ข้อควรพิจารณาด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับเวิร์กโหลดแอปพลิเคชันอัจฉริยะ
ความปลอดภัยเป็นสิ่งสำคัญสำหรับสถาปัตยกรรมใดๆ Microsoft Power Platform นำเสนอเครื่องมือที่ครอบคลุมเพื่อรักษาปริมาณงานแอปพลิเคชันอัจฉริยะของคุณอย่างมีประสิทธิภาพ บทความนี้จะอธิบายข้อควรพิจารณาและคำแนะนำด้านความปลอดภัยสำหรับการพัฒนาเวิร์กโหลดแอปพลิเคชันอัจฉริยะด้วย Power Platform
Copilot สำหรับ Dynamics 365 และ Power Platform คุณลักษณะต่างๆ ปฏิบัติตามหลักปฏิบัติหลักด้านความปลอดภัยและความเป็นส่วนตัวและ Microsoft มาตรฐาน AI ที่รับผิดชอบ ข้อมูล Dynamics 365 และ Power Platform ได้รับการปกป้องโดยมาตรการควบคุมการปฏิบัติตามข้อกำหนด การรักษาความปลอดภัย และความเป็นส่วนตัวระดับชั้นนำของอุตสาหกรรมที่ครอบคลุม สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Copilot Studio และ Power Platform คุณลักษณะด้านความปลอดภัย โปรดดูที่ Copilot Studio ความปลอดภัยและการกำกับดูแล, คำถามที่พบบ่อยสำหรับความปลอดภัยและความเป็นส่วนตัวของข้อมูล Copilot สำหรับ Dynamics 365 และ Power Platform และ ความปลอดภัยใน Microsoft Power Platform
คุณควรประเมินบริการและเทคโนโลยีที่คุณใช้เป็นระยะเพื่อให้แน่ใจว่ามาตรการความปลอดภัยของคุณสอดคล้องกับภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไป
เข้าใจข้อกำหนดด้านความปลอดภัย
ทำความเข้าใจข้อกำหนดที่สำคัญสำหรับเวิร์กโหลดแอปพลิเคชันอัจฉริยะที่คุณกำลังใช้งาน ลองถามตัวเองด้วยคำถามต่อไปนี้เพื่อช่วยระบุมาตรการรักษาความปลอดภัยที่จะต้องแก้ไข
การควบคุมการเข้าถึงและการพิสูจน์ตัวตน
- คุณจะนำกลไกการควบคุมการเข้าถึงและการพิสูจน์ตัวตนไปใช้อย่างไร เพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงภาระงานของแอปพลิเคชันอัจฉริยะได้
- คุณมั่นใจได้อย่างไรว่าการตรวจสอบสิทธิ์ผู้ใช้จะปลอดภัยและราบรื่น?
- คุณควบคุมว่าแอปใดสามารถโต้ตอบกับ Copilot ได้อย่างไร และมาตรการใดที่จะทำให้แน่ใจได้ว่าข้อจำกัดเหล่านี้มีประสิทธิภาพ
การรักษาความปลอดภัยและการจัดการเหตุการณ์
- คุณจะจัดการและรักษาความปลอดภัยความลับของแอปพลิเคชัน เช่น คีย์ API และรหัสผ่านอย่างไร
- ข้อกำหนดด้านความปลอดภัยเครือข่ายใดบ้างที่ส่งผลต่อปริมาณงานของแอปพลิเคชันอัจฉริยะ ตัวอย่างเช่น API ภายในสามารถเข้าถึงได้เฉพาะในเครือข่ายเสมือนเท่านั้นหรือไม่
- คุณจะตรวจสอบและตรวจสอบการเข้าถึงและการใช้งานแอปพลิเคชันอัจฉริยะได้อย่างไร
- เหตุการณ์ การตอบ มีแผนการแก้ไขการละเมิดความปลอดภัยหรือช่องโหว่ด้านความปลอดภัยอย่างไร
การปฏิบัติตามและการเก็บรักษาข้อมูล
- ข้อกำหนดการอยู่อาศัยข้อมูลใดที่มีผลใช้กับข้อมูลที่ใช้ในเวิร์กโหลดแอปพลิเคชันอัจฉริยะ? คุณทราบหรือไม่ว่าข้อมูลของคุณจะอยู่ที่ใดและสถานที่ดังกล่าวสอดคล้องกับภาระผูกพันทางกฎหมายหรือข้อบังคับของคุณหรือไม่
- ต้องมีการปฏิบัติตามข้อกำหนดและข้อกำหนดใดบ้างสำหรับเวิร์กโหลดแอปพลิเคชันอัจฉริยะ?
ความต้องการการรวมระบบและเครือข่าย
- เวิร์กโหลดของแอปพลิเคชันอัจฉริยะจะบูรณาการอย่างปลอดภัยกับระบบภายในและภายนอกอื่นๆ ได้อย่างไร
- ข้อกำหนดด้านเครือข่ายและการบูรณาการสำหรับเวิร์กโหลดของคุณคืออะไร? จำเป็นต้องบูรณาการกับแหล่งข้อมูลภายในหรือภายนอกหรือ API หรือไม่
การพิจารณาทางจริยธรรมและ AI ที่รับผิดชอบ
- จะมีการผนวกการพิจารณาทางจริยธรรมและแนวทางปฏิบัติด้าน AI ที่รับผิดชอบลงในปริมาณงานของแอปพลิเคชันอัจฉริยะได้อย่างไร
ใช้มาตรการการตรวจสอบสิทธิ์และการควบคุมการเข้าถึงที่แข็งแกร่ง
การรับรองความถูกต้องอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ ให้ Copilot ของคุณเข้าถึงทรัพยากรหรือข้อมูลที่ถูกจำกัด ผู้ใช้สามารถเข้าสู่ระบบได้ด้วย Microsoft Entra ID หรือด้วย ผู้ให้บริการข้อมูลประจำตัว OAuth2 เช่น Google หรือ Facebook
ใช้มาตรการการตรวจสอบสิทธิ์และการควบคุมการเข้าถึงที่แข็งแกร่งเพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึง Copilot ได้ การให้เฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นจึงจะสามารถเข้าถึง Copilot ได้ถือเป็นรากฐานของความปลอดภัย การนำการตรวจสอบปัจจัยหลายประการมาใช้ จะเพิ่มความปลอดภัย เลเยอร์ พิเศษอีกหนึ่งระดับ เพื่อลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาต ให้กำหนดบทบาทและการอนุญาตเพื่อให้แน่ใจว่าผู้ใช้สามารถเข้าถึงทรัพยากรที่ต้องการเท่านั้น ใช้หลักเกณฑ์การเข้าถึงแบบมีเงื่อนไขเพื่อควบคุมการเข้าถึงตามเงื่อนไขเฉพาะ เช่น ตำแหน่งของผู้ใช้ การปฏิบัติตามข้อกำหนดของอุปกรณ์ หรือระดับความเสี่ยง
เรียนรู้เพิ่มเติม:
- กำหนดค่าการตรวจสอบสิทธิ์ผู้ใช้
- กำหนดค่าการลงชื่อเข้าใช้ครั้งเดียว
- กำหนดค่าการรักษาความปลอดภัยช่องทางเว็บ
ทำความเข้าใจว่าข้อกำหนดด้านกฎระเบียบส่งผลต่อโครงการของคุณอย่างไร
ระบุและปฏิบัติตามข้อกำหนดและบรรทัดฐานทางกฎระเบียบที่บังคับใช้กับอุตสาหกรรมของคุณ เช่น GDPR (ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล), HIPAA (Health Insurance Portability and Accountability Act) หรือ CCPA (California Consumer Privacy Act) ดำเนินการควบคุมที่จำเป็นเพื่อให้มั่นใจถึงการปฏิบัติตาม กำหนดตารางการตรวจสอบการปฏิบัติตามข้อกำหนดเป็นประจำเพื่อตรวจสอบการปฏิบัติตามมาตรฐานกฎระเบียบและแก้ไขช่องว่างใดๆ ประเมินว่ามีข้อกำหนดเฉพาะใดๆ เกี่ยวกับตำแหน่งที่ตั้งข้อมูลหรือไม่ เช่น ข้อกำหนดในการจัดเก็บข้อมูลในประเทศหรือภูมิภาคใดภูมิภาคหนึ่ง ตรวจสอบให้แน่ใจว่ากลยุทธ์การจัดเก็บข้อมูลของคุณตรงตามข้อกำหนดเหล่านี้
ตรวจสอบให้แน่ใจว่าข้อมูลได้รับการปกป้องและจัดการตามข้อกำหนดทางกฎหมาย การปกป้องข้อมูลที่จัดการโดยเวิร์กโหลดแอปพลิเคชันอัจฉริยะถือเป็นสิ่งสำคัญในการรักษาความไว้วางใจและการปฏิบัติตามมาตรฐานทางกฎหมายและข้อบังคับ
Microsoft ปฏิบัติตามกฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวที่ใช้กับบริการคลาวด์ การปฏิบัติตามมาตรฐานอุตสาหกรรมระดับโลกของเราได้รับการพิสูจน์แล้ว สามารถสร้างสภาพแวดล้อมในภูมิภาคที่เฉพาะเจาะจงได้ แม้ว่าจะแตกต่างจากภูมิภาคที่ผู้เช่าอาศัยอยู่ก็ตาม โดยค่าเริ่มต้น บันทึกการสนทนาจะถูกเก็บไว้เพียง 30 วันเท่านั้น Dataverse คุณสามารถปรับระยะเวลาการเก็บรักษาข้อมูลนี้ตามสภาพแวดล้อมได้
เรียนรู้เพิ่มเติม:
- การรักษาความปลอดภัยและข้อมูลภูมิศาสตร์ใน Copilot Studio
- การอยู่อาศัยข้อมูลภูมิศาสตร์ใน Copilot Studio
- Copilot Studio ข้อเสนอการปฏิบัติตาม
- Copilot Studio การปฏิบัติตาม GDPR
- Copilot Studio ตำแหน่งที่ตั้งข้อมูล
- การจัดการการปฏิบัติตามข้อกำหนดในระบบคลาวด์
- พอร์ทัลความน่าเชื่อถือของบริการ
- เปลี่ยนระยะเวลาการเก็บรักษาเริ่มต้นสำหรับบันทึกบทสนทนา
- ย้ายข้อมูลข้ามตำแหน่งทางภูมิศาสตร์สำหรับฟีเจอร์ AI เชิงสร้างสรรค์นอกสหรัฐอเมริกา
- ออกแบบเพื่อ ป้องกัน ความลับ
ปลอดภัยทุกการบูรณาการ
รับรองการสื่อสารที่ปลอดภัยระหว่างเวิร์กโหลดแอปพลิเคชันอัจฉริยะและแหล่งข้อมูลของคุณ ภาระงานแอปพลิเคชันอัจฉริยะของคุณจำเป็นต้องบูรณาการกับระบบอื่นเพื่อเข้าถึงและประมวลผลข้อมูล เพื่อลดความซับซ้อนในการจัดการข้อมูลประจำตัวและเพิ่มความปลอดภัย ให้ใช้หลักการบริการสำหรับการเข้าถึงทรัพยากรแบบที่ไม่ใช่ของมนุษย์และการจัดการข้อมูลประจำตัวสำหรับทรัพยากร Azure รักษาความปลอดภัย API ด้วยการใช้ OAuth2 สำหรับการพิสูจน์ตัวตนและโดยการรับรองว่าการสื่อสาร API ทั้งหมดได้รับการเข้ารหัส การใช้หลักการบริการจะทำให้มั่นใจได้ว่าการเชื่อมต่อจะปลอดภัยและไม่ต้องพึ่งพาข้อมูลประจำตัวของแต่ละบุคคล
เรียนรู้เพิ่มเติม:
ดำเนินการติดตามและตรวจสอบอย่างต่อเนื่อง
วัตถุประสงค์หลักของการติดตามความปลอดภัยคือการตรวจจับภัยคุกคาม วัตถุประสงค์หลักคือเพื่อป้องกันการละเมิดความปลอดภัยที่อาจเกิดขึ้นและรักษาสภาพแวดล้อมที่ปลอดภัย ตรวจสอบและตรวจสอบกิจกรรมเวิร์กโหลดของแอปพลิเคชันอัจฉริยะอย่างต่อเนื่องเพื่อตรวจจับและตอบสนองเชิงรุก ความปลอดภัยเป็นกระบวนการอย่างต่อเนื่อง ไม่ใช่เพียงการกำหนดค่าเพียงครั้งเดียว การตรวจสอบและการตรวจสอบการเข้าถึงและการโต้ตอบของผู้ใช้เป็นประจำถือเป็นสิ่งจำเป็นเพื่อรักษาภาระงานของแอปพลิเคชันอัจฉริยะของคุณให้ปลอดภัย
เรียนรู้เพิ่มเติม:
- คำแนะนำสำหรับการเฝ้าระวังและตรวจจับภัยคุกคาม
- ดู Copilot Studio บันทึกการตรวจสอบ
- การจับกุม Copilot Studio การตรวจวัดระยะไกลด้วย Azure Application Insights
ใช้เครื่องมือความปลอดภัย Azure เพื่อบังคับใช้นโยบายความปลอดภัย
ใช้เครื่องมือความปลอดภัยในตัวของ Azure เช่น Microsoft ผู้พิทักษ์สำหรับคลาวด์ (เดิมเรียกว่า Azure Security Center) และ นโยบาย Azure เพื่อติดตามและบังคับใช้นโยบายการรักษาความปลอดภัย
จัดให้มีการอบรมพนักงาน
ฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการปกป้องข้อมูล และความสำคัญของการปฏิบัติตามข้อกำหนดด้านการเก็บรักษาข้อมูล ปรับแต่งเอกสารการฝึกอบรมให้เหมาะกับบทบาทและความรับผิดชอบที่เฉพาะเจาะจงของพนักงานแต่ละคน กฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลมีการพัฒนาอย่างต่อเนื่อง ให้แน่ใจว่าโปรแกรมการฝึกอบรมได้รับการปรับปรุงเป็นประจำเพื่อให้สะท้อนถึงข้อกำหนดทางกฎหมายล่าสุดและแนวทางปฏิบัติที่ดีที่สุด ใช้แนวทางเชิงโต้ตอบ เช่น การประชุมเชิงปฏิบัติการ การจำลองสถานการณ์ และสถานการณ์จริง เพื่อให้การฝึกอบรมน่าสนใจและมีประสิทธิภาพ ให้การสนับสนุนและทรัพยากรอย่างต่อเนื่อง เช่น การเข้าถึงเจ้าหน้าที่คุ้มครองข้อมูลหรือที่ปรึกษาทางกฎหมาย เพื่อช่วยให้พนักงานได้รับข้อมูลและปฏิบัติตามข้อกำหนด