Důležité informace o zabezpečení a dodržování předpisů pro úlohy inteligentních aplikací

Zabezpečení je zásadní pro každou architekturu. Microsoft Power Platform nabízí ucelenou řadu nástrojů pro efektivní zabezpečení úloh inteligentních aplikací. Tento článek popisuje aspekty zabezpečení a doporučení pro vývoj inteligentních úloh aplikací pomocí Power Platform.

Funkce Copilot pro Dynamics 365 a Power Platform se řídí souborem základních postupů v oblasti zabezpečení a ochrany osobních údajů a standardy odpovědné AI společnosti Microsoft. Data Dynamics 365 a Power Platform jsou chráněna pomocí komplexních, špičkových kontrol dodržování předpisů, zabezpečení a ochrany soukromí. Další informace o funkcích zabezpečení Microsoft Copilot Studio a Power Platform najdete v tématech Zabezpečení a zásady správného řízení Copilot Studio, Nejčastější dotazy k zabezpečení dat a osobních údajů Copilot pro Dynamics 365 a Power Platform a Zabezpečení v Microsoft Power Platform.

Měli byste pravidelně vyhodnocovat služby a technologie, které používáte, abyste zajistili, že vaše bezpečnostní opatření odpovídají měnícímu se prostředí hrozeb.

Pochopení požadavků zabezpečení

Seznamte se s klíčovými požadavky na úlohy inteligentních aplikací, které implementujete. Položte si následující otázky, které vám pomohou identifikovat bezpečnostní opatření, která je třeba řešit.

Řízení přístupu a ověřování

• Jak budete implementovat mechanismy řízení přístupu a ověřování, abyste zajistili, že k úloze inteligentních aplikací budou mít přístup jenom autorizovaní uživatelé?
• Jak zajistíte bezpečné a bezproblémové ověřování uživatelů?
• Jak řídíte, které aplikace mohou pracovat s generativní umělou inteligencí (agent) a jaká opatření zajišťují, aby tato omezení byla účinná?

Správa zabezpečení a incidentů

• Jak budete spravovat a zabezpečit tajné kódy aplikací, jako jsou klíče rozhraní API a hesla?
• Jaké požadavky na zabezpečení sítě mají vliv na úlohy inteligentních aplikací? Jsou například interní rozhraní API přístupná jenom ve virtuální síti?
• Jak budete monitorovat a auditovat přístup a používání inteligentní aplikace?
• Jaký je plán reakce na incidenty pro řešení narušení nebo ohrožení zabezpečení?

Rezidence dat a dodržování předpisů

• Jaké požadavky na rezidenci dat platí pro data používaná v úloze inteligentních aplikací? Víte, kde budou vaše data uložena a zda je umístění v souladu s vašimi zákonnými nebo regulačními povinnostmi?
• Jaké zákonné požadavky a požadavky na dodržování předpisů musí být splněny pro úlohy inteligentních aplikací?

Požadavky na systémovou integraci a síť

• Jak se bude úloha inteligentních aplikací bezpečně integrovat s dalšími interními a externími systémy?
• Jaké jsou požadavky na síť a integraci pro vaši úlohu? Je potřeba integrace s interními nebo externími zdroji dat nebo rozhraními API?

Etické aspekty a odpovědná AI

• Jak budou etické aspekty a postupy odpovědné AI začleněny do úloh inteligentních aplikací?

Implementace robustních opatření pro ověřování a řízení přístupu

Ověřování umožňuje uživatelům přihlásit se a dát agentovi přístup k omezenému zdroji nebo informacím. Uživatelé se mohou přihlásit pomocí Microsoft Entra ID nebo s jakýmkoliv poskytovatelem identity OAuth2, jako je Google nebo Facebook.

Implementujte robustní opatření pro ověřování a řízení přístupu, abyste zajistili, že oprávnění uživatelé budou mít přístup k agent. Základem zabezpečení je zajistit, aby k agent měli přístup pouze oprávnění uživatelé. Implementace vícefaktorového ověřování přidává další vrstvu zabezpečení. Pokud chcete minimalizovat riziko neoprávněného přístupu, definujte role a oprávnění, abyste zajistili, že uživatelé budou mít přístup jenom k prostředkům, které potřebují. Implementujte zásady podmíněného přístupu pro řízení přístupu na základě konkrétních podmínek, jako je umístění uživatele, dodržování předpisů zařízením nebo úroveň rizika.

Další informace:

• Konfigurace ověřování uživatelů
• Nakonfigurujte jednotné přihlašování
• Konfigurace webu a zabezpečení kanálu Direct Line

Pochopte, jak regulační požadavky ovlivňují váš projekt

Identifikujte a dodržujte regulační požadavky a normy platné ve vašem odvětví, jako jsou GDPR (Obecné nařízení o ochraně osobních údajů), HIPAA (Health Insurance Portability and Accountability Act) nebo CCPA (California Consumer Privacy Act). Implementujte nezbytné kontrolní mechanismy, abyste zajistili dodržování předpisů. Naplánujte si pravidelné audity dodržování předpisů, abyste ověřili dodržování regulačních norem a vyřešili případné nedostatky. Vyhodnoťte, jestli existují konkrétní požadavky na umístění dat, jako je například požadavek na ukládání dat v konkrétní zemi nebo oblasti. Ujistěte se, že vaše strategie ukládání dat splňuje tyto požadavky.

Zajistěte, aby data byla chráněna a spravována v souladu s regulačními požadavky. Ochrana dat zpracovávaných úlohami inteligentních aplikací je zásadní pro zachování důvěryhodnosti a dodržování právních a regulačních norem.

Microsoft je v souladu se zákony o ochraně osobních údajů a soukromí, které se vztahují na cloudové služby. Je ověřeno, že dodržujeme prvotřídní průmyslové standardy. Prostředí je možné vytvářet v konkrétních oblastech, a to i v případě, že se liší od oblasti, ve které se klient nachází. Ve výchozím nastavení se přepisy konverzací uchovávají pouze po dobu 30 dnů v Dataverse. Tuto dobu uchovávání můžete upravit pro jednotlivá prostředí.

Další informace:

• Zabezpečení a geografická rezidence dat v Copilot Studio
• Geografická rezidence dat v Copilot Studio
• Nabídky pro dodržování předpisů Copilot Studio
• Copilot StudioDodržování GDPR
• Umístění dat Copilot Studio
• Správa dodržování předpisů v cloudu
• Service Trust Portal
• Změna výchozí doby uchování přepisů konverzací
• Přesun dat napříč geografickými lokalitami pro generativní funkce AI mimo Spojené státy
• Návrh pro ochranu důvěrnosti

Zabezpečení všech integrací

Zajistěte zabezpečenou komunikaci mezi úlohami inteligentních aplikací a zdroji dat. Vaše úlohy inteligentních aplikací se musí integrovat s jinými systémy, aby bylo možné přistupovat k datům a zpracovávat je. Pokud chcete zjednodušit správu identit a zvýšit zabezpečení, použijte instanční objekty pro nelidský přístup k prostředkům a spravované identity pro Azure prostředky. Zabezpečte rozhraní API pomocí OAuth2 pro ověřování a zajištěním šifrování veškeré komunikace rozhraní API. Použití instančních objektů zajišťuje, že připojení jsou zabezpečená a nespoléhají se na jednotlivé přihlašovací údaje.

Další informace:

• Návrh pro zabezpečení integrace
• Podpora instančního objektu

Implementujte průběžné monitorování a auditování

Hlavním účelem monitorování zabezpečení je detekce hrozeb. Primárním cílem je zabránit potenciálnímu narušení bezpečnosti a udržovat bezpečné prostředí. Průběžně monitorujte a auditujte aktivity úloh inteligentních aplikací, abyste je mohli zjišťovat a proaktivně na ně reagovat. Zabezpečení je průběžný proces, nikoli jednorázová konfigurační úloha. Pravidelné monitorování a auditování přístupu a interakcí uživatelů je nezbytné pro zabezpečení úloh inteligentních aplikací.

Další informace:

• Doporučení pro monitorování a detekci hrozeb
• Zobrazení protokolů auditů Copilot Studio
• Zachycení telemetrie Copilot Studio pomocí Azure Application Insights

Použijte nástroje zabezpečení Azure k vynucení zásad zabezpečení

K monitorování a vynucování zásad zabezpečení použijte integrované nástroje zabezpečení Azure, jako jsou Microsoft Defender for Cloud (dříve označovaný jako Azure Security Center) a Azure Policy.

Zajistěte školení zaměstnanců

Trénování zaměstnanců o osvědčených postupech ochrany dat a důležitosti dodržování požadavků na rezidenci dat. Přizpůsobte školicí materiály konkrétním rolím a odpovědnostem různých zaměstnanců. Zákony a předpisy o ochraně osobních údajů se neustále vyvíjejí. Zajistěte, aby školicí programy byly pravidelně aktualizovány tak, aby odrážely nejnovější právní požadavky a osvědčené postupy. Používejte interaktivní metody, jako jsou workshopy, simulace a scénáře z reálného života, aby bylo školení poutavé a efektivní. Poskytujte nepřetržitou podporu a zdroje, jako je přístup k pověřencům pro ochranu osobních údajů nebo právním poradcům, abyste zaměstnancům pomohli zůstat informováni a dodržovat předpisy.