智慧型應用程式工作負載的安全性和合規性注意事項

安全性對於任何架構來說都至關重要。 Microsoft Power Platform 提供了一個全面的工具來有效地保護您的智慧型應用程式工作負載。 本文介紹了使用 Power Platform 開發智慧型應用程式工作負載的安全注意事項和建議。

適用於 Dynamics 365 的 Copilot 和 Power Platform 功能遵循一系列核心安全性和隱私權實踐和 Microsoft 負責任 AI 標準。 Dynamics 365 和 Power Platform 資料受到全面、業界領先的合規性、安全性和隱私權控制所保護。 有關 Microsoft Copilot Studio 和 Power Platform 安全功能的更多資訊，請參閱 Copilot Studio 安全性和治理、Dynamics 365 和 Power Platform 的 Copilot 資料安全性和隱私常見問題集，以及 Microsoft Power Platform 中的安全性。

您應該定期評估所採用的服務和技術，以確保您的安全措施與不斷變化的威脅情況保持一致。

了解安全要求

了解您正在實施的智慧型應用程式工作負載的關鍵要求。 問自己以下問題來幫助確定要解決的安全措施。

存取控制和驗證

• 您將如何實施存取控制和驗證機制，以確保只有授權使用者才能存取智慧型應用程式工作負載？
• 如何確保安全、無縫的使用者驗證？
• 如何控制哪些應用程式可以與生成式 AI (代理程式) 互動，以及哪些措施確保這些限制有效？

安全和事故管理

• 您將如何管理和保護應用程式機密，例如 API 金鑰和密碼？
• 哪些網路安全需求會影響智慧型應用工作負載？ 例如，內部 API 是否只能在虛擬網路中存取？
• 您將如何監控和稽核智慧應用程式的存取和使用情況？
• 解決安全漏洞或弱點的事件回應計畫是什麼？

合規性和資料落地

• 智慧型應用程式工作負載中使用的資料有哪些資料落地需求？ 您是否知道您的資料將儲存在何處以及該位置是否符合您的法律或監管義務？
• 智慧型應用程式工作負載必須滿足哪些監管和合規性要求？

系統整合和網路要求

• 智慧型應用程式工作負載如何與其他內部和外部系統安全地整合？
• 您的工作負載對網路和整合有哪些要求？ 是否需要與內部或外部資料來源或 API 整合？

道德考量和負責任 AI

• 如何將道德考量和負責任 AI 實踐納入智慧應用工作負載中？

實施強大的驗證和存取控制措施

驗證允許使用者登錄，從而使您的代理程式能夠存取受限資源或資訊。 使用者可以使用 Microsoft Entra ID 或任何 OAuth2 識別提供者 (例如 Google 或 Facebook) 登入。

實施強大的驗證和存取控制措施，以確保授權使用者可以存取代理程式。 確保只有授權使用者才能存取代理程式是安全的基礎。 實施多重要素驗證可增加額外的安全層。 為了最大限度地降低未經授權存取的風險，請定義角色和權限，以確保使用者只能存取他們需要的資源。 實施條件式存取原則，根據特定條件 (例如使用者位置、裝置合規性或風險等級) 控制存取。

深入了解：

• 設定使用者驗證
• 設定單一登入
• 設定 Web 和 Direct Line 頻道安全性

了解監管要求如何影響您的專案

確定並遵守適用於您所在行業的監管要求和規範，例如 GDPR (一般資料保護條例)、HIPAA (健康保險流通與責任法案) 或 CCPA (加州消費者隱私法案)。 實施必要的控制以確保合規。 安排定期合規稽核以驗證是否遵守監管標準並解決任何差距。 評估是否對資料位置有特定要求，例如要求將資料儲存在特定國家或地區。 確保您的資料儲存策略符合這些要求。

確保資料的保護和管理符合監管要求。 保護智慧型應用程式工作負載處理的資料對於維護信任和遵守法律和監管標準至關重要。

Microsoft 遵守適用於雲端服務的資料保護和隱私權法律。 我們符合世界一流程的行業標準，這一點已得到證實。 可以在特定區域中建立環境，即使與租用戶所在的區域不同。 預設情況下，對話記錄在 Dataverse 中僅保留 30 天。 您可以根據每個環境調整此保留期。

深入了解：

• Copilot Studio 中的安全性與地理資料落地
• Copilot Studio 中的地理資料落地
• Copilot Studio 合規性供應項目
• Copilot StudioGDPR 合規性
• Copilot Studio 資料位置
• 管理雲端中的合規性
• 服務信任入口網站
• 變更對話記錄的預設保留期限
• 跨地理位置移動資料，以實現美國境外的生成 AI 功能
• 保護機密性的設計

保護所有整合

確保智慧型應用程式工作負載和資料來源之間的安全通訊。 您的智慧型應用程式工作負載需要與其他系統整合以存取和處理資料。 為了簡化身分識別管理並增強安全性，請使用服務主體對資源進行非人類存取，並使用 Azure 資源的受控識別。 透過使用 OAuth2 進行驗證並確保所有 API 通訊都經過加密來保護 API。 使用服務主體可確保連線安全且不依賴單獨的憑證。

深入了解：

• 整合安全性設計
• 服務主體支援

實施持續監控和稽核

安全監視的主要目的是威脅偵測。 主要目標是防止潛在的安全性漏洞並維護安全的環境。 持續監控和稽核智慧應用程式工作負載的活動，以主動偵測和回應。 安全是一個持續的過程，而不是一次性的設定工作。 定期監控和稽核使用者存取和互動對於確保智慧應用程式工作負載的安全至關重要。

深入了解：

• 監控和威脅偵測的建議
• 查看 Copilot Studio 稽核記錄
• 使用 Azure Application Insights 擷取 Copilot Studio 遙測資料

使用 Azure 安全工具強制實施安全性原則

使用 Azure 的內建安全性工具，例如 適用於雲端的 Microsoft Defender (以前稱為 Azure 資訊安全中心) 和 Azure Policy 來監視和強制執行安全性原則。

提供員工訓練

對員工進行資料保護最佳做法以及遵守資料落地要求的重要性的訓練。 根據不同員工的具體角色和職責客製化訓練教材。 資料保護法律法規不斷發展。 確保訓練計劃定期更新以反映最新的法律要求和最佳做法。 使用研討會、模擬和真實情境等互動方法，使訓練引人入勝且有效。 提供持續的支援和資源，例如聯繫資料保護官或法律顧問，以幫助員工隨時了解情況並遵守規定。