) je sada technologií a postupů postavená kolem Microsoft Purview, která pomáhá odhalovat, monitorovat a snižovat riziko nevhodného sdílení nebo přístupu k citlivým datům.

V Microsoft Digital Microsoft používá Purview DLP policies k definování pravidel a akcí pro detekci a ochranu citlivých dat napříč Microsoft 365, SharePoint, OneDrive a Teams.

DLP policies pokrývají rizikové typy dat a scénáře, které vyžadují ochranu. Patří sem jakékoli informace, které by mohly vést k nevhodnému přístupu k firemním datům nebo duševnímu vlastnictví:

• Přístupové údaje, například klíče nebo tokeny
• Osobní identifikační údaje
• Finanční data
• Neveřejný zdrojový kód
• Přihlašovací údaje

V Purview jsou k dispozici reporty a dashboardy, které týmu pomáhají sledovat a vyhodnocovat aktivitu nad obsahem i dodržování pravidel napříč organizací. Zároveň dávají přehled o objemu, umístění a využití citlivých dat a také o incidentech a upozorněních, která mohou signalizovat možné úniky dat nebo porušení pravidel.

Například zaměstnanec může něco označit jako „General“, ale dokument přitom obsahuje přihlašovací údaje nebo jiné citlivé identifikační informace koncového uživatele (EUII). V takových případech Purview automaticky zablokuje přístup k souboru pro kohokoli kromě vlastníka, případně znovu aplikuje vhodnější label.

Automatizace a eskalace

Microsoft má Purview nastavený tak, aby tyto typy problémů automaticky napravil, nebo je v případě složitějších situací eskaloval na tým Microsoft Digital governance, který zajistí dořešení. Procesy DLP remediation a eskalace obvykle zapojují různé skupiny podle závažnosti a dopadu incidentu nebo alertu:

• Vlastníci obsahu
• Content champions
• Tým MIP
• Právní tým
• Security

Microsoft používá Microsoft 365 Purview k tomu, aby DLP remediation zvládal ve velkém měřítku.

1. DLP systémy sbírají telemetrii z Microsoft 365 activity management API. Backendové zpracování data vyčistí, připraví z nich relevantní insighty a zpřístupní je přes Power BI dashboardy.
2. Informace o souborech se označí a agregují na úroveň jednotlivých souborů a následně se přiřadí poslednímu editorovi, aby provedl nápravu.
3. Pokud uživatelé nereagují dostatečně rychle, DLP tým vymezí rizikové weby a dá do karantény soubory se zranitelnostmi.
4. Veškeré aktivity—včetně sdílení, labelování a změn labelů—se zapisují do unified audit logu a také do Sentinel, aby bylo možné průběžně sledovat možná rizika.

Dobrá zpráva je, že všechny tyto funkce jsou v Microsoft 365 a Purview dostupné out of the box. Jakmile máte nastavenou strategii labelování a příslušné policies, jde už hlavně o doplnění guardrails do self-service prostředí. Když ochranu informací zautomatizujete (například karanténou obsahu nebo úpravou labelu na odpovídající úroveň), zabráníte tomu, aby Copilot zpřístupňoval citlivé informace tam, kde nemají být.

Hlavní poznatky

Z trust a verification procesu si Microsoft odnesl několik praktických poznatků, které můžete využít i ve Vašem prostředí:

• Promyslete si klíčové eskalační kontakty. Když je potřeba zásah člověka, je zásadní mít okamžitě k dispozici správné stakeholdery. Sestavte si seznam a zapracujte ho přímo do procesu.
• Počítejte s limity DLP. Purview DLP nabízí silné možnosti, ale stále stojí na automatizaci – a ta může přehlédnout věci, které člověk rozpozná. DLP například nemusí znát interní kódové označení produktu a při automatickém ověření ho nezachytí.
• Identifikujte a spravujte výjimky. V IT existuje jen málo absolutních pravidel, takže výjimky budete potřebovat vždy. Například lidé z financí často musí mít v pracovních dokumentech hesla nebo čísla platebních karet, proto je Microsoft po dohodě s daným týmem vyjímá z dohledu Purview DLP. V Microsoftu se k tomu používají exemption groups, které vyjímají vybrané zaměstnance.
• Zapojte odborníky. Právní oddělení, HR a security budou v tomto procesu Vašimi klíčovými partnery. Zapojte je včas, aby Vám pomohli doplnit rizikové faktory a slabá místa.

Zjistěte víc

Jak to udělal Microsoft

• Podívejte se, jak Microsoft umožňuje zaměstnancům využívat generativní AI a zároveň udržet firmu v bezpečí. Tento příběh ukazuje, jak zaměstnanci používají nástroje generativní AI v praxi a přitom zachovávají silné řízení bezpečnosti, compliance a governance.
• Zjistěte, jak Microsoft využívá Purview Unified Catalog pro data governance. Článek popisuje, jak Microsoft s pomocí Purview Unified Catalog centralizuje data governance a zvyšuje přehled, důvěryhodnost a transparentnost datových assetů.

Další doporučení pro Vás

• Zjistěte, jak Vám Microsoft Purview Data Loss prevention může pomoct automatizovat nápravu. Tento materiál vysvětluje, jak Microsoft Purview DLP pomáhá organizacím identifikovat, sledovat a automaticky napravovat rizikové aktivity nad daty.
• Prozkoumejte, jak Microsoft Sentinel poskytuje cloud-native security a správu událostí. Přehled vysvětluje, jak Microsoft Sentinel zajišťuje security a event management, aby bylo možné ve velkém měřítku detekovat hrozby, vyšetřovat je a reagovat na ně.

Kapitola 6: Zaveďte lifecycle management a attestation

Důvěra i odpovědnost: jak pomocí attestation udržujeme pořádek v datech

Microsoft vsadil na důsledné zásady pro lifecycle management a na attestation ze strany zaměstnanců, aby měl celý životní cyklus obsahu pod kontrolou.

Attestation úzce souvisí se self-service. Zjednodušeně: zaměstnanci si mohou vytvářet to, co potřebují, ale zároveň nesou odpovědnost za průběžnou správu. Právě tahle navázaná odpovědnost pak zajišťuje, že Copilot pracuje jen s čistými a relevantními daty.

Na podporu tohoto přístupu nabízí SharePoint v rámci SharePoint Advanced Management jak activity‑based, tak non‑activity‑based attestations. Organizace tak mají flexibilní možnosti, jak ověřovat, že jejich kontejnery jsou správně udržované. Microsoft Entra navíc poskytuje inactive group expiration policy, která vyžaduje obnovení každé neaktivní Microsoft 365 Group (například team, group-connected site nebo Outlook group).

Microsoft se řídí principem data minimization. V praxi to znamená, že v úložištích má zůstávat jen obsah, který je skutečně potřebný a relevantní pro provoz a cíle firmy. Data minimization snižuje riziko nadměrného sdílení obsahu, o který se nikdo nestará, omezuje nekontrolované bobtnání dat, pomáhá předcházet únikům a zvyšuje kvalitu i použitelnost.

Aby tento princip fungoval, Microsoft vyžaduje attestation pro každý existující kontejner. Zároveň maže informace, které nemají jasného vlastníka z řad zaměstnanců na plný úvazek, nebo už jsou zastaralé či nerelevantní.

Attestation je proces ověření, že kontejner existuje, má jasného vlastníka a účel, a že splňuje pravidla pro správu obsahu a bezpečnostní politiky.

Microsoft vyžaduje attestation od zaměstnance na plný úvazek pro všechny sdílené workspaces každých šest měsíců. Cílem je potvrdit několik klíčových věcí u daných kontejnerů:

• Je správně označený (labeled).
• Uživatelé mají reálný důvod, aby dál existoval.
• Seznam lidí s přístupem je správný a opravdu potřebný.
• Možnosti sdílení jsou nastavené přiměřeně – buď restriktivně, nebo naopak otevřeně tam, kde to dává smysl.
• Splňuje firemní retention guidelines.

Pokud kontejner nebo položka nemá attestation, Microsoft ji považuje za „orphaned“ nebo opuštěnou a může být smazána. Smazané položky se ale archivují po delší dobu, pro případ, že je zaměstnanci později budou potřebovat.

Správa výjimek

Pokud se na kontejner vztahuje retention nebo hold kvůli požadavkům právního týmu, má to přednost před jakýmkoli mazáním. Obecně platí, že kontejnery, za které odpovídá právní tým, obvykle nepodléhají opakované re-attestation, protože jejich životní cyklus se řídí detailněji podle Purview retention policies.

Každá organizace si nakonec musí nastavit, co jí dává největší smysl. Když tyto principy zavedete, pomůže Vám to udržet pořádek v datech napříč firmou – a tím omezit i riziko, že Copilot bude mít přístup k příliš širokému množství obsahu.

Klíčová doporučení

Níže najdete několik doporučení vycházejících ze zkušeností Microsoftu se správou životního cyklu Microsoft 365 Copilot v interním prostředí.

• Zvolte smysluplný interval attestation. Interval attestation by měl být dostatečně krátký, aby se minimalizovalo riziko „zapomenutí“, a zároveň dostatečně dlouhý, aby zbytečně nezatěžoval zaměstnance. Vyhodnoťte chování a zvyklosti Vašich lidí a podle toho nastavte, co dává největší smysl.
• Komunikace je zásadní. Ujistěte se, že požadavky na attestation pro zaměstnance obsahují jasný cíl (proč to děláte) i jednoduché instrukce (jak postupovat). Zlepší to ochotu spolupracovat a celý proces bude plynulejší.
• Reakci na non-compliance nastavte podle závažnosti. Závažnost non-compliance se bude lišit podle typu souborů a kontejnerů. Někde si můžete dovolit benevolentnější přístup, jinde je na místě přísnější režim. Definujte si strategii, podle které rozhodnete, co spadá do které kategorie.
• Počítejte s rozumnými možnostmi nápravy a obnovy. Promyslete si intervaly pro nápravu a obnovu po vynechání attestation. Budete hledat rovnováhu mezi citlivostí položek, kapacitou zaměstnanců a náklady infrastruktury na delší archivaci položek, které mají zůstat obnovitelné.

Zjistěte více

Jak to udělal Microsoft

• Podívejte se na průvodce nasazením a podporou adopce Microsoft 365 pro vedení firmy. Tento materiál pro executive publikum popisuje, jak Microsoft nasadil Microsoft 365 Copilot a jak podpořil jeho adopci napříč organizací.

Další doporučení pro Vás

• Zjistěte, jak nastavit expiration policy pro Microsoft 365 groups. Dočtete se, jak expiration policies pomáhají řídit životní cyklus Microsoft 365 groups.
• Seznamte se se správou site lifecycle policies. Dokumentace popisuje, jak řídit SharePoint site lifecycle policies pro tvorbu webů, retenci a mazání.

Kapitola 7: Povolte company-shareable links

Plynulá a bezpečná spolupráce: rozšíření přístupu pomocí company-shareable links

Microsoft zjišťuje, že nejúčinnější způsob, jak omezit oversharing, je řešit ho přímo u zdroje.

V Microsoft Digital si uvědomují, že sdílení obsahu je pro spolupráci a produktivitu zásadní. Zaměstnanci potřebují sdílet materiály jak interně, tak i směrem ven. Zároveň to ale zvyšuje riziko oversharingu – tedy situací, kdy se obsah dostane k více lidem nebo na delší dobu, než je nutné. Často to také znamená, že byl obsah nasdílený bez odpovídající ochrany nebo klasifikace.

V praxi zaměstnanci často potřebují sdílet obsah mimo jeho „kontejner“. Typicky jde třeba o sdílení konkrétního souboru mimo seznam osob u daného prostoru, aby šlo spolupracovat přímo nad jedním souborem bez vytváření kopií. V jiných případech je potřeba poslat soubor e-mailem jako přílohu.

Použití company-shareable links

Microsoft omezuje oversharing už u zdroje tím, že zaměstnancům umožňuje sdílet přímo s konkrétními uživateli nebo skupinami, případně používat company-shareable links (CSLs) pro všechny SharePoint sites a položky (s výjimkou těch, které jsou označené jako „highly confidential“).

CSL je typ odkazu, který umožní přístup k obsahu komukoli v rámci organizace, kdo odkaz obdrží. CSLs jsou praktické a snadno použitelné a podporují kulturu otevřenosti a transparentnosti.

Před zavedením CSLs byli zaměstnanci často nuceni sdílet obsah s velkými security groups – jednoduše proto, že nevěděli, které skupiny zahrnují všechny potřebné osoby, a ruční přidávání jednotlivých uživatelů bylo příliš zdlouhavé. Takové chování vede k oversharingu, protože kdokoli s přístupem může na obsah narazit přes Microsoft Search nebo třeba díky odpovědi z Copilot. V jakémkoli scénáři vyhledávání v Microsoft 365 se výsledky „security-trimují“, takže je zásadní, aby uživatelé neměli přímý přístup k věcem, které pro svou práci nepotřebují.

I když si zaměstnanci mohou company-shareable link v rámci firmy přeposílat, odkaz není dohledatelný v Microsoft Search ani v Copilot. Přístup mají předem udělený jen ti, kteří odkaz dostali přímo (například e-mailem nebo v chatu). Může to znít paradoxně, že CSL je bezpečnější, ale ve výsledku odstraňuje potřebu trvalého přístupu k obsahu a přináší lepší ochranu.

Microsoft zároveň umožňuje vlastníkům obsahu CSLs upravit nebo zneplatnit, pokud se změní citlivost nebo účel, případně když už sdílení není potřeba. Vlastník obsahu může také nastavit datum expirace nebo heslo k odkazu, aby zvýšil bezpečnost a kontrolu.

Upozornění: company-shareable links už nejsou výchozí volbou, ale zůstávají dostupné jako možnost sdílení – z důvodů popsaných výše.

Dodatečná ochrana pro vysoce důvěrné položky

Governance tým v Microsoft Digital vyhodnotil, že CSLs mají být ve výchozím stavu zapnuté pro všechny kontejnery a položky označené jako „public“, „general“ nebo „confidential“. Zaměstnanci tak mohou sdílet obsah s kolegy bez nutnosti nastavovat individuální oprávnění nebo řešit žádosti o přístup.

U některých typů obsahu ale sdílení přes company-shareable link nedává smysl a nemělo by být vůbec možné. Riziko vzniká ve chvíli, kdy někdo odkaz zkopíruje na veřejněji dostupné místo – třeba do široce sdíleného dokumentu nebo komunity. Kde přesně tu hranici nastavíte, je na Vaší organizaci. Microsoft se rozhodl CSLs vypnout pro všechny kontejnery a položky označené jako „highly confidential“.

V Microsoftu vysoce důvěrné položky vyžadují přístup „need-to-know“ jen pro konkrétní osoby. U těchto souborů zaměstnanci používají odkazy určené pro konkrétní lidi, takže přístup získají pouze ti, které autor nebo vlastník obsahu výslovně uvede. V takových situacích navíc stejně nedává smysl používat velké security groups.

Microsoft zároveň chce směřovat širší sdílení do SharePointu, a proto použití CSLs na OneDrive omezuje tím, že na CSLs vytvořené v OneDrive automaticky aplikuje zásady expirace.

Tyto zásady vedou zaměstnance k tomu, aby si před sdílením promysleli, kdo skutečně potřebuje přístup, a aby udělali vědomé rozhodnutí. V praxi fungují jako další „brána“ nebo připomínka, která pomáhá udržet bezpečnostní disciplínu během sdílení.

Microsoft Digital nastavil zásady podle konkrétních potřeb firmy, ale může to posloužit jako dobrý základ pro ostatní organizace při tvorbě CSL strategie. Když si jasně určíte, co má být sdílené a jakým způsobem, pomůže Vám to udržet silnou ochranu informací a zároveň zachovat dostatečnou flexibilitu pro spolupráci a produktivitu.

Hlavní poznatky

Tady jsou klíčové zkušenosti, které si Microsoft odnesl ze strategické práce na CSL a které můžete využít i ve Vaší organizaci:

• Nastavte prahové hodnoty pro company-shareable links a specific-people links. CSL policy slaďte se sensitivity labels tak, aby odpovídaly bezpečnostním požadavkům Vaší organizace. Nad určitou hranicí dává smysl vyžadovat odkazy jen pro konkrétní osoby.
• Zařaďte vzdělávání přímo do procesu. Zaměstnanci budou potřebovat čas, aby si na tento model zvykli. Připravte komunikační a vzdělávací materiály včas a nastavte labeling interface tak, aby uživatelům zobrazoval informace o dopadech sdílení u jednotlivých labels.
• Nastavte realistická očekávání u bezpečnostních týmů. Z pohledu bezpečnosti mohou CSL působit proti intuici. Bezpečnostní specialisté z nich mohou mít obavy, protože je zaměstnanci mohou interně sdílet s kýmkoli. Zdůrazněte, že CSL jsou bezpečnější než velké security groups, které by jinak pro zaměstnance často byly „výchozí“ volbou. A na rozdíl od security groups se nebudou zobrazovat v Microsoft Search.
• Stavte datovou hygienu na dobrých výchozích nastaveních. Většina lidí zvolí nejjednodušší cestu, proto ať je ta nejjednodušší zároveň bezpečná. Uživatelé obvykle nechávají výchozí nastavení beze změny. Pokud budou CSL výchozí volbou, právě tohle chování tím u zaměstnanců podpoříte.

Zjistěte více

Jak to udělal Microsoft

• Podívejte se na průvodce nasazením Microsoft 365 Copilot. Průvodce popisuje přístup Microsoftu k nasazení Microsoft 365 Copilot – od technické připravenosti přes adopci až po měření přínosů.

Další doporučení pro Vás

• Zjistěte, jak company-shareable links fungují v prostředí Microsoft 365. Tento obsah na Microsoft Learn vysvětluje, jak sdílecí odkazy pro celou organizaci ovlivňují přístup, zabezpečení a spolupráci.

Kapitola 8: Export inventáře pro odhalení a reportování nadměrného sdílení

Náprava chyb při nadměrném sdílení: reportování souborů a webů se širokým přístupem pomocí Microsoft Graph Data Connect

Když se nadměrné sdílení přece jen objeví, je důležité mít nastavené mechanismy, které ho zachytí.

I přes maximální snahu governance týmu Microsoft Digital o omezení nadměrného sdílení už u zdroje k němu může dojít. V určité míře je to zkrátka nevyhnutelné.

Organizace tvoří lidé, a proto budou vždy náchylné k lidské chybě. Pokud se nadměrné sdílení obsahu nehlídá, může mít pro organizaci negativní dopady – od úniků dat přes porušení compliance až po poškození reputace. Zároveň to zaměstnancům zpřístupní přes Copilot obsah, ke kterému by se neměli dostat.

Pro detekci a omezení nadměrného sdílení obsahu Microsoft používá Microsoft Graph Data Connect, aby reportoval každý soubor nebo web se širokým přístupem, který má citlivější labely. Díky tomu lze bezpečně získávat a analyzovat data z Microsoft 365, SharePointu, OneDrivu a Teams – a to přes Azure Data Factory, Azure Synapse Analytics nebo Azure Machine Learning. Následně Microsoft tyto datasety propojuje ve svém data estate pomocí Azure Synapse Spark a podle interních business pravidel sleduje, kolik SharePoint webů a položek je aktuálně sdílených příliš široce.

Jednou z hlavních výhod Microsoft Graph Data Connect je, že potřebné informace zpřístupňuje napříč těmito technologiemi bezpečně a ve škálovatelném režimu, přičemž kontrolu drží tenant admins.

Počítejte také s tím, že vždy budou existovat situace, kdy Microsoft pro limity sdílení nastaví výjimky. Pravidla pro tyto výjimky jsou definovaná v rámci interních směrnic Enterprise Governance, Risk, and Compliance.

Reporting pro jasnou odpovědnost

Datový tým v tenantovi Microsoftu používá Microsoft Graph Data Connect k vytváření reportů o každém souboru nebo webu v tenantovi, který má příliš široce nastavený přístup – například CSL nebo odkaz, který lze sdílet s kýmkoli. Současně hlídá i položky označené citlivým štítkem, jako je „confidential“ nebo „highly confidential“.

Tyto reporty přinášejí přehled o vlastnících obsahu, příjemcích, aktivitě a také o stavu ochrany obsahu a compliance. Zároveň pomáhají odhalit a správně prioritizovat potenciální případy nadměrného sdílení.

V Microsoftu jsou tyto výstupy užitečné pro několik skupin stakeholderů:

• Microsoft sdílí reporty s content champions, kteří mají na starosti kontrolu a potvrzení případů nadměrného sdílení.
• Microsoft využívá reporty ke kontaktování a edukaci content owners – jak nadměrné sdílení napravit a jak se držet interních pravidel governance a bezpečnostních politik.
• Microsoft sdílí reporty s legal and security teams, které vyšetřují a řeší případy nadměrného sdílení spojené s právními nebo bezpečnostními riziky a incidenty.
• Microsoft sleduje zlepšování v čase při vymáhání politik napříč svými prostředky.

Aby z podobné viditelnosti mohli těžit i zákazníci, Microsoft připravil volně dostupnou šablonu pro reporting. Doporučujeme Vám tento nástroj využít pro sledování nadměrného sdílení.

Kromě toho, že si Microsoft Graph Data Connect a exporty dat napojíte do vlastního data estate, můžete nově využít také SharePoint Advanced Management v SharePoint Premium. Ten umí vypsat seznam webů, které splňují Vámi zvolená kritéria. Microsoft tuto možnost používá k vyhledání všech webů, které sdílejí Highly Confidential data s více než 5 000 uživateli. Stejné funkce pak Microsoft využívá i k tomu, aby cíleně vyžádal od vlastníků webů nápravu zjištěných anomálií.

Další informace k této funkci pro správu přístupu k datům v SharePointu najdete na Microsoft Learn.   

Když máte správně nastavené kontroly a politiky, můžete výrazně snížit počet chyb v podobě nadměrného sdílení, kterých se zaměstnanci dopouštějí. A pokud k chybám přesto dojde, proaktivní detekční strategie dokáže riziko izolovat od Copilot, zatímco lidé mohou dál zůstat propojení a spolupracovat.

Hlavní poznatky

Při nastavování systému pro detekci a reporting nadměrného sdílení se Microsoftu osvědčilo mimo jiné:

• Vyberte nástroje, které Vám dávají největší smysl. Mezi Microsoft 365 a Azure už pravděpodobně máte k dispozici vše, co potřebujete pro vybudování reportingu. Než začnete vyvíjet vlastní řešení, projděte si možnosti, které jsou k dispozici „out of the box“.
• Dostaňte reporty ke správným lidem. Spolupracujte s týmy klíčových stakeholderů a určete kontaktní osoby, které budou reporty o nadměrném sdílení přebírat a následně řešit nápravu nebo komunikovat zjištění dál.
• Promyslete si komunikační strategii. Zapojte interní komunikaci a nastavte, jak budete na zjištěné nadměrné sdílení reagovat – zejména při komunikaci s vlastníky obsahu.
• Zvažte, co má být obsahem reportů. Různí stakeholdeři budou potřebovat různé informace. S jednotlivými týmy si proto ujasněte, jak má jejich report vypadat a co má obsahovat.

Zjistěte víc

Jak to udělal Microsoft

• Podívejte se, jak Microsoft s pomocí AI nastartoval generační změnu v IT. Článek popisuje, jak Microsoft využívá AI k transformaci IT provozu napříč celou firmou.

Další doporučení pro Vás

• Zjistěte, jak si můžete nastavit reporting přes Microsoft Graph Data Connect. Materiál vysvětluje, jak Microsoft Graph Data Connect umožňuje reporting a analytiku ve velkém měřítku nad daty z Microsoft 365.

„Jak se AI stále víc stává součástí každodenní práce, governance už není jen provozní nutnost – je to strategická priorita.“

David Johnson, principal architect, Microsoft Digital

Kam dál

Jak nastavit governance v éře AI správně

Nástup AI nástrojů, jako je Microsoft 365 Copilot, je změna, která přichází jednou za generaci. Stále objevujeme, jak přesně mohou tyto nástroje pomoci rozvíjet kreativitu, zvyšovat produktivitu, zlepšovat spolupráci a podporovat inovace.

Jedno je ale jisté: nasadit je bezpečně a tak, aby skutečně fungovaly, musí být absolutní priorita.

„Jak se AI postupně stává přirozenou součástí toho, jak pracujeme, governance už není jen provozní nutnost – je to strategická potřeba,“ říká David Johnson, principal architect v Microsoft Digital. „Když spojíme silné nástroje, jako je Copilot, s promyšleným dohledem, zajistíme, že inovace budou podporovat naši misi, aniž bychom ustupovali ze zabezpečení nebo vlastních hodnot.“

Pokud Copilot ve Vaší organizaci nasazujete, zkušenosti, které Microsoft Digital nasbíral, Vám mohou posloužit jako praktická mapa pro Vaši vlastní cestu.

Nejdůležitější je promyslet dopady AI asistence na data a podle toho se připravit. Pečlivé plánování a důslednost zajistí, že Vaši zaměstnanci získají všechny výhody nové generace AI, zatímco Vaše organizace zůstane chráněná.

Vítejte v éře AI.

Hlavní poznatky

Tento průvodce shrnuje zkušenosti, které Microsoft získal při nastavení a zavedení governance procesů během interního rolloutu Microsoft 365 Copilot. Níže jsou obecná doporučení, která se Vám budou hodit při nastavování governance kontrol ve Vaší organizaci.

• Stavte governance na promyšleném návrhu, ne na zděděných zvyklostech. Pečlivě si navrhněte tenant architekturu, sensitivity labels, lifecycle policies a výchozí nastavení kontejnerů tak, aby governance prostředí bylo bezpečné a zároveň škálovatelné.
• Umožněte bezpečný self‑service. Dejte zaměstnancům prostor vytvářet workspaces, které potřebují, a podpořte to srozumitelným labelingem a jasnou odpovědností za obsah, který spravují.
• Labeling držte jednoduchý, konzistentní a vynucený výchozím nastavením. Použijte co nejmenší a intuitivní taxonomii sensitivity labels a opřete se o výchozí labeling na úrovni kontejnerů, aby soubory zůstaly konzistentně chráněné, ať už se přesunou kamkoli.
• Důvěřujte uživatelům – ale ověřujte to automatizací. Využijte Purview DLP, auto‑labeling, quarantining a escalation workflows, abyste zachytili výjimky a zabránili tomu, že se citlivá data přes Copilot dostanou ven.
• Udržujte pořádek v datech pomocí lifecycle management a attestation. Vyžadujte pravidelnou re‑attestation, odstraňujte zastaralý nebo „bez vlastníka“ obsah a využijte SharePoint Advanced Management pro attestations založené jak na aktivitě, tak i mimo ni.
• Zvyšte bezpečnost spolupráce promyšlenými výchozími pravidly sdílení. Používejte company‑shareable links (CSLs) a jasná pravidla pro sdílení odkazů, abyste omezili oversharing, ale zároveň zachovali plynulou a bezpečnou spolupráci.
• Oversharing odhalujte včas a napravujte ho rychle. Využijte Microsoft Graph Data Connect a reporting v SharePoint Advanced Management k identifikaci obsahu se širokým přístupem, upozorněte vlastníky a opravte problém dřív, než Copilot zpřístupní nevhodná data.

Zjistěte více

• Přečtěte si průvodce pro IT lídry, kteří chtějí ve firmě posunout AI vyspělost.
• Zjistěte, jak se Microsoft mění na AI-first Frontier Firm.
• Podívejte se, jak Microsoft jako Customer Zero podporuje adopci agentic přístupu.
• Projděte si materiály, které Microsoft připravil pro adopci Microsoft 365 Copilot.
• Prohlédněte si kompletní průvodce nasazením a adopcí Microsoft 365 Copilot. 
• Seznamte se se zásadami a postupy Responsible AI, které Microsoft zavedl.

Vyzkoušejte si to

Připravte Vaši organizaci i data na Microsoft 365 Copilot.

Rádi Vás uslyšíme!

Chcete více informací? Napište nám e-mail, přidejte odkaz na tento článek a ozveme se Vám.