Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa

Guía de licencias de Microsoft 365 para el cumplimiento de la seguridad &

Use Microsoft Purview para mitigar y administrar los riesgos asociados con el uso de inteligencia artificial e implementar los controles de protección y gobernanza correspondientes.

En las secciones siguientes de esta página se proporciona información general sobre Administración de postura de seguridad de datos para IA y las funcionalidades de Microsoft Purview que proporcionan controles de cumplimiento y seguridad de datos adicionales para acelerar la adopción de Copilots y agentes por parte de su organización, así como otras aplicaciones de IA generativas.

En algunas soluciones de Microsoft Purview, es posible que vea las aplicaciones de inteligencia artificial admitidas agrupadas por los siguientes nombres de categoría:

• Experiencias y agentes de Copilot o experiencias de Microsoft Copilot para copilotos y agentes compatibles que incluyen:

  • Microsoft 365 Copilot
  • Security Copilot
  • Copilot en tejido
  • Copilot Studio

• Aplicaciones de inteligencia artificial empresarial para aplicaciones y agentes de IA que no son de Copilot conectados a su organización a través del registro de Entra, conectores de datos, Fundición de IA de Azure y otros métodos, e incluyen:

  • Aplicaciones de inteligencia artificial registradas en Entra
  • ChatGPT Enterprise
  • Servicios de Azure AI

• Otras aplicaciones de inteligencia artificial que se detectan a través de la actividad del explorador y se clasifican como "IA generativa" en el catálogo de Defender for Cloud Apps, e incluyen:

  • ChatGPT
  • Google Gemini
  • Microsoft Copilot (versión del consumidor)
  • DeepSeek

Para ver un desglose de las funcionalidades admitidas de seguridad y cumplimiento de Microsoft Purview para las interacciones de IA por aplicación, consulte las páginas adicionales identificadas en la tabla siguiente. Cuando estas aplicaciones de inteligencia artificial admiten agentes, heredan las mismas funcionalidades de seguridad y cumplimiento que su aplicación de inteligencia artificial primaria. Sin embargo, para obtener un resumen rápido, consulte Uso de Microsoft Purview para administrar la seguridad de los datos & el cumplimiento de los agentes de inteligencia artificial.

Experiencias y agentes de Copilot	Aplicaciones de inteligencia artificial empresarial	Otras aplicaciones de inteligencia artificial
Microsoft 365 Copilot & Microsoft 365 Copilot Chat	Aplicaciones de inteligencia artificial registradas en Entra	Otras aplicaciones de inteligencia artificial
Seguridad de Microsoft Copilot	Servicios de Azure AI
Microsoft Copilot en Fabric	ChatGPT Enterprise
Microsoft Copilot Studio
Facilitador de Microsoft

Si no está familiarizado con Microsoft Purview, es posible que también le resulte útil una introducción al producto: obtenga información sobre Microsoft Purview.

Administración de postura de seguridad de datos de Microsoft Purview para IA

Use Administración de postura de seguridad de datos de Microsoft Purview (DSPM) para la inteligencia artificial como puerta principal para detectar, proteger y aplicar controles de cumplimiento para el uso de inteligencia artificial en toda la empresa. Esta solución usa controles existentes de la administración de cumplimiento y protección de la información de Microsoft Purview con herramientas gráficas e informes fáciles de usar para obtener rápidamente información sobre el uso de la inteligencia artificial dentro de su organización. Con recomendaciones personalizadas, las directivas de un solo clic le ayudan a proteger los datos y a cumplir los requisitos normativos.

Para obtener más información, consulte Más información sobre Administración de postura de seguridad de datos (DSPM) para la inteligencia artificial.

Microsoft Purview refuerza la protección de la información para aplicaciones de inteligencia artificial

Debido a la potencia y velocidad de la inteligencia artificial puede exponer contenido de forma proactiva, la inteligencia artificial generativa amplifica el problema y el riesgo de compartir o filtrar datos de forma excesiva. Obtenga información sobre cómo las funcionalidades de protección de la información de Microsoft Purview pueden ayudar a fortalecer las soluciones de seguridad de datos existentes.

Etiquetas de confidencialidad e interacciones de IA

Las aplicaciones de inteligencia artificial compatibles con Microsoft Purview usan controles existentes para asegurarse de que los datos almacenados en el inquilino nunca se devuelven al usuario ni los usa un modelo de lenguaje grande (LLM) si el usuario no tiene acceso a esos datos. Cuando los datos tienen etiquetas de confidencialidad de su organización aplicadas al contenido, hay una capa adicional de protección:

• Cuando un archivo está abierto en Word, Excel, PowerPoint o, de forma similar, un evento de correo electrónico o calendario está abierto en Outlook, la confidencialidad de los datos se muestra a los usuarios de la aplicación con el nombre de la etiqueta y las marcas de contenido (como el encabezado o el texto del pie de página) que se han configurado para la etiqueta. Loop componentes y páginas también admiten las mismas etiquetas de confidencialidad.

• Cuando la etiqueta de confidencialidad aplica el cifrado, los usuarios deben tener el derecho de uso EXTRACT, así como VIEW, para que las aplicaciones de inteligencia artificial devuelvan los datos.

• Esta protección se extiende a los datos almacenados fuera del espacio empresarial de Microsoft 365 cuando están abiertos en una aplicación de Office (datos en uso). Por ejemplo, almacenamiento local, recursos compartidos de red y almacenamiento en la nube.

Sugerencia

Si aún no lo ha hecho, se recomienda habilitar las etiquetas de confidencialidad para SharePoint y OneDrive y también familiarizarse con los tipos de archivo y las configuraciones de etiquetas que estos servicios pueden procesar. Cuando las etiquetas de confidencialidad no están habilitadas para estos servicios, los archivos cifrados a los que Copilot y los agentes pueden acceder se limitan a los datos que se usan desde aplicaciones de Office en Windows.

Para obtener instrucciones, vea Habilitar etiquetas de confidencialidad para archivos de Office en SharePoint y OneDrive.

Si aún no usa etiquetas de confidencialidad, consulte Introducción a las etiquetas de confidencialidad.

Cifrado sin etiquetas de confidencialidad e interacciones de inteligencia artificial

Incluso si no se aplica una etiqueta de confidencialidad al contenido, los servicios y productos pueden usar las funcionalidades de cifrado del servicio Azure Rights Management. Como resultado, las aplicaciones de IA todavía pueden comprobar los derechos de uso VIEW y EXTRACT antes de devolver datos y vínculos a un usuario, pero no hay ninguna herencia automática de protección para nuevos elementos.

Sugerencia

Obtendrá la mejor experiencia de usuario cuando use siempre etiquetas de confidencialidad para proteger los datos y una etiqueta aplique el cifrado.

Ejemplos de productos y servicios que pueden usar las funcionalidades de cifrado del servicio Azure Rights Management sin etiquetas de confidencialidad:

• Cifrado de mensajes de Microsoft Purview
• Microsoft Information Rights Management (IRM)
• Conector Microsoft Rights Management
• Microsoft Rights Management SDK

Para otros métodos de cifrado que no usan el servicio Azure Rights Management:

• Copilot no devolverá los correos electrónicos protegidos con S/MIME y Copilot no está disponible en Outlook cuando se abre un correo electrónico protegido con S/MIME.

• Las aplicaciones de inteligencia artificial no pueden acceder a los documentos protegidos con contraseña a menos que el usuario ya los haya abierto en la misma aplicación (datos en uso). Un elemento de destino no hereda las contraseñas.

Al igual que con otros servicios de Microsoft 365, como la exhibición de documentos electrónicos y la búsqueda, los elementos cifrados con la clave de cliente de Microsoft Purview o su propia clave raíz (BYOK) son compatibles y aptos para ser devueltos por Copilot.

Prevención de pérdida de datos e interacciones de inteligencia artificial

Prevención de pérdida de datos de Microsoft Purview (DLP) le ayuda a identificar elementos confidenciales en los servicios y puntos de conexión de Microsoft 365, a supervisarlos y a protegerlos contra la pérdida de esos elementos. Usa la inspección profunda del contenido y el análisis contextual para identificar elementos confidenciales y aplica directivas para proteger datos confidenciales, como registros financieros, información de salud o propiedad intelectual.

Los equipos Windows incorporados a Microsoft Purview se pueden configurar para directivas de prevención de pérdida de datos de punto de conexión (DLP) que advierten o impiden que los usuarios compartan información confidencial con sitios de inteligencia artificial generativos de terceros a los que se accede a través de un explorador. Por ejemplo, se impide que un usuario pegue números de tarjeta de crédito en ChatGPT, o bien ve una advertencia que puede invalidar. Para obtener más información sobre las acciones DLP admitidas y las plataformas que las admiten, consulte las dos primeras filas de la tabla de actividades de punto de conexión en las que puede supervisar y realizar acciones.

Además, una directiva DLP con ámbito en una ubicación de inteligencia artificial puede restringir que las aplicaciones de inteligencia artificial procesen contenido confidencial. Por ejemplo, una directiva DLP puede restringir Microsoft 365 Copilot de resumir archivos en función de etiquetas de confidencialidad como "Extremadamente confidencial". Después de activar esta directiva, Microsoft 365 Copilot y los agentes no resumirán los archivos con la etiqueta "Extremadamente confidencial", pero pueden hacer referencia a ella con un vínculo para que el usuario pueda abrir y ver el contenido mediante Word. Para obtener más información que incluya qué aplicaciones de inteligencia artificial admiten esta configuración DLP, consulte Información sobre la ubicación de la directiva de Microsoft 365 Copilot.

Interacciones de inteligencia artificial y administración de riesgos internos

Administración de riesgos internos de Microsoft Purview ayuda a detectar, investigar y mitigar riesgos internos, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Aprovecha los modelos de aprendizaje automático y varias señales de los indicadores de Microsoft 365 y de terceros para identificar posibles actividades internas malintencionadas o involuntariamente. La solución incluye controles de privacidad, como la seudónimo y el acceso basado en roles, lo que garantiza la privacidad del nivel de usuario y permite a los analistas de riesgo tomar las medidas adecuadas.

Use la plantilla de directiva de uso de IA de riesgo para detectar un uso de riesgo que incluye ataques por inyección de mensajes y acceso a materiales protegidos. La información de estas señales se integra en Microsoft Defender XDR para proporcionar una visión completa de los riesgos relacionados con la inteligencia artificial.

Clasificación de datos e interacciones de IA

La clasificación de datos de Microsoft Purview proporciona un marco completo para identificar y etiquetar datos confidenciales en varios servicios de Microsoft, incluidos Office 365, Dynamics 365 y Azure. La clasificación de datos suele ser el primer paso para garantizar el cumplimiento de las normativas de protección de datos y la protección contra el acceso, la alteración o la destrucción no autorizados. Puede usar clasificaciones de sistema integradas o crear las suyas propias.

Los tipos de información confidencial y los clasificadores entrenables se pueden usar para buscar datos confidenciales en las solicitudes y respuestas del usuario cuando usan aplicaciones de inteligencia artificial. A continuación, la información resultante aparece en el panel de clasificación de datos y el explorador de actividad en Administración de postura de seguridad de datos para IA.

Microsoft Purview admite la administración de cumplimiento para aplicaciones de inteligencia artificial

Las interacciones que usan aplicaciones de inteligencia artificial admitidas se pueden supervisar para cada usuario del inquilino. Por lo tanto, junto con la clasificación de datos, puede usar las funcionalidades de auditoría, cumplimiento de comunicaciones, eDiscovery con búsqueda de contenido y retención y eliminación automáticas de Data Lifecycle Management de Microsoft Purview para administrar este uso de inteligencia artificial.

Interacciones de auditoría e inteligencia artificial

Auditoría de Microsoft Purview soluciones proporcionan herramientas completas para buscar y administrar registros de auditoría de actividades realizadas en varios servicios de Microsoft por usuarios y administradores, y ayudan a las organizaciones a responder de forma eficaz a eventos de seguridad, investigaciones forenses, investigaciones internas y obligaciones de cumplimiento.

Al igual que otras actividades, los mensajes y las respuestas se capturan en el registro de auditoría unificado. Los eventos incluyen cómo y cuándo interactúan los usuarios con la aplicación de inteligencia artificial, y pueden incluir en qué servicio de Microsoft 365 tuvo lugar la actividad y referencias a los archivos almacenados en Microsoft 365 a los que se accedió durante la interacción. Si estos archivos tienen una etiqueta de confidencialidad aplicada, también se captura.

Estos eventos fluyen al explorador de actividad en Administración de postura de seguridad de datos para IA, donde se pueden mostrar los datos de las solicitudes y respuestas. También puede usar la solución Auditar desde el portal de Microsoft Purview para buscar y buscar estos eventos de auditoría.

Para obtener más información, consulte Registros de auditoría para las actividades de Copilot e IA.

Cumplimiento de comunicaciones e interacciones de inteligencia artificial

Cumplimiento de comunicaciones de Microsoft Purview proporciona herramientas para ayudarle a detectar y administrar infracciones de cumplimiento normativo y de conducta empresarial en varios canales de comunicación, entre los que se incluyen solicitudes y respuestas del usuario para las aplicaciones de inteligencia artificial. Está diseñado con privacidad de forma predeterminada, seudónimo de nombres de usuario e incorporación de controles de acceso basados en roles. La solución ayuda a identificar y corregir comunicaciones inapropiadas, como compartir información confidencial, acoso, amenazas y contenido para adultos.

Para más información sobre el uso de directivas de cumplimiento de comunicaciones para aplicaciones de inteligencia artificial, consulte Configuración de una directiva de cumplimiento de comunicaciones para detectar interacciones de IA generativas.

eDiscovery con búsqueda de contenido e interacciones de IA

Microsoft Purview eDiscovery le permite identificar y entregar información electrónica que se puede usar como evidencia en casos legales. Las herramientas de exhibición de documentos electrónicos de Microsoft Purview admiten la búsqueda de contenido en equipos de Exchange Online, OneDrive para la Empresa, SharePoint Online, Microsoft Teams, Grupos de Microsoft 365 y Viva Engage. A continuación, puede impedir que la información se elimine y exportar la información.

Dado que las solicitudes y respuestas del usuario para las aplicaciones de inteligencia artificial se almacenan en el buzón de un usuario, puede crear un caso y usar la búsqueda cuando se selecciona el buzón de un usuario como origen de una consulta de búsqueda. Por ejemplo, seleccione y recupere estos datos del buzón de origen; para ello, seleccione en el generador de consultas Agregar condición>Tipo>igual a cualquiera de las interacciones de>CopilotAgregar o quitar más opciones>.

Una vez que se haya refinado la búsqueda, puede exportar los resultados o agregarlos a un conjunto de revisión. Puede revisar y exportar información directamente desde el conjunto de revisión.

Para más información sobre cómo identificar y eliminar datos de interacción de IA de usuario, consulte Búsqueda y eliminación de datos de Copilot en eDiscovery.

Administración del ciclo de vida de datos e interacciones de inteligencia artificial

Administración del ciclo de vida de Microsoft Purview proporciona herramientas y funcionalidades para administrar el ciclo de vida de los datos de la organización mediante la retención del contenido necesario y la eliminación de contenido innecesario. Estas herramientas garantizan el cumplimiento de los requisitos empresariales, legales y normativos.

Use directivas de retención para conservar o eliminar automáticamente las solicitudes y respuestas del usuario para las aplicaciones de inteligencia artificial. Para obtener información detallada sobre este trabajo de retención, consulte Información sobre la retención para las aplicaciones de Copilot & IA.

Al igual que con todas las directivas de retención y retenciones, si se aplica más de una directiva para la misma ubicación a un usuario, los principios de retención resuelven los conflictos. Por ejemplo, los datos se conservan durante el tiempo más largo de todas las directivas de retención aplicadas o retenciones de exhibición de documentos electrónicos.

Interacciones del Administrador de cumplimiento e IA

Microsoft Purview Compliance Manager es una solución que le ayuda a evaluar y administrar automáticamente el cumplimiento en el entorno multinube. El Administrador de cumplimiento puede ayudarle a lo largo del proceso de cumplimiento, desde realizar un inventario de los riesgos de protección de datos hasta administrar las complejidades de la implementación de controles, estar al corriente de las normativas y certificaciones e informar a los auditores.

Para ayudarle a cumplir con las regulaciones de IA, el Administrador de cumplimiento proporciona plantillas normativas que le ayudarán a evaluar, implementar y reforzar los requisitos de cumplimiento para todas las aplicaciones de IA generativas. Por ejemplo, supervisar las interacciones de IA y evitar la pérdida de datos en las aplicaciones de inteligencia artificial. Para obtener más información, consulte Evaluaciones de las regulaciones de inteligencia artificial.

Otra documentación para ayudarle a proteger y administrar aplicaciones de IA generativas

Anuncio de la entrada de blog: Aceleración de la adopción de la inteligencia artificial con funcionalidades de gobernanza y seguridad de última generación

Microsoft 365 Copilot:

• Documentación de Microsoft 365 Copilot
• Aplicación de principios de Confianza cero a Microsoft 365 Copilot

Recursos relacionados:

• Protección de la inteligencia artificial generativa con Microsoft Entra
• Gobernanza de aplicaciones y datos de inteligencia artificial para el cumplimiento normativo
• Entradas de blog (abril de 2025):
  • Implementación de DSPM de Microsoft Purview para IA para proteger las aplicaciones de inteligencia artificial
  • Uso de DSPM para la evaluación del riesgo de datos de inteligencia artificial para abordar el uso compartido interno