Microsoft Purview 门户中的 Microsoft Purview 数据安全状况管理 (DSPM) AI 提供了一个集中管理位置,可帮助你快速保护 AI 应用的数据并主动监视 AI 使用情况。 这些应用包括 Copilots、代理和其他 AI 应用,这些应用使用第三方大型语言模块 (LLM) 。
适用于 AI 的数据安全状况管理提供了一组功能,因此你可以安全地采用 AI,而无需在生产力和保护之间进行选择:
对组织中的 AI 活动的见解和分析
随时可用的策略,用于保护数据并防止 AI 提示中数据丢失
数据风险评估,用于识别、修正和监视潜在的数据过度共享。
用于应用最佳数据处理和存储策略的合规性控制
有关受支持的第三方 AI 站点的列表(例如用于 Gemini 和 ChatGPT 的网站),请参阅 通过 Microsoft Purview 支持 AI 站点,实现数据安全性和合规性保护。
如何使用适用于 AI 的数据安全状况管理
为了帮助你更快地深入了解 AI 使用情况并保护数据,适用于 AI 的数据安全状况管理提供了一些建议的预配置策略,只需单击一下即可激活这些策略。 如果使用 管理单元,则必须是不受限制的管理员才能创建适用于组织中所有用户的这些策略。
让这些新策略至少等待 24 小时收集数据,以在适用于 AI 的数据安全状况管理中显示结果,或反映对默认设置所做的任何更改。
无需激活,适用于 AI 的数据安全状况管理根据组织中的使用情况自动对前 100 个 SharePoint 网站运行每周数据风险评估。 可以使用自己的自定义数据风险评估(目前为预览版)来补充这一点。 这些评估专门用于帮助你识别、修正和监视潜在的数据过度共享,以便你可以更自信地使用智能 Microsoft 365 Copilot 副驾驶®和代理,以及智能 Microsoft 365 Copilot 副驾驶® 对话助手。
若要开始使用适用于 AI 的数据安全状况管理,请使用 Microsoft Purview 门户。 需要具有适当合规性管理权限的帐户,例如Microsoft Entra合规性管理员组角色成员的帐户。
提示
以下步骤提供了使用 DSPM for AI 中所有可用功能的建议演练。 如果有兴趣仅针对特定 AI 应用使用 DSPM,请使用后续步骤部分中的链接。
登录到 Microsoft Purview 门户>解决 方案>适用于 AI 的DSPM。
在 “概述”中,保持选中“ 所有 AI 应用 ”视图。 查看入门部分,了解有关适用于 AI 的数据安全状况管理以及可立即执行的作的详细信息。 选择每个浮出控件以显示浮出控件窗格,以便了解详细信息、执行作并验证当前状态。
操作 更多信息 打开Microsoft Purview 审核 对于新租户,审核默认处于启用状态,因此你可能已满足此先决条件。 如果这样做,并且用户已分配智能 Microsoft 365 Copilot 副驾驶®许可证,则你开始从页面下方的“报告”部分查看有关 Copilot 和代理活动的见解。 安装 Microsoft Purview 浏览器扩展 第三方 AI 站点的先决条件。 将设备载入到 Microsoft Purview 也是第三方 AI 站点的先决条件。 扩展见解以发现数据 一键式策略,用于收集有关用户访问 第三方生成 AI 站点 并向其发送敏感信息的信息。 选项与页面下方的 AI 数据分析部分中的 “扩展见解 ”按钮相同。 有关先决条件的详细信息,请参阅适用于 AI 的数据安全状况管理先决条件。
有关可激活的预配置策略的详细信息,请参阅适用于 AI 的数据安全状况管理中的一键式策略。
然后,查看 “建议 ”部分,决定是否实现与租户相关的任何选项。 查看每个建议,了解它们如何与数据相关并了解详细信息。
这些选项包括跨 SharePoint 网站运行数据风险评估、创建敏感度标签和策略来保护数据,以及创建一些 默认策略 以立即帮助您检测和保护发送到生成 AI 站点的敏感数据。 建议示例:
- 通过查看默认数据风险评估的结果来识别和修复问题,帮助你更自信地部署智能 Microsoft 365 Copilot 副驾驶®,从而保护数据免受潜在的过度共享风险。
- 如果还没有敏感度标签,则通过创建一组默认敏感度标签以及发布敏感度标签并自动标记文档和电子邮件的策略来保护数据。
- 通过提示你选择一个或多个敏感度标签,防止智能 Microsoft 365 Copilot 副驾驶®和代理汇总标记数据,保护具有敏感度标签的项目免受智能 Microsoft 365 Copilot 副驾驶®和代理处理。 有关此功能的详细信息,请参阅了解如何使用Microsoft Purview 数据丢失防护保护与智能 Microsoft 365 Copilot 副驾驶®和Copilot 对话助手的交互。
- 检测 AI 应用中的风险交互,通过检测智能 Microsoft 365 Copilot 副驾驶®、代理和其他生成 AI 应用中的风险提示和响应来计算用户风险。 有关详细信息,请参阅 有风险的 AI 使用情况。
- 通过注册 ChatGPT Enterprise 工作区发现和管理与 ChatGPT Enterprise AI 的交互,可以通过检测与 ChatGPT Enterprise 共享的敏感信息来识别潜在的数据泄露风险。
- 获取 AI 法规的指导性帮助,该法规使用 合规性管理器中的控制映射法规模板。
- Microsoft Copilot体验的安全交互,它捕获 Fabric 中 Copilot 的提示和响应,并Security Copilot。 如果没有与此建议创建的策略类似的策略,则会在 Fabric 中为 Copilot 捕获审核事件并Security Copilot,但不会捕获提示和响应。
- 使用安全访问服务 Edge 或安全服务边缘集成,检测通过网络与 AI 共享的敏感信息,该网络使用网络数据安全性检测与 AI 应用在浏览器、应用程序、API、外接程序等中共享的敏感信息类型。
- 保护来自企业应用的交互,它捕获来自 Entra 注册的 AI 应用、ChatGPT 企业连接器和基于 foundry Microsoft 构建的应用程序的法规合规性提示和响应。
- 保护 Azure AI 应用和代理中的数据,这些应用和代理设置了相关说明,以捕获使用一个或多个Azure AI 订阅的 AI 应用的提示和响应。
可以使用“ 查看所有建议 ”链接或导航窗格中的“ 建议 ”来查看租户的所有可用建议及其状态。 完成或取消建议后,将不再在 “概述 ”页上看到它。
使用导航窗格中的“ 报表 ”部分或“ 报表 ”页查看创建的默认策略的结果。 至少需要等待一天才能填充报表。 选择 Copilot 体验和代理、企业 AI 应用和其他 AI 应用的类别,以帮助你识别特定的生成 AI 应用。
使用“ 策略 ”页可监视 已创建的默认一键式策略 的状态,以及来自其他 Microsoft Purview 解决方案的 AI 相关策略的状态。 若要编辑策略,请在门户中使用相应的管理解决方案。 例如,对于 copilot 中 ai - 不道德行为的DSPM,可以查看和修正通信合规性解决方案中的匹配项。
注意
如果对位置 Teams 聊天和 Copilot 交互具有较旧的保留策略,则不会在此页上包含这些策略。 了解如何为此策略页上包含的Microsoft Copilot体验创建单独的保留策略。
选择“应用和代理”,查看组织中使用的 AI 应用及其代理的仪表板,以便识别和管理任何潜在的数据安全风险。 对于每个代理,请查看有关他们访问的敏感数据的详细信息,以及它们如何受到来自 Purview Microsoft 的策略的保护。
选择“ 活动资源管理器” ,查看从策略收集的数据的详细信息。
这些更详细的信息包括活动类型和用户、日期和时间、AI 应用类别和应用、访问的应用、任何敏感信息类型、引用的文件以及引用的敏感文件。
活动示例包括 AI 交互、 敏感信息类型和AI 网站访问。 提示和响应包含在 AI 交互事件中(如果拥有适当的权限)。 可以使用活动资源管理器中的 Web 查询 筛选器更轻松地识别哪些 AI 交互具有 Web 查询,并使用 AI 交互浮出控件窗格在 “使用的 Web 引用 AI 应用 ”部分中显示搜索查询文本。 有关事件的详细信息,请参阅 活动资源管理器事件。
与报表类别类似,工作负载包括 Copilot 体验和代理、企业 AI 应用和其他 AI 应用。 适用于 Copilot 体验和代理的应用 ID 和应用主机的示例包括 Microsoft 365 Copilot 和Copilot Studio。 企业 AI 应用 包括 ChatGPT Enterprise。 其他 AI 应用 包括 来自受支持的第三方 AI 站点的应用,例如用于 Gemini 和 ChatGPT 的应用。
选择“ 数据风险评估” 以识别并修复组织中潜在的数据过度共享风险。 由于 AI 可以主动呈现过时、过度许可或缺乏治理控制的内容,因此生成 AI 放大了过度共享数据的问题。 使用数据风险评估来识别和修正问题。
有关说明,请对 SharePoint 和 OneDrive 中的文件使用 “Microsoft 365 ”选项卡,并为 Fabric 工作区中的项目选择“ 构造 ”选项卡。
默认数据风险评估会根据组织中的使用情况自动每周针对前 100 个 SharePoint 网站运行一次,并且你可能已将自定义评估作为建议之一运行。 但是,请定期返回此选项,以检查默认评估的最新每周结果,并在需要为不同用户或特定网站检查时运行自定义评估。 自定义评估运行后,请至少等待 48 小时才能看到不会再次更新的结果。 你将需要一个新的评估来查看结果中的任何更改。
默认评估显示在页面顶部,其中包含快速摘要,例如找到的项目总数、检测到的敏感数据数以及与任何人共享数据的链接数。 首次创建默认评估时,需要 4 天延迟才能显示结果。
选择“查看详细信息”以获取更深入的信息后,从列表中选择每个站点,以访问具有“概述”、“标识”、“保护和监视”选项卡的浮出控件窗格。 使用每个选项卡上的信息了解详细信息,并采取建议的作。 例如:
使用“ 标识 ”选项卡可识别已扫描或未扫描敏感信息类型的数据量,并根据需要启动 按需分类扫描 。
使用“ 保护 ”选项卡可以选择修正过度共享的选项,其中包括:
- 按标签限制访问:使用 Microsoft Purview 数据丢失防护 创建 DLP 策略,防止智能 Microsoft 365 Copilot 副驾驶®和代理在具有你选择的敏感度标签时汇总数据。 有关其工作原理和支持的方案的详细信息,请参阅了解如何使用Microsoft Purview 数据丢失防护保护与智能 Microsoft 365 Copilot 副驾驶®和Copilot 对话助手的交互。
- 限制所有项目:使用 SharePoint 受限内容发现列出要免除智能 Microsoft 365 Copilot 副驾驶®的 SharePoint 网站。 有关详细信息,请参阅 限制 SharePoint 网站和内容的发现。
- 创建自动标记策略:当找到未标记文件的敏感信息时,请使用 Microsoft Purview 信息保护 创建自动标记策略,以自动为敏感数据应用敏感度标签。 有关如何创建此策略的详细信息,请参阅 如何为 SharePoint、OneDrive 和 Exchange 配置自动标记策略。
- 创建保留策略:如果内容已至少 3 年未访问,请使用Microsoft Purview 数据生命周期管理自动将其删除。 有关如何创建保留策略的详细信息,请参阅 创建和配置保留策略。
使用“ 监视 ”选项卡可以查看网站中与任何人共享、与组织中的每个人共享、与特定人员共享以及外部共享的项目数。 选择“ 开始 SharePoint 网站访问评审 ” ,了解如何使用 SharePoint 数据访问治理报告。
- 若要创建自己的自定义数据风险评估,请选择“ 创建自定义评估 ”,确定所有或所选用户的潜在过度共享问题、要扫描的数据源,并运行评估。
此数据风险评估是在 “自定义评估 ”类别中创建的。 等待评估的状态显示 “已完成”,然后选择它以查看详细信息。 若要重新运行自定义数据风险评估,并在 30 天到期后查看结果,请使用重复选项创建具有相同选择的新评估。
注意
在完成一次性身份验证过程时,Microsoft 365 个自定义评估(可选)支持项目级扫描和修正作。 若要指定所需的设置,必须具有已注册的 Entra 应用程序。 有关 Entra 应用程序的详细信息,请参阅 数据风险评估Microsoft 365 项级扫描的先决条件。
在“扫描级别”页上选择“项级别”,然后选择“身份验证”以指定 Entra 应用程序信息。
针对可能过度共享的项目的项目级扫描和修正仅适用于 Microsoft 365,目前仅限于 SharePoint 网站。 如果项目具有外部或匿名用户的共享链接,则此扫描会将项目识别为可能过度共享,并且还显示任何应用的敏感度标签和每个项目的所有者。
扫描完成后,打开自定义评估,并从“可能过度共享的项目”选项卡或“可能过度共享的项目”横幅中的“查看项目”按钮查看项目级见解。 可以对标识的可能过度共享的项采取以下修正作:- 解决,例如,如果确定项没有过度共享的风险。
- 对标识为当前未标记或应具有不同敏感度标签的项目应用敏感度标签。
- 通过电子邮件 通知网站所有者 (不可自定义) 。
- 删除共享链接 以删除现有共享链接,使其不再可用于访问项目。 这是一个应谨慎使用的作,因为它可能会阻止用户合法访问项目。 在这种情况下,网站所有者或项目所有者必须为授权用户设置不太宽松的共享链接类型。 如果尚未配置,请考虑 为默认共享链接配置敏感度标签。
Microsoft 365 的限制:提示
默认和自定义数据风险评估都提供 “导出 ”选项,使你可以将数据保存并自定义为 excel、CSV、JSON、TSV) (文件格式。
- 每个位置最多 200,000 个项目,这既适用于自定义数据风险评估,也适用于默认数据风险评估。 如果每个位置的文件数超过 100,000 个,则报告的文件计数可能不准确。
- 目前不支持 OneDrive 进行项目级扫描。
- 当前最多 10 个 SharePoint 网站用于项目级扫描。
后续步骤
将 DSPM for AI 的策略、工具和见解与 Microsoft Purview 的其他保护和合规性功能结合使用。 如果对特定的 AI 应用感兴趣,请使用以下链接: