KI-Funktionen in Windows verwalten
Du KImmst hier nicht rein!
Veröffentlicht in Ausgabe 02/2024 - PRAXIS
Die Einbindung von Copilot erfolgt im Rahmen von Windows 11 22H2 Moment 4 beziehungsweise Windows 11 23H2. Wie bei allen neuen Funktionen aktiviert Microsoft neue Dienste nicht auf einmal auf allen Rechnern, sondern in mehreren Schritten. Auch aufgrund gesetzlicher Bestimmungen in Europa kann es noch etwas dauern, bis Copilot überall in Windows 11 verfügbar ist.
Nicht in allen Unternehmen ist jedoch der Einsatz der KI-Funktion in Windows 11 erwünscht. Und wo das Feature gewollt ist, sollte in jedem Fall eine effektive Verwaltung inklusive Schutz der Daten erfolgen. Windows Copilot befindet sich derzeit noch in einem sehr frühen Stadium. Es ist zu erwarten, dass Microsoft noch deutlich nachlegen wird, auch was die Konfigurationsmöglichkeiten für Administratoren betrifft. Derzeit sind die Steuerungsfunktionen allerdings eher bescheiden Es gibt jedoch bereits einige Wege, die wir im Folgenden näher vorstellen.
Grundsätzlich ist es so, dass Microsoft alle Funktionen in den KI-Diensten automatisch aktiviert, sobald sie verfügbar sind und alle Benutzer darauf zugreifen können. Wollen Sie die Nutzung einschränken, müssen Sie Anpassungen mit Gruppenrichtlinien, Registry-Werten, dem Microsoft 365 Admin Center, dem Bing Chat Enterprise Admin Center, mit Microsoft Intune oder anderen Diensten vornehmen. Generell sinnvoll ist ein Regelwerk für die Benutzung von KI-Diensten, aber das ist keine Aufgabe, die der IT-Abteilung zukommt.
Die Einbindung von Copilot erfolgt im Rahmen von Windows 11 22H2 Moment 4 beziehungsweise Windows 11 23H2. Wie bei allen neuen Funktionen aktiviert Microsoft neue Dienste nicht auf einmal auf allen Rechnern, sondern in mehreren Schritten. Auch aufgrund gesetzlicher Bestimmungen in Europa kann es noch etwas dauern, bis Copilot überall in Windows 11 verfügbar ist.
Nicht in allen Unternehmen ist jedoch der Einsatz der KI-Funktion in Windows 11 erwünscht. Und wo das Feature gewollt ist, sollte in jedem Fall eine effektive Verwaltung inklusive Schutz der Daten erfolgen. Windows Copilot befindet sich derzeit noch in einem sehr frühen Stadium. Es ist zu erwarten, dass Microsoft noch deutlich nachlegen wird, auch was die Konfigurationsmöglichkeiten für Administratoren betrifft. Derzeit sind die Steuerungsfunktionen allerdings eher bescheiden Es gibt jedoch bereits einige Wege, die wir im Folgenden näher vorstellen.
Grundsätzlich ist es so, dass Microsoft alle Funktionen in den KI-Diensten automatisch aktiviert, sobald sie verfügbar sind und alle Benutzer darauf zugreifen können. Wollen Sie die Nutzung einschränken, müssen Sie Anpassungen mit Gruppenrichtlinien, Registry-Werten, dem Microsoft 365 Admin Center, dem Bing Chat Enterprise Admin Center, mit Microsoft Intune oder anderen Diensten vornehmen. Generell sinnvoll ist ein Regelwerk für die Benutzung von KI-Diensten, aber das ist keine Aufgabe, die der IT-Abteilung zukommt.
Zu Windows Copilot kommt die Integration von KI-Chats in Microsoft Edge und Google Chrome über das neue Bing Chat und Bing Chat Enterprise für Unternehmen. Hier können Nutzer ähnlich wie bei ChatGPT mit der LLM (Large Language Model) GPT-4 kommunizieren. Bei Bing Chat greift die KI direkt auf das Internet zu. Es gibt daher verschiedene Möglichkeiten, wie Anwender unter Windows 10 und Windows 11 die KI-Funktionen nutzen können: Windows Copilot, Bing Chat und Bing Chat Enterprise sowie weiterhin die Option, direkt mit ChatGPT zu kommunizieren. Hinzu kommt Microsoft 365 Copilot.
Achtung: KI lernt aus Unternehmensdaten
Die verschiedenen LLMs, auf denen KI-Bots wie ChatGPT, Windows Copilot und Google Bard basieren, lernen nicht nur aus vorgegebenen Trainingsdaten, sondern auch aus den Informationen, die die Nutzer der KI-Bots in ihre Prompts eingeben, um ihrerseits Informationen von der KI zu erhalten und Texte zu erstellen. Wenn Anwender also kritische gar personenbezogene Daten im Umgang mit der KI verwenden, dann übertragen sie diese ins Internet und geben sie an die KI weiter. Diese verarbeitet die Informationen weiter, um zu lernen.
Das kann im schlimmsten Fall dazu führen, dass Konkurrenten eines Unternehmens an Interna gelangen und davon profitieren, nur weil Mitarbeiter die Daten freiwillig weitergegeben haben. Das ist vielen Verantwortlichen in den Unternehmen noch nicht klar. Hier sollte deshalb die Kontrolle von Windows Copilot und Bing Chat so ansetzen, dass die Nutzung dieser Dienste nur möglich ist, ohne sensible Daten aus der Hand zu geben.
Generell bedeutet die Kontrolle der Dienste nicht, dass KI-Chats in Unternehmen überhaupt keine Verwendung finden – denn schließlich lassen sich damit durchaus wichtige und sinnvolle Aufgaben erledigen. Entscheidend ist jedoch, dass die Nutzung kontrolliert erfolgt und verhindert wird, dass Unternehmensgeheimnisse erst an die KI und dann eventuell an andere Akteure abfließen.
Bei Bing Chat können Unternehmen auf Bing Chat Enterprise setzen. Der Vorteil dieser Version ist, dass die Nutzer einen funktionsreicheren KI-Chat erhalten, der aber die abgefragten Informationen nicht zum eigenen Lernen verwendet und somit nicht weitergibt. Bing Chat Enterprise schützt somit Unternehmen davor, dass sensible Daten in unbefugte Hände gelangen. Generell lautet also die Empfehlung, Bing Chat möglichst nicht in Unternehmen einzusetzen, sondern besser Bing Chat Enterprise, eventuell in Verbindung mit Windows Copilot, das auf Bing Chat aufbaut und ebenfalls Bing Chat Enterprise nutzen kann.
Kein Windows Copilot in Europa – oder doch?
Einfach ausgedrückt ist Windows Copilot die direkte Integration von GPT-4 in Windows 11. Redmond rollt Copilot über das Moment-4-Update in Windows 11 22H2 und spätestens mit Windows 11 23H2 aus. In Europa sind die Funktionen bereits installiert, derzeit aber noch nicht nutzbar. Grund dafür ist der Digital Markets Act, der für einen faireren Wettbewerb in der Europäischen Union sorgen und Nutzern mehr Auswahl bei Onlineangeboten ermöglichen soll.
Sie können Copilot über das Icon in der Taskleiste oder über die Verknüpfung "microsoft-edge:///?ux=copilot&tcp=1&source=taskbar" starten. Diese Eingabe funktioniert auf europäischen Rechnern auch schon vor der offiziellen Freischaltung durch Microsoft. Wichtig ist nur, dass die aktuellen Updates installiert sind. Damit können Nutzer Copilot auf Basis von Bing Chat Enterprise einsetzen, sofern der PC die Voraussetzungen erfüllt und Ihr Unternehmen ein entsprechendes Abonnement abgeschlossen hat.
Windows Copilot erscheint als Sidebar in Windows 11, die nicht von anderen Programmen überdeckt wird. Auf diese Weise können Benutzer mit Copilot und anderen Programmen parallel arbeiten. Ist Copilot noch nicht auf dem Rechner verfügbar, hilft die Aktivierung der Einstellung "Erhalten Sie die neuesten Updates, sobald sie verfügbar sind" unter "Windows-Update" in der Konfiguration von Windows 11. Hierfür sind keine Administratorrechte erforderlich – ein Grund mehr, warum Sie sich schon jetzt mit dem Thema auseinandersetzen sollten.
Windows Copilot in der Praxis
Über das Copilot-Symbol können Benutzer direkt in Windows KI-Prompts eingeben, um zum Beispiel das Betriebssystem zu steuern. Beispiele sind "Der Bildschirm ist zu hell", "Die Lautstärke ist zu hoch" oder "Ich möchte BitLocker aktivieren". Die KI soll also zunächst dabei helfen, Windows schnell und einfach zu steuern, indem Nutzer sich nicht mehr durch Menüs hangeln müssen, sondern ihre Fragen und Probleme direkt in den Chat-Prompt eingeben. Anschließend kann Copilot die Programme direkt starten oder die KI-Anwendung zeigt eine Schritt-für-Schritt-Anleitung an.
Parallel dazu können Benutzer direkt mit herkömmlichen KI-Prompts arbeiten. Die Anwender können hier die gleichen Prompts eingeben wie bei ChatGPT. Die Daten bleiben nicht im eigenen Netzwerk, sondern werden von Copilot an Microsoft gesendet. Copilot basiert auf GPT-4, aber Redmond hat angegeben, keine Daten an OpenAI zu senden. Natürlich verwendet Microsoft die Daten aber selbst.
Bei der Verwendung von Windows Copilot durch den Benutzer findet also eine Kommunikation mit dem Internet statt und Copilot beziehungsweise die zugrundeliegende KI lernt aus den Fragen. Daher ist es wie erwähnt nicht sinnvoll, Firmengeheimnisse mit Windows Copilot und Bing Chat zu teilen – genauso wenig wie mit ChatGPT, Google Bard oder den anderen KI-Bots. Wenn der PC jedoch mit Azure AD/Entra ID verbunden ist und der Benutzer sich dort mit seinem Konto anmeldet, kann der Anwender Copilot mit Bing Chat Enterprise verwenden. In diesem Fall sind die Daten des Unternehmens davor geschützt, als Basis für das KI-Training Verwendung zu finden. Dies wird im Copilot-Fenster im oberen Bereich durch den Status "Geschützt" angezeigt.
Erscheint dieser Status nicht, verwendet Copilot nur Bing Chat. In diesem Fall ist es empfehlenswert, nicht auf den Chat zurückzugreifen, sondern vorher Bing Chat Enterprise zu aktivieren. Damit das im Browser und in Windows Copilot zur Verfügung steht, ist ein entsprechendes Microsoft-365-Abonnement notwendig.
Windows Copilot deaktivieren
Wenn Sie Copilot für Windows 11 komplett deaktivieren möchten, können Sie dazu die Gruppenrichtlinien im Active Directory verwenden. Natürlich stehen Ihnen die entsprechenden Einstellungen auch in der lokalen Richtlinienverwaltung zur Verfügung, die Sie mit
gpedit.msc starten. Dazu benötigen Sie allerdings die aktuellen Gruppenrichtlinienvorlagen für Windows 11 oder die Vorlagen für Windows 11 22H2 Moment 4. Sie finden die Settings im Pfad "Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows-Copilot". Derzeit ist an dieser Stelle nur die Richtlinieneinstellung "Windows-Copilot deaktivieren" zu finden.Wenn Sie diese Einstellung aktivieren, dürfen die Benutzer nicht mit Windows Copilot arbeiten. Standardmäßig erlaubt Windows nach dem Freischalten von Windows Copilot in Europa den Zugriff automatisch. Sie sollten daher darauf achten, es zunächst zu deaktivieren und erst nach ausgiebigem Testen der Funktion wieder freizuschalten.
Wie bei vielen Einträgen in den Gruppenrichtlinien können Sie die Einstellungen alternativ direkt in der Registry vornehmen. Dazu erstellen Sie im Pfad "HKEY_ LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Explorer" einen neuen DWORD-Wert mit der Bezeichnung "HideCopilotButton" und setzen diesen auf "1". Dieser Wert blendet den Copilot-Button zunächst nur aus der Taskleiste aus, er deaktiviert den KI-Dienst aber nicht.
Manuell können Sie Copilot in den Einstellungen von Windows 11 unter "Personalisierung / Taskleiste / Copilot" aus der Taskleiste ausblenden (aber ebenso wenig deaktivieren).
Unter "HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsCopilot" deaktivieren Sie Windows Copilot mit dem DWORD-Wert "TurnOffWindowsCopilot" und dem Wert "1". Nach einem Neustart des Rechners ist der Copilot-Button aus der Taskleiste verschwunden und lässt sich auch mit Tricks nicht mehr starten. Der Benutzer kann jedoch weiterhin mit Bing Chat oder Bing Chat Enterprise in Edge arbeiten.
In Microsoft Intune verwalten
Für mobile PCs und Heimarbeitsplätze kann die Deaktivierung von Copilot über Microsoft Intune erfolgen. Erzeugen Sie dazu in Intune ein neues Geräteprofil, über das Sie Copilot auf den angeschlossenen Computern konfigurieren können. Die Einstellungen dazu finden Sie unter "Geräte / Windows / Konfigurationsprofile". Schaffen Sie mit "Profil erstellen" ein neues Profil, wählen Sie als Plattform "Windows 10 und höher" und als Profiltyp "Vorlagen". Klicken Sie auf "Benutzerdefiniert" und danach auf "Erstellen".
Geben Sie dem neuen Profil einen Namen, zum Beispiel "Windows Copilot". Klicken Sie auf der Seite "Konfigurationseinstellungen" auf "Hinzufügen". Geben Sie unter "Name" zum Beispiel "TurnOffWindowsCopilot" ein. Im Feld "OMA-URI" verwenden Sie "./User/Vendor/ MSFT/WindowsAI/TurnOffWindowsCopilot", als Datentyp "Integer" und als Wert "1". Speichern Sie die Settings und schließen Sie die Erstellung des Konfigurationsprofils wie bei den anderen Profilen in diesem Bereich ab. Weisen Sie das Konfigurationsprofil den gewünschten PCs zu, um Copilot zu deaktivieren. Es gibt an dieser Stelle keine Unterschiede zu anderen Konfigurationsprofilen.
Copilot in Edge deaktivieren
Standardmäßig ist in der rechten oberen Ecke von Microsoft Edge auch das Copilot-Symbol verfügbar, mit dem Benutzer Bing Chat oder Bing Chat Enterprise öffnen können. Dieser Dienst hat jedoch nichts mit Windows Copilot zu tun, außer dass Windows Copilot Bing Chat und Bing Chat Enterprise als Grundlage verwendet. Wenn Sie Windows Copilot deaktivieren, können Sie Copilot in Edge weiterhin im Browser verwenden. Manuell können Sie die AI-Anwendung über die Adresse "edge://settings/sidebar" ausblenden, indem Sie "Copilot anzeigen" deaktivieren.
Automatisieren können Sie diese Settings mit Registry-Einträgen. Fügen Sie dazu die beiden folgenden Einträge hinzu, zum Beispiel mit den angegebenen Befehlen. Nach einem Neustart ist die Sidebar mit Bing Chat in Edge nicht mehr vorhanden:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge" /v HubsSidebarEnabled /t REG_DWORD /d 00000000 /f
Wenn Sie den Schlüssel mit der Einstellung löschen, steht die Sidebar nach dem Neustart wieder bereit, das gilt auch für Bing Chat. Die Settings sind in den Richtlinien über "Benutzerkonfiguration / Computerkonfiguration / Administrative Vorlagen / Microsoft Edge" verfügbar. Dazu müssen jedoch die aktuellen ADMX-Dateien für Microsoft Edge for Business hinterlegt sein. Diese bekommen Sie unter [1]. Sie können diese Settings lokal verwenden oder über Gruppenrichtlinien verteilen.
Wenn Sie im Unternehmen auf Edge setzen, ist es auf jeden Fall sinnvoll, den Browser über die zusätzlichen Sicherheitseinstellungen abzusichern. Dazu sollte mindestens die Version 116 von Edge zum Einsatz kommen. Ab dieser Version wird bei der Anmeldung an Azure AD/Entra ID Microsoft Edge for Business aktiviert. Dadurch trennt der Browser geschäftliche und private Daten. Dass der Business-Modus von Edge aktiv ist, zeigt sich am Aktentaschen-Symbol.
Die Verwaltung von Edge for Business kann künftig im Microsoft 365 Admin Center unter "https://admin.microsoft.com/ adminportal/home#/Edge" erfolgen. Hier legen Sie Konfigurationsprofile fest und definieren Seitenlisten. Dies spielt für Bing Chat und Bing Chat Enterprise eine Rolle, da der KI-Chat auch über die Sidebar zur Verfügung steht. Aktuell halten sich die Möglichkeiten aber in Grenzen.
Bing Chat Enterprise ergibt Sinn
Sie sollten sich überlegen, ob der Einsatz von Bing Chat Enterprise sinnvoll ist. Denn wenn ein Benutzer mit einem Konto in Azure AD/Entra ID an einem PC angemeldet ist, der zu einem entsprechenden Microsoft-365-Abonnement gehört, lässt sich Bing Chat Enterprise in Edge nutzen und unter Windows 11 steht Copilot mit Bing Chat Enterprise zur Verfügung. Gleichzeitig aktiviert Edge den Business-Modus, der auch die anderen Daten im Browser schützt.
Die Abonnements Microsoft 365 E3/E5 sowie A3/A5 und Business Standard/Premium haben Zugriff auf Bing Chat Enterprise. Sobald Nutzer mit einer Lizenz in diesem Abonnement Bing Chat öffnen, wird Bing Chat Enterprise automatisch aktiviert. Dazu ist natürlich eine Anmeldung mit einem Konto in Azure AD/
Entra ID erforderlich.
Bing Chat Enterprise ist kein Microsoft 365 Copilot
Bei Bing Chat Enterprise spielt das Microsoft-365-Abonnement zwar eine wesentliche Rolle, es handelt sich jedoch nicht um Microsoft 365 Copilot. Bing Chat Enterprise ist eine generativeKI-Anwendung, die ausschließlich Daten aus dem Internet verwendet. Die KI hat keinen Zugriff auf Unternehmensressourcen oder Informationen aus Microsoft 365. Bei der Nutzung von Microsoft 365 Copilot kommen diese Zugriffe hinzu. Fragen und Antworten, die in Microsoft 365 beantwortet werden, verbleiben im Microsoft-365-Mandanten.Wichtige Settings finden sich im Microsoft 365 Admin Center unter "Einstellungen / Suche& Intelligenz" auf der Registerkarte "Konfigurationen". Mit "Microsoft Search in Bing Einstellungen" nehmen Sie Anpassungen vor, die den Einsatz von Bing Chat Enterprise im Unternehmen betreffen. Durch das Deaktivieren von "Microsoft Search in Bing-Einstellungen" im Microsoft 365 Admin Center können sich Nutzer nicht mehr mit ihrem Azure AD/Entra ID-Konto bei Bing anmelden. Dadurch lässt sich der Zugriff auf Bing Chat Enterprise verhindern.
Administratoren können Bing Chat Enterprise aktivieren und über das zugehörige Admin Center verwalten. Das befindet sich derzeit noch in der Entwicklung, zeigt aber bereits an, ob der Dienst aktiv ist. Das Admin Center ist über die URL "https://www.bing.com/ business/bceadmin" erreichbar. Die Funktionen sind derzeit noch überschaubar, es ist aber zu erwarten, dass hier in Zukunft weitere Möglichkeiten Einzug halten.
Bing Chat Enterprise ist nur im Browser nutzbar, ein API-Zugriff ist nicht möglich. Unternehmen können sich jedoch bei OpenAI für ChatGPT Plus/Enterprise anmelden. Hier ist dann ein API-Zugang möglich. Bing Chat Enterprise und Windows Copilot haben jedoch nichts mit ChatGPT Plus oder Enterprise zu tun. Alle drei KI-Dienste basieren aber auf der OpenAI-LLM GPT-4.
Nutzer können Bing Chat entweder über das Copilot-Symbol oben rechts in Edge starten oder sich über die Internetadresse "Bing.com/chat" einloggen. Die Nutzung von Bing Chat Enterprise ist auch mit Google Chrome möglich.
Fazit
Microsoft beschleunigt die Verbreitung seiner KI-Dienste in den verschiedenen Anwendungen deutlich. Mit Windows Copilot können Nutzer das Betriebssystem direkt in Windows mit KI-Funktionen steuern und mit der generativen KI auf Basis von OpenAI GPT-4 genauso arbeiten wie mit ChatGPT. Darüber hinaus ist Copilot mit Bing Chat in Edge und Chrome verfügbar.
Für Unternehmen, die Microsoft 365 abonniert haben, ist Bing Chat Enterprise interessant, da sich hier die Unternehmensdaten schützen lassen. Die Steuerungsmöglichkeiten für Admins sind derzeit noch recht neu und nicht sehr umfangreich. Es ist jedoch davon auszugehen, dass mit zunehmender Funktionalität der KI-Funktionen auch die Verwaltungstools mächtiger ausfallen.
(ln)
Link-Codes
[1] Microsoft Edge Download-Seite: https://technet.microsoft.com/de-de/library/bb124413(v=exchg.160).aspx