Microsoft scherpt de beveiliging rond zijn AI-assistent Copilot verder aan. Binnen Microsoft 365 wordt het voortaan mogelijk om gevoelige Office-documenten volledig buiten bereik van Copilot te houden, ongeacht of die bestanden lokaal zijn opgeslagen of in de cloud staan.

Daarmee verdwijnt een belangrijk verschil in bescherming dat tot nu toe bestond tussen lokale opslag en SharePoint of OneDrive, meldt BleepingComputer.

Tot op heden werkte gegevensverliespreventie binnen Microsoft Purview uitsluitend voor documenten in Microsofts clouddiensten. Bestanden die op laptops of desktops stonden, vielen buiten dat bereik. In de praktijk betekende dit dat Copilot lokaal opgeslagen documenten wél kon analyseren, zelfs wanneer organisaties strenge beveiligingsregels hadden ingesteld. Microsoft maakt nu een einde aan die beperking.

De wijziging wordt tussen eind maart en eind april 2026 doorgevoerd via een update van de Office-architectuur. Zodra deze uitrol is afgerond, gelden DLP-regels voor alle Word-, Excel- en PowerPoint-bestanden, ongeacht hun opslaglocatie. Volgens Microsoft sluit deze stap beter aan bij de verwachtingen van organisaties die hun beveiligingsbeleid consistent willen toepassen, zonder onderscheid tussen lokale en cloudbestanden.

Automatische blokkade bij gevoelige documenten

Wanneer een document door het beveiligingsbeleid als gevoelig of beperkt wordt aangemerkt, kan Copilot het niet langer inzien of verwerken. Organisaties die al beleid hebben ingericht om AI-verwerking van gelabelde content te blokkeren, profiteren automatisch van de uitbreiding. Extra configuratie of beheerhandelingen zijn niet nodig.

Technisch gezien verandert er niets aan de functionaliteit van Copilot zelf. Microsoft heeft de aanpassing doorgevoerd in de Office-clients en de onderliggende componenten die verantwoordelijk zijn voor het uitlezen van beveiligingslabels. Waar Copilot voorheen afhankelijk was van cloudkoppelingen om te bepalen of een document beschermd was, kan het label nu rechtstreeks vanuit de applicatie worden opgehaald. Daardoor kan het beveiligingsbeleid ook worden afgedwongen bij bestanden die nooit in SharePoint of OneDrive zijn opgeslagen.

De timing van de aankondiging is opvallend. Microsoft kreeg recent nog te maken met een fout in Copilot Chat. Door die fout kon de AI-assistent gedurende meerdere weken vertrouwelijke e-mails analyseren en samenvatten. Dit terwijl deze juist waren afgeschermd met actieve DLP-regels. Het ging om berichten in de mappen Verzonden items en Concepten. Die mogen normaal gesproken niet toegankelijk zijn voor geautomatiseerde verwerking.

Volgens Microsoft was de impact beperkt tot gebruikers die al rechten hadden om de betreffende e-mails te bekijken. Toch erkende het bedrijf dat de situatie niet overeenkwam met het beoogde beveiligingsmodel van Copilot, waarin gevoelige en beschermde informatie expliciet moet worden uitgesloten van AI-toegang.

Met de uitbreiding van DLP naar alle opslaglocaties zet Microsoft een stap om dergelijke risico’s verder te verkleinen. Voor organisaties die Copilot inzetten binnen Microsoft 365 betekent dit meer controle over waar de AI-assistent wel en niet bij kan, zonder dat zij hun bestaande beveiligingsbeleid hoeven aan te passen.