适用于生成式 AI 应用的 Microsoft Purview 数据安全性和合规性保护
使用 Microsoft Purview 来缓解和管理与 AI 使用相关的风险,并实现相应的保护和治理控制。
Microsoft Purview AI 中心目前为预览版,提供易于使用的图形工具和报表,以便快速深入了解组织中的 AI 使用情况。 一键式策略有助于保护数据并符合法规要求。
将 AI 中心与其他 Microsoft Purview 功能结合使用,增强智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot的数据安全性和合规性:
注意
若要检查组织的许可计划是否支持这些功能,请参阅页面顶部的许可指南链接。 有关智能 Microsoft 365 Copilot 副驾驶®本身的许可信息,请参阅智能 Microsoft 365 Copilot 副驾驶®的服务说明。
使用以下部分详细了解 AI 中心和 Microsoft Purview 功能,这些功能可提供额外的数据安全性和合规性控制,以加速组织采用智能 Microsoft 365 Copilot 副驾驶®和其他生成 AI 应用。 如果你不熟悉 Microsoft Purview,则可能还会发现产品概述很有帮助: 了解 Microsoft Purview。
有关智能 Microsoft 365 Copilot 副驾驶®安全性和合规性要求的更多常规信息,请参阅智能 Microsoft 365 Copilot 副驾驶®的数据、隐私和安全性。 有关Microsoft Copilot,请参阅 Copilot 隐私和保护。
Microsoft Purview AI 中心 为 AI 应用提供见解、策略和控制
注意
Microsoft Purview AI 中心目前处于预览状态,可能会发生更改。
来自 Microsoft Purview 门户或Microsoft Purview 合规门户的 AI 中心提供了一个集中管理位置,可帮助你快速保护 AI 应用的数据,并主动监视 AI 的使用。 这些应用包括来自第三方大型语言模块 (LLM) 的智能 Microsoft 365 Copilot 副驾驶®和 AI 应用。
观看以下视频,了解 AI 中心的运行情况。 录制是在 Microsoft 365 Microsoft Copilot 更名为 智能 Microsoft 365 Copilot 副驾驶® 之前进行的,现在 AI 中心的一些导航页面已更改。 但功能保持不变。
AI 中心提供了一组功能,因此你可以安全地采用 AI,而无需在生产力和保护之间进行选择:
对组织中的 AI 活动的见解和分析
随时可用的策略,用于保护数据并防止 AI 提示中数据丢失
用于应用最佳数据处理和存储策略的合规性控制
有关受支持的第三方 AI 站点列表(例如用于 Gemini 和 ChatGPT 的网站),请参阅通过 Microsoft Purview 支持 AI 站点,了解数据安全性和合规性保护。
如何使用 AI 中心
为了帮助你更快地深入了解 AI 使用情况并保护数据,AI 中心提供了一些 预配置策略 ,只需单击一下即可激活这些策略。 让这些新策略至少等待 24 小时收集数据,以在 AI 中心显示结果,或反映对默认设置所做的任何更改。
若要开始使用 AI 中心,可以使用 Microsoft Purview 门户或Microsoft Purview 合规门户。 需要具有适当合规性管理权限的帐户,例如Microsoft Entra合规性管理员组角色成员的帐户。
根据所使用的门户,导航到以下位置之一:
登录到 Microsoft Purview 门户>AI 中心 (预览) 卡。
如果未显示 AI 中心 (预览) 卡,请选择“查看所有解决方案”,然后从“数据安全性”部分选择“AI 中心 (预览) ”。
) (预览版登录到 >Microsoft Purview 合规门户AI 中心。
在 “概述”中,查看 “入门 ”部分,了解有关 AI 中心的详细信息,以及可以采取的即时操作。 选择每个浮出控件以显示浮出控件窗格,以便了解详细信息、执行操作并验证当前状态。
操作 更多信息 打开Microsoft Purview 审核 对于新租户,审核默认处于启用状态,因此你可能已满足此先决条件。 如果这样做,并且用户已分配了 Copilot 的许可证,则可以从页面下方的 Analytics 部分开始查看有关 Copilot 活动的见解。 安装 Microsoft Purview 浏览器扩展 第三方 AI 站点的先决条件。 将设备载入到 Microsoft Purview 也是第三方 AI 站点的先决条件。 扩展见解以发现数据 一键式策略,用于收集有关用户访问 第三方生成 AI 站点 并向其发送敏感信息的信息。 选项与页面下方的 AI 数据分析部分中的 “扩展见解 ”按钮相同。 有关先决条件的详细信息,请参阅 AI 中心的先决条件。
有关可以激活的预配置策略的详细信息,请参阅 AI 中心的一键式策略。
然后,查看 “建议 ”部分,决定是否实现与租户相关的任何选项。 这些选项包括创建一些 默认策略 ,以帮助保护发送到第三方生成 AI 站点的敏感数据,并使用敏感度标签保护数据。 建议的示例包括:
- 获取 AI 法规的指导性帮助,该法规使用 合规性管理器中的控制映射法规模板。
- 保护 Copilot 响应中引用的敏感数据,该响应标识智能 Microsoft 365 Copilot 副驾驶®引用的内容,并且未使用敏感度标签进行保护。
可以使用“ 查看所有建议 ”链接或导航窗格中的“ 建议 ”来查看租户的所有可用建议及其状态。 完成或取消建议后,将不再在 “概述 ”页上看到它。
使用导航窗格中的“ 报表 ”部分或“ 报表 ”页查看策略的结果。 至少需要等待一天才能填充报表。
使用 AI 中心的“ 策略 ”页监视已创建策略的状态。 若要编辑它们,请在门户中使用相应的管理解决方案。 例如,对于 控制 AI 中的不道德行为,你可以 查看和修正 通信合规性解决方案中的匹配项。
从 AI 中心选择 “活动资源管理器 ”,查看从策略收集的数据的详细信息。
这些更详细的信息包括活动、工作负载和应用、用户、日期和时间以及检测到的任何敏感信息类型。
活动示例包括 AI 交互、 分类标记、 DLP 规则匹配和 AI 访问。 如果拥有适当的权限,则 Copilot 提示和响应将包含在 AI 交互事件中。 有关事件的详细信息,请参阅 活动资源管理器事件。
工作负载的示例包括Microsoft Copilot和其他 AI 应用。
对于智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot,请将这些策略和见解与 Microsoft Purview 的其他保护和合规性功能结合使用。
Microsoft Purview 增强了 Copilot 的信息保护
智能 Microsoft 365 Copilot 副驾驶®使用现有控件来确保存储在租户中的数据永远不会返回给用户或大型语言模型 (LLM) 如果用户无权访问该数据。 当数据将组织的 敏感度标签 应用于内容时,会有一层额外的保护:
在 Outlook 中打开Word、Excel、PowerPoint 或类似的电子邮件或日历事件中打开文件时,数据敏感度会显示给应用中的用户,其中包含标签名称和内容标记 (,例如为标签配置的页眉或页脚文本) 。 Loop组件和页面也支持相同的敏感度标签。
当敏感度标签应用加密时,用户必须具有 EXTRACT 使用权限以及 VIEW,Copilot 才能返回数据。
当Microsoft 365 租户在 Office 应用中打开时,此保护扩展到存储在 Microsoft 365 租户外部的数据, (正在使用) 的数据。 例如,本地存储、网络共享和云存储。
提示
如果尚未启用,建议为 SharePoint 和 OneDrive 启用敏感度标签,同时熟悉这些服务可以处理的文件类型和标签配置。 如果未为这些服务启用敏感度标签,智能 Microsoft 365 Copilot 副驾驶®可以访问的加密文件仅限于从 Windows 上的 Office 应用使用的数据。
此外,当你使用Business Chat (以前基于 Graph 的聊天和Microsoft 365 Chat) 来访问来自各种内容的数据时,智能 Microsoft 365 Copilot 副驾驶®对于显示引文的敏感度标签和响应中列出的项的用户可见。 使用 Microsoft Purview 门户或Microsoft Purview 合规门户中定义的敏感度标签的优先级编号,Copilot 中的最新响应显示用于该 Copilot 聊天的数据的最高优先级敏感度标签。
尽管合规性管理员定义了敏感度标签的优先级,但优先级越高,通常表示内容具有更高的敏感度,具有更严格的权限。 因此,Copilot 响应使用限制性最高的敏感度标签进行标记。
注意
如果项目由Microsoft Purview 信息保护加密,但没有敏感度标签,智能 Microsoft 365 Copilot 副驾驶®也不会将这些项返回给用户(如果加密不包括用户的 EXTRACT 或 VIEW 使用权限)。
如果尚未使用敏感度标签,请参阅 敏感度标签入门。
尽管 DLP 策略不支持智能 Microsoft 365 Copilot 副驾驶®交互的数据分类,但通信合规性策略支持敏感信息类型和可训练的分类器,以识别用户向 Copilot 的提示和响应中的敏感数据。
具有敏感度标签继承的 Copilot 保护
使用 智能 Microsoft 365 Copilot 副驾驶® 基于应用了敏感度标签的项目创建新内容时,将自动继承源文件中的敏感度标签,并带有标签的保护设置。
例如,用户在 Word中选择“使用 Copilot 进行草稿”,然后选择“引用文件”。 或者用户选择“在 PowerPoint 中从文件创建演示文稿”或“从 Business Chat 在页面中编辑”。 源内容具有敏感度标签 机密\任何人 (不受限制) 应用,并且该标签配置为应用显示“机密”的页脚。 新内容将自动标记为 机密\任何人 (不受限制) 具有相同页脚。
若要查看此操作的操作示例,watch Ignite 2023 会话中的以下演示,“让企业为智能 Microsoft 365 Copilot 副驾驶®做好准备”。 该演示演示演示了当用户使用 Copilot 草稿并引用已标记的文件时,如何将默认敏感度标签“ 常规 ”替换为 “机密” 标签。 功能区下的信息栏告知用户 Copilot 创建的内容导致新标签自动应用:
如果使用多个文件创建新内容,则 优先级最高的 敏感度标签用于标签继承。
与所有自动标记方案一样,如果不使用强制标记) ,则用户始终可以替代和替换继承的 标签 (或删除。
Microsoft不使用敏感度标签的 Purview 保护
即使敏感度标签未应用于内容,服务和产品也可能使用 Azure Rights Management 服务的加密功能。 因此,在将数据和链接返回到用户之前,智能 Microsoft 365 Copilot 副驾驶®仍可以检查 VIEW 和 EXTRACT 使用权限,但不会自动继承对新项的保护。
提示
当你始终使用敏感度标签来保护数据,并且加密由标签应用时,你将获得最佳用户体验。
可以使用 Azure Rights Management 服务中没有敏感度标签的加密功能的产品和服务示例:
- Microsoft Purview 邮件加密
- Microsoft信息权限管理 (IRM)
- Microsoft 权限管理连接器
- Microsoft Rights Management SDK
对于不使用 Azure Rights Management 服务的其他加密方法:
受 S/MIME 保护的电子邮件不会由 Copilot 返回,并且当受 S/MIME 保护的电子邮件打开时,Copilot 在 Outlook 中不可用。
智能 Microsoft 365 Copilot 副驾驶®无法访问受密码保护的文档,除非用户已在使用) 的同一应用中打开 (数据。 密码不是由目标项继承的。
与其他 Microsoft 365 服务(如电子数据展示和搜索)一样,使用 Microsoft Purview 客户密钥或你自己的根密钥 (BYOK) 加密的项目受到支持,并且有资格由 智能 Microsoft 365 Copilot 副驾驶® 返回。
Microsoft Purview 支持 Copilot 的合规性管理
将 Microsoft Purview 合规性功能与企业数据保护配合使用,以支持智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot的风险和合规性要求。
可以针对租户中的每个用户监视与 Copilot 的交互。 因此,可以使用 Purview 的分类 (敏感信息类型和可训练的分类器,) 、内容搜索、通信合规性、审核、电子数据展示以及自动保留和删除功能。
对于 通信合规性,可以分析用户提示和 Copilot 响应,以检测不适当或有风险的交互或机密信息共享。 有关详细信息,请参阅 配置通信合规性策略以检测 Copilot 交互。
对于 审核,当用户与 Copilot 交互时 ,将在统一审核日志中捕获 详细信息。 事件包括用户如何以及何时与 Copilot 交互、活动发生Microsoft 365 服务,以及引用存储在 Microsoft 365 中在交互期间访问的文件。 如果这些文件应用了敏感度标签,也会捕获该标签。 在 Microsoft Purview 门户或Microsoft Purview 合规门户的审核解决方案中,选择“Copilot 活动”和“与 Copilot 交互”。 还可以选择“ Copilot ”作为工作负载。 例如,从合规性门户:
对于 内容搜索,由于用户提示 Copilot 和来自 Copilot 的响应存储在用户的邮箱中,因此当用户的邮箱被选为搜索查询的源时,可以搜索和检索它们。 选择源邮箱中的此数据,方法是从查询生成器中选择 “添加条件>类型>等于任何>”添加/删除更多“选项>”“Copilot 交互”。
同样,对于 电子数据展示,你使用相同的查询过程来选择邮箱,并检索 Copilot 的用户提示和来自 Copilot 的响应。 在电子数据展示 (Premium) 中创建集合并源到评审阶段后,此数据可用于执行所有现有审阅操作。 然后,可以进一步保留或导出这些集合和审阅集。 如果需要删除此数据,请参阅 搜索和删除 Copilot 的数据。
对于支持自动保留和删除的 保留策略 ,用户对 Copilot 的提示和来自 Copilot 的响应由 Teams 聊天和 Copilot 交互的位置标识。 以前仅名为 Teams 聊天,用户无需使用 Teams 聊天来应用此策略。 以前为 Teams 聊天配置的任何现有保留策略现在都会自动包含用户提示和响应智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot:
有关此保留工作的详细信息,请参阅 了解 Copilot 的保留。
与所有保留策略和保留一样,如果同一位置的多个策略适用于用户, 则保留原则 可解决任何冲突。 例如,数据将保留所有应用的保留策略或电子数据展示保留的最长持续时间。
要使保留标签自动保留 Copilot 中引用的文件,请为具有自动应用保留标签策略的云附件选择选项:将标签应用于 Exchange、Teams、Viva Engage 和 Copilot 中共享的云附件和链接。 与所有保留的云附件一样,将保留引用时的文件版本。
有关此保留的工作原理的详细信息,请参阅 保留如何处理云附件。
有关配置说明:
若要为 Copilot 交互配置通信合规性策略,请参阅 创建和管理通信合规性策略。
若要在审核日志中搜索 Copilot 交互,请参阅 搜索审核日志。
若要使用内容搜索查找 Copilot 交互,请参阅 搜索内容。
若要将电子数据展示用于 Copilot 交互,请参阅Microsoft Purview 电子数据展示解决方案。
若要创建或更改 Copilot 交互的保留策略,请参阅 创建和配置保留策略。
若要为 Copilot 中引用的文件创建自动应用保留标签策略,请参阅 自动应用保留标签以保留或删除内容。
AI 中心和 Copilot 的其他文档
博客文章公告: 通过 Microsoft Purview 保护数据,自信地利用生成 AI
有关详细信息,请参阅 Microsoft Purview AI 中心的注意事项以及 Copilot 的数据安全性和合规性保护。
智能 Microsoft 365 Copilot 副驾驶®: