适用于生成 AI 应用的 Microsoft Purview 数据安全性和合规性保护

Microsoft 365 安全 & 合规性许可指南

使用 Microsoft Purview 缓解和管理与 AI 使用相关的风险，并实现相应的保护和治理控制。

Microsoft Purview AI 中心目前为预览版，提供易于使用的图形工具和报表，以快速深入了解组织中的 AI 使用情况。 一键式策略有助于保护数据并符合法规要求。

将 AI 中心与其他 Microsoft Purview 功能结合使用，增强适用于 Microsoft 365 的 Microsoft Copilot的数据安全性和合规性：

• 由Microsoft Purview 信息保护加密的敏感度标签和内容
• 数据分类
• 客户密钥
• 通信合规性
• 审核
• 内容搜索
• 电子数据展示
• 保留和删除
• 客户密码箱

注意

若要检查组织的许可计划是否支持这些功能，请参阅页面顶部的许可指南链接。 有关适用于 Microsoft 365 的 Microsoft Copilot本身的许可信息，请参阅适用于 Microsoft 365 的 Microsoft Copilot的服务说明。

使用以下部分详细了解 AI 中心和 Microsoft Purview 功能，这些功能提供额外的数据安全性和合规性控制，以加速组织采用 Microsoft Copilot 和其他生成 AI 应用。 如果你不熟悉 Microsoft Purview，可能还会发现产品概述有所帮助： 了解 Microsoft Purview。

有关适用于 Microsoft 365 的 Copilot安全性和符合性要求的更多常规信息，请参阅适用于 Microsoft 365 的 Microsoft Copilot的数据、隐私和安全性。

Microsoft Purview AI 中心为 AI 应用提供见解、策略和控制

注意

Microsoft Purview AI 中心目前为预览版，可能会发生更改。

Microsoft Purview 门户或Microsoft Purview 合规门户中的 AI 中心提供了一个集中管理位置，可帮助你快速保护 AI 应用的数据并主动监视 AI 使用情况。 这些应用包括来自第三方大型语言模块 (LLM) 的适用于 Microsoft 365 的 Microsoft Copilot和 AI 应用。

AI 中心提供了一组功能，因此你可以安全地采用 AI，而无需在生产力和保护之间进行选择：

• 对组织中的 AI 活动的见解和分析

• 随时可用的策略，用于保护数据并防止 AI 提示中数据丢失

• 用于应用最佳数据处理和存储策略的合规性控制

有关受支持的第三方 AI 站点的列表（例如用于 Bard 和 ChatGPT 的网站），请参阅 Microsoft Purview 支持的 AI 站点，了解数据安全性和合规性保护。

如何使用 AI 中心

为了帮助你更快地深入了解 AI 使用情况并保护数据，AI 中心提供了一些 预配置策略 ，只需单击一下即可激活这些策略。 让这些新策略至少等待 24 小时收集数据，以在 AI 中心显示结果，或反映对默认设置所做的任何更改。

若要开始使用 AI 中心，可以使用 Microsoft Purview 门户或Microsoft Purview 合规门户。 需要具有适当合规性管理权限的帐户，例如Microsoft Entra合规性管理员组角色成员的帐户。

1. 根据所使用的门户，导航到以下位置之一：

   • 登录到 Microsoft Purview 门户>AI 中心 (预览) 卡。

     如果未显示 AI 中心 (预览) 卡，请选择“查看所有解决方案”，然后从“其他”部分选择“AI 中心 (预览) ”。

   • ) (预览版登录到 >Microsoft Purview 合规门户AI 中心。

2. 在 Analytics 中，查看 “入门 ”部分，了解有关 AI 中心的详细信息，以及可以采取的即时操作。 选择每个浮出控件以显示浮出控件窗格，以便了解详细信息、执行操作并验证当前状态。

   操作	更多信息
   打开Microsoft Purview 审核	对于新租户，审核默认处于启用状态，因此你可能已满足此先决条件。 如果这样做，并且用户已分配了 Copilot 许可证，则你开始从页面下方的 AI 数据分析 部分查看有关 Copilot 活动的见解。
   安装 Microsoft Purview 浏览器扩展	第三方 AI 站点的先决条件。
   将设备载入 Microsoft Purview	也是第三方 AI 站点的先决条件。
   扩展见解以发现数据	一键式策略，用于收集有关用户访问 第三方生成 AI 站点 并向其发送敏感信息的信息。 选项与页面下方的 AI 数据分析部分中的 “扩展见解 ”按钮相同。

   有关先决条件的详细信息，请参阅 AI 中心的先决条件。

   有关可以激活的预配置策略的详细信息，请参阅 AI 中心的一键式策略。

3. 然后，查看 “建议 ”部分，决定是否实现与租户相关的任何选项。 例如：

   • 选择“查看详细信息”以获取有关使用合规性管理器中控制映射法规模板的 AI 法规的指导性帮助。
   • 选择“查看详细信息”“保护 Copilot 响应中引用的敏感数据”，以标识适用于 Microsoft 365 的 Microsoft Copilot引用且未使用敏感度标签保护的内容。

4. 从 AI 中心选择“ 策略” ，可在其中快速激活默认策略，以帮助保护发送到第三方生成 AI 站点的敏感数据，并使用敏感度标签保护数据。 有关这些策略的详细信息，请参阅 AI 中心的一键式策略。 至少需要等待一天才能填充报表。

   在 “建议”和 “增强 AI 数据安全性 ”下，选择 “开始 了解详细信息、执行操作并验证当前状态”。

   创建策略（包括 Analytics 中的策略）后，可以从此页面监视其状态。 若要编辑它们，请在门户中使用相应的管理解决方案。 例如，对于 控制 AI 中的不道德行为，你可以 查看和修正 通信合规性解决方案中的匹配项。

5. 从 AI 中心选择 “活动资源管理器 ”，查看从策略收集的数据的详细信息。 从“分析”页或“策略”页中选择任意图表的“查看详细信息”还会转到“活动资源管理器”。

   这些更详细的信息包括活动、工作负载和应用、用户、日期和时间以及检测到的任何敏感信息类型。

   活动示例包括 AI 交互、 分类标记、 DLP 规则匹配和 AI 访问。 有关事件的详细信息，请参阅 活动资源管理器事件。

   应用示例包括 Microsoft Copilot和其他 AI 应用。

   

对于适用于 Microsoft 365 的 Microsoft Copilot，请将这些策略和见解与 Microsoft Purview 提供的其他保护和合规性功能结合使用。

Microsoft Purview 增强了 Copilot 的信息保护

Copilot 使用 现有控件来确保存储在租户中的数据永远不会返回 给用户或大型语言模型 (LLM) 如果用户无权访问该数据。 当数据将组织的 敏感度标签 应用于内容时，会有一层额外的保护：

• 当文件在 Word、Excel、PowerPoint 或类似的电子邮件或日历事件打开 Outlook 中时，数据的敏感度会显示给应用中的用户，其中包含标签名称和内容标记 (，例如为标签配置的页眉或页脚文本) 。

• 当敏感度标签应用加密时，用户必须具有 EXTRACT 使用权限以及 VIEW，Copilot 才能返回数据。

• 当 Microsoft 365 租户在 Office 应用中打开时，此保护扩展到存储在 Microsoft 365 租户外部的数据 (正在使用) 的数据。 例如，本地存储、网络共享和云存储。

提示

如果尚未启用，建议为 SharePoint 和 OneDrive 启用敏感度标签，同时熟悉这些服务可以处理的文件类型和标签配置。 如果未为这些服务启用敏感度标签，适用于 Microsoft 365 的 Copilot可以访问的加密文件仅限于从 Windows 上的 Office 应用使用的数据。

有关说明，请参阅 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。

此外，当你使用 Microsoft Copilot Graph 的聊天 (以前Microsoft 365 Chat) 可以访问来自各种内容的数据时，适用于 Microsoft 365 的 Copilot返回的标签数据的敏感度对显示引文和响应中列出的项目的用户可见。 使用 Microsoft Purview 门户或Microsoft Purview 合规门户中定义的敏感度标签的优先级编号，Copilot 中的最新响应显示用于该 Copilot 聊天的数据的最高优先级敏感度标签。

尽管合规性管理员定义了敏感度标签的优先级，但优先级越高，通常表示内容具有更高的敏感度，具有更严格的权限。 因此，Copilot 响应使用限制性最高的敏感度标签进行标记。

注意

如果项目由Microsoft Purview 信息保护加密，但没有敏感度标签，适用于 Microsoft 365 的 Microsoft Copilot也不会将这些项目返回给用户（如果加密不包括用户的 EXTRACT 或 VIEW 使用权限）。

如果尚未使用敏感度标签，请参阅 敏感度标签入门。

尽管 DLP 策略尚不支持适用于 Microsoft 365 的 Microsoft Copilot交互，但支持敏感信息类型和可训练分类器的数据分类，以识别用户向 Copilot 发送的提示和响应中的敏感数据。

具有敏感度标签继承的 Copilot 保护

使用 Copilot 基于应用了敏感度标签的项目创建新内容时，将自动继承源文件中的敏感度标签，并具有标签的保护设置。

例如，用户在 Word中选择“使用 Copilot 进行草稿”，然后选择“引用文件”。 或者用户从 PowerPoint 中的文件选择Create演示文稿。 源内容具有敏感度标签 机密\任何人 (不受限制) 应用，并且该标签配置为应用显示“机密”的页脚。 新内容将自动标记为 机密\任何人 (不受限制) 具有相同页脚。

若要查看此操作的操作示例，watch Ignite 2023 会话中的以下演示，即让企业为 Microsoft 365 Copilot 做好准备。 该演示演示演示了当用户使用 Copilot 草稿并引用已标记的文件时，如何将默认敏感度标签“ 常规 ”替换为 “机密” 标签。 功能区下的信息栏告知用户 Copilot 创建的内容导致新标签自动应用：

如果使用多个文件创建新内容，则 优先级最高的 敏感度标签用于标签继承。

与所有自动标记方案一样，如果不使用强制标记) ，则用户始终可以替代和替换继承的 标签 (或删除。

无敏感度标签的 Microsoft Purview 保护

即使敏感度标签未应用于内容，服务和产品也可能使用 Azure Rights Management 服务的加密功能。 因此，在将数据和链接返回到用户之前，适用于 Microsoft 365 的 Copilot仍可以检查 VIEW 和 EXTRACT 使用权限，但不会自动继承对新项的保护。

提示

当你始终使用敏感度标签来保护数据，并且加密由标签应用时，你将获得最佳用户体验。

可以使用 Azure Rights Management 服务中没有敏感度标签的加密功能的产品和服务示例：

• Microsoft Purview 邮件加密
• Microsoft 信息权限管理 (IRM)
• Microsoft 权限管理连接器
• Microsoft Rights Management SDK

对于不使用 Azure Rights Management 服务的其他加密方法：

• 受 S/MIME 保护的电子邮件不会由 Copilot 返回，并且当受 S/MIME 保护的电子邮件打开时，Copilot 在 Outlook 中不可用。

• 适用于 Microsoft 365 的 Copilot无法访问受密码保护的文档，除非用户已在同一应用中打开这些文档， (正在使用) 的数据。 密码不是由目标项继承的。

与其他 Microsoft 365 服务（如电子数据展示和搜索）一样，使用 Microsoft Purview 客户密钥或你自己的根密钥 (BYOK) 加密的项目受到支持，并且有资格由 适用于 Microsoft 365 的 Copilot 返回。

Microsoft Purview 支持 Copilot 的合规性管理

使用 Microsoft Purview 合规性功能来支持适用于 Microsoft 365 的 Copilot的风险和合规性要求。

可以针对租户中的每个用户监视与 Copilot 的交互。 因此，可以使用 Purview 的分类 (敏感信息类型和可训练的分类器，) 、内容搜索、通信合规性、审核、电子数据展示以及自动保留和删除功能。

对于 通信合规性，可以分析用户提示和 Copilot 响应，以检测不适当或有风险的交互或机密信息共享。 有关详细信息，请参阅配置通信合规性策略以检测适用于 Microsoft 365 的 Copilot交互。

对于 审核，当用户与 Copilot 交互时 会捕获 详细信息。 事件包括用户与 Copilot 交互的方式和时间、活动发生位置的 Microsoft 365 服务，以及对 Microsoft 365 中存储的文件（在交互期间访问）的引用。 如果这些文件应用了敏感度标签，也会捕获该标签。 在 Microsoft Purview 门户或Microsoft Purview 合规门户的审核解决方案中，选择“Copilot 活动”和“与 Copilot 交互”。 还可以选择“ Copilot ”作为工作负载。 例如，从合规性门户：

对于 内容搜索，由于用户提示 Copilot 和来自 Copilot 的响应存储在用户的邮箱中，因此当用户的邮箱被选为搜索查询的源时，可以搜索和检索它们。 通过选择“ 添加条件>类型>Copilot 交互”，从源邮箱中选择并检索此数据。

同样，对于 电子数据展示，你使用相同的查询过程来选择邮箱，并检索 Copilot 的用户提示和来自 Copilot 的响应。 在电子数据展示 (Premium) 中创建集合并源到评审阶段后，此数据可用于执行所有现有审阅操作。 然后，可以进一步保留或导出这些集合和审阅集。 如果需要删除此数据，请参阅搜索和删除适用于 Microsoft 365 的 Microsoft Copilot的数据。

对于支持自动保留和删除的 保留策略 ，用户对 Copilot 的提示和来自 Copilot 的响应由 Teams 聊天和 Copilot 交互的位置标识。 以前仅名为 Teams 聊天，用户无需使用 Teams 聊天来应用此策略。 以前为 Teams 聊天配置的任何现有保留策略现在都会自动包含用户提示和响应，以及来自适用于 Microsoft 365 的 Microsoft Copilot的响应：

有关此保留工作的详细信息，请参阅了解适用于 Microsoft 365 的 Microsoft Copilot的保留期。

与所有保留策略和保留一样，如果同一位置的多个策略适用于用户， 则保留原则 可解决任何冲突。 例如，数据将保留所有应用的保留策略或电子数据展示保留的最长持续时间。

要使保留标签自动保留 Copilot 中引用的文件，请为具有自动应用保留标签策略的云附件选择选项：将标签应用于 Exchange、Teams、Viva Engage 和 Copilot 中共享的云附件和链接。 与所有保留的云附件一样，将保留引用时的文件版本。

有关此保留的工作原理的详细信息，请参阅 保留如何处理云附件。

有关配置说明：

• 若要为 Copilot 交互配置通信合规性策略，请参阅Create和管理通信合规性策略。

• 若要在审核日志中搜索 Copilot 交互，请参阅搜索审核日志。

• 若要使用内容搜索查找 Copilot 交互，请参阅内容搜索。

• 若要将电子数据展示用于 Copilot 交互，请参阅Microsoft Purview 电子数据展示解决方案。

• 若要创建或更改 Copilot 交互的保留策略，请参阅Create和配置保留策略。

• 若要为 Copilot 中引用的文件创建自动应用保留标签策略，请参阅 自动应用保留标签以保留或删除内容。

AI 中心和 Copilot 的其他文档

博客文章公告： 通过 Microsoft Purview 保护数据，自信地利用生成 AI

有关详细信息，请参阅 Microsoft Purview AI 中心的注意事项和 Microsoft Copilot 的数据安全性和合规性保护。

适用于 Microsoft 365 的 Microsoft Copilot：

• 适用于 Microsoft 365 的 Microsoft Copilot 文档
• 将零信任原则应用于适用于 Microsoft 365 的 Microsoft Copilot