DSPM AI 管理 AI 交互的数据安全性和合规性保护的注意事项

Microsoft 365 安全 & 合规性许可指南

在大多数情况下，适用于 AI 的数据安全状况管理易于使用且不言而喻，指导你完成先决条件和预配置的报告和策略。 使用此部分来补充该信息，并提供可能需要的其他详细信息。

适用于 AI 的数据安全状况管理的先决条件

若要从 Microsoft Purview 门户使用适用于 AI 的数据安全状况管理，必须满足以下先决条件：

• 你拥有 正确的权限。

• 监视与 Copilot 和代理的交互时需要：

  • Microsoft为组织启用 Purview 审核。 尽管这是默认设置，但你可能希望检查打开或关闭审核的说明。

  • 对于智能 Microsoft 365 Copilot 副驾驶®和代理，将向用户分配智能 Microsoft 365 Copilot 副驾驶®许可证。

  • 对于 Fabric 和 Security Copilot 中的 Copilot：

    • 企业版Microsoft Purview 数据治理，以支持所需的 API。
    • 收集策略，例如从建议保护Microsoft Copilot体验的交互创建的集合策略。

• 在 Edge 中监视交互并将 DLP 策略应用于其他 AI 应用时需要：

  • 需要 Edge 配置策略才能激活 Edge 中的 Microsoft Purview 集成。 有关配置信息，请参阅 在 Microsoft Edge 中激活 DLP 策略。

• 监视与第三方生成 AI 站点的交互时需要：

  • 设备 载入到 Microsoft Purview，需要满足以下条件：

    • 了解与第三方生成 AI 网站共享的敏感信息。 例如，用户将信用卡数字粘贴到ChatGPT。
    • 应用终结点 DLP 策略来警告或阻止用户与第三方生成 AI 站点共享敏感信息。 例如，将信用卡数字粘贴到ChatGPT时，会阻止在自适应保护中标识为风险提升的用户使用替代选项。

  • Microsoft Purview 浏览器扩展部署到 Windows 用户，需要使用预览体验计划风险管理策略发现对第三方生成 AI 站点的访问。 使用 Chrome 时，Windows 上的终结点 DLP 策略也需要浏览器扩展。

• 对于 智能 Microsoft 365 Copilot 副驾驶® 和 Microsoft 主持人以外的 AI 应用，你已为组织设置了即用即付计费。 当此计费模型适用于特定配置时，你将在 UI 中看到通知和说明。

有关审核、设备载入和浏览器扩展的先决条件的详细信息，请参阅适用于 AI 的数据安全状况管理：导航到概述>入门部分。

有关当前支持的第三方 AI 应用的列表，请参阅 通过 Microsoft Purview 支持 AI 站点，了解数据安全性和合规性保护。

注意

如果使用 管理单元，受限管理员将无法创建适用于所有用户的一键式策略。 你必须是不受限制的管理员才能创建这些策略。 受限管理员仅在“策略”页的分配管理单元以及Microsoft Purview 适用于 AI 的数据安全状况管理的报表和活动资源管理器中查看用户的结果。

适用于 AI 的数据安全状况管理的一键式策略

创建默认策略后，可以随时从门户中各自的解决方案区域查看和编辑它们。 例如，你需要在测试期间将策略范围限定为特定用户，或者满足业务需求。 或者，你希望添加或删除用于检测敏感信息的分类器。 使用“ 策略 ”页快速导航到门户中的正确位置。

某些策略（例如 ai 的DSPM - 捕获 Copilot 体验的交互和 ai DSPM - 检测通过网络与 AI 共享的敏感信息）是可以编辑的收集策略，如有必要，可以像删除任何其他收集策略一样删除。 有关详细信息，请参阅 访问集合策略。

如果删除任何策略，其状态在 “策略 ”页上将显示 PendingDeletion， 并将继续显示为在其各自的建议卡片中创建，直到删除过程完成。

对于敏感度标签及其策略，请在门户中导航到信息保护，独立于适用于 AI 的数据安全状况管理查看和编辑这些标签。 有关详细信息，请使用 默认标签和策略中的配置链接来保护数据。

有关支持的 DLP作以及哪些平台支持它们的详细信息，请参阅表中的前两行，这些行来自 可以监视和对其执行作的 Endpoint 活动。

对于使用自适应保护的默认策略，如果尚未启用此功能，将使用所有用户和组的默认风险级别来动态强制实施保护作，则启用此功能。 有关详细信息，请参阅 快速设置

注意

适用于 AI 的数据安全状况管理处于预览状态且名为 Microsoft Purview AI 中心 时创建的任何默认策略都不会更改。 例如，策略名称将保留其Microsoft AI 中心 - 前缀。

使用 适用于 AI 的数据安全状况管理 发现数据的默认策略

• DLP 策略：针对 AI 的DSPM：检测添加到 AI 站点的敏感信息

  源： 扩展数据发现见解

  此策略可发现在 Microsoft Edge、Chrome 和 Firefox 中粘贴或上传到 AI 站点的敏感内容。 此策略仅涵盖组织中处于审核模式的所有用户和组。

• 内部风险管理策略：针对 AI 的DSPM - 检测用户访问 AI 站点时

  源： 扩展数据发现见解

  此策略检测用户何时使用浏览器访问 AI 站点。

• 内部风险管理策略：针对 AI 的DSPM - 检测有风险的 AI 使用情况

  来源：建议 检测 AI 应用中的风险交互

  此策略通过检测智能 Microsoft 365 Copilot 副驾驶®、代理和其他生成 AI 应用中的风险提示和响应来帮助计算用户风险。

• 通信合规性：针对 AI 的DSPM - AI 应用中的不道德行为

  来源：建议 检测 AI 应用中的不道德行为

  此策略检测智能 Microsoft 365 Copilot 副驾驶®、代理和其他生成 AI 应用中的提示和响应中的敏感信息。 此策略涵盖组织中的所有用户和组。

• 收集策略：ai DSPM - 捕获 Copilot 体验的交互

  源：建议Microsoft Copilot体验中的安全交互

  此策略从 Fabric 中的 Copilot 捕获有关数据安全状况和法规合规性的提示和响应，并Security Copilot。 在 Microsoft Purview 解决方案（如电子数据展示、数据生命周期管理等）中管理它们。

• 收集策略：ai 的DSPM - 检测通过网络与 AI 共享的敏感信息

  源：建议 扩展对 AI 应用交互中敏感数据的见解

  此策略使用安全访问服务 Edge (SASE) 或安全服务边缘 (SSE) 集成，检测与浏览器、应用程序、API、加载项等中的 AI 应用共享的敏感信息。

  重要

  此策略要求在数据丢失防护设置中手动添加一个或多个安全访问 Service Edge (SASE) 或安全服务边缘 (SSE) 集成。 AI 交互的检测取决于网络合作伙伴的实现。

  如果要捕获提示和响应以及检测敏感信息，则必须编辑收集策略并选择 用于捕获内容的选项。

• 收集策略：适用于 AI 的DSPM - 捕获企业 AI 应用的交互

  源：建议 保护来自企业应用的交互

  此策略从企业 AI 应用（例如聊天 GPT Enterprise 和通过 Microsoft Entra 或 Azure AI 服务连接的 AI 应用）捕获合规性提示和响应，以便可以在电子数据展示、数据生命周期管理等 Microsoft Purview 解决方案中管理它们。

• 收集策略：适用于 AI 的DSPM - 检测 Edge 中的 AI 提示中共享的敏感信息

  源： 扩展数据发现见解

  此策略检测发送到 Microsoft Edge 中生成 AI 应用的提示，并发现提示内容中共享的敏感信息。 此策略仅涵盖组织中处于审核模式的所有用户和组。

来自数据安全的默认策略，可帮助你保护生成 AI 中使用的敏感数据

• 用于 AI 的 DLP 策略DSPM - 阻止来自 AI 站点的敏感信息

  源：建议 加强数据安全性

  此策略使用自适应保护为尝试将敏感信息粘贴或上传到 Edge、Chrome 和 Firefox 中的其他 AI 应用的风险提升用户提供阻止和替代。 此策略涵盖组织中测试模式下的所有用户和组。

• 适用于 AI 的 DLP 策略DSPM - 阻止风险提升的用户向 Microsoft Edge 中的 AI 应用提交提示

  源：建议 加强数据安全性

  此策略使用自适应保护来阻止使用 Microsoft Edge 时尝试将信息放入 AI 应用中的提升、中等和次要风险用户。

• 适用于 AI 的 DLP 策略DSPM - 在 Edge 中阻止来自 AI 应用的敏感信息

  源：建议 加强数据安全性

  此策略会内联检测所选常见敏感信息类型，并阻止在使用 Microsoft Edge 时将提示发送到 AI 应用。

• 用于 AI 的 DLP 策略DSPM - 保护敏感数据免受 Copilot 处理

  源：建议保护具有敏感度标签的项免受智能 Microsoft 365 Copilot 副驾驶®和代理处理

  此策略阻止智能 Microsoft 365 Copilot 副驾驶®和代理处理此策略中选择的敏感度标签的项目。

• 信息保护 - 敏感度标签和策略

  来源：建议 使用敏感标签保护数据

  此建议创建 默认敏感度标签和敏感度标签策略。 如果已配置敏感度标签及其策略，则跳过此配置。

活动资源管理器事件

使用以下信息来帮助你了解可能在活动资源管理器中看到适用于 AI 的数据安全状况管理的事件。 对生成 AI 站点的引用可能包括智能 Microsoft 365 Copilot 副驾驶®、智能 Microsoft 365 Copilot 副驾驶® 对话助手、代理、其他Microsoft副驾驶和第三方 AI 站点。

事件	说明
AI 交互	用户与生成 AI 站点交互。 详细信息包括提示和响应。 对于智能 Microsoft 365 Copilot 副驾驶®和智能 Microsoft 365 Copilot 副驾驶® 对话助手，此事件需要启用审核。 对于 Fabric 和 Security Copilot 中的 Copilot 以及非 Copilot AI 应用，提示和响应需要一个收集策略，其中选择了内容捕获来捕获这些交互。
AI 网站访问	用户已浏览到生成 AI 站点。
DLP 规则匹配	当用户与生成 AI 站点交互时，会匹配数据丢失防护规则。 包括用于智能 Microsoft 365 Copilot 副驾驶®的 DLP。
敏感信息类型	用户在与生成 AI 站点交互时发现了敏感信息类型。 对于智能 Microsoft 365 Copilot 副驾驶®和智能 Microsoft 365 Copilot 副驾驶® 对话助手，此事件需要启用审核，但不需要任何活动策略。

已知问题：

• AI 交互事件并不总是显示Copilot 提示和响应的文本。 有时，提示和响应跨越连续条目。 其他方案可能包括：

  • Microsoft主持人 AI 生成的笔记中，不会显示任何提示或响应
  • 如果用户在 Exchange Online 中没有托管邮箱，则不会显示任何提示或响应

• 检测到的敏感信息类型事件不显示用户风险级别。

• 对于Microsoft主持人 AI 生成的笔记， AI 交互 事件不能链接到 检测到的敏感信息类型 。

• 对于集合策略，如果未在策略中选择 捕获内容 的选项，则不会显示提示或响应。 例如，自动创建策略时，一键式策略DSPM AI - 检测通过网络与 AI 共享的敏感信息不会选择此选项，但可以在创建策略后手动编辑策略并选择此选项。