Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité
Utilisez les sections suivantes pour identifier les fonctionnalités De Microsoft Purview prises en charge pour les interactions IA qui utilisent un navigateur vers des sites IA tiers, ainsi que des recommandations de prise en main pour gérer ces interactions IA à des fins de sécurité et de conformité.
La gestion de ces interactions IA avec Microsoft Purview vous oblige à activer la facturation du paiement à l’utilisation dans votre organization.
Fonctionnalités prises en charge
Utilisez le tableau suivant pour voir en un coup d’œil les fonctionnalités de Microsoft Purview prises en charge pour les sites IA tiers, tels que ChatGPT, Google Gemini et DeepSeek.
Sauf indication contraire pour des solutions spécifiques, la liste des sites IA pris en charge est la même que celle prise en charge pour DSPM pour l’IA : Liste des sites IA pris en charge par Gestion de la posture de sécurité des données Microsoft Purview pour l’IA.
| Fonctionnalité ou solution dans Microsoft Purview | Pris en charge pour les interactions ia |
|---|---|
| DSPM pour l’IA (classique) et la DSPM (préversion) | ✓ |
| Audit | ✓ |
| Classification des données | ✓ |
| Étiquettes de confidentialité | ✕ |
| Chiffrement sans étiquettes de confidentialité | ✕ |
| Protection contre la perte de données | ✓ |
| Gestion des risques internes | ✓ |
| Conformité des communications | ✓ |
| eDiscovery | ✓ |
| Gestion du cycle de vie des données | ✓ |
| Gestionnaire de conformité | ✓ |
La plupart des fonctionnalités et solutions prises en charge nécessitent l’extension de navigateur Microsoft Purview et les appareils intégrés à Microsoft Purview. Les exceptions sont, avec leurs propres prérequis :
- Sécurité des données réseau pour détecter les types d’informations sensibles au niveau de la couche réseau, à l’aide d’un service Edge d’accès sécurisé ou d’une intégration Security Service Edge.
- Sécurité des données du navigateur pour détecter les types d’informations sensibles au niveau de la couche de navigateur Edge, à l’aide d’une intégration directe de Purview dans le navigateur Edge.
DSPM pour l’IA (classique) et la DSPM (préversion)
Utilisez Gestion de la posture de sécurité des données pour l’IA (classique) ou Gestion de la posture de sécurité des données (préversion) comme porte d’entrée pour découvrir, sécuriser et appliquer des contrôles de conformité pour l’utilisation de l’IA dans votre entreprise. Les deux versions DSPM utilisent des contrôles existants de la gestion de la conformité et de la protection des informations Microsoft Purview avec des outils graphiques et des rapports faciles à utiliser pour obtenir rapidement des insights sur l’utilisation de l’IA dans votre organization. Des recommandations personnalisées et des stratégies en un clic vous aident à protéger vos données et à vous conformer aux exigences réglementaires.
Informations spécifiques à l’application IA :
La section Prise en main de la page Vue d’ensemble contient les étapes et les informations requises pour installer l’extension de navigateur Microsoft Purview et le processus d’intégration des appareils.
Recommandation Obtenir une assistance guidée pour les réglementations d’IA, qui utilise des modèles réglementaires de mappage de contrôle du Gestionnaire de conformité.
Stratégies en un clic disponibles :
- DSPM pour l’IA : Détecter les informations sensibles ajoutées aux sites IA à partir de l’action de recommandation ou de correction Étendre vos insights pour la découverte des données
- DSPM pour l’IA - Détecter quand les utilisateurs visitent des sites IA à partir de l’action de recommandation ou de correction Étendre vos insights pour la découverte des données
- DSPM pour l’IA - Détecter les informations sensibles partagées dans les invites IA dans Edge à partir de l’action de recommandation ou de correction Étendre vos insights pour la découverte des données
- DSPM pour l’IA : détecter les informations sensibles partagées avec l’IA via le réseau à partir de l’action de recommandation ou de correction Étendez les insights aux données sensibles dans les interactions d’application IA.
Audit et interactions ia
les solutions Microsoft Purview Audit fournissent des outils complets pour la recherche et la gestion des enregistrements d’audit des activités effectuées sur différents services Microsoft par les utilisateurs et les administrateurs, et aident les organisations à répondre efficacement aux événements de sécurité, aux enquêtes judiciaires, aux enquêtes internes et aux obligations de conformité.
Comme les autres activités, les invites et les réponses sont capturées dans le journal d’audit unifié. Les événements incluent comment et quand les utilisateurs interagissent avec l’application IA, et peuvent inclure le service Microsoft 365 dans lequel l’activité a eu lieu, ainsi que les références aux fichiers stockés dans Microsoft 365 qui ont été consultés pendant l’interaction. Si une étiquette de confidentialité est appliquée à ces fichiers, elle est également capturée.
Ces événements sont transmis à l’Explorateur d’activités dans DSPM pour l’IA et à l’onglet Activités IA dans l’Explorateur d’activités à partir de la préversion de DSPM, où les données des invites et des réponses peuvent être affichées. Vous pouvez également utiliser la solution Audit à partir du portail Microsoft Purview pour rechercher et rechercher ces événements d’audit.
Pour plus d’informations, consultez Journaux d’audit pour les activités Copilot et IA.
Informations spécifiques à l’application IA :
- Utilisez la sécurité des données réseau pour auditer les invites et les réponses au niveau de la couche réseau, à l’aide d’un service Edge d’accès sécurisé ou d’une intégration Security Service Edge.
Classification des données et interactions ia
La classification des données Microsoft Purview fournit une infrastructure complète pour l’identification et l’étiquetage des données sensibles dans différents services Microsoft, notamment les Office 365, les Dynamics 365 et les Azure. La classification des données est souvent la première étape pour garantir la conformité aux réglementations en matière de protection des données et la protection contre tout accès non autorisé, toute modification ou destruction. Vous pouvez utiliser des classifications système intégrées ou créer les vôtres.
Les types d’informations sensibles et les classifieurs pouvant être entraînés peuvent être utilisés pour rechercher des données sensibles dans les invites et les réponses des utilisateurs lorsqu’ils utilisent des applications IA. Les informations résultantes apparaissent ensuite dans la vue d’ensemble des rapports Microsoft Purview et l’Explorateur d’activités dans DSPM pour l’IA et l’onglet Activités IA dans l’Explorateur d’activités à partir de la préversion de DSPM.
Informations spécifiques à l’application IA :
- Utilisez la sécurité des données réseau pour détecter les types d’informations sensibles au niveau de la couche réseau, à l’aide d’un service Edge d’accès sécurisé ou d’une intégration Security Service Edge.
- Utilisez la sécurité des données du navigateur pour détecter les types d’informations sensibles au niveau de la couche de navigateur Edge, à l’aide d’une intégration directe de Purview dans le navigateur Edge.
Protection contre la perte de données et interactions avec l’IA
Protection contre la perte de données Microsoft Purview (DLP) vous permet d’identifier les éléments sensibles dans les services et points de terminaison Microsoft 365, de les surveiller et de vous protéger contre les fuites de ces éléments. Il utilise l’inspection approfondie du contenu et l’analyse contextuelle pour identifier les éléments sensibles et applique des stratégies pour protéger les données sensibles telles que les dossiers financiers, les informations de santé ou la propriété intellectuelle.
Les ordinateurs Windows intégrés à Microsoft Purview peuvent être configurés pour les stratégies de protection contre la perte de données (DLP) de point de terminaison qui avertissent ou empêchent les utilisateurs de partager des informations sensibles avec des sites d’IA générative tiers accessibles via un navigateur. Par exemple, un utilisateur ne peut pas coller des numéros de carte de crédit dans ChatGPT, ou il voit un avertissement qu’il peut remplacer. Pour plus d’informations sur les actions DLP prises en charge et sur les plateformes qui les prennent en charge, consultez les deux premières lignes du tableau des activités de point de terminaison que vous pouvez surveiller et prendre des mesures.
Informations spécifiques à l’application IA :
- Endpoint DLP prend en charge une option permettant de bloquer le chargement de fichiers en fonction d’une étiquette de confidentialité spécifiée.
Interactions entre la gestion des risques internes et l’IA
Gestion des risques internes Microsoft Purview vous permet de détecter, d’examiner et d’atténuer les risques internes tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. Il tire parti des modèles Machine Learning et de divers signaux de Microsoft 365 et d’indicateurs tiers pour identifier les activités potentielles malveillantes ou par inadvertance des initiés. La solution inclut des contrôles de confidentialité tels que la pseudonymisation et l’accès en fonction du rôle, garantissant la confidentialité au niveau de l’utilisateur tout en permettant aux analystes des risques de prendre les mesures appropriées.
Utilisez le modèle de stratégie d’utilisation de l’IA à risque pour détecter l’utilisation à risque, notamment les attaques par injection d’invite et l’accès à des documents protégés. Les insights de ces signaux sont intégrés à Microsoft Defender XDR pour fournir une vue complète des risques liés à l’IA.
Informations spécifiques à l’application IA :
- Pour les invites et les réponses, nécessite une stratégie de collecte qui inclut le paramètre pour capturer le contenu. Pour plus d’informations, consultez Vue d’ensemble de la solution Stratégies de collecte.
Conformité des communications et interactions ia
Conformité des communications Microsoft Purview fournit des outils pour vous aider à détecter et à gérer la conformité réglementaire et les violations de conduite professionnelle sur différents canaux de communication, notamment les invites et les réponses des utilisateurs pour les applications IA. Il est conçu avec la confidentialité par défaut, en pseudonymisant les noms d’utilisateur et en incorporant des contrôles d’accès en fonction du rôle. La solution permet d’identifier et de corriger les communications inappropriées, telles que le partage d’informations sensibles, le harcèlement, les menaces et le contenu pour adultes.
Pour en savoir plus sur l’utilisation des stratégies de conformité des communications pour les applications IA, consultez Configurer une stratégie de conformité des communications pour détecter les interactions d’IA générative.
Informations spécifiques à l’application IA :
Prise en charge limitée au navigateur Edge, pour ChatGPT, Microsoft Chat (version grand public), Google Gemini et DeepSeek.
Pour les invites et les réponses, nécessite une stratégie de collecte qui inclut le paramètre pour capturer le contenu. Pour plus d’informations, consultez Vue d’ensemble de la solution Stratégies de collecte.
Utilisez la sécurité des données réseau pour analyser les invites et les réponses au niveau de la couche réseau, à l’aide d’un service Edge d’accès sécurisé ou d’une intégration Security Service Edge.
Interactions eDiscovery et IA
Microsoft Purview eDiscovery vous permet d’identifier et de fournir des informations électroniques qui peuvent être utilisées comme preuve dans des affaires juridiques. Les outils eDiscovery de Microsoft Purview prennent en charge la recherche de contenu dans les équipes Exchange Online, OneDrive Entreprise, SharePoint Online, Microsoft Teams, Groupes Microsoft 365 et Viva Engage. Vous pouvez ensuite empêcher la suppression des informations et les exporter.
Étant donné que les invites et réponses des utilisateurs pour les applications IA sont stockées dans la boîte aux lettres d’un utilisateur, vous pouvez créer un cas et utiliser la recherche lorsque la boîte aux lettres d’un utilisateur est sélectionnée comme source pour une requête de recherche. Par exemple, sélectionnez et récupérez ces données à partir de la boîte aux lettres source en sélectionnant dans le générateur de requêtes Ajouter untype> de condition >Contient l’une des> activitésModifier>Copilot. Cette condition de requête inclut toute l’activité de Copilot et d’autres applications IA.
Une fois la recherche affinée, vous pouvez exporter les résultats ou les ajouter à un jeu de révisions. Vous pouvez examiner et exporter des informations directement à partir de l’ensemble de révision.
Pour en savoir plus sur l’identification et la suppression des données d’interaction de l’IA utilisateur, consultez Rechercher et supprimer des données Copilot dans eDiscovery.
Informations spécifiques à l’application IA :
Prise en charge limitée au navigateur Edge, pour ChatGPT, Microsoft Chat (version grand public), Google Gemini et DeepSeek.
Pour les invites et les réponses, nécessite une stratégie de collecte qui inclut le paramètre pour capturer le contenu. Pour plus d’informations, consultez Vue d’ensemble de la solution Stratégies de collecte.
Utilisez la sécurité des données réseau pour analyser les invites et les réponses au niveau de la couche réseau.
Interactions entre la gestion du cycle de vie des données et l’IA
Gestion du cycle de vie des données Microsoft Purview fournit des outils et des fonctionnalités pour gérer le cycle de vie des données organisationnelles en conservant le contenu nécessaire et en supprimant le contenu inutile. Ces outils garantissent la conformité aux exigences commerciales, légales et réglementaires.
Utilisez des stratégies de rétention pour conserver ou supprimer automatiquement les invites et les réponses des utilisateurs pour les applications IA. Pour plus d’informations sur le fonctionnement de cette rétention, consultez En savoir plus sur la rétention pour les applications Copilot & IA.
Comme pour toutes les stratégies et conservations de rétention, si plusieurs stratégies pour le même emplacement s’appliquent à un utilisateur, les principes de rétention résolvent les conflits. Par exemple, les données sont conservées pendant la durée la plus longue de toutes les stratégies de rétention appliquées ou des conservations eDiscovery.
Informations spécifiques à l’application IA :
Prise en charge limitée au navigateur Edge, pour ChatGPT, Microsoft Chat (version grand public), Google Gemini et DeepSeek.
Pour les stratégies de rétention, sélectionnez l’option Autres applications IA.
Pour les invites et les réponses, nécessite une stratégie de collecte qui inclut le paramètre pour capturer le contenu. Pour plus d’informations, consultez Vue d’ensemble de la solution Stratégies de collecte.
Utilisez la sécurité des données réseau pour conserver les invites et les réponses au niveau de la couche réseau.
Utilisez la sécurité des données du navigateur pour conserver les invites et les réponses au niveau de la couche de navigateur Edge.
Interactions du Gestionnaire de conformité et de l’IA
Le Gestionnaire de conformité Microsoft Purview est une solution qui vous permet d’évaluer et de gérer automatiquement la conformité dans votre environnement multicloud. Le Gestionnaire de conformité peut vous aider tout au long de votre parcours de conformité, de l’inventaire des risques de protection de vos données à la gestion des complexités de l’implémentation de contrôles, la mise à jour des réglementations et des certifications et la création de rapports aux auditeurs.
Pour vous aider à rester conforme aux réglementations de l’IA, le Gestionnaire de conformité fournit des modèles réglementaires pour vous aider à évaluer, implémenter et renforcer vos exigences de conformité pour toutes les applications d’IA générative. Par exemple, la surveillance des interactions ia et la prévention de la perte de données dans les applications IA. Pour plus d’informations, consultez Évaluations des réglementations relatives à l’IA.
Étapes recommandées pour la prise en main
Utilisez les étapes suivantes pour commencer à gérer la sécurité des données & la conformité pour les interactions IA qui utilisent un navigateur vers des sites IA tiers.
Remarque
Ces étapes se concentrent sur la gestion d’une application ou d’un agent IA spécifique. Pour une couverture plus large qui utilise des objectifs de sécurité avec des flux de travail guidés, utilisez la nouvelle Gestion de la posture de sécurité des données, actuellement en préversion.
Étant donné que Gestion de la posture de sécurité des données pour l’IA est votre porte d’entrée pour la sécurisation et la gestion des interactions ia, les instructions suivantes utilisent cette solution :
Se connecter au portail> Microsoft PurviewSolutions>DSPM pour l’IA (classique) avec un compte disposant des autorisations appropriées. Par exemple, un compte membre du rôle de groupe Administrateur de conformité Microsoft Entra.
Découvrir les risques de sécurité potentiels dans les interactions avec d’autres applications IA
Dans DSPM pour l’IA (classique)>Vue d’ensemble, dans la section Prise en main, recherchez les étapes requises suivantes et prenez des mesures :
- Installer l’extension de navigateur Microsoft Purview
- Intégrer des appareils à Microsoft Purview
- Étendre vos insights pour la découverte des données
Si vous avez besoin d’informations supplémentaires sur l’extension de navigateur ou sur d’autres exigences d’intégration, consultez Prérequis pour Gestion de la posture de sécurité des données pour l’IA.
Pour plus d’informations sur les stratégies en un clic créées automatiquement avec l’option permettant d’étendre vos insights pour la découverte des données, consultez Stratégies par défaut pour la découverte de données à l’aide de Gestion de la posture de sécurité des données pour l’IA et les stratégies qui ont la source d’Étendre vos insights pour la découverte des données.
Attendez au moins un jour pour les données, puis accédez à la page Rapports pour afficher les résultats de votre stratégie. Sélectionnez Autres applications IA et affichez des informations telles que :
- Nombre total d’interactions au fil du temps (autres applications IA)
- Nombre total de visites (autres applications IA)
- Interactions sensibles par application IA
- Gravité des risques internes
- Gravité des risques internes par application IA
Sélectionnez Afficher les détails de chacun des graphiques de rapport pour afficher les activités détaillées dans l’Explorateur d’activités.
Sélectionnez les filtres disponibles pour afficher les résultats des expériences Copilot & agents en fonction du type d’activité, de la catégorie d’application IA, de l’application, de l’application et de l’étendue des unités administratives, etc. Ensuite, explorez chaque activité pour afficher les détails qui incluent l’affichage des invites et des réponses lorsque vous êtes membre du groupe de rôles Visionneuse de contenu Explorer de contenu Microsoft Purview. Pour plus d’informations sur cette exigence, consultez Autorisations pour Gestion de la posture de sécurité des données pour l’IA.
Protéger les données sensibles dans les interactions avec d’autres applications IA
Dans DSPM page Recommandationspour l’IA (classique),> sous Non démarré, sélectionnez Renforcer la sécurité de vos données pour créer les stratégies en un clic suivantes :
Empêcher les utilisateurs à risque élevé de coller ou de charger des informations sensibles sur des sites IA : cette recommandation crée une stratégie qui utilise la protection adaptative pour accorder un bloc avec remplacement aux utilisateurs à risque élevé qui tentent de coller ou de charger des informations sensibles dans d’autres applications IA dans Edge, Chrome et Firefox. Cette stratégie couvre tous les utilisateurs et groupes de votre organisation en mode test.
Empêcher les utilisateurs à risque élevé d’envoyer des invites aux applications IA dans Microsoft Edge : cette recommandation vous guide tout au long du processus de création d’une stratégie de protection contre la perte de données (DLP) Purview pour bloquer les utilisateurs à risque élevé, modérés et mineurs qui tentent de placer des informations dans des applications IA lors de l’utilisation de Microsoft Edge.
Bloquer le partage d’informations sensibles aux applications IA dans Edge : cette recommandation vous guide tout au long du processus de création d’une stratégie de protection contre la perte de données (DLP) Purview pour détecter inline une sélection de types d’informations sensibles courants et bloque l’envoi d’invites dans les applications IA lors de l’utilisation de Microsoft Edge.
Appliquer des contrôles de conformité aux interactions avec d’autres applications IA
Si vous devez vous assurer que les interactions avec d’autres applications IA prises en charge sont conservées pour des raisons de conformité :
Dans le portail Microsoft Purview, accédez à Stratégies de gestion du cyclede vie des >> donnéesStratégies de rétention et créez une stratégie de rétention pour conserver les interactions avec d’autres applications IA en sélectionnant l’emplacement Autres applications IA et en spécifiant la période de rétention requise. Pour plus d’informations, consultez Créer et configurer des stratégies de rétention.
Remarque
La rétention est prise en charge uniquement pour le navigateur Edge et pour ChatGPT, Microsoft Chat (version grand public), Google Gemini et DeepSeek.
Dans le portail Microsoft Purview, accédez à Cas eDiscovery>>Créer un cas. Dans ce cas, créez une recherche et utilisez la propriété ItemClass et la
IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<AppName>valeur des activités de l’ordinateur local ou laIPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID>valeur des activités basées sur un navigateur pour rechercher ces interactions dans votre organization.
Examinez régulièrement les rapports dans DSPM pour l’IA afin de déterminer si vous devez apporter des modifications, et utilisez l’Explorateur d’activités et les événements pour une analyse plus approfondie de la façon dont les utilisateurs interagissent avec d’autres applications IA lorsqu’ils utilisent un navigateur vers des sites IA tiers.