Utiliser Microsoft Purview pour gérer la sécurité des données & la conformité des Microsoft 365 Copilot & Microsoft 365 Copilot Chat

Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité

Utilisez les sections suivantes pour identifier les fonctionnalités Microsoft Purview prises en charge pour les interactions ia avec Microsoft 365 Copilot & Microsoft 365 Copilot Chat, ainsi que des recommandations de démarrage pour gérer ces interactions IA pour la sécurité et la conformité.

Fonctionnalités prises en charge

Utilisez le tableau suivant pour voir en un coup d’œil les fonctionnalités Microsoft Purview prises en charge avec Microsoft 365 Copilot & Microsoft 365 Copilot Chat.

DSPM pour l’IA (classique) et la DSPM (préversion)

Utilisez Gestion de la posture de sécurité des données pour l’IA (classique) ou Gestion de la posture de sécurité des données (préversion) comme porte d’entrée pour découvrir, sécuriser et appliquer des contrôles de conformité pour l’utilisation de l’IA dans votre entreprise. Les deux versions DSPM utilisent des contrôles existants de la gestion de la conformité et de la protection des informations Microsoft Purview avec des outils graphiques et des rapports faciles à utiliser pour obtenir rapidement des insights sur l’utilisation de l’IA dans votre organization. Des recommandations personnalisées et des stratégies en un clic vous aident à protéger vos données et à vous conformer aux exigences réglementaires.

Informations spécifiques à l’application IA :

• Les évaluations des risques liés aux données vous aident à identifier et à résoudre les problèmes susceptibles d’entraîner un partage excessif des données. À partir des recommandations :

  • Protégez vos données contre les risques potentiels de surpartage pour l’évaluation hebdomadaire des risques de données par défaut.
  • Protégez les références de données sensibles dans Copilot et les réponses de l’agent pour une évaluation personnalisée des risques liés aux données.

• Recommandation : Obtenez une assistance guidée pour les réglementations d’IA, qui utilisent des modèles réglementaires de mappage de contrôle à partir du Gestionnaire de conformité.

• Conseils supplémentaires de la vue d Microsoft 365 Copilot entr.>

• Stratégies en un clic disponibles :

  • Étiquettes et stratégies de confidentialité de l’action de recommandation ou de correction Protégez vos données avec des étiquettes de confidentialité.
  • DSPM pour l’IA - Détecter l’utilisation risquée de l’IA à partir de la recommandation ou de l’action de correction Détecter les interactions risquées dans les applications IA.
  • DSPM pour l’IA : comportement contraire à l’éthique dans les applications IA à partir de l’action de recommandation ou de correction Détecter un comportement contraire à l’éthique dans l’IA.
  • DSPM pour l’IA - Protéger les données sensibles du traitement Copilot contre l’action de recommandation ou de correction Protéger les éléments avec des étiquettes de confidentialité contre le traitement des Microsoft 365 Copilot et des agents
  • DSPM pour l’IA : détecter les informations sensibles partagées avec l’IA via le réseau à partir de l’action de recommandation ou de correction Étendez les insights aux données sensibles dans les interactions d’application IA.

Audit et interactions ia

les solutions Microsoft Purview Audit fournissent des outils complets pour la recherche et la gestion des enregistrements d’audit des activités effectuées sur différents services Microsoft par les utilisateurs et les administrateurs, et aident les organisations à répondre efficacement aux événements de sécurité, aux enquêtes judiciaires, aux enquêtes internes et aux obligations de conformité.

Comme les autres activités, les invites et les réponses sont capturées dans le journal d’audit unifié. Les événements incluent comment et quand les utilisateurs interagissent avec l’application IA, et peuvent inclure le service Microsoft 365 dans lequel l’activité a eu lieu, ainsi que les références aux fichiers stockés dans Microsoft 365 qui ont été consultés pendant l’interaction. Si une étiquette de confidentialité est appliquée à ces fichiers, elle est également capturée.

Ces événements sont transmis à l’Explorateur d’activités dans DSPM pour l’IA et à l’onglet Activités IA dans l’Explorateur d’activités à partir de la préversion de DSPM, où les données des invites et des réponses peuvent être affichées. Vous pouvez également utiliser la solution Audit à partir du portail Microsoft Purview pour rechercher et rechercher ces événements d’audit.

Pour plus d’informations, consultez Journaux d’audit pour les activités Copilot et IA.

Classification des données et interactions ia

La classification des données Microsoft Purview fournit une infrastructure complète pour l’identification et l’étiquetage des données sensibles dans différents services Microsoft, notamment les Office 365, les Dynamics 365 et les Azure. La classification des données est souvent la première étape pour garantir la conformité aux réglementations en matière de protection des données et la protection contre tout accès non autorisé, toute modification ou destruction. Vous pouvez utiliser des classifications système intégrées ou créer les vôtres.

Les types d’informations sensibles et les classifieurs pouvant être entraînés peuvent être utilisés pour rechercher des données sensibles dans les invites et les réponses des utilisateurs lorsqu’ils utilisent des applications IA. Les informations résultantes apparaissent ensuite dans la vue d’ensemble des rapports Microsoft Purview et l’Explorateur d’activités dans DSPM pour l’IA et l’onglet Activités IA dans l’Explorateur d’activités à partir de la préversion de DSPM.

Étiquettes de confidentialité et interactions ia

Les applications IA prises en charge par Microsoft Purview utilisent des contrôles existants pour garantir que les données stockées dans votre locataire ne sont jamais retournées à l’utilisateur ou utilisées par un modèle LLM (Large Language Model) si l’utilisateur n’a pas accès à ces données. Lorsque les données ont des étiquettes de confidentialité de votre organization appliquées au contenu, il existe une couche de protection supplémentaire :

• Lorsqu’un fichier est ouvert dans Word, Excel, PowerPoint ou un événement de courrier électronique ou de calendrier est ouvert dans Outlook, la sensibilité des données est affichée aux utilisateurs de l’application avec le nom d’étiquette et les marquages de contenu (tels que le texte d’en-tête ou de pied de page) qui ont été configurés pour l’étiquette. Loop composants et pages prennent également en charge les mêmes étiquettes de confidentialité.

• Lorsque l’étiquette de confidentialité applique le chiffrement, les utilisateurs doivent avoir le droit d’utilisation EXTRACT, ainsi que VIEW, pour que les applications IA retournent les données.

• Cette protection s’étend aux données stockées en dehors de votre locataire Microsoft 365 lorsqu’elles sont ouvertes dans une application Office (données en cours d’utilisation). Par exemple, le stockage local, les partages réseau et le stockage cloud.

Si vous n’utilisez pas encore d’étiquettes de confidentialité, consultez Prise en main des étiquettes de confidentialité.

Informations spécifiques à l’application IA :

• Microsoft 365 Copilot Chat affiche l’étiquette de confidentialité des éléments répertoriés dans la réponse et les citations. À l’aide du numéro de priorité des étiquettes de confidentialité défini dans le portail Microsoft Purview, la réponse la plus récente dans Microsoft 365 Copilot Chat et les résumés thématiques dans Copilot dans les conversations et les canaux Teams affichent l’étiquette de confidentialité la plus élevée à partir des données utilisées pour cette conversation Copilot.

  Bien que les administrateurs de conformité définissent la priorité d’une étiquette de confidentialité, un numéro de priorité plus élevé indique généralement une sensibilité plus élevée du contenu, avec des autorisations plus restrictives. Par conséquent, les réponses Copilot affichent l’étiquette de confidentialité la plus restrictive pour informer l’utilisateur sur la sensibilité des données.

• Copilot dans Word et Copilot dans PowerPoint prennent en charge l’héritage des étiquettes de confidentialité pour le contenu nouvellement créé. Pour plus d’informations, consultez la section suivante.

Héritage des étiquettes de confidentialité

Si vous utilisez Copilot dans Word ou Copilot dans PowerPoint pour créer du contenu basé sur un élément auquel une étiquette de confidentialité est appliquée, l’étiquette de confidentialité du fichier source est automatiquement héritée, avec les paramètres de protection de l’étiquette.

Par exemple, un utilisateur sélectionne Brouillon avec Copilot dans Word, puis Référencer un fichier. Ou un utilisateur sélectionne Créer une présentation à partir d’un fichier dans PowerPoint, ou Modifier dans les pages à partir de Microsoft 365 Copilot Chat. L’étiquette de confidentialité Confidential\Anyone (sans restriction) est appliquée au contenu source et cette étiquette est configurée pour appliquer un pied de page qui affiche « Confidentiel ». Le nouveau contenu est automatiquement étiqueté Confidentiel\Tout le monde (sans restriction) avec le même pied de page.

Pour voir un exemple de ceci en action, regardez la démonstration suivante de la session Ignite 2023, « Préparer votre entreprise pour Microsoft 365 Copilot ». La démonstration montre comment l’étiquette de confidentialité par défaut de Général est remplacée par une étiquette Confidentiel lorsqu’un utilisateur rédige avec Copilot et fait référence à un fichier étiqueté. La barre d’informations sous le ruban informe l’utilisateur que le contenu créé par Copilot a entraîné l’application automatique de la nouvelle étiquette :

Si plusieurs fichiers sont utilisés pour créer du contenu, l’étiquette de confidentialité avec la priorité la plus élevée est utilisée pour l’héritage des étiquettes.

Comme pour tous les scénarios d’étiquetage automatique, l’utilisateur peut toujours remplacer une étiquette héritée (ou la supprimer, si vous n’utilisez pas l’étiquetage obligatoire).

Chiffrement sans étiquettes de confidentialité et interactions IA

Même si une étiquette de confidentialité n’est pas appliquée au contenu, les services et les produits peuvent utiliser les fonctionnalités de chiffrement du service Azure Rights Management. Par conséquent, les applications IA peuvent toujours case activée pour les droits d’utilisation VIEW et EXTRACT avant de retourner des données et des liens à un utilisateur, mais il n’y a pas d’héritage automatique de protection pour les nouveaux éléments.

Exemples de produits et de services qui peuvent utiliser les fonctionnalités de chiffrement du service Azure Rights Management sans étiquettes de confidentialité :

• Chiffrement des messages Microsoft Purview
• Gestion des droits relatifs à l'information (IRM)
• Connecteur Microsoft Rights Management
• Microsoft Rights Management

Pour les autres méthodes de chiffrement qui n’utilisent pas le service Azure Rights Management :

• Les e-mails protégés par S/MIME ne seront pas retournés par Copilot, et Copilot n’est pas disponible dans Outlook lorsqu’un e-mail protégé par S/MIME est ouvert.

• Les documents protégés par mot de passe ne sont pas accessibles par les applications IA, sauf s’ils sont déjà ouverts par l’utilisateur dans la même application (données en cours d’utilisation). Les mots de passe ne sont pas hérités par un élément de destination.

Comme avec d’autres services Microsoft 365, tels que la découverte électronique et la recherche, les éléments chiffrés avec la clé client Microsoft Purview ou votre propre clé racine (BYOK) sont pris en charge et peuvent être retournés par Copilot.

Protection contre la perte de données et interactions avec l’IA

Protection contre la perte de données Microsoft Purview (DLP) vous permet d’identifier les éléments sensibles dans les services et points de terminaison Microsoft 365, de les surveiller et de vous protéger contre les fuites de ces éléments. Il utilise l’inspection approfondie du contenu et l’analyse contextuelle pour identifier les éléments sensibles et applique des stratégies pour protéger les données sensibles telles que les dossiers financiers, les informations de santé ou la propriété intellectuelle.

Les ordinateurs Windows intégrés à Microsoft Purview peuvent être configurés pour les stratégies de protection contre la perte de données (DLP) de point de terminaison qui avertissent ou empêchent les utilisateurs de partager des informations sensibles avec des sites d’IA générative tiers accessibles via un navigateur. Par exemple, un utilisateur ne peut pas coller des numéros de carte de crédit dans ChatGPT, ou il voit un avertissement qu’il peut remplacer. Pour plus d’informations sur les actions DLP prises en charge et sur les plateformes qui les prennent en charge, consultez les deux premières lignes du tableau des activités de point de terminaison que vous pouvez surveiller et prendre des mesures.

Informations spécifiques à l’application IA :

• Utilisez l’emplacement de stratégie Microsoft 365 Copilot et Copilot Chat pour limiter le traitement des invites qui contiennent des types d’informations sensibles, ou le traitement des fichiers et e-mails auxquels des étiquettes de confidentialité spécifiques sont appliquées. Pour plus d’informations, consultez En savoir plus sur l’utilisation de Protection contre la perte de données Microsoft Purview pour protéger les interactions avec les Microsoft 365 Copilot et les Copilot Chat.

• Microsoft 365 Copilot Chat prend uniquement en charge les fonctionnalités DLP de point de terminaison suivantes :

  • Bloc coller du contenu sensible
  • Bloquer les fichiers en fonction d’une étiquette de confidentialité spécifiée

Interactions entre la gestion des risques internes et l’IA

Gestion des risques internes Microsoft Purview vous permet de détecter, d’examiner et d’atténuer les risques internes tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. Il tire parti des modèles Machine Learning et de divers signaux de Microsoft 365 et d’indicateurs tiers pour identifier les activités potentielles malveillantes ou par inadvertance des initiés. La solution inclut des contrôles de confidentialité tels que la pseudonymisation et l’accès en fonction du rôle, garantissant la confidentialité au niveau de l’utilisateur tout en permettant aux analystes des risques de prendre les mesures appropriées.

Utilisez le modèle de stratégie d’utilisation de l’IA à risque pour détecter l’utilisation à risque, notamment les attaques par injection d’invite et l’accès à des documents protégés. Les insights de ces signaux sont intégrés à Microsoft Defender XDR pour fournir une vue complète des risques liés à l’IA.

Conformité des communications et interactions ia

Conformité des communications Microsoft Purview fournit des outils pour vous aider à détecter et à gérer la conformité réglementaire et les violations de conduite professionnelle sur différents canaux de communication, notamment les invites et les réponses des utilisateurs pour les applications IA. Il est conçu avec la confidentialité par défaut, en pseudonymisant les noms d’utilisateur et en incorporant des contrôles d’accès en fonction du rôle. La solution permet d’identifier et de corriger les communications inappropriées, telles que le partage d’informations sensibles, le harcèlement, les menaces et le contenu pour adultes.

Pour en savoir plus sur l’utilisation des stratégies de conformité des communications pour les applications IA, consultez Configurer une stratégie de conformité des communications pour détecter les interactions d’IA générative.

Interactions eDiscovery et IA

Microsoft Purview eDiscovery vous permet d’identifier et de fournir des informations électroniques qui peuvent être utilisées comme preuve dans des affaires juridiques. Les outils eDiscovery de Microsoft Purview prennent en charge la recherche de contenu dans les équipes Exchange Online, OneDrive Entreprise, SharePoint Online, Microsoft Teams, Groupes Microsoft 365 et Viva Engage. Vous pouvez ensuite empêcher la suppression des informations et les exporter.

Étant donné que les invites et réponses des utilisateurs pour les applications IA sont stockées dans la boîte aux lettres d’un utilisateur, vous pouvez créer un cas et utiliser la recherche lorsque la boîte aux lettres d’un utilisateur est sélectionnée comme source pour une requête de recherche. Par exemple, sélectionnez et récupérez ces données à partir de la boîte aux lettres source en sélectionnant dans le générateur de requêtes Ajouter untype> de condition >Contient l’une des> activitésModifier>Copilot. Cette condition de requête inclut toute l’activité de Copilot et d’autres applications IA.

Une fois la recherche affinée, vous pouvez exporter les résultats ou les ajouter à un jeu de révisions. Vous pouvez examiner et exporter des informations directement à partir de l’ensemble de révision.

Pour en savoir plus sur l’identification et la suppression des données d’interaction de l’IA utilisateur, consultez Rechercher et supprimer des données Copilot dans eDiscovery.

Interactions entre la gestion du cycle de vie des données et l’IA

Gestion du cycle de vie des données Microsoft Purview fournit des outils et des fonctionnalités pour gérer le cycle de vie des données organisationnelles en conservant le contenu nécessaire et en supprimant le contenu inutile. Ces outils garantissent la conformité aux exigences commerciales, légales et réglementaires.

Utilisez des stratégies de rétention pour conserver ou supprimer automatiquement les invites et les réponses des utilisateurs pour les applications IA. Pour plus d’informations sur le fonctionnement de cette rétention, consultez En savoir plus sur la rétention pour les applications Copilot & IA.

Comme pour toutes les stratégies et conservations de rétention, si plusieurs stratégies pour le même emplacement s’appliquent à un utilisateur, les principes de rétention résolvent les conflits. Par exemple, les données sont conservées pendant la durée la plus longue de toutes les stratégies de rétention appliquées ou des conservations eDiscovery.

Informations spécifiques à l’application IA :

• Pour les stratégies de rétention, sélectionnez l’option expériences Microsoft Copilot.

• Les étiquettes de rétention peuvent conserver automatiquement les fichiers référencés dans Microsoft 365 Copilot lorsque vous sélectionnez l’option pièces jointes cloud avec une stratégie d’étiquette de rétention d’application automatique : Appliquer une étiquette aux pièces jointes cloud et aux liens partagés dans Exchange, Teams, Viva Engage et Copilot. Comme pour toutes les pièces jointes cloud conservées, la version du fichier au moment où elle est référencée est conservée.

  

  Pour plus d’informations sur le fonctionnement de cette rétention, consultez Fonctionnement de la rétention avec les pièces jointes cloud.

Interactions du Gestionnaire de conformité et de l’IA

Le Gestionnaire de conformité Microsoft Purview est une solution qui vous permet d’évaluer et de gérer automatiquement la conformité dans votre environnement multicloud. Le Gestionnaire de conformité peut vous aider tout au long de votre parcours de conformité, de l’inventaire des risques de protection de vos données à la gestion des complexités de l’implémentation de contrôles, la mise à jour des réglementations et des certifications et la création de rapports aux auditeurs.

Pour vous aider à rester conforme aux réglementations de l’IA, le Gestionnaire de conformité fournit des modèles réglementaires pour vous aider à évaluer, implémenter et renforcer vos exigences de conformité pour toutes les applications d’IA générative. Par exemple, la surveillance des interactions ia et la prévention de la perte de données dans les applications IA. Pour plus d’informations, consultez Évaluations des réglementations relatives à l’IA.

Étapes recommandées pour la prise en main

Suivez les étapes suivantes pour commencer à gérer la sécurité des données & la conformité pour les interactions IA à partir de Microsoft 365 Copilot & Microsoft 365 Copilot Chat.

Étant donné que Gestion de la posture de sécurité des données pour l’IA est votre porte d’entrée pour la sécurisation et la gestion des interactions IA, la plupart des instructions suivantes utilisent cette solution :

• Se connecter au portail> Microsoft PurviewSolutions>DSPM pour l’IA (classique) avec un compte disposant des autorisations appropriées. Par exemple, un compte membre du rôle de groupe Administrateur de conformité Microsoft Entra.

  

Vérifier que l’audit est activé

Dans DSPM pour l’IA (classique)>Vue d’ensemble>Toutes les applications IA affichent >la section Prise en main, vérifiez si l’audit est activé pour votre locataire. Si ce n’est pas le cas, sélectionnez Activer Microsoft Purview Audit.

Utiliser la vue Microsoft 365 Copilot pour découvrir, protéger et appliquer des contrôles de conformité

Passez de Toutes les applications IA à Microsoft 365 Copilot et parcourez les sections :

• Évaluer et empêcher le surpartage des données sensibles
• Sécuriser vos données dans Microsoft 365 Copilot
• Découvrir Microsoft 365 Copilot activité

Ces sections incluent des recommandations spécifiques à Microsoft 365 Copilot. Attendez au moins un jour que les données s’affichent pour les rapports de cette page.

Utiliser des stratégies en un clic pour augmenter la couverture

Sélectionnez Recommandations dans la navigation et utilisez des stratégies en un clic pour créer automatiquement des stratégies qui vous aident à découvrir, protéger et appliquer des contrôles de conformité. Spécifique à Microsoft 365 Copilot :

• Protéger vos données à l’aide d’étiquettes de confidentialité
• Détecter les interactions risquées dans les applications IA
• Détecter un comportement contraire à l’éthique dans l’IA
• Protéger les éléments avec des étiquettes de confidentialité contre les Microsoft 365 Copilot et le traitement de l’agent

Afficher les données de vos stratégies

1. Attendez au moins un jour pour les données, puis accédez à la page Rapports pour afficher les résultats de vos stratégies. Sélectionnez Les expériences Copilot & agents et affichez des informations telles que :

   • Nombre total d’interactions au fil du temps (Microsoft Copilot et agents)
   • Interactions sensibles par application IA
   • Principales interactions d’IA non éthiques
   • Principales références d’étiquettes de confidentialité dans les Microsoft 365 Copilot et les agents
   • Gravité des risques internes
   • Gravité des risques internes par application IA
   • Utilisation potentielle de l’IA risquée

2. Sélectionnez Afficher les détails de chacun des graphiques de rapport pour afficher les activités détaillées dans l’Explorateur d’activités.

   Dans les filtres, sélectionnez la catégorie d’applications IA des expériences Copilot & agents, puis utilisez les autres filtres si vous avez besoin d’affiner davantage les données affichées. Ensuite, explorez chaque activité pour afficher les détails qui incluent l’affichage des invites et des réponses lorsque vous êtes membre du groupe de rôles Visionneuse de contenu Explorer de contenu Microsoft Purview. Pour plus d’informations sur cette exigence, consultez Autorisations pour Gestion de la posture de sécurité des données pour l’IA.

Appliquer des contrôles de conformité supplémentaires aux interactions Microsoft 365 Copilot

1. Si vous devez conserver la version exacte des fichiers référencés dans Microsoft 365 Copilot interactions :

   Dans le portail Microsoft Purview, accédez àÉtiquettes> de rétention de la gestion du cycle de vie des> données et recherchez ou créez une étiquette de rétention avec la période de rétention requise. Ensuite, accédez à Stratégies d’étiquette pour appliquer automatiquement cette étiquette, puis sélectionnez l’option Appliquer une étiquette aux pièces jointes cloud et aux liens partagés dans Exchange, Teams, Viva Engage et Copilot. Pour plus d’informations, consultez Appliquer automatiquement une étiquette de rétention pour conserver ou supprimer du contenu.

2. Si vous avez besoin de conserver, collecter, analyser, examiner ou exporter des interactions Microsoft 365 Copilot :

   Dans le portail Microsoft Purview, accédez à Cas eDiscovery>>Créer un cas. Dans ce cas, créez une recherche et utilisez la propriété ItemClass et la IPM.SkypeTeams.Message.Copilot.* valeur pour rechercher ces interactions dans votre organization.

Examinez régulièrement les rapports et les évaluations des risques liés aux données dans DSPM pour l’IA afin de déterminer si vous devez apporter des modifications, et utilisez l’Explorateur d’activités et les événements pour une analyse plus approfondie de la façon dont les utilisateurs interagissent avec Microsoft 365 Copilot & Microsoft 365 Copilot Chat.

Autre documentation pour vous aider à sécuriser et à gérer les applications d’IA générative

Pour plus d’informations, consultez Considérations relatives à la gestion des Microsoft 365 Copilot pour la sécurité et la conformité.

documentation Microsoft 365 Copilot :

• Documentation Microsoft 365 Copilot
• Appliquer les principes de confiance zéro à Microsoft 365 Copilot