Microsoft 365 Copilot ei pysty lukemaan tiedostoja, joihin sinulla ei ole pääsyä. Se toimii käyttäjän omien käyttöoikeuksien rajoissa eikä ohita organisaation tietosuojamäärityksiä. Käytännön haaste ei siis ole Copilot itse, vaan se, miten hyvin organisaation tiedot on alun perin suojattu ja luokiteltu. Tässä artikkelissa käymme läpi ne konkreettiset kysymykset, joita tietohallintopäälliköt, HR-johtajat ja pk-yrittäjät useimmiten esittävät ennen Copilotin käyttöönottoa.
Mitä tietoja Copilot voi käytännössä käyttää?
Microsoft 365 Copilot pääsee käsiksi niihin tietoihin, joihin käyttäjällä itsellään on pääsy Microsoft 365 -ympäristössä. Tämä tarkoittaa sähköposteja, Teams-keskusteluja, SharePoint-sisältöjä, OneDrive-tiedostoja ja Office-sovelluksia. Copilot ei laajenna käyttöoikeuksia eikä pysty avaamaan tiedostoja, joihin käyttäjällä ei ole lukuoikeutta.
Antti Roine kuvaa asiaa näin:
”Nämä molemmat maksulliset versiot pääsevät sitten käsiksi meidän tietoihin, jotka meillä on Microsoft 365:ssä. Käytännössä tämä tarkoittaa, että Copilot voi auttaa esimerkiksi sähköposteihin, Teams-keskusteluihin, SharePoint-sisältöihin, OneDrive-tiedostoihin ja Office-sovelluksiin liittyvissä tehtävissä käyttäjän oikeuksien mukaisesti.”
— Antti Roine, toimitusjohtaja, Corellia
Maksuton Copilot Chat toimii eri tavalla: se ei välttämättä pääse käsiksi organisaation sisäisiin tiedostoihin, vaan nojaa pääasiassa siihen tietoon, jolla tekoäly on koulutettu, sekä verkosta haettavaan tietoon. Maksulliset versiot puolestaan integroituvat syvästi organisaation omaan Microsoft 365 -ympäristöön.
Voiko Copilot lukea tiedostoja, joihin minulla on pääsy?
Kyllä. Jos sinulla on pääsy tiedostoon Microsoft 365 -ympäristössä, Copilot voi käyttää sitä vastatessaan kysymyksiisi. Tämä koskee kaikkia tiedostoja, joihin käyttäjätililläsi on lukuoikeus, riippumatta siitä, onko tiedosto jaettu koko organisaatiolle vai vain sinulle henkilökohtaisesti.
Tämä on tärkeä ymmärtää oikein. Copilot ei luo uusia pääsyoikeuksia eikä pysty lukemaan tiedostoja, joihin sinulla ei ole oikeutta. Mutta se pystyy hyödyntämään kaikkea sitä, mihin sinulla on pääsy, myös niitä tiedostoja, jotka olet ehkä unohtanut tai joita et itse aktiivisesti käytä.
Käytännön esimerkki: kuvittele, että sinulle on joskus jaettu palkkatiedosto ”vain katselua varten” ja se on jäänyt OneDriveen. Copilot voi periaatteessa hyödyntää sitä, jos pyydät sitä etsimään tietoa henkilöstökuluista. Tiedosto ei ole kadonnut tai unohtunut Copilotin näkökulmasta, vaikka se olisi sinulta unohtunut.
Miten HR-tiedot ja palkkadata on suojattu Copilotilta?
HR-tiedot ja palkkadata on suojattu Copilotilta ensisijaisesti kahdella tavalla: käyttöoikeuksien rajaamisella ja tietojen luokittelulla. Jos palkanlaskijatiimin SharePoint-sivusto on määritetty niin, että vain tietyt henkilöt pääsevät siihen, Copilot ei hyödynnä sen sisältöjä muille käyttäjille. Lisäksi Microsoft Purview -tietosuojatyökalun avulla tiedostoihin voidaan asettaa herkkyystunnisteita, jotka rajoittavat Copilotin toimintaa.
Antti Roine selittää herkkyystunnisteiden toimintaa käytännönläheisesti:
”Samalla lailla kun voidaan SharePoint-sivustolla merkitä, että tämä on johtoryhmän tai palkanlaskijoiden tai hallituksen käytettävissä, niin tätä Copilot ei saa sitten hyödyntää, kun se generoi uutta tietoa ja etsii mihin meillä on pääsynoikeus.”
— Antti Roine, toimitusjohtaja, Corellia
Microsoft Purview on Microsoftin tietosuoja- ja vaatimustenmukaisuustyökalu, joka mahdollistaa niin sanottujen herkkyystunnisteiden asettamisen tiedostoihin ja sivustoihin. Tunniste voi tarkoittaa esimerkiksi ”Luottamuksellinen” tai ”Vain sisäiseen käyttöön”. Kun tunniste on asetettu oikein, Copilot osaa ottaa sen huomioon eikä käytä kyseistä tietoa vastaustensa lähteenä.
Lisätietoa herkkyystunnisteista löydät Microsoftin Purview-dokumentaatiosta ja siitä, miten Copilot toimii Purview-ympäristössä.
Mitä tapahtuu, jos luottamuksellinen tiedosto on jaettu liian laajasti?
Jos luottamuksellinen tiedosto on jaettu liian laajasti, Copilot voi hyödyntää sitä kaikille niille käyttäjille, joilla on siihen pääsy. Tämä ei ole Copilotin toimintahäiriö, vaan se tekee juuri sen, mitä sen pitääkin: käyttää tietoja, joihin käyttäjällä on oikeus. Ongelma on tällöin tietojen jakamisessa, ei Copilotissa.
Sampo Korkela nostaa esiin inhimillisen virheen merkityksen:
”Se täytyy merkitä se tieto sinne, niin sitten Copilot osaa siihen oikein suhtautua. Ja juuri siellä merkkaamisessa se inhimillinen virhe, että sitten se täytyy merkitä se tieto sinne.”
— Sampo Korkela, kouluttaja, Corellia
Tämä on yksi käyttöönoton kriittisimmistä kohdista. Jos HR-osaston palkkatiedosto on vuosia sitten jaettu koko organisaation SharePointiin vahingossa, Copilot ei tiedä, että se on ”väärässä paikassa”. Se näkee vain, että tiedostoon on pääsy, ja voi hyödyntää sitä. Tiedosto on siis suojattava ennen kuin Copilot otetaan käyttöön.
Toinen huomionarvoinen yksityiskohta koskee sitä, siirtyykö herkkyystunniste uuteen tiedostoon, kun Copilot generoi sisältöä merkityn lähteen pohjalta. Antti Roine kommentoi tätä suoraan:
”Ja just sielläkin myöskin tossa merkkaamisessa se inhimillinen virhe, että sitten se täytyy merkitä se tieto sinne, niin sitten Copilot osaa siihen oikein suhtautua.”
— Antti Roine, toimitusjohtaja, Corellia
Käytännössä tämä tarkoittaa, että merkintäprosessi vaatii huolellisuutta. Automaattinen tunnistesiirto ei aina toimi täydellisesti, ja siksi organisaatiossa on hyvä sopia selkeät pelisäännöt siitä, miten luottamuksellisia lähteitä hyödynnetään Copilotin kanssa.
Miten organisaatio voi hallita Copilotin tietojen käyttöä?
Organisaatio hallitsee Copilotin tietojen käyttöä kolmella tasolla: käyttöoikeuksien hallinnalla, tietojen luokittelulla Microsoft Purview’n avulla sekä Copilotin hallinta-asetuksilla. Näiden kolmen yhdistelmä määrittää sen, mitä tietoja Copilot voi käyttää ja kenelle.
Käyttöoikeudet ja SharePoint-rakenne
Ensimmäinen taso on tuttu IT-hallinnolle: kuka pääsee mihinkin. Copilotin käyttöönoton yhteydessä on hyvä tarkistaa, että SharePoint-sivustojen, ryhmien ja tiedostojen käyttöoikeudet vastaavat sitä, mitä organisaatiossa todella halutaan. Copilot ei korjaa virheellisesti asetettuja oikeuksia, vaan noudattaa niitä sellaisinaan.
Herkkyystunnisteet ja Purview
Toinen taso on tietojen luokittelu. Microsoft Purview mahdollistaa herkkyystunnisteiden asettamisen tiedostoihin, sähköposteihin ja sivustoihin. Tunniste voi rajoittaa Copilotin pääsyä tietoon tai estää sen kokonaan. Tämä on erityisen tärkeä työkalu HR-tiedoille, taloustiedoille ja muille arkaluonteisille aineistoille.
Sampo Korkela korostaa käyttöoikeuksien tarkistamisen merkitystä käyttöönottovaiheessa:
”Tekoälyn käyttöönotto ei ole vain tekninen projekti. Koska käyttäjäryhmät, lisenssit, työroolit ja tietoturvavaatimukset eroavat toisistaan, myös koulutuksen on oltava kohdennettua.”
— Sampo Korkela, kouluttaja, Corellia
Kannattaako Copilot ottaa käyttöön ennen tietojen siistimistä?
Ei kannata, ainakaan laajassa mittakaavassa. Copilotin käyttöönotto ennen tietojen luokittelua ja käyttöoikeuksien tarkistamista tarkoittaa, että Copilot toimii siinä ympäristössä, joka on, ei siinä, jonka pitäisi olla. Jos tiedot ovat sekaisin tai liian laajasti jaettuja, Copilot heijastaa sen saman tilanteen.
Tämä ei tarkoita, että kaiken pitää olla täydellistä ennen kuin aloitetaan. Mutta se tarkoittaa, että kriittisimmät tiedot, kuten HR-tiedot, palkkadata ja johtoryhmän materiaalit, on syytä käydä läpi ensin.
Antti Roine tiivistää vastuun merkityksen selkeästi:
”Tekoälyn tuottama vastaus voi näyttää uskottavalta, vaikka se olisi puutteellinen tai virheellinen. Siksi käyttäjän on pystyttävä arvioimaan Copilotin ehdotuksia oman asiantuntemuksensa pohjalta.”
— Antti Roine, toimitusjohtaja, Corellia
Sama logiikka pätee tietojen hallintaan. Copilot on tehokas työkalu, mutta se ei korvaa organisaation omaa vastuuta siitä, miten tietoja hallitaan. Käyttöönotto on parhaimmillaan silloin, kun se tehdään hallitusti: tiedot kunnossa, käyttöoikeudet tarkistettu, käyttäjät koulutettu.
Meillä Corelliassa olemme huomanneet, että juuri tähän kokonaisuuteen, hallittuun käyttöönottoon, kannattaa panostaa. Jos haluat käydä läpi organisaatiosi tilanteen konkreettisesti, Corellian Microsoft 365 Copilotin hallittu käyttöönotto -koulutus on suunniteltu juuri tähän tarpeeseen. Koulutuksessa käydään läpi lisenssit, tietoturva-asetukset, herkkyystunnisteet ja käyttäjäroolikohtaiset tarpeet käytännönläheisesti. Webinaarin tallenne ja lisämateriaali löytyvät osoitteesta corellia.fi/webinaarit.