适用于生成式 AI 应用的 Microsoft Purview 数据安全性和合规性保护

Microsoft 365 安全 & 合规性许可指南

使用 Microsoft Purview 来缓解和管理与 AI 使用相关的风险，并实现相应的保护和治理控制。

Microsoft适用于 AI 的 Purview 数据安全态势管理提供易于使用的图形工具和报表，可快速深入了解组织内的 AI 使用情况。 一键式策略有助于保护数据并符合法规要求。

将 AI 数据安全态势管理与其他 Microsoft Purview 功能结合使用，增强智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot的数据安全性和合规性：

• 由Microsoft Purview 信息保护加密的敏感度标签和内容
• 数据分类
• 客户密钥
• 通信合规性
• 审核
• 内容搜索
• 电子数据展示
• 保留和删除
• 客户密码箱

注意

若要检查组织的许可计划是否支持这些功能，请参阅页面顶部的许可指南链接。 有关智能 Microsoft 365 Copilot 副驾驶®本身的许可信息，请参阅智能 Microsoft 365 Copilot 副驾驶®的服务说明。

使用以下部分详细了解适用于 AI 的数据安全态势管理以及提供附加数据安全性和合规性控制功能的 Microsoft Purview 功能，以加速组织采用智能 Microsoft 365 Copilot 副驾驶®和其他生成 AI 应用。 如果你不熟悉 Microsoft Purview，则可能还会发现产品概述很有帮助： 了解 Microsoft Purview。

有关智能 Microsoft 365 Copilot 副驾驶®安全性和合规性要求的更多常规信息，请参阅智能 Microsoft 365 Copilot 副驾驶®的数据、隐私和安全性。 有关Microsoft Copilot，请参阅 Copilot 隐私和保护。

适用于 AI 的数据安全态势管理为 AI 应用提供见解、策略和控制

Microsoft Purview 数据安全态势管理适用于 AI (DSPM for AI ) ，Microsoft Purview 门户或Microsoft Purview 合规门户提供集中管理位置，帮助你快速保护 AI 应用的数据并主动监视 AI 的使用。 这些应用包括智能 Microsoft 365 Copilot 副驾驶®、来自Microsoft的其他副驾驶，以及来自第三方大型语言模块 (LLM) 的 AI 应用。

适用于 AI 的数据安全态势管理提供了一组功能，因此你可以安全地采用 AI，而无需在生产力和保护之间进行选择：

• 对组织中的 AI 活动的见解和分析

• 随时可用的策略，用于保护数据并防止 AI 提示中数据丢失

• 用于识别、修正和监视潜在的过度共享数据的数据评估。

• 用于应用最佳数据处理和存储策略的合规性控制

有关受支持的第三方 AI 站点列表（例如用于 Gemini 和 ChatGPT 的网站），请参阅通过 Microsoft Purview 支持 AI 站点，了解数据安全性和合规性保护。

如何使用 AI 数据安全态势管理

为了帮助你更快地深入了解 AI 使用情况并保护数据，适用于 AI 的数据安全态势管理提供了一些建议的 预配置策略 ，只需单击一下即可激活这些策略。 这些新策略至少允许 24 小时收集数据，以在 AI 数据安全态势管理中显示结果，或反映对默认设置所做的任何更改。

无需激活，现在处于预览状态，适用于 AI 的数据安全态势管理会自动对 Microsoft Copilot 使用的前 100 个 SharePoint 网站运行每周数据评估。 可以使用自己的自定义数据评估来补充这一点。 这些评估专门用于帮助你识别、修正和监视潜在的数据过度共享，以便可以更自信地部署智能 Microsoft 365 Copilot 副驾驶®。

若要开始使用适用于 AI 的数据安全态势管理，可以使用 Microsoft Purview 门户或Microsoft Purview 合规门户。 需要具有适当合规性管理权限的帐户，例如Microsoft Entra合规性管理员组角色成员的帐户。

1. 根据所使用的门户，导航到以下位置之一：

   • 登录到 Microsoft Purview 门户>解决 方案>用于 AI 的 DSPM。

   • 登录到 Microsoft Purview 合规门户>DSPM for AI。

2. 在 “概述”中，查看 “入门 ”部分，详细了解适用于 AI 的数据安全态势管理，以及可以采取的即时操作。 选择每个浮出控件以显示浮出控件窗格，以便了解详细信息、执行操作并验证当前状态。

   操作	更多信息
   打开Microsoft Purview 审核	对于新租户，审核默认处于启用状态，因此你可能已满足此先决条件。 如果这样做，并且用户已分配了 Copilot 许可证，则可以从页面下方的 “报告” 部分开始查看有关 Copilot 活动的见解。
   安装 Microsoft Purview 浏览器扩展	第三方 AI 站点的先决条件。
   将设备载入到 Microsoft Purview	也是第三方 AI 站点的先决条件。
   扩展见解以发现数据	一键式策略，用于收集有关用户访问 第三方生成 AI 站点 并向其发送敏感信息的信息。 选项与页面下方的 AI 数据分析部分中的 “扩展见解 ”按钮相同。

   有关先决条件的详细信息，请参阅 适用于 AI 的数据安全态势管理的先决条件。

   有关可激活的预配置策略的详细信息，请参阅适用于 AI 的数据安全态势管理的一键式策略。

3. 然后，查看 “建议 ”部分，决定是否实现与租户相关的任何选项。 查看每个建议，了解它们如何与数据相关并了解详细信息。

   这些选项包括跨 SharePoint 网站运行数据评估、创建敏感度标签和策略来保护数据，以及创建一些 默认策略 来立即帮助您检测和保护发送到生成 AI 网站的敏感数据。 建议示例：

   • 通过查看默认数据评估的结果来识别和修复问题，帮助你更自信地部署智能 Microsoft 365 Copilot 副驾驶®，从而保护数据免受潜在的过度共享风险的影响。
   • 通过创建 DLP 策略来保护智能 Microsoft 365 Copilot 副驾驶®中引用的敏感数据，该策略选择敏感度标签以防止智能 Microsoft 365 Copilot 副驾驶®汇总标记的数据。 有关详细信息，请参阅了解智能 Microsoft 365 Copilot 副驾驶®策略位置。
   • 检测 AI 应用中的风险交互，通过检测智能 Microsoft 365 Copilot 副驾驶®和其他生成 AI 应用中的风险提示和响应来计算用户风险。 有关详细信息，请参阅 风险 AI 用法 (预览版) 。
   • 通过注册ChatGPT企业工作区来发现和管理与 ChatGPT Enterprise AI 的交互，可以通过检测与 ChatGPT Enterprise 共享的敏感信息来识别潜在的数据泄露风险。
   • 获取 AI 法规的指导性帮助，该法规使用 合规性管理器中的控制映射法规模板。

   可以使用“ 查看所有建议 ”链接或导航窗格中的“ 建议 ”来查看租户的所有可用建议及其状态。 完成或取消建议后，将不再在 “概述 ”页上看到它。

4. 使用导航窗格中的“ 报表 ”部分或“ 报表 ”页查看创建的默认策略的结果。 至少需要等待一天才能填充报表。 选择Microsoft Copilot体验、企业 AI 应用和其他 AI 应用的类别，以帮助你识别特定的生成 AI 应用。

5. 使用“ 策略 ”页可监视 已创建的默认一键式策略 的状态，以及来自其他 Microsoft Purview 解决方案的 AI 相关策略的状态。 若要编辑策略，请在门户中使用相应的管理解决方案。 例如，对于 Copilot 中用于 AI 的 DSPM - 不道德行为，你可以查看和修正通信合规性解决方案中的匹配项。

   注意

   如果对位置 Teams 聊天和 Copilot 交互具有较旧的保留策略，则不会在此页上包含这些策略。 了解如何为包含智能 Microsoft 365 Copilot 副驾驶®的Microsoft Copilot体验创建单独的保留策略，并将显示在此策略页上。

6. 选择“ 活动资源管理器” ，查看从策略收集的数据的详细信息。

   这些更详细的信息包括活动类型和用户、日期和时间、AI 应用类别和应用、访问的应用、任何敏感信息类型、引用的文件以及引用的敏感文件。

   活动示例包括 AI 交互、 敏感信息类型和AI 网站访问。 如果拥有适当的权限，则 Copilot 提示和响应将包含在 AI 交互事件中。 有关事件的详细信息，请参阅 活动资源管理器事件。

   与报表类别类似，工作负载包括Microsoft Copilot体验、企业 AI 应用和其他 AI 应用。 Microsoft Copilot体验的应用 ID 和应用主机的示例分别包括Microsoft 365 Copilot 和 Word。

6. 选择“ 数据评估 (预览) ，以识别和修复组织中潜在的数据过度共享风险。 默认数据评估每周自动针对 Copilot 在组织中使用的前 100 个 SharePoint 网站运行一次，你可能已运行自定义评估作为建议之一。 但是，请定期返回此选项，以检查默认评估的每周结果，并在需要为不同用户或特定网站检查时运行自定义评估。

   由于 AI 可以主动呈现过时、过度许可或缺乏治理控制的内容，因此生成 AI 放大了过度共享数据的问题。 使用数据评估来识别和修正问题。

   若要查看租户自动创建的数据评估，请从“默认评估”类别中，从列表中选择“每月第<一周、年份>的过度共享评估”。 在报告的每个网站的列中，可以看到找到的项目总数、访问次数和频率以及找到和访问的敏感信息类型数等信息。

   从列表中，选择每个站点以访问浮出控件窗格，其中包含“ 概述”、“ 保护”和“ 监视”选项卡。 使用每个选项卡上的信息了解详细信息，并采取建议的操作。 例如：

   使用“ 保护 ”选项卡可以选择修正过度共享的选项，其中包括：

   • 按标签限制访问：使用 Microsoft Purview 数据丢失防护 创建 DLP 策略，防止智能 Microsoft 365 Copilot 副驾驶®在具有你选择的敏感度标签时汇总数据。 有关此工作原理和支持的方案的详细信息，请参阅了解智能 Microsoft 365 Copilot 副驾驶®策略位置。
   • 限制所有项目：使用 SharePoint 受限内容可发现性列出要免除智能 Microsoft 365 Copilot 副驾驶®的 SharePoint 网站。 有关详细信息，请参阅 SharePoint 网站的受限内容可发现性。
   • 创建自动标记策略：当找到未标记文件的敏感信息时，请使用 Microsoft Purview 信息保护 创建自动标记策略，以自动为敏感数据应用敏感度标签。 有关如何创建此策略的详细信息，请参阅 如何为 SharePoint、OneDrive 和 Exchange 配置自动标记策略。
   • 创建保留策略：如果内容已至少 3 年未访问，请使用Microsoft Purview 数据生命周期管理自动将其删除。 有关如何创建保留策略的详细信息，请参阅 创建和配置保留策略。

   使用“ 监视 ”选项卡可以查看网站中与任何人共享、与组织中的每个人共享、与特定人员共享以及外部共享的项目数。 选择“ 开始 SharePoint 网站访问评审 ” ，了解如何使用 SharePoint 数据访问治理报告。

   运行数据评估后的示例屏幕截图，其中显示了“ 保护 ”选项卡，其中包含所发现问题的解决方法：

   

   若要创建自己的自定义数据评估，请选择“ 创建评估 ”以识别所有或所选用户的潜在过度共享问题，以及要扫描的数据源 (当前仅支持 SharePoint) ，然后运行评估。

   如果选择所有网站，则无需是网站的成员，但必须是成员才能选择特定网站。

   此数据评估是在 “自定义评估 ”类别中创建的。 等待评估状态显示 “扫描已完成”，然后选择它以查看详细信息。 若要重新运行自定义数据评估，请使用重复选项创建新的评估，从相同的选择开始。

   数据评估目前支持每个位置最多 200,000 个项目。

对于智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot，请将这些策略、工具和见解与 Microsoft Purview 的其他保护和合规性功能结合使用。

Microsoft Purview 增强了 Copilot 的信息保护

智能 Microsoft 365 Copilot 副驾驶®使用现有控件来确保存储在租户中的数据永远不会返回给用户或大型语言模型 (LLM) 如果用户无权访问该数据。 当数据将组织的 敏感度标签 应用于内容时，会有一层额外的保护：

• 在 Outlook 中打开Word、Excel、PowerPoint 或类似的电子邮件或日历事件中打开文件时，数据敏感度会显示给应用中的用户，其中包含标签名称和内容标记 (，例如为标签配置的页眉或页脚文本) 。 Loop组件和页面也支持相同的敏感度标签。

• 当敏感度标签应用加密时，用户必须具有 EXTRACT 使用权限以及 VIEW，Copilot 才能返回数据。

• 当Microsoft 365 租户在 Office 应用中打开时，此保护扩展到存储在 Microsoft 365 租户外部的数据， (正在使用) 的数据。 例如，本地存储、网络共享和云存储。

提示

如果尚未启用，建议为 SharePoint 和 OneDrive 启用敏感度标签，同时熟悉这些服务可以处理的文件类型和标签配置。 如果未为这些服务启用敏感度标签，智能 Microsoft 365 Copilot 副驾驶®可以访问的加密文件仅限于从 Windows 上的 Office 应用使用的数据。

有关说明，请参阅 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。

此外，当你使用Business Chat (以前基于 Graph 的聊天和Microsoft 365 Chat) 来访问来自各种内容的数据时，智能 Microsoft 365 Copilot 副驾驶®对于显示引文的敏感度标签和响应中列出的项的用户可见。 使用 Microsoft Purview 门户或Microsoft Purview 合规门户中定义的敏感度标签的优先级编号，Copilot 中的最新响应显示用于该 Copilot 聊天的数据的最高优先级敏感度标签。

尽管合规性管理员定义了敏感度标签的优先级，但优先级越高，通常表示内容具有更高的敏感度，具有更严格的权限。 因此，Copilot 响应使用限制性最高的敏感度标签进行标记。

注意

如果项目由Microsoft Purview 信息保护加密，但没有敏感度标签，智能 Microsoft 365 Copilot 副驾驶®也不会将这些项返回给用户（如果加密不包括用户的 EXTRACT 或 VIEW 使用权限）。

如果尚未使用敏感度标签，请参阅 敏感度标签入门。

尽管 DLP 策略不支持智能 Microsoft 365 Copilot 副驾驶®交互的数据分类，但通信合规性策略支持敏感信息类型和可训练的分类器，以识别用户向 Copilot 的提示和响应中的敏感数据。

具有敏感度标签继承的 Copilot 保护

使用 智能 Microsoft 365 Copilot 副驾驶® 基于应用了敏感度标签的项目创建新内容时，将自动继承源文件中的敏感度标签，并带有标签的保护设置。

例如，用户在 Word中选择“使用 Copilot 进行草稿”，然后选择“引用文件”。 或者用户选择“在 PowerPoint 中从文件创建演示文稿”或“从 Business Chat 在页面中编辑”。 源内容具有敏感度标签 机密\任何人 (不受限制) 应用，并且该标签配置为应用显示“机密”的页脚。 新内容将自动标记为 机密\任何人 (不受限制) 具有相同页脚。

若要查看此操作的操作示例，watch Ignite 2023 会话中的以下演示，“让企业为智能 Microsoft 365 Copilot 副驾驶®做好准备”。 该演示演示演示了当用户使用 Copilot 草稿并引用已标记的文件时，如何将默认敏感度标签“ 常规 ”替换为 “机密” 标签。 功能区下的信息栏告知用户 Copilot 创建的内容导致新标签自动应用：

如果使用多个文件创建新内容，则 优先级最高的 敏感度标签用于标签继承。

与所有自动标记方案一样，如果不使用强制标记) ，则用户始终可以替代和替换继承的 标签 (或删除。

Microsoft不使用敏感度标签的 Purview 保护

即使敏感度标签未应用于内容，服务和产品也可能使用 Azure Rights Management 服务的加密功能。 因此，在将数据和链接返回到用户之前，智能 Microsoft 365 Copilot 副驾驶®仍可以检查 VIEW 和 EXTRACT 使用权限，但不会自动继承对新项的保护。

提示

当你始终使用敏感度标签来保护数据，并且加密由标签应用时，你将获得最佳用户体验。

可以使用 Azure Rights Management 服务中没有敏感度标签的加密功能的产品和服务示例：

• Microsoft Purview 邮件加密
• Microsoft信息权限管理 (IRM)
• Microsoft 权限管理连接器
• Microsoft Rights Management SDK

对于不使用 Azure Rights Management 服务的其他加密方法：

• 受 S/MIME 保护的电子邮件不会由 Copilot 返回，并且当受 S/MIME 保护的电子邮件打开时，Copilot 在 Outlook 中不可用。

• 智能 Microsoft 365 Copilot 副驾驶®无法访问受密码保护的文档，除非用户已在使用) 的同一应用中打开 (数据。 密码不是由目标项继承的。

与其他 Microsoft 365 服务（如电子数据展示和搜索）一样，使用 Microsoft Purview 客户密钥或你自己的根密钥 (BYOK) 加密的项目受到支持，并且有资格由 智能 Microsoft 365 Copilot 副驾驶® 返回。

Microsoft Purview 支持 Copilot 的合规性管理

将 Microsoft Purview 合规性功能与企业数据保护配合使用，以支持智能 Microsoft 365 Copilot 副驾驶®、Microsoft Copilot和其他生成 AI 应用的风险和合规性要求。

可以针对租户中的每个用户监视与 Copilot 的交互。 因此，可以使用 Purview 的分类 (敏感信息类型和可训练的分类器，) 、内容搜索、通信合规性、审核、电子数据展示以及自动保留和删除功能。

对于 通信合规性，可以分析用户提示和 Copilot 响应，以检测不适当或有风险的交互或机密信息共享。 有关详细信息，请参阅 配置通信合规性策略以检测 Copilot 交互。

对于 审核，当用户与 Copilot 交互时 ，将在统一审核日志中捕获 详细信息。 事件包括用户如何以及何时与 Copilot 交互、活动发生Microsoft 365 服务，以及引用存储在 Microsoft 365 中在交互期间访问的文件。 如果这些文件应用了敏感度标签，也会捕获该标签。 在 Microsoft Purview 门户或Microsoft Purview 合规门户的审核解决方案中，选择“Copilot 活动”和“与 Copilot 交互”。 还可以选择“ Copilot ”作为工作负载。 例如，从合规性门户：

对于 内容搜索，由于用户提示 Copilot 和来自 Copilot 的响应存储在用户的邮箱中，因此当用户的邮箱被选为搜索查询的源时，可以搜索和检索它们。 选择源邮箱中的此数据，方法是从查询生成器中选择 “添加条件>类型>等于任何>”添加/删除更多“选项>”“Copilot 交互”。

同样，对于 电子数据展示，你使用相同的查询过程来选择邮箱，并检索 Copilot 的用户提示和来自 Copilot 的响应。 在电子数据展示 (Premium) 中创建集合并源到评审阶段后，此数据可用于执行所有现有审阅操作。 然后，可以进一步保留或导出这些集合和审阅集。 如果需要删除此数据，请参阅 搜索和删除 Copilot 的数据。

对于支持自动保留和删除的保留策略，用户提示 Copilot 和来自 Copilot 的响应由 Microsoft 365 Copilot 标识，包含在 Microsoft Copilot Experiences 策略位置中。 这些旧的保留策略以前包含在名为 Teams 聊天和 Copilot 交互的策略位置中，将替换为单独的位置。 有关详细信息，请参阅 分离现有的“Teams 聊天和 Copilot 交互”策略。

有关此保留工作的详细信息，请参阅 了解 Copilot & AI 应用的保留。

与所有保留策略和保留一样，如果同一位置的多个策略适用于用户， 则保留原则 可解决任何冲突。 例如，数据将保留所有应用的保留策略或电子数据展示保留的最长持续时间。

要使保留标签自动保留 Copilot 中引用的文件，请为具有自动应用保留标签策略的云附件选择选项：将标签应用于 Exchange、Teams、Viva Engage 和 Copilot 中共享的云附件和链接。 与所有保留的云附件一样，将保留引用时的文件版本。

有关此保留的工作原理的详细信息，请参阅 保留如何处理云附件。

有关配置说明：

• 若要为 Copilot 交互配置通信合规性策略，请参阅 创建和管理通信合规性策略。

• 若要在审核日志中搜索 Copilot 交互，请参阅 搜索审核日志。

• 若要使用内容搜索查找 Copilot 交互，请参阅 搜索内容。

• 若要将电子数据展示用于 Copilot 交互，请参阅Microsoft Purview 电子数据展示解决方案。

• 若要创建或更改 Copilot 交互的保留策略，请参阅 创建和配置保留策略。

• 若要为 Copilot 中引用的文件创建自动应用保留标签策略，请参阅 自动应用保留标签以保留或删除内容。

其他文档，可帮助你保护和管理生成 AI 应用

博客文章公告： 使用下一代安全性和治理功能加速 AI 采用

有关详细信息，请参阅 适用于 AI Microsoft Purview 数据安全态势管理的注意事项和 Copilot 的数据安全性和合规性保护。

智能 Microsoft 365 Copilot 副驾驶®：

• Microsoft 365 Copilot 文档
• 将零信任原则应用于 Microsoft 365 Copilot

相关资源：

• 使用Microsoft Entra保护生成 AI