使用以下部分确定在 Entra 中注册用于用户身份验证并与 Microsoft Purview SDK集成的自定义 AI 应用的 AI 交互支持的 Microsoft Purview 功能。 然后,请参阅入门建议,以便管理这些 AI 交互以确保安全性和合规性。
管理与 Microsoft Purview 的这些 AI 交互需要你在组织中启用 即用即付计费 。
支持的功能
使用下表一目了然地了解 Entra 注册的 AI 应用支持的 Microsoft Purview 功能。
| Microsoft Purview 中的功能或解决方案 | 支持 AI 交互 |
|---|---|
| 适用于 AI 的DSPM | ✓ |
| 审核 | ✓ |
| 数据分类 | ✓ |
| 敏感度标签 | ✓ |
| 不带敏感度标签的加密 | ✓ |
| 数据丢失防护 | ✓ |
| 内部风险管理 | ✓ |
| 通信合规性 | ✓ |
| 电子数据展示 | ✓ |
| 数据生命周期管理 | ✓ |
| 合规性管理器 | ✓ |
适用于 AI 的数据安全状况管理
使用适用于 AI 的 Microsoft Purview 数据安全状况管理 (DSPM) 作为在企业中发现、保护和应用 AI 使用情况的合规性控制。 此解决方案使用 Microsoft Purview 信息保护和合规性管理中的现有控制,以及易于使用的图形工具和报表,快速深入了解组织中的 AI 使用情况。 通过个性化建议,一键式策略可帮助你保护数据并符合法规要求。
有关详细信息,请参阅了解 ai 数据安全状况管理 (DSPM) 。
AI 应用特定的信息:
建议 获取 AI 法规的引导式帮助,该法规使用 合规性管理器中的控制映射法规模板。
一键式策略可用:
- DSPM FOR AI - 从建议保护企业应用的交互中捕获企业 AI应用的交互。
- 适用于 AI 的DSPM - 通过建议将见解扩展到 AI 应用交互中的敏感数据,检测通过网络与 AI 共享的敏感信息。
审核和 AI 交互
Microsoft Purview 审核解决方案提供了全面的工具,用于搜索和管理用户和管理员在各种Microsoft服务中执行的活动的审核记录,并帮助组织有效地响应安全事件、取证调查、内部调查和合规性义务。
与其他活动一样,提示和响应在 统一审核日志中捕获。 事件包括用户与 AI 应用交互的方式和时间,可以包括活动发生的Microsoft 365 服务,以及对在交互期间访问的 Microsoft 365 中存储的文件的引用。 如果这些文件应用了敏感度标签,也会捕获该标签。
这些事件会流入 适用于 AI 的数据安全状况管理 中的活动资源管理器,可在其中显示来自提示和响应的数据。 还可以使用 Microsoft Purview 门户中的审核解决方案来搜索和查找这些审核事件。
有关详细信息,请参阅 Copilot 和 AI 活动的审核日志。
数据分类和 AI 交互
Microsoft Purview 数据分类提供了一个全面的框架,用于识别和标记各种Microsoft服务的敏感数据,包括Office 365、Dynamics 365和 Azure。 对数据进行分类通常是确保符合数据保护法规并防止未经授权的访问、更改或破坏的第一步。 可以使用内置系统分类或创建自己的系统分类。
敏感信息类型和可训练分类器可用于在用户使用 AI 应用时在用户提示和响应中查找敏感数据。 然后,生成的信息会显示在适用于 AI 的数据安全状况管理中的数据分类仪表板和活动资源管理器中。
敏感度标签和 AI 交互
Microsoft Purview 支持的 AI 应用使用 现有控件来确保存储在租户中的数据永远不会返回 给用户,也不会被大型语言模型 (LLM) 使用(如果用户无权访问该数据)。 当数据将组织的 敏感度标签 应用于内容时,会有一层额外的保护:
在 Outlook 中打开Word、Excel、PowerPoint 或类似的电子邮件或日历事件中打开文件时,数据敏感度会显示给应用中的用户,其中包含标签名称和内容标记 (,例如为标签配置的页眉或页脚文本) 。 Loop组件和页面也支持相同的敏感度标签。
当敏感度标签应用加密时,用户必须具有 EXTRACT 使用权限以及 VIEW,AI 应用才能返回数据。
在 Office 应用(正在使用的数据)中打开时,此保护将扩展到Microsoft 365租户外部存储的数据。 例如,本地存储、网络共享和云存储。
提示
如果尚未启用,建议为 SharePoint 和 OneDrive 启用敏感度标签,同时熟悉这些服务可以处理的文件类型和标签配置。 如果未为这些服务启用敏感度标签,则 Copilot 和代理可以访问的加密文件仅限于从 Windows 上的 Office 应用使用的数据。
有关说明,请参阅 在 SharePoint 和 OneDrive中为 Office 文件启用敏感度标签。
如果尚未使用敏感度标签,请参阅 敏感度标签入门。
不使用敏感度标签和 AI 交互的加密
即使敏感度标签未应用于内容,服务和产品也可能使用 Azure Rights Management 服务中的加密功能。 因此,在将数据和链接返回给用户之前,AI 应用仍可以检查 VIEW 和 EXTRACT 使用权限,但不会自动继承对新项的保护。
提示
当你始终使用敏感度标签来保护数据,并且加密由标签应用时,你将获得最佳用户体验。
可以使用 Azure Rights Management服务中的加密功能而不带敏感度标签的产品和服务示例:
- Microsoft Purview 邮件加密
- Microsoft信息Rights Management (IRM)
- Microsoft 权限管理连接器
- Microsoft Rights Management SDK
对于不使用 Azure Rights Management服务的其他加密方法:
受 S/MIME 保护的电子邮件不会由 Copilot 返回,并且当受 S/MIME 保护的电子邮件打开时,Copilot 在 Outlook 中不可用。
AI 应用无法访问受密码保护的文档,除非用户已在同一应用中打开这些文档, (正在使用) 的数据。 密码不是由目标项继承的。
与其他 Microsoft 365 服务(如电子数据展示和搜索)一样,使用 Microsoft Purview 客户密钥 或 你自己的根密钥 (BYOK) 加密的项目受 Copilot 支持并有资格返回。
数据丢失防护和 AI 交互
Microsoft Purview 数据丢失防护 (DLP) 可帮助你跨Microsoft 365 服务和终结点识别敏感项,对其进行监视,并帮助防止这些项泄露。 它使用深度内容检查和上下文分析来识别敏感项目,并强制实施策略来保护敏感数据,例如财务记录、健康信息或知识产权。
可以将 载入到 Microsoft Purview 的 Windows 计算机配置为终结点数据丢失防护 (DLP) 策略来警告或阻止用户与通过浏览器访问的第三方生成 AI 站点共享敏感信息。 例如,用户无法将信用卡数字粘贴到ChatGPT,或者用户看到可以替代的警告。 有关支持的 DLP作以及哪些平台支持它们的详细信息,请参阅表中的前两行,这些行来自 可以监视和对其执行作的 Endpoint 活动。
此外,限定为 AI 位置的 DLP 策略可以限制 AI 应用处理敏感内容。 例如,DLP 策略可以限制智能 Microsoft 365 Copilot 副驾驶®基于敏感度标签(如“高度机密”)汇总文件。 启用此策略后,智能 Microsoft 365 Copilot 副驾驶®和代理不会汇总标记为“高度机密”的文件,但可以使用链接引用它,以便用户可以使用Word打开和查看内容。 有关包括哪些 AI 应用支持此 DLP 配置的详细信息,请参阅了解智能 Microsoft 365 Copilot 副驾驶®策略位置。
AI 应用特定的信息:
- 目前的支持仅适用于基于敏感信息类型阻止提示的 DLP 策略。 这需要配置 限定为特定 Entra 注册 AI 应用的 PowerShell cmdlet。 AI 应用可以通过与 Microsoft Purview API 集成来遵循此配置。 AI 应用开发人员可以使用 此 GitHub 示例 来帮助实现此集成。
内部风险管理和 AI 交互
Microsoft Purview 内部风险管理可帮助你检测、调查和缓解内部风险,例如 IP 盗窃、数据泄露和安全违规。 它利用机器学习模型以及来自 Microsoft 365 和第三方指标的各种信号来识别潜在的恶意或无意内部活动。 该解决方案包括隐私控制,如假名化和基于角色的访问,确保用户级别的隐私,同时使风险分析师能够采取适当的作。
使用 风险 AI 使用策略模板 来检测风险使用情况,包括即时注入攻击和访问受保护的材料。 来自这些信号的见解集成到Microsoft Defender XDR中,以提供 AI 相关风险的全面视图。
AI 应用特定的信息:
- 对于提示和响应,需要收集策略,例如 ai DSPM - 从 ai 建议保护来自企业应用的交互DSPM捕获企业 AI 应用的交互。
通信合规性和 AI 交互
Microsoft Purview 通信合规性提供的工具可帮助你检测和管理跨各种通信渠道(包括 AI 应用的用户提示和响应)的法规合规性和业务行为违规行为。 默认情况下,它设计为隐私,将用户名化名并合并基于角色的访问控制。 该解决方案有助于识别和修正不适当的通信,例如共享敏感信息、骚扰、威胁和成人内容。
若要详细了解如何将通信合规性策略用于 AI 应用,请参阅 配置通信合规性策略以检测生成 AI 交互。
AI 应用特定的信息:
- 对于提示和响应,需要收集策略,例如 ai DSPM - 从 ai 建议保护来自企业应用的交互DSPM捕获企业 AI 应用的交互。
电子数据展示和 AI 交互
Microsoft Purview 电子数据展示可以识别和提供可在法律案件中用作证据的电子信息。 Microsoft Purview 中的电子数据展示工具支持在 Exchange Online、OneDrive for Business、SharePoint Online、Microsoft Teams、Microsoft 365 组 和 Viva Engage 团队中搜索内容。 然后,可以阻止删除和导出信息。
由于 AI 应用的用户提示和响应存储在用户的邮箱中,因此可以在用户邮箱被选为 搜索 查询的源时创建事例并使用搜索。 例如,选择源邮箱中的此数据,方法是从查询生成器中选择 “添加条件>类型>等于任何>”添加/删除更多“选项>”“Copilot 交互”。
优化搜索后,可以导出结果或添加到 审阅集。 可以直接从审阅集中查看和导出信息。
若要详细了解如何标识和删除用户 AI 交互数据,请参阅 在电子数据展示中搜索和删除 Copilot 数据
AI 应用特定的信息:
- 对于提示和响应,需要收集策略,例如 ai DSPM - 从 ai 建议保护来自企业应用的交互DSPM捕获企业 AI 应用的交互。
数据生命周期管理和 AI 交互
Microsoft Purview 数据生命周期管理提供了工具和功能,通过保留必要的内容和删除不必要的内容来管理组织数据的生命周期。 这些工具可确保符合业务、法律和法规要求。
使用 保留策略 自动保留或删除 AI 应用的用户提示和响应。 有关此保留工作的详细信息,请参阅 了解 Copilot & AI 应用的保留。
与所有保留策略和保留一样,如果同一位置的多个策略适用于用户, 则保留原则 可解决任何冲突。 例如,数据在所有应用的保留策略或电子数据展示保留的最长持续时间内保留。
AI 应用特定的信息:
对于保留策略,请选择 “企业 AI 应用”选项。
对于提示和响应,需要收集策略,例如 ai DSPM - 从 ai 建议保护来自企业应用的交互DSPM捕获企业 AI 应用的交互。
合规性管理器和 AI 交互
Microsoft Purview 合规性管理器 是一种解决方案,可帮助你跨多云环境自动评估和管理合规性。 合规性管理器可以帮助你完成合规性之旅,从清查数据保护风险到管理实现控制的复杂性、及时了解最新法规和认证、以及向审核员报告。
为了帮助你遵守 AI 法规,合规性管理器提供了法规模板,帮助你评估、实施和加强所有生成 AI 应用的合规性要求。 例如,监视 AI 交互并防止 AI 应用程序中的数据丢失。 有关详细信息,请参阅 AI 法规评估。
建议的入门步骤
使用以下步骤开始管理使用 Entra 注册的 AI 应用的 AI 交互的数据安全性 & 合规性。
由于适用于 AI 的数据安全状况管理是保护和管理 AI 交互的前门,因此以下大多数说明都使用该解决方案:
登录到 Microsoft Purview 门户>解决 方案>使用具有适当权限的帐户为 AI DSPM。 例如,属于Microsoft Entra合规性管理员组角色的帐户。
在“AI>建议DSPM”页中,找到并选择“保护来自企业应用的交互”,这将创建一键式策略来捕获企业 AI 应用的提示和响应。
请至少等待一天的数据,然后导航到 “报表 ”页以查看策略的结果。 选择“企业 AI 应用”的 “AI 应用 ”类别,并查看如下信息:
- 一段时间内企业 AI 应用 (交互总数)
- 每个 AI 应用的敏感交互数
- 内部风险严重性
- 每个 AI 应用的预览体验成员风险严重性
选择“查看每个报表图 的详细信息 ”,在活动资源管理器中查看详细活动。
从筛选器中,选择“企业 AI 应用”的 AI 应用类别(应用筛选器为 ?),如果需要进一步优化显示的数据,请使用其他筛选器。 向下钻取到每个活动以查看详细信息,包括当你是 Microsoft Purview 内容资源管理器内容查看器角色组的成员时显示提示和响应。 有关此要求的详细信息,请参阅适用于 AI 的数据安全状况管理的权限。
如果需要确保出于合规性原因保留来自 Entra 注册的 AI 应用的交互:
在 Microsoft Purview 门户中,导航到 “数据生命周期管理>策略>保留策略” ,并通过选择位置 “企业 AI 应用”并指定所需的保留期,创建保留策略以保留与 Entra 注册的 AI 应用的交互。 有关详细信息,请参阅 创建和配置保留策略。
定期查看 DSPM for AI 中的报告,以确定是否需要进行更改,并使用活动资源管理器和事件更深入地分析用户如何与 Entra 注册的 AI 应用交互。