適用於 AI 的數據安全性狀態管理考慮 & Copilot 的數據安全性和合規性保護
當您瞭解如何使用適用於 AI 的 Microsoft Purview 數據安全性狀態管理及其他功能來管理 Microsoft 365 Copilot 和 Microsoft Copilot 的數據安全性與合規性保護時,請針對可能套用至貴組織的任何必要條件、考慮和豁免使用下列詳細資訊。 針對 Microsoft Copilot,請務必在 Copilot 中將這些專案與 Microsoft 365 Copilot 需求和企業數據保護一起閱讀,以Microsoft 365 和 Microsoft Copilot。
如需針對 Copilot 使用這些功能的授權資訊,請參閱頁面頂端的授權和服務描述連結。 如需 Copilot 的授權資訊,請參閱 Microsoft 365 Copilot 的服務描述。
AI 必要條件和考慮的數據安全性狀態管理
在大部分情況下,適用於 AI 的數據安全性狀態管理很容易使用且自我說明,可引導您完成必要條件和預先設定的報表和原則。 使用本節來補充該資訊,並提供您可能需要的其他詳細數據。
AI 資料安全性狀態管理的必要條件
若要從 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 使用 AI 的數據安全性狀態管理,您必須具備下列必要條件:
您有 正確的許可權。
監視與 Copilot 的互動時需要:
Microsoft已為您的組織啟用 Purview 稽核。 雖然這是預設值,但您可能想要檢查 開啟或關閉稽核的指示。
監視與第三方產生 AI 網站互動所需的專案:
裝置 已上線至 Microsoft Purview,其必要條件如下:
- 取得與第三方產生 AI 網站共用之敏感性信息的可見度。 例如,使用者將信用卡號碼貼到 ChatGPT。
- 套用端點 DLP 原則來警告或封鎖使用者與第三方產生 AI 網站共用敏感性資訊。 例如,在調適型保護中識別為提高風險的使用者,會遭到封鎖,並選擇在將信用卡號碼貼到 ChatGPT 時覆寫。
Microsoft Purview 瀏覽器擴充功能會部署至使用者,而且需要探索第三方產生 AI 網站的網站流覽。
如需稽核、裝置上線和瀏覽器擴充功能的詳細資訊,請參閱適用於 AI 的數據安全性狀態管理:流覽至 [概 觀>開始使用] 區段。
如需目前支援的第三方 AI 應用程式清單,請 參閱依 Microsoft Purview 支援的 AI 網站,以取得資料安全性和合規性保護。
注意事項
雖然在適用於 AI 的 Purview 數據安全性狀態管理中,Microsoft報表和活動總管支援管理 單位 ,但單鍵原則不支援這些單位。 這表示指派給特定管理單位的系統管理員只會看到該指派管理單位中用戶的結果,但可以為所有使用者建立原則。
AI 數據安全性狀態管理中的單鍵原則
建立默認原則之後,您可以隨時從入口網站中各自的解決方案區域檢視和編輯它們。 例如,您想要在測試期間或針對商務需求,將原則的範圍設定為特定使用者。 或者,您想要新增或移除用來偵測敏感性資訊的分類器。 使用 [ 原則] 頁面,快速流覽至入口網站中的正確位置。
如果您刪除任何原則,它們在 [原則 ] 頁面上的 狀態會顯示 PendingDeletion ,並繼續顯示為在其各自的建議卡片中建立,直到刪除程式完成為止。
如需敏感度標籤及其原則,請在入口網站中流覽至 [資訊保護],從 AI 的數據安全性狀態管理獨立檢視和編輯這些標籤。 如需詳細資訊,請使用 預設標籤和原則中的組態連結來保護您的數據。
如需支援的 DLP 動作以及哪些平臺支援它們的詳細資訊,請參閱數據表中 您可以監視並採取動作之端點活動的前兩個數據列。
對於使用調適型保護的默認原則,如果尚未開啟此功能,則會開啟此功能,並使用所有使用者和群組的預設風險層級來動態強制執行保護動作。 如需詳細資訊,請 參閱快速設定
注意事項
在 AI 數據安全性狀態管理處於預覽狀態,且命名為 Microsoft Purview AI 中心 時建立的任何預設原則都不會變更。 例如,原則名稱會保留其Microsoft AI 中心 - 前置詞。
使用適用於 AI 的數據安全性狀態管理進行數據探索的預設原則
DLP 原則: 適用於 AI 的 DSPM:偵測新增至 AI 網站的敏感性資訊
此原則會探索Microsoft Edge、Chrome 和 Firefox 貼上或上傳至 AI 網站的敏感性內容。 此原則僅涵蓋您組織中稽核模式中的所有使用者和群組。
測試人員風險管理原則: 適用於 AI 的 DSPM - 偵測使用者何時造訪 AI 網站
偵測使用者何時使用瀏覽器流覽 AI 網站。
測試人員風險管理原則: 適用於 AI 的 DSPM - 偵測具風險的 AI 使用量
此原則可在 Microsoft 365 Copilot 和其他產生的 AI 應用程式中偵測有風險的提示和回應,以協助計算用戶風險。
測試人員風險管理原則: 適用於 AI 的 DSPM - Copilot 中的非正則行為
此原則會在 Microsoft 365 Copilot 中偵測提示和回應中的敏感性資訊。 此原則涵蓋組織中的所有使用者和群組。
數據安全性的默認原則,可協助您保護在產生 AI 中使用的敏感數據
適用於 AI 的 DLP 原則 DSPM - 封鎖來自 AI 網站的敏感性資訊
此原則會使用調適型保護,為嘗試將敏感性資訊貼上或上傳至Edge、Chrome和 Firefox 中其他 AI 應用程式的較高風險使用者提供封鎖與覆寫。 此原則涵蓋您組織中所有處於測試模式的使用者和群組。
資訊保護
此選項會建立 預設敏感度標籤和敏感度標籤原則。
如果您已設定敏感度標籤及其原則,則會略過此設定。
活動總管事件
使用下列資訊,協助您瞭解您可能會在 AI 資料安全性狀態管理的活動總管中看到的事件。 對產生 AI 網站的參考可以包括 Microsoft 365 Copilot、其他 Microsoft 集,以及第三方 AI 網站。
事件 | 描述 |
---|---|
AI 互動 | 用戶與產生的 AI 網站互動。 詳細數據包括提示和回應。 |
AI 網站造訪 | 用戶流覽至產生的 AI 網站。 |
DLP 規則相符專案 | 當使用者與產生的 AI 網站進行互動時,會比對數據外洩防護規則,包括適用於 Microsoft 365 Copilot 的 DLP。 |
敏感性資訊類型 | 當使用者與產生的 AI 網站互動時,會找到敏感性資訊類型。 |
AI 互動事件不一定會顯示 Copilot 提示和回應的文字。 有時候,提示和回應會跨越連續的專案。 其他案例可能包括:
- Copilot for Word,當用戶為現有文件選取 [啟發我] 時,不會顯示任何提示
- 適用於 Word 的 Copilot,當檔沒有內容或內容但未儲存時,不會顯示提示或回應
- Copilot for Excel,當使用者要求產生數據深入解析時,不會顯示提示或回應
- Copilot for Excel,當使用者要求反白顯示儲存格或格式時,不會顯示提示或回應
- Copilot for PowerPoint,當簡報未儲存時,不會顯示提示或回應
- 適用於 Teams 的 Copilot,不會顯示任何提示
- 適用於 Whiteboard 的 Copilot,不會顯示任何提示或回應
- Copilot in Forms,不會顯示提示或回應
偵測到的敏感性資訊類型事件不會顯示用戶風險層級。
Copilot 的信息保護考慮
Microsoft 365 Copilot 能夠存取Microsoft 365 租使用者內儲存的數據,包括 Exchange Online 中的信箱,以及 SharePoint 或 OneDrive 中的檔。
除了存取 Microsoft 365 內容之外,Copilot 也可以使用您在 Office 應用程式會話內容中處理之特定檔案的內容,而不論該檔案的儲存位置為何。 例如,本機記憶體、網路共用、雲端記憶體或USB遊戲桿。 當使用者在應用程式內開啟檔案時,存取通常稱為使用 中的數據。
部署 Microsoft 365 Copilot 之前,請確定您已熟悉下列詳細數據,以協助您加強數據保護解決方案:
如果內容授與使用者 VIEW 許可權,但未 授與 EXTRACT:
- 當使用者在應用程式中開啟此內容時,他們將無法使用 Copilot。
- Copilot 不會摘要說明此內容,但可以使用連結加以參考,讓使用者可以開啟並檢視 Copilot 外部的內容。
您可以進一步防止 Microsoft 365 Copilot 摘要標示的檔案, (是否加密) Microsoft Purview 數據遺失保護原則所識別的檔案。 Copilot 不會摘要說明此內容,但可以使用連結加以參考,讓使用者可以開啟並檢視 Copilot 外部的內容。
就像您的 Office 應用程式一樣,Microsoft 365 Copilot 可以從組織存取敏感度標籤,但無法存取其他組織。 如需跨組織標記支援的詳細資訊,請參閱 支援外部使用者和加上標籤的內容。
敏感度標籤的進階 PowerShell 設定可防止 Office 應用程式將內容傳送至某些連線體驗,包括 Microsoft 365 Copilot。
Copilot 無法存取 SharePoint 和 OneDrive 中未開啟的文件,因為這些檔已加上 使用者定義許可權的標籤和加密。 當使用者在應用程式中開啟時,Copilot 可以存取這些檔, (使用中的數據) 。
Copilot 無法存取 SharePoint 中已使用預設敏感度標籤設定的未開啟檔 ,該標籤會將 SharePoint 許可權延伸至下載的檔。
套用至群組和網站的敏感度標籤 (也稱為「容器標籤」) 不會由這些容器中的項目繼承。 因此,專案不會在 Copilot 中顯示其容器標籤,而且無法支援敏感度標籤繼承。 例如,從標示為機密的小組摘要的Teams頻道聊天訊息,不會在Business Chat中針對敏感度內容顯示該標籤。 同樣地,來自 SharePoint 網站頁面和清單的內容不會顯示其容器標籤的敏感度標籤。
如果您使用 SharePoint 資訊版權管理 (IRM) 連結庫設定來限制使用者複製文字,請注意,下載檔案時會套用許可權 ,而不是在建立或上傳至 SharePoint 時套用許可權。 如果您不想讓 Copilot 在待用檔案時摘要這些檔案,請使用不具 EXTRACT 使用權的敏感度標籤來套用加密。
不同於其他自動套用標籤案例, 當您建立新內容時繼承的標籤 將會取代手動套用的較低優先順序標籤。
無法套用繼承的敏感度標籤時,文字將不會新增至目的地專案。 例如:
- 目的地專案是唯讀的
- 目的地專案已加密,且使用者沒有許可權變更標籤 (需要EXPORT或 FULL CONTROL 許可權)
- 繼承的敏感度標籤未發佈給使用者
如果使用者要求 Copilot 從已加上標籤和加密的專案建立新內容,則在針對 使用者定義 許可權設定加密時,或是從標籤獨立套用加密時,不支援卷標繼承。 使用者將無法將此數據傳送至目的地專案。
由於 雙重密鑰加密 (DKE) 適用於受限於最嚴格保護需求的最敏感數據,因此 Copilot 無法存取此數據。 因此,受 DKE 保護的專案將不會由 Copilot 傳回,而且如果 DKE 專案已開啟 (使用中的數據) ,您將無法在應用程式中使用 Copilot。
Copilot 目前無法辨識 保護 Teams 會議和聊天 的敏感度標籤。 例如,從會議聊天或頻道聊天傳回的數據不會顯示相關聯的敏感度標籤,無法防止目的地專案複製聊天數據,而且無法繼承敏感度標籤。 這項限制不適用於受敏感度標籤保護的會議邀請、回應和行事曆事件。
針對 Business Chat (之前稱為圖形式聊天和 Microsoft 365 Chat) :
- 當會議邀請套用敏感度標籤時,標籤會套用至會議邀請的本文,但不會套用至元數據,例如日期和時間或收件者。 因此,僅以元數據為基礎的問題會傳回沒有標籤的數據。 例如,「我星期一有哪些會議?」包含會議本文的問題,例如議程,會傳回標示的數據。
- 如果內容與其套用的敏感度標籤分開加密,而且該加密不會授與使用者 EXTRACT 許可權 (但包含 VIEW 使用權) ,則內容可以由 Copilot 傳回,因此會傳送至來源專案。 當文件標示為「一般」且該標籤不套用加密時,如果使用者已從信息版權管理套用 Office 限制,就會發生此設定的範例。
- 當傳回的內容已套用敏感度標籤時,使用者將不會看到 [在 Outlook 中編輯 ] 選項,因為此功能目前不支援已加上標籤的數據。
- 如果您使用包含外掛程式和 Microsoft Graph 連接器的擴充功能,Business Chat 無法辨識從外部來源套用至此數據的敏感度標籤和加密。 此限制在大部分的情況下不會套用,因為數據不太可能支援敏感度標籤和加密,但 Power BI 資料有一個例外。 您一律可以使用 Microsoft 365 系統管理中心 來關閉使用者的外掛程式,以及中斷使用 圖形 API 連接器的連線,以中斷外部數據源的連線。
應用程式特定例外狀況:
Microsoft 365 Copilot in Outlook:您必須有最低版本的 Outlook,才能在 Outlook 中使用 Microsoft 365 Copilot 加密專案:
- Outlook (Windows 傳統) :從目前通道和每月企業通道的 2408 版開始
- Mac 版 Outlook:16.86.609+ 版
- iOS 版 Outlook:4.2420.0+ 版
- Android 版 Outlook:4.2420.0+ 版
- Outlook 網頁版:是
- Windows 版新 Outlook:是
Microsoft 365 Copilot in Edge,Microsoft 365 Copilot in Windows:除非在Edge中使用數據外洩防護 (DLP) ,否則當該內容未授與使用者EXTRACT使用許可權時,Copilot 可以從Edge的作用中瀏覽器索引標籤參考加密的內容。 例如,加密的內容來自 Office 網頁版 或 Outlook 網頁版。
是否要覆寫現有的標籤以進行敏感度標籤繼承?
Copilot 自動套用具有敏感度標籤繼承的保護時的結果摘要:
現有標籤 | 使用敏感度標籤繼承覆寫 |
---|---|
手動套用,優先順序較低 | 是 |
手動套用,優先順序較高 | 否 |
自動套用,較低優先順序 | 是 |
自動套用,優先順序較高 | 否 |
來自原則的默認標籤,優先順序較低 | 是 |
來自原則的默認標籤,較高優先順序 | 否 |
文檔庫的默認敏感度標籤,優先順序較低 | 是 |
文檔庫的默認敏感度標籤,優先順序較高 | 否 |
Copilot 接受具有 EXTRACT 使用權的現有保護
雖然您可能不太熟悉加密內容的個別許可權,但它們已經過很長的時間。 從 Windows Server Rights Management 到 Active Directory Rights Management,到使用 Azure Rights Management 服務成為 Azure 資訊保護 的雲端版本。
如果您曾收到「不可轉寄」電子郵件,它會使用許可權防止您在經過驗證後轉寄電子郵件。 如同對應至常見商務案例的其他配套許可權,「不可轉寄」電子郵件會授與收件者許可權,以控制他們可對內容執行的動作,且不包含 FORWARD 使用權。 除了不轉寄之外,您也無法列印此「不可轉寄」電子郵件,或從中複製文字。
授與複製文字許可權的許可權是 EXTRACT,其用戶易記的常見名稱為 Copy。 這是決定 Microsoft 365 Copilot 是否可以從加密內容向用戶顯示文字的許可權。
注意事項
由於 [完整控制權 (OWNER) 許可權包含所有許可權,因此 EXTRACT 會自動包含在 [完全控制] 中。
當您使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 設定敏感度標籤以套用加密時,第一個選擇是立即指派許可權,還是讓使用者指派許可權。 如果您現在指派許可權,請選取具有默認許可權群組的預先定義許可權等級來設定許可權,例如 Co-Author 或檢閱者。 或者,您可以選取可個別選取可用許可權的自定義許可權。
在 Microsoft Purview 入口網站中,EXTRACT 使用權會顯示為 [ 複製並擷取內容 (EXTRACT) 。 例如,選取的默認許可權等級是 編輯器,您會在其中看到包含EXTRACT ) (複製和擷取內容。 因此,使用此加密組態保護的內容可由 Microsoft 365 Copilot 傳回:
如果您從下拉式方塊中選取 [ 自定義 ],然後從清單中選取 [ 完全控制 (OWNER) ,此設定也會授與 EXTRACT 使用權。
注意事項
套用加密的人員一律具有EXTRACT使用權,因為他們是 Rights Management 擁有者。 此特殊角色會自動包含所有許可權和一些其他動作,這表示使用者已自行加密的內容一律有資格透過 Microsoft 365 Copilot 傳回給他們。 設定的使用限制適用於有權存取內容的其他人員。
或者,如果您選取加密組態,讓使用者指派許可權,針對 Outlook,此設定會包含 [不可轉寄] 和 [僅加密] 的預先定義許可權。 與 [不可轉寄] 不同的 [Encrypt-Only] 選項包含 EXTRACT 使用許可權。
當您為 Word、Excel 和 PowerPoint 選取自定義許可權時,使用者會在套用敏感度標籤時,於 Office 應用程式中選取自己的許可權。 對話框目前有兩個版本。 在舊版中,他們會收到通知,從兩個選取專案中, [讀 取] 不包含複製內容的許可權,但 [變更 ] 則會包含。 這些要複製的參考會參考 EXTRACT 使用許可權。 如果使用者選取 [ 更多選項],他們可以選取 [ 允許具有讀取許可權的用戶複製內容],將 EXTRACT 使用許可權新增至 [讀取]。
在最新版的對話框中, [讀 取] 和 [ 變更 ] 會取代為許可權等級,其中不允許狀態複製的描述不會包含 EXTRACT 使用許可權。 包含 EXTRACT 的許可權等級 編輯器 和擁有者。 例如:
提示
如果您需要檢查您有權檢視的檔是否包含 EXTRACT 使用許可權,請在 Windows Office 應用程式中開啟它,並自定義狀態列以顯示 [ 許可權]。 選取敏感度標籤名稱旁邊的圖示,以顯示 [我的許可權]。 檢視 [複製] 的值,該值會對應至 EXTRACT 使用許可權,並確認其是否顯示 [ 是 ] 或 [ 否]。
針對電子郵件,如果許可權未顯示在 Windows 版 Outlook 的郵件頂端,請選取具有標籤名稱的資訊橫幅,然後選取 [ 檢視許可權]。
Copilot 接受使用者的 EXTRACT 使用許可權,但已套用至內容。 大部分時候,當內容加上標籤時,授與用戶的許可權會符合敏感度標籤中的許可權。 不過,在某些情況下,可能會導致內容的許可權與套用的標籤設定不同:
如需設定敏感度標籤以進行加密的詳細資訊,請參閱 使用敏感度標籤來套用加密來限制對內容的存取。
如需許可權的技術詳細數據,請參閱設定 Azure 資訊保護 的許可權。
Copilot 的合規性管理考慮
與 Microsoft 365 Copilot 和 Microsoft Copilot 互動的合規性管理會延伸到 Word、Excel、PowerPoint、Outlook、Teams、Loop 和 Copilot Pages、Whiteboard、OneNote,以及 Business Chat (先前以圖形為基礎的架構聊天和 Microsoft 365 Chat) 。
注意事項
Copilot 的合規性管理包含當使用者登入並選取 [工作 ] 選項而非 [Web] 時,對公用 Web 的提示和回應。
合規性工具會依應用程式名稱識別來源 Copilot 互動。 例如,Business Chat和Microsoft Copilot) 的 Copilot in Word、Copilot in Teams 和 Microsoft 365 Chat (。
在部署 Microsoft 365 Copilot 和 Microsoft Copilot 之前,請確定您已熟悉下列詳細數據,以支持合規性管理解決方案:
稽核數據是專為數據安全性與合規性目的而設計,並針對這些使用案例提供 Copilot 互動的完整可見度。 例如,若要探索數據過度共享風險,或為了法規合規性或法律目的收集互動。 它不適合用來作為 Copilot 使用量報告的基礎。
注意事項
您以此稽核數據為基礎建置的任何匯總計量,例如「提示計數」或「作用中用戶計數」,可能與Microsoft所提供官方 Copilot 使用量報告中的對應數據點不一致。 Microsoft無法提供如何使用稽核記錄數據做為使用量報告基礎的指引,也無法Microsoft,因為根據稽核記錄數據所建置的匯總使用計量會符合其他工具中所報告的類似使用計量。
若要存取有關 Copilot 使用量的正確資訊,請使用下列其中一份報告:Microsoft 365 系統管理 中心或 Viva Insights 中 Copilot 儀錶板中的 Microsoft 365 Copilot 使用量報告。
稽核會擷取搜尋的 Copilot 活動,但不會擷取實際的使用者提示或回應。 如需此資訊,請使用 eDiscovery。 或者,從 Microsoft適用於 AI 的 Purview 資料安全性狀態管理],從 [活動總管] 頁面使用 AI 互動。
尚不支援稽核 Copilot 的 管理員 相關變更。
裝置識別資訊目前未包含在稽核詳細數據中。
Copilot 互動的保留原則不會在因保留原則而刪除訊息時通知使用者。
應用程式特定例外狀況:
-
Microsoft 365 Copilot in Teams:
- 如果已關閉文字記錄,則不支援稽核、電子檔探索和保留的功能
- 如果參考文字記錄,則不會擷取此動作進行稽核
- 針對 Teams 中的 Business Chat,Copilot 目前無法保留為雲端附件、其傳回給使用者的參考檔案。 支援將用戶參考的檔案保留為雲端附件。