本文提供針對與 Microsoft Copilot和 AI 應用程式相關的使用者互動和系統管理活動所產生的稽核記錄概觀。 這些活動會自動記錄為稽核 (Standard) 的一部分。 如果您的組織已啟用稽核,則 Copilot 和 AI 應用程式稽核支援不需要額外的設定步驟。
稽核非Microsoft AI 應用程式的計費
非Microsoft AI 應用程式的稽核記錄會使用隨用隨付計費,提供保留 180 天的使用者/系統管理員互動稽核記錄。 這些是與非Microsoft AI 應用程式互動的稽核記錄。
此類型用戶互動的稽核記錄不會包含在您的企業訂用帳戶中,而且受限於隨用隨 付計費。 這些互動會記錄在 AIAppInteraction recordType 或 AIApp 工作負載下。 此隨用隨付計費模型中也會包含一些在 ConnectedAiAppInteraction recordType 下記錄的案例。 默認不會啟用這些記錄,而且需要您啟用隨用隨付功能。 啟用時,這些稽核記錄會保留 180 天。 取用量會根據針對使用者與這些非Microsoft AI 應用程式互動所擷取的稽核記錄數目來收費。
隨用隨付計費不適用於Microsoft應用程式。 稽核標準版 中包含所有Microsoft應用程式,包括 Microsoft 像是 Microsoft Security Copilot、Microsoft Fabric 中的 Copilot,以及使用 Microsoft Copilot Studio 和 Azure AI Studio 建置的自定義應用程式。
使用 Copilot 和 AI 應用程式 管理員 活動
當系統管理員執行與 Copilot 設定、外掛程式、提示簿或工作區相關的活動時,就會產生稽核記錄。 如需詳細資訊,請參閱 Microsoft 365 Copilot 活動。
使用 Copilot 和 AI 應用程式的用戶活動
當使用者與 Copilot 或 AI 應用程式互動時,系統會自動產生稽核記錄。 這些稽核記錄包含哪些使用者與 Copilot 互動的詳細數據、互動的發生時機和位置。 稽核記錄也包含檔案、網站或其他資源的參考 Copilot 和 AI 應用程式,以產生使用者提示的回應。
Copilot 稽核記錄中常用的屬性
下表概述稽核記錄中包含的一些常用屬性。
| 屬性 | 定義 | 範例 |
|---|---|---|
| 作業 | 指定已稽核之活動的名稱。 | 針對使用者與 Copilot 的互動,這會使用 CopilotInteraction、 ConnectedAIAppInteraction 和 AIAppInteraction 等值,如 RecordType 所述。 也包含 Copilot 系統管理員作業,例如 UpdateTenantSettings、 CreatePlugin、 DeletePlugin、 EnablePromptBook 等。 |
| RecordType | 識別用戶互動的 Copilot 或 AI 應用程式類別。 |
CopilotInteraction 指的是使用者與Microsoft開發的 Copilot 應用程式互動的案例。 ConnectedAIAppInteraction 是指使用者與組織內部署並註冊的自定義建置 Copilot 或第三方 AI 應用程式互動的案例。 AIAppInteraction 指的是與組織內未部署的第三方 AI 應用程式互動。 |
| 工作負載 | 識別應用程式類別,類似於 RecordType。 | Copilot、 ConnectedAIApp、 AIApp |
| AppIdentity | 詳細的字串,可讓您唯一識別用戶互動的特定 Copilot 或 AI 應用程式。 它通常會遵循 workloadName.appGroup.appName 結構。 | 例如,與Microsoft開發的第一方 Copilot 應用程式互動會使用 Copilot.MicrosoftCopilot.Microsoft365Copilot、 Copilot.Fabric.CopilotforPowerBI、 Copilot.Security.SecurityCopilot 等值。 與透過 Copilot Studio 建立的自定義建置 Copilot 互動會使用 Copilot.Studio.AppId 之類的值。 與組織內部署的第三方 AI 應用程式互動 (使用 ConnectedAIApp 作為工作負載) 使用 ConnectedAIApp.Entra.AppId 或 ConnectedAIApp.AzureAI.AzureResourceName 等值。 與透過網路/瀏覽器數據外洩防護 (DLP) (稽核的第三方 AI 應用程式互動,其使用 AIApp 作為工作負載) 使用 AIApp.SaaS.AppName 之類的值。 |
| AgentId | 代理程式的唯一標識碼。 字串也可以包含有關互動所涉及之代理程式類別的詳細數據。 | 例如,當使用者與透過 Microsoft Copilot Studio 建立的宣告式代理程式或自定義引擎代理程序互動時, 然後代理程式標識符會包含 CopilotStudio.Declarative.8ad83f3e-b424-4d54-8ddb-15dc19247088 或 CopilotStudio.CustomEngine.11fd28b5-4452-4615-be3d-7046a6f31131 等值。 |
| AgentName | 代理程式的易讀名稱。 | JiraStatusAgent、 SalesAgent、 ReminderBot 等。 |
| AgentVersion | 所涉及代理程式的版本號碼或版本標識碼。 | 25.001、8076fbed-be52-4004-ac89-81181ecd7b33 等值。 |
| AppHost | 相同的 Copilot 應用程式可以部署在多個主應用程式內。 此屬性可協助識別裝載使用者與 Copilot 之間互動的應用程式。 | 一些常見的 AppHost 案例包括: - BizChat:Copilot 互動是在 BizChat 用戶端 (透過 Teams 或應用程式) ,或透過網站 microsoft365.com/copilot 或 microsoft365.com/chat - Bing:Copilot 互動是透過 Microsoft Edge 瀏覽器、Office 行動裝置應用程式或 copilot.cloud.microsoft.com - Office:Copilot 互動是透過 office.com 或 microsoft365.com - 其他應用程式特定值:Word、Excel、PowerPoint、OneNote、Stream 等值表示這些應用程式內已執行互動 |
| ClientRegion | 用戶執行作業時的區域。 | |
| AISystemPlugin | 為 Copilot 互動啟用外掛程式或擴充功能的詳細數據。 - Name 是 Copilot 在產生回應時所使用的外掛程式名稱。 - 標識 碼是外掛程式的唯一標識碼。 - 版本 是指所使用的外掛程式版本。 |
|
| 上下文 | 包含屬性集合,以協助描述使用者在 Copilot 互動期間的所在位置。 - 標識 碼是在 Copilot 互動期間使用的資源識別碼。 - 類型 是發生互動之應用程式或服務的檔案類型/名稱。 |
-
標識 元包含 SharePoint 案例) 的 FileId 或 FilePath (,或 Teams 案例) 等的 Teams 聊天標識碼或會議標識碼 (等值。 - 類型 包含 docx、pptx、xlsx、TeamsMeeting、TeamsChannel、TeamsChat 等值。 |
| 訊息 | 包含 Copilot 互動中提示和回應消息的詳細數據。 單一稽核記錄通常包含提示-回應組,但也可以包含包含多個回應消息的提示 (也就是與該提示相關聯的所有 Copilot 回應) 。 - ID 是 Copilot 互動中提示/回應消息的 messageId。 - IsPrompt 是布爾值旗標,表示此訊息是使用者提示或 Copilot 回應。 - JailbreakDetected 是布爾值旗標,表示是否已使用此提示訊息進行越獄嘗試。 - 目前未使用大小。 |
“Messages”: [ {“ID”:“1715186983849”, “isPrompt”:true}, {“ID”:“1715186984291”, “isPrompt”:false} ] |
| AccessedResources | 所有資源的參考 (檔案、文件、電子郵件等 ) ,而 Copilot 會存取這些資源以回應使用者的要求。 - 標識 碼是資源的唯一標識碼。 這可能是 OneDrive 上的 fileId、Teams 中的 messageId 或 Outlook 中的電子郵件識別碼等。 - SiteUrl 是所存取資源的 URL。 這可能是 SharePoint 網站的 URL、檔案的完整檔案路徑等。 - ListItemUniqueId 是 SharePoint 中專案的唯一標識碼。 - 類型 是指已存取的資源類型。 它可以包含pptx、docx等檔類型擴展 (等值 ) 或描述非SharePoint資源) 的資源 (類型。 - Name 是使用者易讀的資源 (名稱,例如 fileName) 。 - SensitivityLabelId 是指派給資源的敏感度標籤標識碼。 這有助於識別 Copilot 是否會在產生回應時存取任何敏感性資訊。 - 動作 是指 Copilot 在資源上執行之存取的本質。 常見的值包括 讀取、 建立、 修改。 - PolicyDetails 用於 Copilot 參考原則的案例。 此屬性可以包含 PolicyId、 PolicyName、規則清單等詳細數據。 |
例如:「AccessedResources」:[{“Action”:“Read”,“Id”:“AAAAAEYE2GAACp1FlnN_CHXStUkHAGWJYgtgcv1eOxe2v4H4jOsAAAQsLLeAAGWJYgtgcv1EoXe2v4H4josAABwvq8gAAA2”,“Name”:“Document1.docx”,“SensitivityLabelId”:“f41ab342-8706-4188-bd11-ebb85995028c”,“SiteUrl”:“https://microsoft.sharepoint.com/teams/OfficeSerbia/Shared%20Documents/SPOPPE/Document%20transformation%20services/Crawled%20Word%20documents/IW/Document1.docx?web=1”,“Type”:“docx”,“listItemUniqueId”:“AAAAAEYE2GAACp1FlnN_CHXStUkHAGWJYgtgcv1eOxe2v4H4jOsAAAQsLLeAAGWJYgtgcv1EoXe2v4H4josAABwvq8gAAA2”}], |
| ModelTransparencyDetails | AI/GAI 模型提供者的詳細數據。 - ModelName 是使用的模型名稱。 - ModelVersion 是所使用的模型版本。 - ModelProviderName 是模型的發行者。 |
用戶活動的範例 Copilot 案例
下表列出一些範例案例,以及它們如何出現在稽核記錄中。 這些範例稽核記錄是從 Copilot 活動建立的。
Microsoft Copilot
使用者透過 BizChat 用戶端與 Microsoft Copilot 互動。
| 作業 | RecordType | AppIdentity | AppHost |
|---|---|---|---|
| CopilotInteraction | CopilotInteraction | Copilot.MicrosoftCopilot.BizChat | BizChat |
Security Copilot
使用者會在 Microsoft Defender 內與 Security Copilot 互動。
| 作業 | RecordType | AppIdentity | AppHost |
|---|---|---|---|
| CopilotInteraction | CopilotInteraction | Copilot.Security.SecurityCopilot | 守衛者 |
Copilot Studio 應用程式
使用者會與自定義建置的 Copilot Studio 應用程式互動, (其 appId 是 appIdentity) 中所包含的 GUID。 互動會在部署此自定義建置應用程式的 Microsoft Teams 內進行。
| 作業 | RecordType | AppIdentity | AppHost |
|---|---|---|---|
| CopilotInteraction | CopilotInteraction | Copilot.Studio.f4d97b45-1deb-40ce-9004-b473b79eab85 | Teams |
Microsoft促進者
Microsoft協助程式在 Microsoft Teams 中執行了 AI 筆記、即時筆記或會議仲裁的更新。
| 作業 | RecordType | AppIdentity | AppHost |
|---|---|---|---|
| AINotesUpdate | TeamCopilotInteraction | Copilot.TeamCopilot.AINotes | Teams |
| LiveNotesUpdate | TeamCopilotInteraction | Copilot.TeamCopilot.LiveNotes | Teams |
| TeamCopilotMsgInteraction | TeamCopilotInteraction | Copilot.TeamCopilot.Message | Teams |
識別 Copilot 是否存取 Web
啟用 Web 搜尋時,Microsoft 365 Copilot 和 Microsoft 365 Copilot Chat 剖析使用者提示,並判斷 Web 搜尋是否會改善響應的品質。 若要識別 Copilot 是否在用戶互動中參考公用網站,請檢閱 CopilotInteraction 稽核記錄中的 AISystemPlugin.Id 屬性。 AISystemPlugin.Id 包含當使用者 Copilot 要求透過 Microsoft Bing 使用公用 Web 來取得其他數據時, BingWebSearch 值。
存取 Copilot 稽核記錄
使用 Microsoft Purview 入口網站和選取 [ 稽核] 來存取 Copilot 稽核記錄。
若要搜尋特定的 Copilot 或 AI 應用程式案例,請使用 Microsoft Purview 入口網站中的 [ 活動 – 作業名稱 ] 字段,使用 Operation、 RecordType 和 Workload 等屬性來篩選稽核記錄。
如果您需要搜尋包含特定 AppIdentity 值或一組值的稽核記錄,請先依作業名稱篩選並匯出所有相關的 Copilot 稽核記錄。 從導出的搜尋結果中,離線套用 AppIdentity 屬性的篩選。