ข้อควรพิจารณาด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับเวิร์กโหลดแอปพลิเคชันอัจฉริยะ
ความปลอดภัยเป็นสิ่งสำคัญสำหรับสถาปัตยกรรมใดๆ Microsoft Power Platform นำเสนอเครื่องมือที่ครอบคลุมเพื่อรักษาความปลอดภัยเวิร์กโหลดของแอปพลิเคชันอัจฉริยะของคุณอย่างมีประสิทธิภาพ บทความนี้อธิบายข้อควรพิจารณาด้านความปลอดภัยและคำแนะนำในการพัฒนาเวิร์กโหลดของแอปพลิเคชันอัจฉริยะด้วย Power Platform
คุณลักษณะ Copilot สำหรับ Dynamics 365 และ Power Platform เป็นไปตามชุดแนวทางปฏิบัติด้านการรักษาความปลอดภัยและความเป็นส่วนตัวหลักและ มาตรฐาน AI ที่รับผิดชอบ ของ Microsoft ข้อมูล Dynamics 365 และ Power Platform ได้รับการปกป้องโดยมาตรการควบคุมการปฏิบัติตามข้อกำหนด การรักษาความปลอดภัย และความเป็นส่วนตัวระดับชั้นนำของอุตสาหกรรมที่ครอบคลุม สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคุณลักษณะด้านความปลอดภัยของ Microsoft Copilot Studio และ Power Platform โปรดดู ความปลอดภัยและการกำกับดูแล Copilot Studioคำถามที่ถามบ่อยเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล Copilot สำหรับ Dynamics 365 และ Power Platform และ ความปลอดภัยใน Microsoft Power Platform
คุณควรประเมินบริการและเทคโนโลยีที่คุณใช้เป็นระยะ เพื่อให้แน่ใจว่ามาตรการรักษาความปลอดภัยของคุณสอดคล้องกับรูปแบบคุกคามที่กำลังเปลี่ยนแปลง
ทำความเข้าใจข้อกำหนดเกี่ยวกับความปลอดภัย
ทำความเข้าใจข้อกำหนดที่สำคัญสำหรับเวิร์กโหลดแอปพลิเคชันอัจฉริยะที่คุณกำลังใช้งาน ถามตัวเองด้วยคำถามต่อไปนี้เพื่อช่วยระบุมาตรการรักษาความปลอดภัยที่ต้องแก้ไข
การควบคุมการเข้าถึงและการรับรองความถูกต้อง
- คุณจะใช้กลไกการควบคุมการเข้าถึงและการรับรองความถูกต้องอย่างไร เพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเวิร์กโหลดแอปพลิเคชันอัจฉริยะ
- คุณจะมั่นใจได้อย่างไรว่าการรับรองความถูกต้องของผู้ใช้ปลอดภัยและราบรื่น
- คุณจะควบคุมได้อย่างไรว่าแอปใดสามารถโต้ตอบกับ AI สร้างสรรค์ (เอเจนต์) และมาตรการใดที่รับรองว่าข้อจำกัดเหล่านี้มีประสิทธิภาพ
การจัดการความปลอดภัยและเหตุการณ์
- คุณจะจัดการและรักษาความปลอดภัยข้อมูลลับของแอปพลิเคชัน เช่น คีย์ API และรหัสผ่านอย่างไร
- ข้อกำหนดด้านความปลอดภัยของเครือข่ายใดที่ส่งผลต่อเวิร์กโหลดแอปพลิเคชันอัจฉริยะ ตัวอย่างเช่น API ภายในสามารถเข้าถึงได้ในเครือข่ายเสมือนเท่านั้นหรือไม่
- คุณจะติดตามและตรวจสอบการเข้าถึงและการใช้งานแอปพลิเคชันอัจฉริยะอย่างไร
- แผนตอบสนองต่อเหตุการณ์ในการจัดการกับการละเมิดหรือช่องโหว่ด้านความปลอดภัยเป็นอย่างไร
การปฏิบัติตามข้อกำหนดและถิ่นที่อยู่ของข้อมูล
- ข้อกำหนดด้านถิ่นที่อยู่ของข้อมูลใดบ้างที่ใช้กับข้อมูลที่ใช้ในเวิร์กโหลดของแอปพลิเคชันอัจฉริยะ คุณรู้หรือไม่ว่าข้อมูลของคุณจะอยู่ที่ใดและตำแหน่งนั้นสอดคล้องกับภาระผูกพันทางกฎหมายหรือข้อบังคับของคุณหรือไม่
- ต้องปฏิบัติตามข้อกำหนดด้านกฎระเบียบและการปฏิบัติตามข้อกำหนดใดบ้างสำหรับเวิร์กโหลดแอปพลิเคชันอัจฉริยะ
ข้อกำหนดการรวมระบบและข้อกำหนดของเครือข่าย
- อแอปพลิเคชันอัจฉริยะจะรวมเข้ากับระบบภายในและภายนอกอื่นๆ อย่างปลอดภัยได้อย่างไร
- ข้อกำหนดของเครือข่ายและการรวมระบบสำหรับเวิร์กโหลดของคุณมีอะไรบ้าง จำเป็นต้องผนวกรวมกับแหล่งข้อมูลภายในหรือภายนอกหรือ API หรือไม่
ข้อพิจารณาด้านจริยธรรมและ AI ที่รับผิดชอบ
- การพิจารณาด้านจริยธรรมและแนวทางปฏิบัติด้าน AI ที่ผิดชอบจะรวมเข้ากับเวิร์กโหลดแอปพลิเคชันอัจฉริยะอย่างไร
ใช้มาตรการรับรองความถูกต้องและการควบคุมการเข้าถึงที่มีประสิทธิภาพ
การรับรองความถูกต้องอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ ให้เอเจนต์ของคุณเข้าถึงทรัพยากรหรือข้อมูลที่ถูกจำกัด ผู้ใช้สามารถลงชื่อเข้าใช้ด้วย Microsoft Entra ID หรือกับ ผู้ให้บริการข้อมูลประจำตัว OAuth2 เช่น Google หรือ Facebook
ใช้มาตรการรับรองความถูกต้องและการควบคุมการเข้าถึงที่มีประสิทธิภาพเพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงเอเจนต์ได้ การตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเอเจนต์เป็นรากฐานของการรักษาความปลอดภัย การใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย จะเพิ่มความปลอดภัยอีกชั้นหนึ่ง เพื่อลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต ให้กำหนดบทบาทและสิทธิ์เพื่อให้แน่ใจว่าผู้ใช้มีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่ต้องการเท่านั้น ใช้นโยบายการเข้าถึงแบบมีเงื่อนไขเพื่อควบคุมการเข้าถึงตามเงื่อนไขเฉพาะ เช่น ตำแหน่งของผู้ใช้ การปฏิบัติตามข้อกำหนดของอุปกรณ์ หรือระดับความเสี่ยง
เรียนรู้เพิ่มเติม:
- กำหนดค่าการรับรองความถูกต้องของผู้ใช้
- กำหนดค่าการลงชื่อเข้าระบบครั้งเดียว
- กำหนดค่าการรักษาความปลอดภัยของเว็บและช่องทาง Direct Line
ทำความเข้าใจว่าข้อกำหนดด้านกฎระเบียบส่งผลต่อโครงการของคุณอย่างไร
ระบุและปฏิบัติตามข้อกำหนดด้านกฎระเบียบและบรรทัดฐานที่บังคับใช้กับอุตสาหกรรมของคุณ เช่น GDPR (ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล), HIPAA (พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ) หรือ CCPA (กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย) ใช้มาตรการควบคุมที่จำเป็นเพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนด กำหนดเวลาการตรวจสอบการปฏิบัติตามข้อกำหนดเป็นประจำเพื่อตรวจสอบการปฏิบัติตามมาตรฐานการกำกับดูแลและแก้ไขช่องว่างใดๆ ประเมินว่ามีข้อกำหนดเฉพาะสำหรับตำแหน่งข้อมูลหรือไม่ เช่น ข้อกำหนดสำหรับข้อมูลที่จะจัดเก็บในประเทศหรือภูมิภาคใดภูมิภาคหนึ่ง ตรวจสอบให้แน่ใจว่ากลยุทธ์การจัดเก็บข้อมูลของคุณเป็นไปตามข้อกำหนดเหล่านี้
ตรวจสอบให้แน่ใจว่าข้อมูลได้รับการปกป้องและจัดการตามข้อกำหนดของกฎระเบียบ การปกป้องข้อมูลที่จัดการโดยเวิร์กโหลดแอปพลิเคชันอัจฉริยะมีความสำคัญต่อการรักษาความไว้วางใจและการยึดมั่นในมาตรฐานทางกฎหมายและข้อบังคับ
Microsoft ปฏิบัติตามกฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวที่บังคับใช้กับบริการระบบคลาวด์ การปฏิบัติตามมาตรฐานอุตสาหกรรมระดับโลกของเราได้รับการยืนยันแล้ว สามารถสร้างสภาพแวดล้อมได้ในภูมิภาคเฉพาะ แม้ว่าจะแตกต่างจากภูมิภาคที่ผู้เช่าอาศัยอยู่ก็ตาม โดยค่าเริ่มต้น การถอดความการสนทนาจะถูกเก็บไว้ใน Dataverse เป็นเวลา 30 วันเท่านั้น คุณสามารถปรับระยะเวลาการเก็บรักษานี้ได้ตามสภาพแวดล้อม
เรียนรู้เพิ่มเติม:
- ความปลอดภัยและถิ่นที่อยู่ของข้อมูลทางภูมิศาสตร์ใน Copilot Studio
- ถิ่นที่อยู่ของข้อมูลทางภูมิศาสตร์ใน Copilot Studio
- ข้อเสนอการปฏิบัติตามข้อกำหนดของ Copilot Studio
- Copilot Studioการปฏิบัติตามข้อบังคับ GDPR
- ตำแหน่งข้อมูล Copilot Studio
- การจัดการการปฏิบัติตามข้อกำหนดในระบบคลาวด์
- พอร์ทัลความเชื่อถือการบริการ
- เปลี่ยนระยะเวลาการเก็บข้อมูลเริ่มต้นสำหรับการถอดความการสนทนา
- ย้ายข้อมูลข้ามที่ตั้งทางภูมิภาคสำหรับคุณลักษณะ Generative AI นอกสหรัฐอเมริกา
- ออกแบบมาเพื่อปกป้องความลับ
รักษาความปลอดภัยการรวมทั้งหมด
รับรองการสื่อสารที่ปลอดภัยระหว่างเวิร์กโหลดแอปพลิเคชันอัจฉริยะและแหล่งข้อมูล เวิร์กโหลดแอปพลิเคชันอัจฉริยะของคุณต้องผนวกรวมกับระบบอื่นๆ เพื่อเข้าถึงและประมวลผลข้อมูล เพื่อให้การจัดการข้อมูลประจำตัวง่ายขึ้นและเพิ่มความปลอดภัย ให้ใช้บริการหลักสำหรับการเข้าถึงทรัพยากรที่ไม่ใช่มนุษย์และข้อมูลประจำตัวที่มีการจัดการสำหรับทรัพยากร Azure รักษาความปลอดภัย API โดยใช้ OAuth2 สำหรับการรับรองความถูกต้องและโดยการตรวจสอบให้แน่ใจว่าการสื่อสาร API ทั้งหมดได้รับการเข้ารหัสลับ การใช้บริการหลักช่วยให้การเชื่อมต่อมีความปลอดภัยและไม่ต้องพึ่งพาข้อมูลประจำตัวแต่ละรายการ
เรียนรู้เพิ่มเติม:
ดำเนินการติดตามและตรวจสอบอย่างต่อเนื่อง
วัตถุประสงค์หลักของการตรวจสอบความปลอดภัยคือ การตรวจจับภัยคุกคาม วัตถุประสงค์หลักคือเพื่อป้องกันการละเมิดความปลอดภัยที่อาจเกิดขึ้นและรักษาสภาพแวดล้อมที่ปลอดภัย ติดตามและตรวจสอบกิจกรรมของเวิร์กโหลดของแอปพลิเคชันอัจฉริยะอย่างต่อเนื่องเพื่อตรวจจับและตอบสนองในเชิงรุก การรักษาความปลอดภัยเป็นกระบวนการต่อเนื่อง ไม่ใช่งานการกำหนดค่าแบบครั้งเดียว การติดตามและตรวจสอบการเข้าถึงและการโต้ตอบของผู้ใช้เป็นประจำเป็นสิ่งสำคัญในการรักษาเวิร์กโหลดของแอปพลิเคชันอัจฉริยะของคุณให้ปลอดภัย
เรียนรู้เพิ่มเติม:
- คำแนะนำสำหรับการตรวจสอบและการตรวจจับภัยคุกคาม
- ดูบันทึกการตรวจสอบ Copilot Studio
- บันทึกการวัดและส่งข้อมูลทางไกลของ Copilot Studio ด้วย Azure Application Insights
ใช้เครื่องมือรักษาความปลอดภัย Azure เพื่อบังคับใช้นโยบายความปลอดภัย
ใช้เครื่องมือรักษาความปลอดภัยในตัวของ Azure เช่น Microsoft Defender for Cloud (เดิมคือ Azure Security Center) และ นโยบาย Azure เพื่อตรวจสอบและบังคับใช้นโยบายความปลอดภัย
จัดให้มีการฝึกอบรมพนักงาน
ฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติในการปกป้องข้อมูลและความสำคัญของการปฏิบัติตามข้อกำหนดด้านถิ่นที่อยู่ของข้อมูล ปรับแต่งสื่อการฝึกอบรมให้เหมาะกับบทบาทและความรับผิดชอบเฉพาะของพนักงานที่แตกต่างกัน กฎหมายและข้อบังคับด้านการคุ้มครองข้อมูลมีการพัฒนาอย่างต่อเนื่อง ตรวจสอบให้แน่ใจว่าโปรแกรมการฝึกอบรมได้รับการอัปเดตเป็นประจำ เพื่อให้สอดคล้องกับข้อกำหนดทางกฎหมายและแนวทางปฏิบัติล่าสุด ใช้วิธีการแบบโต้ตอบ เช่น เวิร์กช็อป การจำลอง และสถานการณ์ในชีวิตจริงเพื่อทำให้การฝึกอบรมน่าสนใจและมีประสิทธิภาพ ให้การสนับสนุนและทรัพยากรอย่างต่อเนื่อง เช่น การเข้าถึงเจ้าหน้าที่คุ้มครองข้อมูลหรือที่ปรึกษากฎหมาย เพื่อช่วยให้พนักงานรับทราบข้อมูลและปฏิบัติตามข้อกำหนด