Рекомендации по microsoft Purview Центр ИИ и защиты данных и соответствия требованиям для Copilot

Руководство по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности &

Когда вы понимаете, как использовать Microsoft Purview Центр ИИ и другие возможности для управления безопасностью данных и защитой соответствия для Microsoft 365 Copilot и Microsoft Copilot, используйте следующие подробные сведения для всех предварительных требований, рекомендаций и исключений, которые могут применяться к вашей организации. Для Microsoft Copilot обязательно прочитайте их вместе с требованиями Microsoft 365 Copilot и корпоративной защитой данных в Copilot для Microsoft 365 и Microsoft Copilot.

Сведения о лицензировании для использования этих возможностей для Copilot см. по ссылкам на лицензирование и описание службы в верхней части страницы. Сведения о лицензировании для Copilot см. в описании службы для Microsoft 365 Copilot.

Центр ИИ предварительные требования и рекомендации

По большей части центр ИИ прост в использовании и понятен для самостоятельного использования, помогая вам выполнить предварительные требования и предварительно настроенные отчеты и политики. Используйте этот раздел, чтобы дополнить эту информацию и предоставить дополнительные сведения, которые могут потребоваться.

Предварительные требования для центра ИИ

Чтобы использовать центр ИИ на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview, необходимо выполнить следующие предварительные требования:

• У вас есть необходимые разрешения.

• Требуется для мониторинга взаимодействия с Copilot:

  • Пользователям назначается лицензия на Microsoft 365 Copilot.

  • Аудит Microsoft Purview включен для вашей организации. Хотя это значение по умолчанию, может потребоваться проверка инструкции по включению или отключению аудита.

• Требуется для мониторинга взаимодействия со сторонними генерируемыми сайтами ИИ:

  • Устройства подключены к Microsoft Purview, что требуется для:

    • Получение видимости конфиденциальной информации, которая предоставляется сторонним сайтам искусственного интеллекта. Например, пользователь вставляет кредитные карта числа в ChatGPT.
    • Применение политик защиты от потери данных на конечных точках для предупреждения или запрета доступа пользователей к конфиденциальной информации сторонним генерируемым сайтам ИИ. Например, пользователь, идентифицированный как повышенный риск в адаптивной защите, блокируется с возможностью переопределения при вставке кредитных карта чисел в ChatGPT.

  • Расширение браузера Microsoft Purview развертывается для пользователей и требуется для обнаружения посещений сайтов сторонних генерируемых сайтов ИИ.

Дополнительные сведения о предварительных требованиях для аудита, подключения устройств и расширения браузера см. в самом центре ИИ: Переход к разделу Обзор>Начало работы .

Список поддерживаемых в настоящее время сторонних приложений ИИ см. в статье Поддерживаемые сайты ИИ Microsoft Purview для защиты данных и обеспечения соответствия требованиям.

Примечание.

Административные единицы не поддерживаются в центре ИИ. В результате администратор, назначенный определенной административной единице, может выполнять действия для всех пользователей в клиенте и просматривать данные этих пользователей. Например, создайте политики и просмотрите аналитику с событиями обозревателя действий для пользователей, которые не являются назначенными административными единицами.

Политики одним щелчком из центра ИИ

После создания политик по умолчанию их можно просмотреть и изменить в любое время из соответствующих областей решения на портале. Например, вы хотите область политики определенным пользователям во время тестирования или в соответствии с бизнес-требованиями. Вы также хотите добавить или удалить классификаторы, которые используются для обнаружения конфиденциальной информации. Используйте страницу Политики , чтобы быстро перейти в нужное место на портале.

При удалении какой-либо из политик их состояние на странице Политики отображается pendingDeletion и продолжает отображаться как созданное в соответствующих карточках рекомендаций до завершения процесса удаления.

Для меток конфиденциальности и их политик просмотрите и измените их независимо от центра ИИ, перейдя к Information Protection на портале. Для получения дополнительных сведений используйте ссылки на конфигурацию в разделе Метки и политики по умолчанию для защиты данных.

Примечание.

Политики защиты от потери данных (DLP) поддерживают обнаружение конфиденциальной информации, вставленной в браузер или передаваемой на сторонние сайты, но в настоящее время не поддерживают обнаружение конфиденциальной информации, введенной в возвращенные запросы или ответы.

Дополнительные сведения о поддерживаемых действиях защиты от потери данных и о том, какие платформы поддерживают их, см. в первых двух строках таблицы из раздела Действия конечных точек, которые можно отслеживать и выполнять.

Политики по умолчанию для обнаружения данных для ИИ

• Политика защиты от потери данных: Центр ИИ Майкрософт — обнаружение конфиденциальных запросов в помощниках по ИИ

  Эта политика обнаруживает конфиденциальное содержимое, вставленное или передаваемое в Edge, Chrome и Firefox другим помощникам по ИИ. Эта политика распространяется только на всех пользователей и группы в вашей организации в режиме аудита.

• Политика управления внутренними рисками: Центр ИИ Майкрософт — просмотр в помощниках по ИИ

  Эта политика создает политику управления внутренними рисками, чтобы определить, когда пользователи используют браузер для посещения других помощников по искусственному интеллекту.

Политики безопасности данных по умолчанию для защиты конфиденциальных данных, используемые в генеративном ИИ

• Политика защиты от потери данных Центр ИИ Майкрософт — адаптивная защита в помощниках по ИИ

  Эта политика использует адаптивную защиту для предоставления предупреждения с переопределением пользователям с повышенным уровнем риска, пытающимся вставить или передать конфиденциальную информацию другим помощникам по искусственному интеллекту в Edge, Chrome и Firefox. Эта политика распространяется на всех пользователей и группы в организации в тестовом режиме.

  Адаптивная защита включена, если она еще не включена, с использованием уровней риска по умолчанию для всех пользователей и групп для динамического применения действий защиты. Дополнительные сведения см. в статье Быстрая настройка.

• Защита информации

  Этот параметр создает метки конфиденциальности по умолчанию и политики меток конфиденциальности.

  Если вы уже настроили метки конфиденциальности и их политики, эта конфигурация будет пропущена.

События обозревателя действий

Используйте следующие сведения, чтобы понять события, которые могут отображаться в обозревателе действий центра ИИ. Ссылки на генерируемый сайт ИИ могут включать Microsoft 365 Copilot, Microsoft Copilot и сторонние сайты ИИ.

Событие	Описание
Взаимодействие с ИИ	Пользователь взаимодействовал с генерируемым сайтом ИИ. Сведения о Microsoft 365 Copilot и Microsoft Copilot включают в себя запросы и ответы.
Визит по искусственному интеллекту	Пользователь просматривает сайт генеративного ИИ.
Соответствие правил защиты от потери данных	Правило защиты от потери данных сопоставлялось, когда пользователь взаимодействовал с генерируемым сайтом ИИ.
Обнаружены типы конфиденциальной информации	Типы конфиденциальной информации были найдены во время взаимодействия пользователя с генеративным сайтом ИИ.

Известные проблемы, связанные с предварительной версией:

• Событие взаимодействия СИ не всегда отображает текст для запроса и ответа Copilot. Иногда запрос и ответ охватывают последовательные записи. Другие сценарии могут включать:

  • Copilot для Word, когда пользователь выбирает Вдохновить меня для существующего документа, запрос не отображается
  • Copilot для Word, когда документ не содержит содержимого или содержит содержимое, но не сохраняется, запрос или ответ не отображается.
  • Copilot для Excel, когда пользователь просит создать аналитические сведения о данных, запрос или ответ не отображается
  • Copilot для Excel, когда пользователь просит выделить ячейки или формат, запрос или ответ не отображается
  • Copilot для PowerPoint, когда презентация не сохраняется, запрос или ответ не отображается
  • Copilot для Teams, запрос не отображается
  • Copilot для Whiteboard, запрос или ответ не отображается
  • Copilot в Forms запрос или ответ не отображается

• Событие сопоставления правил защиты от потери данных не отображается для дочерних сайтов. Например, он не будет отображаться для bing.com/chat, так как /chat является дочерним сайтом из bing.com.

• • Обнаруженное событие Типа конфиденциальной информации не отображает уровень риска пользователя.

Рекомендации по защите информации для Copilot

Microsoft 365 Copilot имеет возможность доступа к данным, хранящимся в клиенте Microsoft 365, включая почтовые ящики в Exchange Online и документы в SharePoint или OneDrive.

Помимо доступа к содержимому Microsoft 365, Copilot также может использовать содержимое из конкретного файла, над которым вы работаете, в контексте сеанса приложения Office, независимо от того, где хранится этот файл. Например, локальное хранилище, сетевые ресурсы, облачное хранилище или USB-накопитель. Когда файлы открываются пользователем в приложении, доступ часто называется используемыми данными.

Перед развертыванием Microsoft 365 Copilot убедитесь, что вы знакомы со следующими сведениями, которые помогут вам укрепить решения для защиты данных:

• Если содержимое предоставляет пользователю права на использование VIEW, но не extract:

  • Если у пользователя открыто это содержимое в приложении, он не сможет использовать Copilot.
  • Copilot не будет суммировать это содержимое, но может ссылаться на него по ссылке, чтобы пользователь затем смог открыть и просмотреть содержимое за пределами Copilot.

• Как и в приложениях Office, Microsoft 365 Copilot могут получать доступ к меткам конфиденциальности из вашей организации, но не из других организаций. Дополнительные сведения о поддержке маркировки в организациях см. в разделе Поддержка внешних пользователей и содержимого с метками.

• Расширенный параметр PowerShell для меток конфиденциальности может запретить приложениям Office отправлять содержимое в некоторые подключенные интерфейсы, включая Microsoft 365 Copilot.

• Copilot не может получить доступ к нераскрытым документам в SharePoint и OneDrive, если они помечены и зашифрованы с пользовательскими разрешениями. Copilot может получить доступ к этим документам для пользователя, когда они открыты в приложении (данные используются).

• Метки конфиденциальности, применяемые к группам и сайтам (также называемые метками контейнеров), не наследуются элементами в этих контейнерах. В результате элементы не будут отображать метку контейнера в Copilot и не могут поддерживать наследование меток конфиденциальности. Например, сообщения чата канала Teams, сводные данные из команды, помеченной как Конфиденциальные, не будут отображаться для контекста конфиденциальности в Business Chat. Аналогичным образом на страницах сайтов и в списках SharePoint не отображается метка конфиденциальности метки контейнера.

• Если вы используете параметры библиотеки управления правами на доступ к данным SharePoint (IRM), которые запрещают пользователям копировать текст, имейте в виду, что права на использование применяются при скачивании файлов, а не при их создании или отправке в SharePoint. Если вы не хотите, чтобы Copilot обобщал эти файлы, когда они неактивные, используйте метки конфиденциальности, которые применяют шифрование без права использования EXTRACT.

• В отличие от других сценариев автоматического применения меток, наследуемая метка при создании нового содержимого заменит метку с более низким приоритетом, примененную вручную.

• Если наследуемая метка конфиденциальности не может быть применена, текст не будет добавлен в целевой элемент. Например:

  • Конечный элемент доступен только для чтения
  • Целевой элемент уже зашифрован, и у пользователя нет разрешений на изменение метки (требуются права на использование EXPORT или FULL CONTROL).
  • Наследуемая метка конфиденциальности не публикуется для пользователя

• Если пользователь просит Copilot создать новое содержимое из помеченных и зашифрованных элементов, наследование меток не поддерживается, если шифрование настроено для определенных пользователем разрешений или если шифрование было применено независимо от метки. Пользователь не сможет отправить эти данные в целевой элемент.

• Так как шифрование с двойным ключом (DKE) предназначено для наиболее конфиденциальных данных, на которые распространяются самые строгие требования к защите, Copilot не может получить доступ к этим данным. В результате Copilot не вернет элементы, защищенные DKE, и если элемент DKE открыт (используются данные), вы не сможете использовать Copilot в приложении.

• Метки конфиденциальности, защищающие собрания и чат Teams , в настоящее время не распознаны Copilot. Например, данные, возвращаемые из чата собрания или чата канала, не будут отображать связанную метку конфиденциальности, копирование данных чата для целевого элемента невозможно, а метка конфиденциальности не может быть унаследована. Это ограничение не применяется к приглашениям на собрания, ответам и событиям календаря, защищенным метками конфиденциальности.

• Для Business Chat (ранее — чат на основе графов и Microsoft 365 Chat):

  • Если к приглашениям на собрание применяется метка конфиденциальности, метка применяется к тексту приглашения на собрание, но не к метаданным, таким как дата и время или получатели. В результате вопросы, основанные только на метаданных, возвращают данные без метки. Например, "Какие собрания у меня есть в понедельник?" Вопросы, включающие текст собрания, например повестку дня, возвращают данные как помеченные.
  • Если содержимое шифруется независимо от примененной метки конфиденциальности и это шифрование не предоставляет пользователю права на использование EXTRACT (но включает право view usage), содержимое может быть возвращено Copilot и, следовательно, отправлено в исходный элемент. Пример такой конфигурации может возникнуть, если пользователь применил ограничения Office в службе управления правами на доступ к данным, когда документ помечен как "Общий", а эта метка не применяет шифрование.
  • Если для возвращаемого содержимого применена метка конфиденциальности, пользователи не увидят параметр Изменить в Outlook , так как эта функция в настоящее время не поддерживается для помеченных данных.
  • Если вы используете возможности расширения, включающие подключаемые модули и соединитель Microsoft Graph, Business Chat не распознают метки конфиденциальности и шифрование, применяемые к этим данным из внешних источников. В большинстве случаев это ограничение не применяется, так как данные вряд ли поддерживают метки конфиденциальности и шифрование, хотя одним из исключений являются данные Power BI. Вы всегда можете отключить внешние источники данных, используя Центр администрирования Microsoft 365, чтобы отключить эти подключаемые модули для пользователей и отключить подключения, использующие соединитель API Graph.

Исключения, относящиеся к приложению:

• Microsoft 365 Copilot в Outlook. Для использования Microsoft 365 Copilot для зашифрованных элементов в Outlook требуется минимальная версия Outlook:

  • Outlook (классическая версия) для Windows: начиная с версии 2408 в Current Channel и Monthly Enterprise Channel
  • Outlook для Mac: версия 16.86.609+
  • Outlook для iOS: версия 4.2420.0+
  • Outlook для Android: версия 4.2420.0+
  • Outlook в Интернете: Да
  • Новый Outlook для Windows: Да

• Microsoft 365 Copilot в Edge, Microsoft 365 Copilot в Windows. Если в Edge не используется защита от потери данных (DLP), Copilot может ссылаться на зашифрованное содержимое на активной вкладке браузера в Edge, если это содержимое не предоставляет пользователю права на использование EXTRACT. Например, зашифрованное содержимое из Office для Интернета или Outlook для Интернета.

Будет ли существующую метку переопределяться для наследования меток конфиденциальности?

Сводка результатов, когда Copilot автоматически применяет защиту с наследованием меток конфиденциальности:

Существующая метка	Переопределение с наследованием меток конфиденциальности
Применение вручную с более низким приоритетом	Да
Применение вручную с более высоким приоритетом	Нет
Применяется автоматически, более низкий приоритет	Да
Применяется автоматически, более высокий приоритет	Нет
Метка по умолчанию из политики, более низкий приоритет	Да
Метка по умолчанию из политики, более высокий приоритет	Нет
Метка конфиденциальности по умолчанию для библиотеки документов, более низкий приоритет	Да
Метка конфиденциальности по умолчанию для библиотеки документов с более высоким приоритетом	Нет

Copilot учитывает существующую защиту с правом использования EXTRACT

Хотя вы, возможно, не очень знакомы с отдельными правами на использование зашифрованного содержимого, они уже давно. От Windows Server Rights Management до Active Directory Rights Management до облачной версии, которая стала Azure Information Protection со службой Azure Rights Management.

Если вы когда-либо получали сообщение "Не пересылать", оно использует права на использование, чтобы предотвратить пересылку сообщения после проверки подлинности. Как и в случае с другими упакованными правами на использование, которые сопоставляются с распространенными бизнес-сценариями, электронная почта "Не пересылать" предоставляет получателю права на использование, которые определяют, что они могут делать с содержимым, и не включает право использования FORWARD. Помимо не переадресации, вы не можете распечатать сообщение не пересылать сообщение электронной почты или скопировать текст из него.

Право на использование, предоставляющее разрешение на копирование текста, — EXTRACT, с более понятным общим именем Copy. Именно это право на использование определяет, может ли Microsoft 365 Copilot отображать текст для пользователя из зашифрованного содержимого.

Примечание.

Так как право на использование полный доступ (ВЛАДЕЛЕЦ) включает все права на использование, функция EXTRACT автоматически включается в полный доступ.

При использовании портала Microsoft Purview или Портал соответствия требованиям Microsoft Purview для настройки метки конфиденциальности для применения шифрования в первую очередь следует выбрать, назначить разрешения сейчас или разрешить пользователям назначать разрешения. Если вы назначите разрешения сейчас, вы можете настроить их, выбрав предопределенный уровень разрешений с предустановленной группой прав на использование, например Co-Author или Рецензент. Кроме того, можно выбрать настраиваемые разрешения, в которых можно выбрать доступные права на использование по отдельности.

На портале Microsoft Purview право на использование EXTRACT отображается как Копирование и извлечение содержимого(EXTRACT). Например, выбранный по умолчанию уровень разрешений — Редактор, где отображается элемент Копирование и извлечение содержимого (EXTRACT). В результате содержимое, защищенное этой конфигурацией шифрования, может быть возвращено Microsoft 365 Copilot:

Если выбрать Пользовательский в раскрывающемся списке, а затем полный доступ(ВЛАДЕЛЕЦ) в списке, эта конфигурация также предоставит право использования EXTRACT.

Примечание.

Пользователь, применяющий шифрование, всегда имеет право на использование EXTRACT, так как он является владельцем Rights Management. Эта специальная роль автоматически включает в себя все права на использование и некоторые другие действия. Это означает, что содержимое, зашифрованное пользователем, всегда может быть возвращено им Microsoft 365 Copilot. Настроенные ограничения на использование применяются к другим пользователям, которым разрешен доступ к содержимому.

Кроме того, если выбрать конфигурацию шифрования, чтобы разрешить пользователям назначать разрешения, для Outlook эта конфигурация включает предопределенные разрешения для параметра Не пересылать и только шифровать. Параметр Encrypt-Only, в отличие от Не пересылать, включает право на использование EXTRACT.

При выборе настраиваемых разрешений для Word, Excel и PowerPoint пользователи выбирают собственные разрешения в приложении Office при применении метки конфиденциальности. В настоящее время существует две версии диалогового окна. В более старой версии они получают информацию о том, что из двух выбранных вариантов чтение не включает разрешение на копирование содержимого, но функция Change — . Эти ссылки для копирования ссылаются на право использования EXTRACT. Если пользователь выбирает Дополнительные параметры, он может добавить право extract usage (Извлечение использования) в раздел Чтение, выбрав Разрешить пользователям с доступом на чтение копировать содержимое.

В последней версии диалогового окна чтение и изменение заменяется уровнями разрешений, где описания, которые не разрешено копировать состояния, не включают право на использование EXTRACT. Уровни разрешений, которые включают EXTRACT, — это Редактор и владелец. Например:

Совет

Если необходимо проверка, содержит ли документ право на просмотр EXTRACT, откройте его в приложении Windows Office и настройте строку состояния, чтобы отобразить разрешения. Щелкните значок рядом с именем метки конфиденциальности, чтобы отобразить мое разрешение. Просмотрите значение параметра Копировать, которое сопоставляется с правому использованию EXTRACT, и убедитесь, что отображается значение "Да" или "Нет".

Если для сообщений электронной почты разрешения не отображаются в верхней части сообщения в Outlook для Windows, выберите информационный баннер с именем метки, а затем выберите Просмотр разрешения.

Copilot соблюдает право на использование EXTRACT для пользователя, однако оно было применено к содержимому. В большинстве случаев, когда содержимое помечено, предоставленные пользователю права на использование соответствуют правам из конфигурации меток конфиденциальности. Однако существуют некоторые ситуации, которые могут привести к тому, что права на использование содержимого отличаются от примененной конфигурации меток:

• Метка конфиденциальности применяется после того, как уже применены права на использование
• Права на использование применяются после применения метки конфиденциальности

Дополнительные сведения о настройке метки конфиденциальности для шифрования см. в статье Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.

Технические сведения о правах на использование см. в статье Настройка прав на использование для Azure Information Protection.

Рекомендации по управлению соответствием требованиям для Copilot

Управление соответствием требованиям для взаимодействия с Microsoft 365 Copilot и Microsoft Copilot распространяется на Word, Excel, PowerPoint, Outlook, Teams, Loop и Copilot Pages, Whiteboard, OneNote и Business Chat (ранее — Graph-grounded). чат и Microsoft 365 Chat).

Примечание.

Управление соответствием требованиям для Copilot включает в себя запросы и ответы на общедоступный веб-сайт и из нее, когда пользователи вошли в систему и выбирают параметр Работа , а не Интернет.

Средства соответствия требованиям определяют исходные взаимодействия Copilot по имени приложения. Например, Copilot в Word, Copilot в Teams и Microsoft 365 Chat (для Business Chat и Microsoft Copilot).

Перед развертыванием Microsoft 365 Copilot и Microsoft Copilot убедитесь, что вы знакомы со следующими сведениями для поддержки решений для управления соответствием требованиям.

• Данные аудита предназначены для обеспечения безопасности и соответствия данным, а также обеспечивают всестороннюю видимость взаимодействия Copilot для этих вариантов использования. Например, для обнаружения рисков чрезмерного совместного использования данных или сбора взаимодействий в целях соответствия нормативным требованиям или в юридических целях. Он не предназначен для использования в качестве основы для отчетов об использовании Copilot.

  Примечание.

  Любые агрегированные метрики, созданные на основе этих данных аудита, такие как "количество запросов" или "количество активных пользователей", могут не соответствовать соответствующим точкам данных в официальных отчетах об использовании Copilot, предоставляемых корпорацией Майкрософт. Корпорация Майкрософт не может предоставить рекомендации по использованию данных журнала аудита в качестве основы для создания отчетов об использовании. Кроме того, корпорация Майкрософт не может предоставить рекомендации по тому, что агрегированные метрики использования, созданные на основе данных журнала аудита, будут соответствовать аналогичным метрикам использования, представленным в других средствах.

  Чтобы получить точные сведения об использовании Copilot, используйте один из следующих отчетов: отчет об использовании Microsoft 365 Copilot в центре Microsoft 365 Admin или панель мониторинга Copilot в Viva Insights.

• Аудит фиксирует действия Copilot при поиске, но не фактический запрос или ответ пользователя. Для получения этих сведений используйте обнаружение электронных данных. Или в центре ИИ используйте взаимодействие СИ на странице обозревателя действий .

• Администратор изменения, связанные с аудитом Copilot, пока не поддерживаются.

• Сведения об идентификации устройства в настоящее время не включаются в сведения об аудите.

• Политики хранения для взаимодействий Copilot не информируют пользователей о том, что сообщения удаляются в результате политики хранения.

Исключения, относящиеся к приложению:

• Microsoft 365 Copilot в Teams:
  • Если расшифровка отключена, возможности аудита, обнаружения электронных данных и хранения не поддерживаются.
  • Если ссылки на расшифровки имеются, это действие не записывается для аудита.
  • Для Business Chat в Teams Copilot в настоящее время не может хранить в виде облачных вложений файлы, которые он возвращает пользователям. Файлы, на которые ссылаются пользователи, поддерживаются для хранения в виде облачных вложений.