生成式 AI 應用程式的 Microsoft Purview 資料安全性與合規性保護

Microsoft安全性 & 合規性的 365 授權指導方針

使用 Microsoft Purview 來降低和管理與 AI 使用量相關聯的風險，並實作對應的保護和控管控制。

Microsoft適用於 AI 的 Purview 資料安全性狀態管理提供易於使用的圖形化工具和報告，可快速深入了解組織內的 AI 使用。 單鍵原則可協助您保護數據，並符合法規需求。

使用適用於 AI 的數據安全性狀態管理搭配其他Microsoft Purview 功能，以強化數據安全性與合規性，以 Microsoft 365 Copilot 和 Microsoft Copilot：

• 由 Microsoft Purview 資訊保護 加密的敏感度標籤和內容
• 資料分類
• 客戶金鑰
• 通訊合規性
• Auditing
• 內容搜尋
• eDiscovery
• 保留與刪除
• 客戶加密箱

注意事項

若要檢查貴組織的授權方案是否支持這些功能，請參閱頁面頂端的授權指引連結。 如需 Microsoft 365 Copilot 本身的授權資訊，請參閱 Microsoft 365 Copilot 的服務描述。

使用下列各節深入瞭解 AI 的數據安全性狀態管理，以及提供額外數據安全性與合規性控制的 Microsoft Purview 功能，以加速貴組織採用 Microsoft 365 Copilot 和其他產生的 AI 應用程式。 如果您不熟悉 Purview Microsoft，您可能也會發現產品的概觀很有説明： 瞭解 Microsoft Purview。

如需有關 Microsoft 365 Copilot 安全性與合規性需求的一般資訊，請參閱數據、隱私權和安全性 Microsoft 365 Copilot。 如需 Microsoft Copilot，請參閱 Copilot 隱私權和保護。

適用於 AI 的數據安全性狀態管理提供 AI 應用程式的深入解析、原則和控件

從 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 Microsoft適用於) AI (DSPM 的 Purview 資料安全性狀態管理，提供中央管理位置，協助您快速保護 AI 應用程式的數據，並主動監視 AI 使用量。 這些應用程式包括 Microsoft 365 Copilot、來自Microsoft的其他複本，以及來自第三方大型語言模組的 AI 應用程式， (LLM) 。

適用於 AI 的數據安全性狀態管理提供一組功能，讓您可以安全地採用 AI，而不需要在生產力與保護之間做選擇：

• 組織中 AI 活動的深入解析和分析

• 可在 AI 提示中保護數據並防止數據遺失的現成使用原則

• 用來識別、補救及監視數據可能過度共享的數據評估。

• 套用最佳數據處理和儲存原則的合規性控制件

如需支援的第三方 AI 網站清單，例如用於 Gemini 和 ChatGPT 的網站，請參閱 Microsoft Purview 支援 AI 網站以取得資料安全性和合規性保護。

如何使用 AI 的數據安全性狀態管理

為了協助您更快速地深入瞭解 AI 使用方式並保護您的資料，適用於 AI 的數據安全性狀態管理提供一些建議 的預先設定原則 ，您可以按下即可啟用這些原則。 允許這些新原則至少 24 小時收集數據，以在 AI 的數據安全性狀態管理中顯示結果，或反映您對預設設定所做的任何變更。

不需要啟用，現在處於預覽狀態，適用於 AI 的數據安全性狀態管理會自動針對 Microsoft Copilot 所使用的前 100 個 SharePoint 網站執行每周數據評估。 您可以使用自己的自訂數據評估來補充此專案。 這些評量特別設計來協助您識別、補救及監視數據的潛在過度共用，讓您可以更有信心地部署 Microsoft 365 Copilot。

若要開始使用適用於 AI 的數據安全性狀態管理，您可以使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站。 您需要具有合規性管理適當許可權的帳戶，例如屬於 Microsoft Entra 合規性系統管理員群組角色成員的帳戶。

1. 根據您使用的入口網站，流覽至下列其中一個位置：

   • 登入 Microsoft Purview 入口網站>解決方案>適用於 AI 的 DSPM。

   • 登入適用於 AI 的 Microsoft Purview 合規性入口網站>DSPM。

2. 從 [概觀] 檢閱 開始使用 一節，以深入瞭解 AI 的數據安全性狀態管理，以及您可以採取的立即動作。 選取每一個來顯示飛出視窗窗格，以深入瞭解、採取動作，並確認您目前的狀態。

   動作	其他相關資訊
   開啟 Microsoft Purview 稽核	新租使用者的稽核預設為開啟，因此您可能已經符合此必要條件。 如果您這麼做，而且使用者已獲指派 Copilot 的授權，您會開始從頁面下方的 [ 報告 ] 區段查看 Copilot 活動的深入解析。
   安裝 Microsoft Purview 瀏覽器擴充功能	第三方 AI 網站的必要條件。
   將裝置上線至 Microsoft Purview	也是第三方 AI 網站的必要條件。
   擴充數據探索的深入解析	單鍵原則可收集造訪 第三方產生 AI 網站 並傳送敏感性資訊給他們的使用者相關信息。 此選項與頁面下方 [AI 數據分析] 區段中的 [ 擴充您的深入解 析] 按鈕相同。

   如需必要條件的詳細資訊，請參閱 AI 資料安全性狀態管理的必要條件。

   如需您可以啟用之預先設定原則的詳細資訊，請參閱 AI 數據安全性狀態管理中的單鍵原則。

3. 然後，檢閱 Recommendations 一節，並決定是否要實作與租用戶相關的任何選項。 檢視每個建議，以瞭解它們與數據的相關性，並深入瞭解。

   這些選項包括跨 SharePoint 網站執行數據評估、建立敏感度標籤和原則來保護您的數據，以及建立一些 默認原則 ，以立即協助您偵測並保護傳送至產生 AI 網站的敏感數據。 建議範例：

   • 檢視預設數據評估的結果，以找出並修正問題，以協助您更有信心地部署 Microsoft 365 Copilot，以保護您的數據免於潛在過度共享風險。
   • 藉由建立 DLP 原則來選取敏感度標籤，以防止 Microsoft 365 Copilot 摘要標示的數據，以保護 Microsoft 365 Copilot 中參考的敏感數據。 如需詳細資訊，請參閱瞭解 Microsoft 365 Copilot 原則位置。
   • 偵測 AI 應用程式中有風險的互動，藉由偵測 Microsoft 365 Copilot 和其他產生 AI 應用程式中的風險提示和回應來計算用戶風險。 如需詳細資訊，請 參閱具風險的 AI 使用 (預覽) 。
   • 藉由註冊 ChatGPT Enterprise 工作區來探索及控管與 ChatGPT 企業 AI 的互動，您可以偵測與 ChatGPT Enterprise 共用的敏感性資訊，以識別潛在的數據暴露風險。
   • 取得 AI 法規的引導式協助，這些法規會使用 合規性管理員的控件對應法規模板。

   您可以使用 [ 檢視所有建議 ] 連結，或使用瀏覽窗格中的 [ 建議 ] 來查看租使用者的所有可用建議及其狀態。 當建議完成或關閉時，您不會再在 [ 概觀 ] 頁面上看到該建議。

4. 使用瀏覽窗格中的 [ 報 表] 區段或 [ 報 表] 頁面，即可檢視所建立默認原則的結果。 您至少需要等候一天，報表才會填入。 選取 Microsoft Copilot 體驗、企業 AI 應用程式和其他 AI 應用程式的類別，以協助您識別特定的產生 AI 應用程式。

5. 使用 [ 原則] 頁面來監視所 建立默認單鍵 原則的狀態，以及來自其他 Microsoft Purview 解決方案的 AI 相關原則。 若要編輯原則，請在入口網站中使用對應的管理解決方案。 例如，針對 DSPM for AI - Copilot 中的非正則行為，您可以從通訊合規性解決方案檢閱和補救相符專案。

   注意事項

   如果您有 Teams 聊天和 Copilot 互動位置的舊版保留原則，則不會包含在此頁面中。 瞭解如何為包含 Microsoft 365 Copilot 的 Microsoft Copilot 體驗建立個別的保留原則，並顯示在此 [原則] 頁面上。

6. 選取 [活動總管] 以查看從原則收集的數據詳細數據。

   此更詳細的資訊包括活動類型和使用者、日期和時間、AI 應用程式類別和應用程式、存取的應用程式、任何敏感性資訊類型、參考的檔案，以及參考的敏感性檔案。

   活動的範例包括 AI 互動、 敏感性資訊類型，以及 AI 網站流覽。 當您有正確的效能時，會在 AI 互動事件中包含 Copilot 提示和回應。 如需事件的詳細資訊，請參閱 活動總管事件。

   與報表類別類似，工作負載包括 Microsoft Copilot 體驗、企業 AI 應用程式和其他 AI 應用程式。 Microsoft Copilot 體驗的應用程式識別碼和應用程式主機範例分別包含 Microsoft 365 Copilots 和 Word。

6. 選 取 [數據評估 (預覽) ，以識別並修正組織中的潛在數據過度共享風險。 系統會針對貴組織中 Copilot 所使用的前 100 個 SharePoint 網站，每周自動執行預設數據評估，而且您可能已經執行自定義評定作為其中一個建議。 不過，當您想要檢查不同的使用者或特定網站時，請定期回到這個選項來檢查預設評量的每周結果，並執行自定義評定。

   由於 AI 可以主動呈現可能已過時、過度許可權或缺乏治理控制的內容，因此產生的 AI 會放大過度共用數據的問題。 使用數據評估來識別和補救問題。

   若要檢視您租用戶自動建立的數據評估，請從 [預設評定] 類別中，從清單中選取 [當月一周、年>份的<過度共享評定]。 從每個網站報告的數據行中，您會看到一些資訊，例如找到的專案總數、存取的項目數目、頻率，以及找到和存取的敏感性資訊類型數目。

   從清單中選取每個網站，以存取具有 [ 概觀]、[ 保護] 和 [ 監視] 索引卷標的飛出視窗窗格。 使用每個索引標籤上的資訊來深入瞭解，並採取建議的動作。 例如：

   使用 [ 保護] 索 引標籤來選取補救過度共享的選項，包括：

   • 依標籤限制存取：使用 Microsoft Purview 資料外洩防護 建立 DLP 原則，防止 Microsoft 365 Copilot 在具有您選取的敏感度標籤時匯總數據。 如需如何運作和支援案例的詳細資訊，請參閱瞭解 Microsoft 365 Copilot 原則位置。
   • 限制所有專案：使用 SharePoint 限制的內容探索能力來列出要豁免 Microsoft 365 Copilot 的 SharePoint 網站。 如需詳細資訊，請參閱 SharePoint 網站的受限制內容探索性。
   • 建立自動套用標籤原則：找到未標記檔案的敏感性資訊時，請使用 Microsoft Purview 資訊保護 建立自動套用標籤原則，以自動套用敏感數據的敏感度標籤。 如需如何建立此原則的詳細資訊，請參閱 如何設定 SharePoint、OneDrive 和 Exchange 的自動套用卷標原則。
   • 建立保留原則：當內容至少 3 年未存取時，請使用 Microsoft Purview 資料生命週期管理 自動刪除內容。 如需如何建立保留原則的詳細資訊，請參閱 建立和設定保留原則。

   使用 [ 監視] 索引 標籤來檢視網站中與任何人共用、與組織中的每個人共用、與特定人員共用，以及在外部共用的項目數目。 選 取 [開始 SharePoint 網站存取權檢閱 ]， 以取得如何使用 SharePoint 數據存取控管報告的資訊。

   執行數據評估之後的範例螢幕快照，其中顯示 [ 保護 ] 索引標籤，其中包含找到問題的解決方法：

   

   若要建立您自己的自定義數據評估，請選取 [ 建立評 量] 來識別所有或選取使用者的潛在過度共享問題、要掃描 (目前僅支援 SharePoint 的數據源) ，然後執行評定。

   如果您選取所有網站，則不需要是網站的成員，但您必須是選取特定網站的成員。

   此數據評估會建立在 [自定義評定] 類別中 。 等候評定狀態顯示 [ 掃描已完成]，然後選取它以檢視詳細數據。 若要重新執行自定義數據評估，請使用重複的選項來建立新的評定，從相同的選取項目開始。

   數據評估目前支援每個位置最多 200,000 個專案。

如需 Microsoft 365 Copilot 和 Microsoft Copilot，請使用這些原則、工具和深入解析，搭配來自 Microsoft Purview 的其他保護和合規性功能。

Microsoft Purview 會加強 Copilot 的信息保護

Microsoft 365 Copilot 使用現有的控件，以確保如果使用者沒有該數據的存取權，儲存在租用戶中的數據永遠不會傳回給使用者，或由大型語言模型 (LLM) 使用。 當數據已將貴組織的 敏感度標籤 套用至內容時，會有額外的保護層級：

• 當檔案在 Word、Excel、PowerPoint 中開啟，或是在 Outlook 中開啟電子郵件或行事曆事件時，會向應用程式中的使用者顯示數據的敏感度，其標籤名稱和內容標記 (例如已針對標籤設定的頁首或頁尾文字) 。 Loop元件和頁面也支援相同的敏感度標籤。

• 當敏感度標籤套用加密時，用戶必須具有 EXTRACT 使用權以及 VIEW 許可權，Copilot 才能傳回數據。

• 此保護可延伸至在 Office 應用程式中開啟時儲存在Microsoft 365 租使用者外部的數據， (使用中的數據) 。 例如，本機記憶體、網路共用和雲端記憶體。

提示

如果您尚未啟用 SharePoint 和 OneDrive 的敏感度標籤，也建議您熟悉這些服務可以處理的文件類型和標籤。 當這些服務未啟用敏感度標籤時，Microsoft 365 Copilot 可以存取的加密檔案僅限於 Windows 上 Office 應用程式使用中的數據。

如需指示，請參閱 在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤。

此外，當您使用 Business Chat (先前是圖形接地聊天，Microsoft 365 Chat) 可以從廣泛的內容存取數據時，使用者會看到 Microsoft 365 Copilot 傳回的已標記數據敏感度，且使用者會看到針對引文顯示的敏感度卷標，以及回應中列出的專案。 使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中定義的敏感度標籤優先順序號碼，Copilot 中的最新回應會顯示該 Copilot 聊天所使用數據的最高優先順序敏感度標籤。

雖然合規性系統管理員會定義敏感度標籤的優先順序，但較高的優先順序數位通常表示內容的敏感度較高，並具有更嚴格的許可權。 因此，Copilot 回應會標示最嚴格的敏感度標籤。

注意事項

如果專案是由 Microsoft Purview 資訊保護 加密，但沒有敏感度標籤，Microsoft 365 Copilot 如果加密不包含使用者的 EXTRACT 或 VIEW 使用許可權，Microsoft 365 Copilot 也不會將這些專案傳回給使用者。

如果您尚未使用敏感度標籤，請參閱 開始使用敏感度標籤。

雖然 DLP 原則不支援 Microsoft 365 Copilot 互動的數據分類，但通訊合規性原則支援敏感性資訊類型和可訓練分類器，以識別使用者提示 Copilot 和回應中的敏感數據。

具有敏感度標籤繼承的 Copilot 保護

當您使用 Microsoft 365 Copilot 根據已套用敏感度標籤的專案建立新內容時，會自動繼承來源檔案中的敏感度標籤，並使用標籤的保護設定。

例如，使用者在 [Word 中選取 [搭配 Copilot 草稿]，然後選取 [參考檔案]。 或者，使用者從 PowerPoint 中的檔案選取 [建立簡報]，或從 [Business Chat 選取 [在頁面中編輯]。 來源內容已套用敏感度標籤 密\任何人 (不受限制的) ，且該標籤已設定為套用顯示「機密」的頁尾。 新內容會自動標示為機密\任何人 (具有相同頁尾 的不受限制) 。

若要查看這方面的範例，請 watch Ignite 2023 研討會的下列示範：「讓您的企業準備好 Microsoft 365 Copilot」。 此示範示範當使用者使用 Copilot 草稿並參考已加上標籤的檔案時，如何將 [一 般 ] 的預設敏感度標籤取代為 機密 卷標。 功能區下的資訊列會通知使用者，Copilot 所建立的內容會自動套用新的標籤：

如果使用多個檔案來建立新內容，則會使用 優先順序最高的 敏感度標籤來繼承標籤。

如同所有自動標籤案例，如果您不是使用 強制 標籤) ，使用者一律可以覆寫並取代繼承的標籤 (或移除。

Microsoft不含敏感度卷標的 Purview 保護

即使敏感度標籤未套用至內容，服務和產品也可能使用 Azure Rights Management 服務的加密功能。 因此，Microsoft 365 Copilot 仍然可以先檢查 VIEW 和 EXTRACT 許可權，再將數據和連結傳回給使用者，但不會自動繼承新項目的保護。

提示

當您一律使用敏感度標籤來保護您的資料，並由標籤用加密時，您將會獲得最佳的用戶體驗。

可從 Azure Rights Management 服務使用加密功能，而不需要敏感度標籤的產品和服務範例：

• Microsoft Purview 郵件加密
• Microsoft資訊版權管理 (IRM)
• Microsoft Rights Management 連接器
• Microsoft Rights Management SDK

對於未使用 Azure Rights Management 服務的其他加密方法：

• 受 S/MIME 保護的電子郵件不會由 Copilot 傳回，而且當 S/MIME 保護的電子郵件開啟時，Copilot 無法在 Outlook 中使用。

• 除非使用者已在相同的應用程式中開啟受密碼保護的檔， (使用中) 的數據，否則 Microsoft 365 Copilot 無法存取這些檔。 目的地專案不會繼承密碼。

如同其他Microsoft 365服務，例如電子檔探索和搜尋，支援使用 Microsoft Purview 客戶密鑰或您自己的根密鑰 (BYOK) 加密的專案，且符合 Microsoft 365 Copilot 傳回的資格。

Microsoft Purview 支援 Copilot 的合規性管理

使用 Microsoft Purview 合規性功能搭配企業數據保護，以支援您對於 Microsoft 365 Copilot、Microsoft Copilot 和其他產生 AI 應用程式的風險和合規性需求。

您可以針對租使用者中的每個使用者監視與 Copilot 的互動。 因此，您可以使用 Purview 的分類 (敏感性資訊類型和可訓練分類器) 、內容搜尋、通訊合規性、稽核、電子檔探索，以及使用保留原則自動保留和刪除功能。

針對 通訊合規性，您可以分析使用者提示和 Copilot 回應，以偵測不適當或有風險的互動，或共用機密資訊。 如需詳細資訊， 請參閱設定通訊合規性政策以偵測 Copilot 互動。

針對 稽核，當使用者與 Copilot 互動時，會 在整合稽核記錄中擷取 詳細數據。 事件包括使用者與 Copilot 互動的方式和時間、活動發生Microsoft 365 服務，以及Microsoft 365 中儲存在互動期間存取之檔案的參考。 如果這些檔案已套用敏感度標籤，也會擷取該標籤。 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的稽核解決方案中，選取 [Copilot 活動] 並 [與 Copilot 互動]。 您也可以選取 Copilot 作為工作負載。 例如，從合規性入口網站：

針對 內容搜尋，因為使用者提示 Copilot，而且來自 Copilot 的回應會儲存在使用者的信箱中，所以當選取使用者的信箱作為搜尋查詢的來源時，可以搜尋和擷取它們。 從查詢產生器中選取 [ 新增條件>類型>等於任何>新增/移除更多選項>] Copilot 互動，以從來源信箱中選取並擷取此數據。

同樣地，針對 電子檔探索，您可以使用相同的查詢程式來選取信箱，並從 Copilot 擷取使用者提示和 Copilot 的回應。 建立集合並從 eDiscovery (Premium) 中取得檢閱階段之後，此數據可用於執行所有現有的檢閱動作。 這些集合和檢閱集接著可以進一步保留或導出。 如果您需要刪除此數據，請參閱 搜尋和刪除 Copilot 的數據。

對於支持自動保留和刪除的保留原則，使用者提示 Copilot 和 Copilot 的回應會由 Microsoft Copilot 體驗原則位置中包含的 Microsoft 365 Copilot 識別。 先前包含在名為 Teams聊天和 Copilot 互動的原則位置中，這些較舊的保留原則會取代為不同的位置。 如需詳細資訊，請參閱 分隔現有的「Teams 聊天和 Copilot 互動」原則。

如需此保留的詳細資訊，請參閱 瞭解 Copilot & AI 應用程式的保留期。

如同所有保留原則和保留，如果相同位置的多個原則套用至使用者， 保留原則就會 解決任何衝突。 例如，數據會保留所有套用的保留原則或電子檔探索保留的最長持續時間。

若要讓保留標籤自動保留 Copilot 中參考的檔案，請選取具有自動套用保留卷標原則的雲端附件選項：將標籤套用至 Exchange、Teams、Viva Engage 和 Copilot 中共用的雲端附件和連結。 如同所有保留的雲端附件，在參考檔案時會保留檔案版本。

如需此保留如何運作的詳細資訊，請 參閱保留如何與雲端附件搭配運作。

如需設定指示：

• 若要設定 Copilot 互動的通訊合規性原則，請參閱 建立和管理通訊合規性原則。

• 若要搜尋稽核記錄以進行 Copilot 互動，請參閱 搜尋稽核記錄。

• 若要使用內容搜尋來尋找 Copilot 互動，請參閱 搜尋內容。

• 若要使用 eDiscovery 進行 Copilot 互動，請參閱 Microsoft Purview 電子文件探索 解決方案。

• 若要建立或變更 Copilot 互動的保留原則，請參閱 建立和設定保留原則。

• 若要為 Copilot 中參考的檔案建立自動套用保留標籤原則，請參閱 自動套用保留標籤以保留或刪除內容。

其他文件可協助您保護及管理產生的 AI 應用程式

部落格文章公告： 使用下一代安全性和治理功能加速 AI 採用

如需詳細資訊，請 參閱適用於 AI Microsoft Purview 資料安全性狀態管理的考慮，以及 Copilot 的數據安全性和合規性保護。

Microsoft 365 Copilot：

• Microsoft 365 Copilot 文件
• 將零信任原則套用至 Microsoft 365 Copilot

相關資源：

• 使用 Microsoft Entra 保護 Generative AI