Microsoft Purview AI 中樞的考慮,以及適用於 Microsoft Copilot 的數據安全性與合規性保護
當您瞭解如何使用 Microsoft Purview AI Hub 和其他功能來管理適用於 Microsoft 365 的 Copilot 數據安全性與合規性保護時,請針對可能套用至貴組織的任何必要條件、考慮和豁免使用下列詳細資訊。 若要Microsoft Copilot,請務必與 Microsoft Copilot 一起閱讀這些Microsoft 365 需求。
如需針對 Copilot 使用這些功能的授權資訊,請參閱頁面頂端的授權和服務描述連結。 如需 Copilot 的授權資訊,請 參閱 Microsoft 365 Microsoft Copilot 的服務描述。
AI 中樞必要條件和考慮
在大部分情況下,AI 中樞易於使用且自我說明,可引導您完成必要條件和預先設定的報告和原則。 使用本節來補充該資訊,並提供您可能需要的其他詳細數據。
AI 中樞的必要條件
若要從 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站使用 AI 中樞,您必須具備下列必要條件:
您有 正確的許可權。
監視與適用於 Microsoft 365 的 Copilot 互動所需的專案:
Microsoft已為您的組織啟用 Purview 稽核。 雖然這是預設值,但您可能想要檢查 開啟或關閉稽核的指示。
監視與第三方產生 AI 網站互動所需的專案:
裝置 已上線至 Microsoft Purview,其必要條件如下:
- 取得與第三方產生 AI 網站共用之敏感性信息的可見度。 例如,使用者將信用卡號碼貼到 ChatGPT 中。
- 套用端點 DLP 原則來警告或封鎖使用者與第三方產生 AI 網站共用敏感性資訊。 例如,在調適型保護中識別為較高風險的使用者會遭到封鎖,並可選擇在將信用卡號碼貼到 ChatGPT 時覆寫。
Microsoft Purview 瀏覽器擴充功能會部署至使用者,而且需要探索第三方產生 AI 網站的網站流覽。
您會在 AI 中樞本身找到稽核、裝置上線和瀏覽器擴充功能必要條件的詳細資訊:流覽至 [分析>開始使用] 區段。
如需目前支援的第三方 AI 應用程式清單,請 參閱依 Microsoft Purview 支援的 AI 網站,以取得資料安全性和合規性保護。
AI 中樞的許可權
當負責管理 AI 應用程式的安全性與合規性小組成員 登入 Microsoft Purview 入口網站或登入 Microsoft Purview 合規性入口網站時,需要 AI 中樞的許可權。
| AI 中樞活動 | 其中一個角色群組的成員 |
|---|---|
| 所有活動 | - Microsoft合規性系統管理員 - Microsoft全域管理員 - Microsoft合規性系統管理員 * |
| 在活動總管中檢視內部風險管理事件 | - 測試人員風險管理分析師 - 測試人員風險管理調查人員 |
* 若要開啟稽核並查看其狀態,也需要 Exchange 系統管理中心的稽核記錄角色。
若要協助您將正確的許可權指派給使用者,請根據您使用的入口網站,使用下列指引:
AI 中樞的單鍵原則
建立默認原則之後,您可以隨時從入口網站中各自的解決方案區域檢視和編輯它們。 例如,您想要在測試期間或針對商務需求,將原則的範圍設定為特定使用者。 或者,您想要新增或移除用來偵測敏感性資訊的分類器。 使用 [ 原則] 頁面,快速流覽至入口網站中的正確位置。
如需敏感度標籤及其原則,請在入口網站中流覽至 資訊保護 ,從 AI 中樞獨立檢視和編輯這些標籤。 如需詳細資訊,請使用 預設標籤和原則中的組態連結來保護您的數據。
注意事項
數據外洩防護 (DLP) 原則支援偵測要貼到瀏覽器或上傳至第三方網站的敏感性資訊,但目前不支援偵測輸入提示或傳回回應的敏感性資訊。
如需支援的 DLP 動作以及哪些平臺支援它們的詳細資訊,請參閱數據表中 您可以監視並採取動作之端點活動的前兩個數據列。
AI 數據探索的默認原則
DLP 原則: Microsoft AI 中樞 - 探索 AI 助理中的敏感性提示
此原則會探索要貼上或上傳至 Edge、Chrome 和 Firefox 的敏感性內容給其他 AI 助理。 此原則僅涵蓋您組織中稽核模式中的所有使用者和群組。
測試人員風險管理原則: Microsoft AI 中樞 - 在 AI 助理中流覽
此原則會建立測試人員風險管理原則,以偵測使用者何時使用瀏覽器流覽其他 AI 助理。
數據安全性的默認原則,可協助您保護在產生 AI 中使用的敏感數據
AI 中樞Microsoft DLP 原則 - AI 助理中的調適型保護
此原則會使用調適型保護,為嘗試貼上或上傳敏感性資訊至Edge、Chrome和 Firefox 中其他 AI 助理的風險提升者提供警告與覆寫。 此原則涵蓋您組織中所有處於測試模式的使用者和群組。
如果尚未開啟自適性保護,則會針對所有使用者和群組使用預設風險層級來動態強制執行保護動作。 如需詳細資訊,請 參閱快速設定。
資訊保護
此選項會建立 預設敏感度標籤和敏感度標籤原則。
如果您已設定敏感度標籤及其原則,則會略過此設定。
活動總管事件
使用下列資訊可協助您瞭解您可能會在 AI 中樞活動總管中看到的事件。 對產生 AI 網站的參考可以包含 Microsoft Copilot 和第三方 AI 網站。
| 事件 | 描述 |
|---|---|
| AI 互動 | 用戶與產生的 AI 網站互動。 |
| AI 造訪 | 用戶流覽至產生的 AI 網站。 |
| 分類戳記 | 當使用者與產生的 AI 網站互動時,會找到敏感性資訊類型。 |
| DLP 規則相符專案 | 當使用者與產生的 AI 網站互動時,會比對數據外洩防護規則。 |
預覽的已知問題:
- 分類戳記事件不會顯示用戶風險層級。
- 子網站不會顯示 DLP 規則比 對事件。 例如,因為 /chat 是來自 bing.com 的子網站,所以不會顯示 bing.com/chat。
Copilot 的信息保護考慮
Microsoft Copilot for Microsoft 365 能夠存取Microsoft 365 租使用者內儲存的數據,包括 Exchange Online 中的信箱和 SharePoint 或 OneDrive 中的檔。
除了存取 Microsoft 365 內容之外,Copilot 也可以使用您在 Office 應用程式會話內容中處理之特定檔案的內容,而不論該檔案的儲存位置為何。 例如,本機記憶體、網路共用、雲端記憶體或USB遊戲桿。 當使用者在應用程式內開啟檔案時,存取通常稱為使用 中的數據。
在部署適用於 Microsoft 365 的 Copilot 之前,請確定您已熟悉下列詳細數據,以協助您加強數據保護解決方案:
如果內容授與使用者 VIEW 許可權,但未 授與 EXTRACT:
- 當使用者在應用程式中開啟此內容時,他們將無法使用 Copilot。
- Copilot 不會摘要說明此內容,但可以使用連結加以參考,讓使用者可以開啟並檢視 Copilot 外部的內容。
就像您的 Office 應用程式一樣,適用於 Microsoft 365 的 Copilot 可以從組織存取敏感度標籤,但無法存取其他組織。 如需跨組織標記支援的詳細資訊,請參閱 支援外部使用者和加上標籤的內容。
敏感度標籤的進階 PowerShell 設定可 防止 Office 應用程式將內容傳送至某些連線體驗,其中包括適用於 Microsoft 365 的 Copilot。
在 SharePoint 和 OneDrive 支援搜尋以使用者定義許可權標記 和加密的待用數據之前,Copilot 將無法存取這些檔。 Copilot 可以在應用程式中開啟以使用者定義許可權加密的檔, (使用中的數據) 。
套用至群組和網站的敏感度標籤 (也稱為「容器標籤」) 不會由這些容器中的項目繼承。 因此,專案不會在 Copilot 中顯示其容器標籤,而且無法支援敏感度標籤繼承。 例如,從標示為機密的小組摘要的Teams頻道聊天訊息,不會在以 Copilot 圖形為基礎的聊天中顯示敏感度內容的標籤Microsoft。 同樣地,來自 SharePoint 網站頁面和清單的內容不會顯示其容器標籤的敏感度標籤。
如果您使用 SharePoint 資訊版權管理 (IRM) 連結庫設定來限制使用者複製文字,請注意,下載檔案時會套用許可權 ,而不是在建立或上傳至 SharePoint 時套用許可權。 如果您不想讓 Copilot 在待用檔案時摘要這些檔案,請使用不具 EXTRACT 使用權的敏感度標籤來套用加密。
不同於其他自動套用標籤案例, 當您建立新內容時繼承的標籤 將會取代手動套用的較低優先順序標籤。
無法套用繼承的敏感度標籤時,文字將不會新增至目的地專案。 例如:
- 目的地專案是唯讀的
- 目的地專案已加密,且使用者沒有許可權變更標籤 (需要EXPORT或 FULL CONTROL 許可權)
- 繼承的敏感度標籤未發佈給使用者
如果使用者要求 Copilot 從已加上標籤和加密的專案建立新內容,則在針對 使用者定義 許可權設定加密時,或是從標籤獨立套用加密時,不支援卷標繼承。 使用者將無法將此數據傳送至目的地專案。
由於 雙重密鑰加密 (DKE) 適用於受限於最嚴格保護需求的最敏感數據,因此 Copilot 無法存取此數據。 因此,受 DKE 保護的專案將不會由 Copilot 傳回,而且如果 DKE 專案已開啟 (使用中的數據) ,您將無法在應用程式中使用 Copilot。
Copilot 目前無法辨識 保護 Teams 會議和聊天 的敏感度標籤。 例如,從會議聊天或頻道聊天傳回的數據不會顯示相關聯的敏感度標籤,無法防止目的地專案複製聊天數據,而且無法繼承敏感度標籤。 這項限制不適用於受敏感度標籤保護的會議邀請、回應和行事曆事件。
針對先前稱為 Microsoft 365 聊天) 的 Microsoft Copilot 圖形式聊天 (:
- 當會議邀請套用敏感度標籤時,標籤會套用至會議邀請的本文,但不會套用至元數據,例如日期和時間或收件者。 因此,僅以元數據為基礎的問題會傳回沒有標籤的數據。 例如,「我星期一有哪些會議?」包含會議本文的問題,例如議程,會傳回標示的數據。
- 如果內容與其套用的敏感度標籤分開加密,而且該加密不會授與使用者 EXTRACT 許可權 (但包含 VIEW 使用權) ,則內容可以由 Copilot 傳回,因此會傳送至來源專案。 當文件標示為「一般」且該標籤不套用加密時,如果使用者已從信息版權管理套用 Office 限制,就會發生此設定的範例。
- 當傳回的內容已套用敏感度標籤時,使用者將不會看到 [在 Outlook 中編輯 ] 選項,因為此功能目前不支援已加上標籤的數據。
- 如果您使用 包含外掛程式和 Microsoft Graph 連接器的擴充功能,則 Copilot 圖形接地聊天無法辨識從外部來源套用至此數據的敏感度標籤和加密。 此限制在大部分的情況下不會套用,因為數據不太可能支援敏感度標籤和加密,但 Power BI 資料有一個例外。 您一律可以使用 Microsoft 365 系統管理中心為使用者關閉這些外掛程式,以及 中斷使用圖形 API 連接器的連線,以中斷外部數據源的連線。
應用程式特定例外狀況:
Outlook 中的 Copilot:用戶無法將 Copilot 用於 Outlook (Windows 傳統) 中的加密專案。 Outlook 中的 Copilot 支援其他平臺的加密專案:
- Mac 版 Outlook:16.86.609+ 版
- iOS 版 Outlook:4.2420.0+ 版
- Android 版 Outlook:4.2420.0+ 版
- Outlook 網頁版:是
- Windows 版新 Outlook:是
Edge 中的 Copilot、 Windows 中的 Copilot:除非 在 Edge 中使用數據外洩防護 (DLP) ,否則當該內容未授與使用者 EXTRACT 使用許可權時,Copilot 可以從 Edge 的 [使用中瀏覽器] 索引卷標參考加密的內容。 例如,加密的內容是來自 Office 網頁版或 Outlook 網頁版。
是否要覆寫現有的標籤以進行敏感度標籤繼承?
Copilot 自動套用具有敏感度標籤繼承的保護時的結果摘要:
| 現有標籤 | 使用敏感度標籤繼承覆寫 |
|---|---|
| 手動套用,優先順序較低 | 是 |
| 手動套用,優先順序較高 | 否 |
| 自動套用,較低優先順序 | 是 |
| 自動套用,優先順序較高 | 否 |
| 來自原則的默認標籤,優先順序較低 | 是 |
| 來自原則的默認標籤,較高優先順序 | 否 |
| 文檔庫的默認敏感度標籤,優先順序較低 | 是 |
| 文檔庫的默認敏感度標籤,優先順序較高 | 否 |
Copilot 接受具有 EXTRACT 使用權的現有保護
雖然您可能不太熟悉加密內容的個別許可權,但它們已經過很長的時間。 從 Windows Server Rights Management 到 Active Directory Rights Management,到使用 Azure Rights Management 服務成為 Azure 資訊保護的雲端版本。
如果您曾收到「不可轉寄」電子郵件,它會使用許可權防止您在經過驗證後轉寄電子郵件。 如同對應至常見商務案例的其他配套許可權,「不可轉寄」電子郵件會授與收件者許可權,以控制他們可對內容執行的動作,且不包含 FORWARD 使用權。 除了不轉寄之外,您也無法列印此「不可轉寄」電子郵件,或從中複製文字。
授與複製文字許可權的許可權是 EXTRACT,其用戶易記的常見名稱為 Copy。 這是決定適用於 Microsoft 365 的 Copilot 是否可以從加密內容向使用者顯示文字的許可權。
注意事項
由於 [完整控制權 (OWNER) 許可權包含所有許可權,因此 EXTRACT 會自動包含在 [完全控制] 中。
當您使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站來設定敏感度標籤以套用加密時,第一個選擇是立即指派許可權,還是讓使用者指派許可權。 如果您現在指派許可權,請選取具有默認許可權群組的預先定義許可權等級來設定許可權,例如 Co-Author 或檢閱者。 或者,您可以選取可個別選取可用許可權的自定義許可權。
在入口網站中,EXTRACT 許可權會顯示為 複製和擷取內容 (EXTRACT) 。 例如,選取的默認許可權層級是 共同撰寫,您會在其中看到包含 EXTRACT) (複製和擷取內容 。 因此,使用此加密設定保護的內容可由 Copilot 傳回,Microsoft 365:
如果您從下拉式方塊中選取 [ 自定義 ],然後從清單中選取 [ 完全控制 (OWNER) ,此設定也會授與 EXTRACT 使用權。
注意事項
套用加密的人員一律具有EXTRACT使用權,因為他們是 Rights Management 擁有者。 此特殊角色會自動包含所有許可權和一些其他動作,這表示使用者已自行加密的內容一律有資格由 Copilot 傳回給這些許可權,Microsoft 365。 設定的使用限制適用於有權存取內容的其他人員。
或者,如果您選取加密組態,讓使用者指派許可權,針對 Outlook,此設定會包含 [不可轉寄] 和 [僅加密] 的預先定義許可權。 與 [不可轉寄] 不同的 [Encrypt-Only] 選項包含 EXTRACT 使用許可權。
當您選取 Word、Excel 和 PowerPoint 的自定義許可權時,使用者會在套用敏感度標籤時,於 Office 應用程式中選取自己的許可權。 他們收到通知,從兩個選取專案中, [讀 取] 不包含複製內容的許可權,但 [變更 ] 則包含。 這些要複製的參考會參考 EXTRACT 使用許可權。 如果使用者選取 [ 更多選項],他們可以選取 [ 允許具有讀取許可權的用戶複製內容],將 EXTRACT 使用許可權新增至 [讀取]。
提示
如果您需要檢查您有權檢視的檔是否包含 EXTRACT 使用許可權,請在 Windows Office 應用程式中開啟它,並自定義狀態列以顯示 [ 許可權]。 選取敏感度標籤名稱旁邊的圖示,以顯示 [我的許可權]。 檢視 [複製] 的值,該值會對應至 EXTRACT 使用許可權,並確認其是否顯示 [ 是 ] 或 [ 否]。
針對電子郵件,如果許可權未顯示在 Windows 版 Outlook 的郵件頂端,請選取具有標籤名稱的資訊橫幅,然後選取 [ 檢視許可權]。
Copilot 接受使用者的 EXTRACT 使用許可權,但已套用至內容。 大部分時候,當內容加上標籤時,授與用戶的許可權會符合敏感度標籤中的許可權。 不過,在某些情況下,可能會導致內容的許可權與套用的標籤設定不同:
如需設定敏感度標籤以進行加密的詳細資訊,請參閱 使用敏感度標籤來套用加密來限制對內容的存取。
如需有關許可權的技術詳細數據, 請參閱設定 Azure 資訊保護的許可權。
Copilot 的合規性管理考慮
適用於 Microsoft 365 互動的 Copilot 合規性管理會延伸到 Word、Excel、PowerPoint、Outlook、Teams、迴圈、Whiteboard、OneNote 中的 Copilot,以及先前 Microsoft Microsoft 365 Chat) (的 Copilot 圖形式聊天 (。
注意事項
Copilot 圖形式聊天的合規性管理包含當使用者登入並選取 [工作 ] 選項而非 [Web] 時,公用網路的提示和回應。
合規性工具會依應用程式名稱識別來源 Copilot 互動。 例如, Word 中的 Copilot、 Teams 中的 Copilot,以及 Microsoft Copilot 圖形式聊天) Microsoft 365 聊天 (。
在部署適用於 Microsoft 365 的 Copilot 之前,請確定您已熟悉下列詳細數據,以支援合規性管理解決方案:
稽核數據是專為數據安全性與合規性目的而設計,並針對這些使用案例提供 Copilot 互動的完整可見度。 例如,若要探索數據過度共享風險,或為了法規合規性或法律目的收集互動。 它不適合用來作為 Copilot 使用量報告的基礎。
注意事項
您以此稽核數據為基礎建置的任何匯總計量,例如「提示計數」或「作用中用戶計數」,可能與Microsoft所提供官方 Copilot 使用量報告中的對應數據點不一致。 Microsoft無法提供如何使用稽核記錄數據做為使用量報告基礎的指引,也無法Microsoft,因為根據稽核記錄數據所建置的匯總使用計量會符合其他工具中所報告的類似使用計量。
若要存取適用於 Microsoft 365 使用量的 Copilot 的正確資訊,請使用下列其中一份報告: Microsoft 365 系統管理中心的 Copilot for Microsoft 365 使用量報告 或 Viva Insights 中的 Copilot 儀錶板 。
稽核會擷取搜尋的 Copilot 活動,但不會擷取實際的使用者提示或回應。 如需此資訊,請使用 eDiscovery。
尚不支援稽核 Copilot 的系統管理員相關變更。
裝置識別資訊目前未包含在稽核詳細數據中。
Copilot 互動的保留原則不會在因保留原則而刪除訊息時通知使用者。
應用程式特定例外狀況:
-
Teams 中的 Copilot:
- 如果已關閉文字記錄,則不支援稽核、電子檔探索和保留的功能
- 如果參考文字記錄,則不會擷取此動作進行稽核
- 針對 Teams 中以圖形為基礎的聊天,Copilot 目前無法保留為雲端附件、其傳回給使用者的參考檔案。 支援將用戶參考的檔案保留為雲端附件。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: