AI-verktyg på kontoret: IT-avdelningens roll när ni inför Microsoft Copilot

IT-avdelningen avgör om en Microsoft Copilot-utrullning lyckas eller skapar nya säkerhetsrisker. Det viktigaste steget är att granska och rätta till behörigheter i Microsoft 365 innan Copilot aktiveras – verktyget förstärker befintliga åtkomstnivåer, inte mer och inte mindre. Smartify reder ut vad IT-avdelningen konkret behöver göra inom dataskydd, behörighetsstyrning och nätverkskonfiguration.

Vad Microsoft Copilot gör – och vad det inte gör

Microsoft Copilot är en AI-assistent integrerad direkt i Microsoft 365-applikationerna Word, Teams, Outlook, Excel och PowerPoint. Det centrala att förstå: Copilot ser bara den data som den inloggade användaren redan har behörighet att nå. Inga nya åtkomstvägar öppnas, inga behörigheter utökas automatiskt.

Det innebär också att Copilot inte tränar Microsofts grundläggande AI-modeller på er organisationsdata. All bearbetning sker inom er Microsoft 365-klientorganisation (tenant), och verktyget är byggt på Azure OpenAI – inte OpenAIs publika konsumenttjänster. Det är en distinktion som är viktig att kommunicera till styrelse och ledning tidigt i projektet.

Microsoft 365 Copilot är certifierat enligt ISO 27001 (informationssäkerhet) och ISO 42001 (AI-hanteringssystem) samt HIPAA, och uppfyller EU:s dataskyddskrav. EU-datagränsen (EU Data Boundary) gäller för europeiska kunder, vilket innebär att data inte lämnar EU för bearbetning. Teknisk referens och aktuella slutpunktslistor publiceras löpande på Microsoft Learn.

Varför behörighetsstyrning är IT-avdelningens viktigaste uppgift

Behörighetsstyrning är det enskilt viktigaste området att hantera korrekt inför en Copilot-aktivering – och det som oftast underskattas. Problemet kallas "oversharing": om en användare har för bred åtkomst i SharePoint, Teams eller OneDrive kommer Copilot att spegla exakt den breda åtkomsten.

Ett konkret exempel: ett lönedokument som av misstag delats brett på ett SharePoint-intranät är synligt för alla med behörighet till den platsen. När Copilot är aktiverat kan en medarbetare fråga "vad tjänar min kollega?" och få ett svar – inte för att Copilot gjort något fel, utan för att behörigheterna aldrig var korrekt satta. HR-, finans- och affärskritisk information som inte borde vara brett tillgänglig exponeras nu via ett naturligspråksgränssnitt, vilket gör det enklare att oavsiktligt nå och använda den.

Arbetet IT-avdelningen behöver göra innan aktivering är trefaldigt. Granska och städa upp behörigheter i SharePoint, Teams och OneDrive: ta bort breddelningar, granska vilka grupper som har åtkomst till vad, och identifiera överdrivet breda "Alla i organisationen"-behörigheter. Konfigurera sedan Microsoft Purview känslighetsetiketter (sensitivity labels) för att klassificera och skydda känslig data – etiketter styr vad Copilot kan interagera med, och för märkta dokument krävs att användaren har EXTRACT- och VIEW-rättigheter. Slutligen behöver administratörer definiera en policy för vilka tredjepartsagenter och Copilot-tillägg som tillåts i organisationen.

Dataskydd och GDPR vid en Copilot-utrullning

Microsoft Copilot är GDPR-kompatibel och EU-datagränsen säkerställer att kunddata bearbetas och lagras inom EU för europeiska kunder. Det är inte ett val IT-avdelningen gör manuellt – det är standardbeteende för organisationer med EU-baserade tenants.

Certifieringarna ISO 27001 och ISO 42001 är relevanta att dokumentera i er riskbedömning och DPA-hantering (Data Protection Agreement). De visar att Microsoft genomgår extern revision av säkerhetskontroller och specifikt av AI-systemets hantering. HIPAA-certifieringen är primärt relevant för organisationer inom hälso- och sjukvård men kan vara relevant att notera vid due diligence.

En fråga som ofta dyker upp i GDPR-kontext är vad som händer med Copilot-interaktionsdata – alltså de frågor och svar som genereras i Copilot. Dessa lagras inom Microsoft 365-tenanten och kan granskas via Microsoft Purview Compliance-portalen. Administratörer kan sätta kvarhållningsprinciper (retention policies) för Copilot-interaktioner, och eDiscovery kan appliceras på dessa data precis som på e-post och Teams-meddelanden. Enskilda användare kan ta bort sin Copilot-aktivitetshistorik via Mitt konto-portalen på account.microsoft.com.

Det är viktigt att ta med i den interna integritetspolicyn: om organisationen börjar tillämpa kvarhållningsprinciper och eDiscovery på Copilot-interaktioner bör medarbetare informeras om detta som en del av en transparent AI-policy.

Nätverkskrav som IT-avdelningen måste kontrollera

Microsoft Copilot förutsätter att WebSockets-protokollet (WSS) fungerar utan avbrott från användarnas enheter. Det är ett krav som ofta ställer till problem i nätverksmiljöer med äldre proxylösningar eller aggressiva säkerhetspolicyer.

Domänerna *.cloud.microsoft och *.office.com måste vara tillåtna utan blockering. Det innebär att dessa slutpunkter behöver vitlistas i brandvägg och proxyserver, och att inga Microsoft 365-slutpunkter får vara blockerade. Den fullständiga och uppdaterade listan över nödvändiga URL:er och IP-intervall publiceras på Microsoft Learn under Office 365 URLs and IP address ranges.

Två vanliga fallgropar sticker ut. TLS-inspektion (SSL-inspection) på WSS-trafik bryter ofta Copilot-kommunikationen – om er proxyserver inspekterar och dekrypterar WebSocket-trafik behöver ni antingen konfigurera ett undantag för Copilot-domänerna eller verifiera att inspektionen hanteras korrekt utan att bryta protokollet. Den andra fallgropen är proxyservrar med korta timeout-inställningar: Copilot-sessioner kan vara längre än typisk HTTP-trafik, och en proxy som stänger förbindelser efter 60–90 sekunder orsakar diskontinuerlig upplevelse och felmeddelanden för slutanvändarna.

En nätverksvalidering bör vara en fast punkt i pre-flight-checklistan. Testa WSS-anslutning, kontrollera timeout-konfiguration och verifiera att vitlistade domäner faktiskt är tillgängliga från de subnät där slutanvändarna befinner sig – inklusive hybridarbete via VPN.

Governance och granskningsloggning efter aktivering

Governance-arbetet börjar, inte slutar, vid aktiveringen. Aktivera Microsoft Purview-granskning (Audit) för Copilot-interaktioner så att det finns ett fullständigt loggspår över vem som frågat vad och vilken data som refererades. Det är ett krav i många compliance-ramverk och en förutsättning för incidentutredning.

eDiscovery via Microsoft Purview Compliance Center kan appliceras på Copilot-data på samma sätt som på e-post och Teams-konversationer. Det innebär att juridiska hold kan läggas på Copilot-interaktioner, vilket är relevant att kommunicera till juridik- och compliance-funktionen tidigt.

Administratörer kontrollerar centralt vilka Copilot-agenter och tredjepartstillägg (plugins) som tillåts i organisationen. En "open by default"-policy innebär att användare kan aktivera agenter som kopplar Copilot till externa tjänster – något som kan bryta mot IT-säkerhetspolicyn och kräva säkerhetsgranskning av varje tillägg. Rekommendationen är att inleda med en restriktiv policy och öppna upp selektivt efter granskning.

Slutligen: behörighetsöversyn bör schemaläggas återkommande, inte genomföras en gång inför aktivering och sedan glömmas. En halvårlig genomgång av överdrivna SharePoint-behörigheter, överblivna gästkonton och inaktiva grupper minskar risken för oversharing kontinuerligt.

Vad kostar en okontrollerad AI-utrullning?

Den finansiella risken med en oförberedd Copilot-utrullning är konkret och mätbar. GDPR-böter för dataskyddsöverträdelser uppgår till upp till 4% av ett företags globala årsomsättning eller 20 000 000 euro – det belopp som är högst. En incident där känslig personaldata exponeras internt, som sedan leder till en klagomålsanmälan till Integritetsskyddsmyndigheten (IMY), kan utlösa en granskning med den typen av sanktionsbelopp i slutet.

Utöver direkta böter finns varumärkesrisk. Om intern information om löner, pågående förhandlingar eller affärsstrategier läcker via ett AI-verktyg – oavsett om orsaken är behörighetsmiss eller teknisk felkonfiguration – är skadan mot medarbetarförtroende och affärsrelationer svårare att kvantifiera men lika reell.

Det finns också en produktivitetsrisk i den andra riktningen: en oförberedd utrullning fungerar sämre. Om behörighetsstrukturen är rörig hittar Copilot inte rätt dokument, refererar till inaktuellt material och ger otydliga svar. Användarna tappar snabbt förtroende för verktyget, och investeringen i Copilot-licenser – typiskt en kostnad per användare och månad utöver befintlig Microsoft 365-licens – ger inte den avkastning som var syftet.

En förberedd utrullning är alltså inte en kostnad i sig. Det är förutsättningen för att licenskostnaden ska ge faktisk produktivitetsvinst.

Vanliga frågor om Microsoft Copilot och IT-avdelningen

Kan Microsoft använda vår data för att träna sina AI-modeller?

Nej. Microsoft Copilot for Microsoft 365 tränar inte de underliggande AI-modellerna på kunddata. Er organisations data – dokument, e-post, Teams-meddelanden och Copilot-interaktioner – stannar inom er Microsoft 365-klientorganisation och lämnar den inte för modellträning. Det gäller oavsett om ni är på en EU-baserad tenant eller inte. Microsoft bekräftar detta i sina produktvillkor och i dokumentationen på Microsoft Learn. Det skiljer sig från konsumentversioner av AI-tjänster, där data kan användas för förbättring av modellen om man inte aktivt avregistrerar sig.

Vad händer om behörigheterna i vår Microsoft 365-miljö inte är rätt inställda?

Copilot förstärker de behörigheter som redan finns – varken mer eller mindre. Om ett dokument är felaktigt delat brett i SharePoint kan Copilot hjälpa en användare att hitta och referera till det dokumentet, även om dokumentet borde ha haft begränsad åtkomst. Det kallas oversharing-problematiken. Konsekvensen kan vara att känslig HR-data, löneinformation eller affärsdokument exponeras för medarbetare som inte borde ha tillgång. Därför är en behörighetsgenomgång i SharePoint, Teams och OneDrive ett obligatoriskt steg innan Copilot aktiveras – inte ett valfritt.

Vilka nätverkskrav ställer Microsoft Copilot?

WebSockets-protokollet (WSS) måste fungera utan avbrott från användarnas enheter till Microsofts servrar. Domänerna *.cloud.microsoft och *.office.com behöver vara vitlistade i brandvägg och proxyserver. Två vanliga problem är att TLS-inspektion (SSL-inspection) bryter WSS-förbindelsen, och att proxyservrar med korta timeout-inställningar avbryter längre Copilot-sessioner. Den fullständiga listan över URL:er och IP-intervall publiceras och uppdateras löpande av Microsoft på Microsoft Learn under "Office 365 URLs and IP address ranges".

Hur granskar IT-avdelningen vad Copilot har gjort?

Via Microsoft Purview Compliance-portalen. När granskningsloggning (Audit) är aktiverad loggas Copilot-interaktioner – vilka frågor som ställts, vilka dokument som refererades och av vem. Loggarna kan sökas och exporteras för incidentutredning, compliance-granskning eller juridiska ändamål. eDiscovery kan appliceras på Copilot-data på samma sätt som på e-post och Teams-konversationer, vilket gör det möjligt att lägga juridiska hold och samla in data vid behov. Administratörer sätter också kvarhållningsprinciper som styr hur länge Copilot-interaktionsdata bevaras.

Är Microsoft Copilot GDPR-kompatibel?

Ja. Microsoft Copilot for Microsoft 365 är GDPR-kompatibel. EU-datagränsen (EU Data Boundary) gäller för europeiska kunder, vilket innebär att data bearbetas och lagras inom EU. Copilot är certifierat enligt ISO 27001 (informationssäkerhet) och ISO 42001 (AI-hanteringssystem). All databearbetning sker inom er Microsoft 365-tenant och Microsofts databehandlartillsats (DPA) täcker Copilot-tjänsten. GDPR-kompatibilitet kräver dock att organisationen självklart också hanterar sin egen del korrekt – det vill säga behörighetsstyrning, klassificering av personuppgifter och interna policyer för AI-användning.