Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité
Remarque
Cet article concerne la version classique de Gestion de la posture de sécurité des données qui est remplacée par une nouvelle version qui introduit des flux de travail guidés pour la gestion proactive des risques et rationalise les opérations de sécurité des données afin que vous puissiez adopter l’IA en toute confiance dans votre patrimoine numérique.
Ces améliorations ne seront pas ajoutées à cette version classique. Nous vous invitons donc à essayer la nouvelle Gestion de la posture de sécurité des données, actuellement en préversion.
Pour la plupart, Gestion de la posture de sécurité des données pour l’IA est facile à utiliser et explicite, vous guidant à travers les conditions préalables et les rapports et stratégies préconfigurés. Utilisez cette section pour compléter ces informations et fournir des détails supplémentaires dont vous pourriez avoir besoin.
Prérequis pour Gestion de la posture de sécurité des données pour l’IA
Pour utiliser Gestion de la posture de sécurité des données pour l’IA à partir du portail Microsoft Purview, vous devez disposer des prérequis suivants :
Vous disposez des autorisations appropriées.
Requis pour surveiller les interactions avec Copilot et les agents :
L’audit Microsoft Purview est activé pour votre organization. Bien qu’il s’agisse de la valeur par défaut, vous pouvez case activée les instructions pour Activer ou désactiver l’audit.
Pour les Microsoft 365 Copilot et les agents, les utilisateurs se voient attribuer une licence pour Microsoft 365 Copilot.
Pour Copilot dans Fabric et Security Copilot :
- La version entreprise de la gouvernance des données Microsoft Purview, pour prendre en charge les API requises.
- Une stratégie de collection, telle que celle créée à partir de la recommandation ou de l’action de correction Sécuriser les interactions pour Microsoft Copilot expériences.
Requis pour surveiller les interactions et appliquer des stratégies DLP à d’autres applications IA dans Edge :
- Une stratégie de configuration Edge est nécessaire pour activer l’intégration de Microsoft Purview dans Edge. Pour plus d’informations sur la configuration, consultez Activer votre stratégie DLP dans Microsoft Edge.
Requis pour surveiller les interactions avec les sites d’IA générative tiers :
Les appareils sont intégrés à Microsoft Purview, requis pour :
- Visibilité des informations sensibles partagées avec des sites d’IA générative tiers. Par exemple, un utilisateur colle des numéros de carte de crédit dans ChatGPT.
- Application de stratégies DLP de point de terminaison pour avertir ou empêcher les utilisateurs de partager des informations sensibles avec des sites d’IA générative tiers. Par exemple, un utilisateur identifié comme à risque élevé dans La protection adaptative est bloqué avec l’option de remplacement lorsqu’il colle des numéros de carte de crédit dans ChatGPT.
L’extension de navigateur Microsoft Purview est déployée pour les utilisateurs Windows et nécessaire pour découvrir les visites sur des sites d’IA générative tiers à l’aide d’une stratégie de gestion des risques internes. L’extension de navigateur est également requise pour les stratégies DLP de point de terminaison sur Windows lorsque vous utilisez Chrome.
Pour les applications IA inscrites à Entra, elles sont intégrées à la Kit de développement logiciel (SDK) Microsoft Purview pour prendre en charge toutes les fonctionnalités de Microsoft Purview.
Pour les applications IA autres que Microsoft 365 Copilot et Microsoft Facilitator, vous avez configuré la facturation du paiement à l’utilisation pour votre organization. Lorsque ce modèle de facturation s’applique à des configurations spécifiques, vous verrez des notifications et des instructions dans l’interface utilisateur.
Vous trouverez plus d’informations sur les conditions préalables à l’audit, à l’intégration des appareils et à l’extension de navigateur dans Gestion de la posture de sécurité des données pour l’IA section Vue d’ensemble>Prise en main.
Pour obtenir la liste des applications IA tierces actuellement prises en charge, consultez Sites IA pris en charge par Microsoft Purview pour les protections de conformité et de sécurité des données.
Remarque
Si vous utilisez des unités administratives, les administrateurs restreints ne pourront pas créer les stratégies en un clic qui s’appliquent à tous les utilisateurs. Vous devez être administrateur non restreint pour créer ces stratégies. Les administrateurs restreints voient les résultats uniquement pour les utilisateurs de l’unité administrative qui leur est attribuée pour la page Stratégies et dans l’Explorateur de rapports et d’activités dans Gestion de la posture de sécurité des données Microsoft Purview pour l’IA.
Conditions préalables pour les évaluations des risques liés aux données Fabric
Utilisez les instructions suivantes pour répondre aux conditions préalables à l’exécution des évaluations des risques liés aux données pour les espaces de travail Fabric, et avant de sélectionner Définir la configuration dans DSPM pour l’IA.
Pour les étapes 1 et 2, utilisez l’un des rôles Entra suivants pour les autorisations requises :
- Administrateur de l'application cloud
- Administrateur de l'application
- Administrateur de rôle privilégié
Pour l’étape 3, vous devez être administrateur d’infrastructure.
Dans le portail d’administration Microsoft Entra, créez et configurez une application inscrite pour qu’elle soit l’authentification du principal de service pour Fabric.
Après avoir créé cette application inscrite et toujours dans le portail d’administration Entra, copiez et stockez les valeurs ID d’application (client) et Clé secrète client requises pour configurer les évaluations des risques liés aux données dans DSPM pour l’IA :
- Pour localiser l’ID d’application (client) : dans le portail d’administration Microsoft Entra,Applications>d’identité>inscriptions d'applications, sélectionnez l’application que vous avez créée pour Fabric. L’ID d’application (client) s’affiche sous l’onglet Vue d’ensemble.
- Créez une clé secrète client pour cette application. Copiez et enregistrez la valeur en toute sécurité immédiatement. Il ne sera affiché qu’une seule fois.
Accédez maintenant à Groupes pour ajouter l’application inscrite en tant que membre de groupe à un groupe de sécurité nouveau ou existant. Son type s’affiche en tant qu’application d’entreprise.
Dans le portail d’administration Fabric, accédez à Paramètres> du locataire Administration paramètres de l’API et activez les options Les principaux de service peuvent accéder aux API d’administration en lecture seule et les principaux de service peuvent accéder aux API d’administration utilisées pour les mises à jour. Pour ces deux éléments, dans les sections Appliquer à : , sélectionnez Groupes de sécurité spécifiques et spécifiez le groupe de sécurité que vous avez configuré à l’étape précédente. Sélectionnez Appliquer pour enregistrer et appliquer ces paramètres de locataire.
Pour plus d’informations sur les étapes 1 à 2, consultez Activer l’authentification du principal de service pour les API d’administration.
Pour plus d’informations sur les paramètres de locataire et la prise en charge de la protection des informations dans Fabric, consultez Index des paramètres de locataire et Protection des informations dans Microsoft Fabric.
Prérequis pour l’analyse au niveau des éléments microsoft 365 pour les évaluations des risques liés aux données
Utilisez les instructions suivantes pour créer une application Entra avec les autorisations requises pour l’analyse au niveau de l’élément Microsoft 365 dans une évaluation personnalisée des risques liés aux données.
Vous devez disposer de l’un des rôles Entra suivants pour créer et configurer l’application inscrite requise :
- Administrateur de l'application cloud
- Administrateur de l'application
- Administrateur de rôle privilégié
Dans le portail d’administration Entra, créez et configurez une application inscrite avec les paramètres suivants :
Types de comptes pris en charge : comptes de cet annuaire organisationnel uniquement
Autorisations d’API : Autorisationsd’applicationMicrosoft Graph> des >API Microsoft
- Application : Application.Read.All
- Répertoire : Directory.Read.All
- Fichiers : Files.ReadWrite.All
- SensitivityLabels : SensitivityLabels.Read.All
- Sites : Sites.ReadWrite.All
- Utilisateur : User.Read.All
Accorder le consentement administrateur pour votre locataire
Créez maintenant une clé secrète client pour cette application. Copiez et enregistrez la valeur en toute sécurité immédiatement. Il ne sera affiché qu’une seule fois.
Vous aurez également besoin de l’ID de l’application inscrite, qui s’affiche en tant qu’ID d’application (client) sous l’onglet Vue d’ensemble .
Stratégies en un clic à partir de Gestion de la posture de sécurité des données pour l’IA
Une fois les stratégies par défaut créées, vous pouvez les afficher et les modifier à tout moment à partir de leurs zones de solution respectives dans le portail. Par exemple, vous souhaitez étendre les stratégies à des utilisateurs spécifiques pendant le test ou aux besoins de l’entreprise. Vous souhaitez également ajouter ou supprimer des classifieurs utilisés pour détecter les informations sensibles. Utilisez la page Stratégies pour accéder rapidement à l’emplacement approprié dans le portail.
Certaines stratégies, telles que DSPM pour l’IA - Capturer les interactions pour les expériences Copilot et DSPM pour l’IA - Détecter les informations sensibles partagées avec l’IA via le réseau sont des stratégies de collecte que vous pouvez modifier et, si nécessaire, supprimer comme toute autre stratégie de regroupement. Pour plus d’informations, consultez Accès aux stratégies de collecte.
Si vous supprimez l’une des stratégies, leur status dans la page Stratégies affiche PendingDeletion et continue à s’afficher comme créées dans leurs cartes de recommandation respectives jusqu’à ce que le processus de suppression soit terminé.
Pour les étiquettes de confidentialité et leurs stratégies, affichez-les et modifiez-les indépendamment de Gestion de la posture de sécurité des données pour l’IA, en accédant à Information Protection dans le portail. Pour plus d’informations, utilisez les liens de configuration dans Étiquettes et stratégies par défaut pour protéger vos données.
Pour plus d’informations sur les actions DLP prises en charge et sur les plateformes qui les prennent en charge, consultez les deux premières lignes du tableau des activités de point de terminaison que vous pouvez surveiller et prendre des mesures.
Pour les stratégies par défaut qui utilisent la protection adaptative, cette fonctionnalité est activée si elle n’est pas déjà activée, en utilisant les niveaux de risque par défaut pour tous les utilisateurs et groupes afin d’appliquer dynamiquement des actions de protection. Pour plus d’informations, consultez Configuration rapide
Remarque
Les stratégies par défaut créées pendant Gestion de la posture de sécurité des données pour l’IA était en préversion et nommée Microsoft Purview AI Hub ne seront pas modifiées. Par exemple, les noms de stratégie conservent leur préfixe Microsoft AI Hub .
Stratégies par défaut pour la découverte des données à l’aide de Gestion de la posture de sécurité des données pour l’IA
Stratégie DLP : DSPM pour l’IA : Détecter les informations sensibles ajoutées aux sites IA
Source : Étendre vos insights pour la découverte des données
Cette stratégie détecte le contenu sensible collé ou chargé dans Microsoft Edge, Chrome et Firefox sur des sites IA. Cette stratégie couvre tous les utilisateurs et groupes de votre organisation en mode audit uniquement.
Stratégie de gestion des risques internes : DSPM pour l’IA - Détecter quand les utilisateurs visitent des sites IA
Source : Étendre vos insights pour la découverte des données
Cette stratégie détecte quand les utilisateurs utilisent un navigateur pour visiter des sites IA.
Stratégie de gestion des risques internes : DSPM pour l’IA - Détecter l’utilisation risquée de l’IA
Source : Recommandation Détecter les interactions à risque dans les applications IA
Cette stratégie permet de calculer le risque utilisateur en détectant les invites et les réponses à risque dans les Microsoft 365 Copilot, les agents et d’autres applications d’IA générative.
Conformité des communications : DSPM pour l’IA - Comportement contraire à l’éthique dans les applications IA
Source : Recommandation Détecter les comportements contraires à l’éthique dans les applications IA
Cette stratégie détecte les informations sensibles dans les invites et les réponses dans les Microsoft 365 Copilot, les agents et d’autres applications d’IA générative. Cette stratégie couvre tous les utilisateurs et groupes de votre organization.
Stratégie de regroupement : DSPM pour l’IA - Capturer les interactions pour les expériences Copilot
Source : Recommandation Interactions sécurisées dans les expériences Microsoft Copilot
Cette stratégie capture les invites et les réponses concernant la posture de sécurité des données et la conformité réglementaire de Copilot dans Fabric et Security Copilot. Gérez-les dans des solutions Microsoft Purview comme eDiscovery, La gestion du cycle de vie des données, etc.
Stratégie de collecte : DSPM pour l’IA - Détecter les informations sensibles partagées avec l’IA via le réseau
Source : Recommandation Étendre les insights aux données sensibles dans les interactions d’application IA
Cette stratégie détecte les informations sensibles partagées avec les applications IA dans les navigateurs, les applications, les API, les compléments, etc., à l’aide d’une intégration SASE (Secure Access Service Edge) ou Security Service Edge (SSE).
Importante
Cette stratégie nécessite que vous ajoutiez manuellement une ou plusieurs intégrations SASE (Secure Access Service Edge) ou Security Service Edge (SSE) dans les paramètres de protection contre la perte de données. La détection des interactions ia dépend de l’implémentation du partenaire réseau.
Si vous souhaitez capturer des invites et des réponses en plus de détecter les informations sensibles, vous devez modifier la stratégie de collecte et sélectionner l’option permettant de capturer le contenu.
Stratégie de collecte : DSPM pour l’IA - Capturer les interactions pour les applications IA d’entreprise
Source : Recommandation Interactions sécurisées à partir d’applications d’entreprise
Cette stratégie capture les invites et les réponses pour la conformité réglementaire des applications IA d’entreprise, telles que les applications d’IA Chat GPT Enterprise et les applications IA connectées via Microsoft Entra ou Microsoft Foundry, afin qu’elles puissent être gérées dans des solutions Microsoft Purview telles que eDiscovery, Data Lifecycle Management, etc.
Stratégie de collecte : DSPM pour l’IA - Détecter les informations sensibles partagées dans les invites IA dans Edge
Source : Étendre vos insights pour la découverte des données
Cette stratégie détecte les invites envoyées aux applications d’IA génératives dans Microsoft Edge et détecte les informations sensibles partagées dans le contenu de l’invite. Cette stratégie couvre tous les utilisateurs et groupes de votre organization en mode audit uniquement et ne capture pas le contenu.
Stratégies par défaut de la sécurité des données pour vous aider à protéger les données sensibles utilisées dans l’IA générative
DSPM de stratégie DLP pour l’IA - Bloquer les informations sensibles des sites IA
Source : Recommandation Fortifier la sécurité de vos données
Cette stratégie utilise la protection adaptative pour donner un bloc avec remplacement aux utilisateurs à risque élevé qui tentent de coller ou de charger des informations sensibles dans d’autres applications IA dans Edge, Chrome et Firefox. Cette stratégie couvre tous les utilisateurs et groupes de votre organisation en mode test.
Stratégie DLP DSPM pour l’IA - Empêcher les utilisateurs à risque élevé d’envoyer des invites aux applications IA dans Microsoft Edge
Source : Recommandation Fortifier la sécurité de vos données
À l’aide de la protection adaptative, cette stratégie bloque les utilisateurs à risque élevé, modérés et mineurs qui tentent de placer des informations dans des applications IA lors de l’utilisation de Microsoft Edge. Les utilisateurs inclus dans cette stratégie ne peuvent pas utiliser des navigateurs non protégés, car cette stratégie inclut des applications non managées.
DSPM de stratégie DLP pour l’IA - Bloquer les informations sensibles des applications IA dans Edge
Source : Recommandation Fortifier la sécurité de vos données
Cette stratégie détecte inline pour une sélection de types d’informations sensibles courants et bloque l’envoi d’invites aux applications IA lors de l’utilisation de Microsoft Edge. Les utilisateurs inclus dans cette stratégie ne peuvent pas utiliser des navigateurs non protégés, car cette stratégie inclut des applications non managées.
DSPM de stratégie DLP pour l’IA - Protéger les données sensibles contre le traitement Copilot
Source : Recommandation Protéger les éléments avec des étiquettes de confidentialité contre le traitement des Microsoft 365 Copilot et des agents
Cette stratégie empêche les Microsoft 365 Copilot et les agents de traiter les éléments avec les étiquettes de confidentialité sélectionnées dans cette stratégie.
Information Protection - Étiquettes et stratégies de confidentialité
Source : Recommandation Protéger vos données avec des étiquettes de sensibilisation
Cette recommandation crée des étiquettes de confidentialité et des stratégies d’étiquette de confidentialité par défaut. Si vous avez déjà configuré les étiquettes de confidentialité et leurs stratégies, cette configuration est ignorée.
Événements de l’Explorateur d’activités
Utilisez les informations suivantes pour vous aider à comprendre les événements que vous pouvez voir dans l’Explorateur d’activités à partir de Gestion de la posture de sécurité des données pour l’IA. Les références à un site d’IA générative peuvent inclure des Microsoft 365 Copilot, des Microsoft 365 Copilot Chat, des agents, d’autres copilotes Microsoft et des sites IA tiers.
| Événement | Description |
|---|---|
| Interaction de l’IA | L’utilisateur a interagi avec un site d’IA générative. Les détails incluent les invites et les réponses, à l’exception des applications IA non managées dans Edge où les invites de texte uniquement sont incluses. Pour Microsoft 365 Copilot et Microsoft 365 Copilot Chat, cet événement nécessite l’activation de l’audit. Pour Copilot dans Fabric et Security Copilot, et pour les applications IA autres que Copilot, les invites et les réponses nécessitent une stratégie de collecte avec la capture de contenu sélectionnée pour capturer ces interactions. |
| Visite du site web de l’IA | L’utilisateur a parcouru un site d’IA générative. |
| Correspondance de règle DLP | Une règle de protection contre la perte de données a été appliquée lorsqu’un utilisateur interagissait avec un site d’IA générative. Inclut DLP pour Microsoft 365 Copilot. |
| Types d’informations sensibles | Des types d’informations sensibles ont été trouvés lorsqu’un utilisateur interagitait avec un site d’IA générative. Par Microsoft 365 Copilot et Microsoft 365 Copilot Chat, cet événement nécessite l’activation de l’audit, mais ne nécessite aucune stratégie active. |
L’événement d’interaction IA n’affiche pas toujours le texte de l’invite et de la réponse. Parfois, l’invite et la réponse couvrent des entrées consécutives. D’autres scénarios peuvent être les suivants :
- Notes générées par l’IA du facilitateur Microsoft, aucune invite ou réponse n’est affichée
- Lorsqu’un utilisateur n’a pas de boîte aux lettres hébergée dans Exchange Online, aucune invite ou réponse n’est affichée
L’événement Types d’informations sensibles détectés n’affiche pas le niveau de risque utilisateur.
Pour les notes générées par l’IA du facilitateur Microsoft, les événements d’interaction IA ne peuvent pas être liés à des événements détectés de types d’informations sensibles .
Pour les stratégies de regroupement, aucune invite ou réponse n’est affichée si l’option de capture de contenu n’est pas sélectionnée dans la stratégie. Par exemple, le DSPM de stratégie en un clic pour AI - Détecter les informations sensibles partagées avec l’IA via le réseau ne sélectionne pas cette option lorsque la stratégie est créée automatiquement, mais vous pouvez modifier manuellement la stratégie et sélectionner cette option une fois la stratégie créée.