Överväganden för säkerhet och efterlevnad för intelligenta programarbetsbelastningar

Säkerhet är avgörande för alla arkitekturer. Microsoft Power Platform erbjuder ett omfattande utbud av verktyg för att effektivt skydda din intelligenta programarbetsbelastning. I den här artikeln beskrivs säkerhetsöverväganden och rekommendationer för att utveckla intelligenta programarbetsbelastningar med Power Platform.

Copilot för Dynamics 365 och Power Platform-funktioner följer en uppsättning grundläggande metoder för säkerhet och sekretess samt Microsoft Ansvarsfull AI-standard. Dynamics 365 och Power Platform skyddas av omfattande, branschledande efterlevnads-, säkerhets- och integritetskontroller. Mer information om Microsoft Copilot Studio och Power Platform säkerhetsfunktioner finns i Copilot Studio säkerhet och styrning, Vanliga frågor och svar om Copilot datasäkerhet och sekretess för Dynamics 365 och Power Platform och Säkerhet i Microsoft Power Platform.

Du bör regelbundet utvärdera de tjänster och tekniker du använder för att säkerställa att dina säkerhetsåtgärder överensstämmer med det föränderliga hotlandskapet.

Förstå säkerhetskrav

Förstå de viktigaste kraven för den intelligenta programarbetsbelastning som du implementerar. Ställ dig själv följande frågor för att identifiera de säkerhetsåtgärder som ska vidtas.

Åtkomstkontroll och autentisering

• Hur implementerar du mekanismer för åtkomstkontroll och autentisering för att säkerställa att endast behöriga användare kan komma åt den intelligenta programarbetsbelastningen?
• Hur säkerställer du säker och sömlös användarautentisering?
• Hur kontrollerar du vilka appar som kan interagera med generativ AI (agent) och vilka åtgärder säkerställer att dessa begränsningar är effektiva?

Säkerhets- och incidenthantering

• Hur ska du hantera och skydda programhemligheter, till exempel API-nycklar och lösenord?
• Vilka nätverkssäkerhetskrav påverkar arbetsbelastningen för intelligenta program? Är till exempel interna API:er endast tillgängliga i ett virtuellt nätverk?
• Hur kommer du att övervaka och granska åtkomst och användning av det intelligenta programmet?
• Vad är incidenthanteringsplanen för att hantera säkerhetsöverträdelser eller sårbarheter?

Efterlevnad och datahemvist

• Vilka krav på datahemvist gäller för de data som används i den intelligenta programarbetsbelastningen? Vet du var dina data kommer att finnas och om platsen överensstämmer med dina juridiska eller regulatoriska skyldigheter?
• Vilka regel- och efterlevnadskrav måste uppfyllas för den intelligenta programarbetsbelastningen?

Systemintegration och nätverkskrav

• Hur kommer den intelligenta applikationsarbetsbelastningen att integreras på ett säkert sätt med andra interna och externa system?
• Vilka är nätverks- och integreringskraven för din arbetsbelastning? Finns det ett behov av att integrera med interna eller externa datakällor eller API:er?

Etiska överväganden och ansvarsfull AI

• Hur kommer etiska överväganden och ansvarsfulla AI-metoder att införlivas i den intelligenta programarbetsbelastningen?

Implementera robusta åtgärder för autentisering och åtkomstkontroll

Med autentisering kan användare logga in, vilket ger agentåtkomst till begränsade resurser eller information. Användare kan logga in med Microsoft Entra ID eller med någon OAuth2-identitetsleverantör som Google eller Facebook.

Implementera robusta autentiserings- och åtkomstkontrollåtgärder för att säkerställa att behöriga användare kan komma åt agenten. Att se till att endast behöriga användare kan komma åt agenten är grunden för säkerheten. Implementering av multifaktorautentisering lägger till ett extra lager av säkerhet. För att minimera risken för obehörig åtkomst definierar du roller och behörigheter för att säkerställa att användarna endast har åtkomst till de resurser de behöver. Implementera principer för villkorlig åtkomst för att styra åtkomsten baserat på specifika villkor, till exempel användarplats, enhetsefterlevnad eller risknivå.

Läs mer:

• Konfigurera användarautentisering
• Konfigurera enkel inloggning
• Konfigurera säkerhet för webb- och Direct Line-kanal

Förstå hur regelkrav påverkar ditt projekt

Identifiera och följ regulatoriska krav och normer som gäller för din bransch, till exempel GDPR (allmän dataskyddsförordning), HIPAA (Health Insurance Portability and Accountability Act) eller CCPA (California Consumer Privacy Act). Implementera nödvändiga kontroller för att säkerställa efterlevnad. Schemalägg regelbundna efterlevnadsrevisioner för att verifiera efterlevnaden av regulatoriska standarder och åtgärda eventuella luckor. Utvärdera om det finns specifika krav för dataplats, till exempel ett krav på att data ska lagras i ett visst land eller en viss region. Se till att din datalagringsstrategi uppfyller dessa krav.

Se till att data skyddas och hanteras i enlighet med regelkrav. Det är viktigt att skydda de data som hanteras av den intelligenta programarbetsbelastningen för att upprätthålla förtroendet och följa juridiska och regelmässiga standarder.

Microsoft följer dataskydds- och integritetslagar som gäller för molntjänster. Vår överensstämmelse med branschstandarder i världsklass verifieras. Miljöer kan skapas i specifika regioner, även om de skiljer sig från den region där klientorganisationen finns. Som standard sparas konversationsavskrifter bara i 30 dagar Dataverse. Du kan justera den här kvarhållningsperioden per miljö.

Läs mer:

• Säkerhet och geografisk datahemvist i Copilot Studio
• Geografisk datahemvist i Copilot Studio
• Erbjudanden för regelefterlevnad för Copilot Studio
• Copilot StudioGDPR-efterlevnad
• Copilot Studio dataplatser
• Hantera efterlevnad i molnet
• Service Trust Portal
• Ändra standardlagringsperioden för konversationsutskrifter
• Flytta data över geografiska platser för generativa AI-funktioner utanför USA
• Designa för att skydda konfidentialiteten

Skydda alla integrationer

Säkerställ säker kommunikation mellan din intelligenta programarbetsbelastning och datakällor. Din intelligenta programarbetsbelastning måste integreras med andra system för att komma åt och bearbeta data. För att förenkla identitetshanteringen och förbättra säkerheten använder du tjänstens huvudnamn för icke-mänsklig åtkomst till resurser och hanterade identiteter för Azure resurser. Skydda API:er genom att använda OAuth2 för autentisering och genom att se till att all API-kommunikation är krypterad. Genom att använda tjänsteprinciper ser du till att anslutningarna är säkra och inte förlitar sig på enskilda autentiseringsuppgifter.

Läs mer:

• Designa för integrationssäkerhet
• Aktivera tjänstens huvudkonto

Implementera löpande övervakning och granskning

Det huvudsakliga syftet med säkerhetsövervakning är hotidentifiering. Det primära målet är att förhindra säkerhetsintrång och att upprätthålla en säker miljö. Övervaka och granska kontinuerligt den intelligenta programarbetsbelastningens aktiviteter för att identifiera och svara proaktivt. Säkerhet är en pågående process, inte en engångskonfigurationsuppgift. Regelbunden övervakning och granskning av användaråtkomst och interaktioner är viktigt för att skydda din intelligenta apparbetsbelastning.

Läs mer:

• Rekommendationer för övervakning och hotidentifiering
• Visa Copilot Studio granskningsloggar
• Hämta Copilot Studio telemetri med Azure Application Insights

Använd Azure säkerhetsverktyg för att genomdriva säkerhetspolicyer

Använd Azure inbyggda säkerhetsverktyg, till exempel Microsoft Defender för molnet (tidigare kallad Azure Security Center) och Azure Policy, för att övervaka och tillämpa säkerhetsprinciper.

Ge anställda utbildning

Träna anställda om bästa praxis för dataskydd och vikten av att följa kraven på datahemvist. Skräddarsy utbildningsmaterial till olika anställdas specifika roller och ansvarsområden. Dataskyddslagar och förordningar utvecklas ständigt. Se till att utbildningsprogrammen uppdateras regelbundet för att återspegla de senaste lagkraven och bästa praxis. Använd interaktiva metoder som workshops, simuleringar och verkliga scenarier för att göra utbildningen engagerande och effektiv. Ge kontinuerligt stöd och resurser, t.ex. tillgång till dataskyddsombud eller juridiska rådgivare, för att hjälpa anställda att hålla sig informerade och följa reglerna.