在合規管理工具中建立與管理評估

合規經理評估協助您的組織評估其符合產業及區域法規。 為組織設置最相關的評估，有助於你實施政策與營運程序，降低合規風險。 涵蓋超過360項法規的現成法規範本，包含完成評估所需的控制與改進措施。

評量頁面

你所有的評估都會列在合規經理的 評估 頁面。 你可以建立一個涵蓋多項服務的評估。 例如，你可以建立一個涵蓋 Microsoft 365、Microsoft Azure、Amazon Web Services (AWS) ，以及 Google Cloud Platform (GCP) 的單一歐盟 GDPR 評估。 評估詳情頁面會顯示各服務的控制進度細分，幫助你評估所有服務的表現。 想了解更多關於 評估進度監控的資訊，請參考評估詳情頁面。

頁面頂部附近的 「免費法規授權使用/已購買法規授權 使用」計數器顯示目前在您組織可用法規總數中的數量。 了解更多關於 法規可用性的資訊。

評估狀態與詳情

評量頁面總結了每項評量的關鍵資訊：

• 評估：評估名稱。
• 狀態：請參見下方的狀態類型。
  • 完成：所有控制狀態為「通過」，或至少一項通過，其餘為「超出範圍」。
  • 不完整：至少有一個控制項狀態為「失敗」。檢視失敗的控制措施，並在這些控制範圍內檢視你的改進行動和 Microsoft 的行動，看看哪一個是「失敗」狀態。
  • 無：並非所有對照都經過測試。
  • 進行中：改進行動的狀態為「進行中」、「部分積分」或「未偵測」。
• 進度：以成功測試的控制組數量衡量完成工作的百分比。
• 你的改進行動：完成的行動數量，以滿足你控制的實施。
• Microsoft 動作：為滿足 Microsoft 控制措施的實作，已完成的動作數量。
• 群組：該評估所屬群組的名稱。
• 服務：評估涵蓋的服務，如 Microsoft 365、Microsoft Azure 或其他雲端服務。
• 法規：作為評估基礎的監管範本。

要篩選你對評量的看法：

1. 在評量清單左上角選擇 篩選 。
2. 在 篩選 器跳出視窗中，勾選你想要的條件。
3. 選擇 「套用 」按鈕。 篩選窗格關閉後，你看到篩選後的檢視。

您也可以透過檢視檢視，從評估列表上方的 群組 下拉選單選擇分組類型，以查看各組別、產品或法規的評估。

資料保護基線預設評估

為了讓你開始，Microsoft 提供了預設的資料 保護基線 評估，涵蓋所有訂閱層級。 此基線評估包含一套針對資料保護及一般資料治理的關鍵法規與標準的控制措施。 此基準主要參考了 NIST CSF (國家標準與技術研究院網路安全框架) 及國際標準化組織 ISO () ，以及 FedRAMP (聯邦風險與授權管理計畫) (歐盟 GDPR) 的通用資料保護規範。

此評估用於您首次來合規經理時計算初步合規分數，之後再設定其他評估。 合規管理員會從您的 Microsoft 365 解決方案中收集初始訊號。 您可以一目了然地看到您的組織相對於關鍵資料保護標準與法規的表現，並看到建議的改進措施。 當你建立並管理自己的評估系統，以符合組織的特定需求時，合規經理會變得更有幫助。

AI 法規評估

合規管理工具提供四種優質 法規範本 ，協助您的組織評估、實施並強化對 AI 法規的合規性。 這些範本適用於 Microsoft Purview 支援的所有生成式 AI 應用程式，如 Microsoft 365 Copilot、Security Copilot、ChatGPT Enterprise、Microsoft Foundry、Gemini 及 DeepSeek。

以下列出的 AI 法規符合合規要求，例如監控 AI 互動及防止 AI 應用中的資料遺失：

• 歐盟人工智慧法案
• ISO/IEC 23894：2023
• ISO/IEC 42001：2023
• NIST 人工智慧風險管理框架 (RMF) 1.0

在哪裡可以找到他們

在合規管理員的 法規 頁面，AI 法規列於 高級 AI 模板 標示下。 所有其他高級法規都列在 高級模板 標題下。 使用 AI 法規會計入您購買的高級授權。 了解更多關於 法規可用性與執照的資訊。

如何使用它們

適用於 AI 的資料安全性態勢管理建議部分，提供協助處理 AI 法規的指引。 此解決方案顯示近期與敏感資料的互動，並建議採取的行動以協助你遵守 AI 法規。

合規管理軟體中 AI 應用程式與代理的自動評估

合規管理軟體整合 Azure AI Foundry，自動化 AI 模型與代理的合規評估。 此整合將 AI Foundry 的評估結果直接同步至 Compliance Manager，減少人工工作並提升法規一致性。 組織可享有內建的評估，涵蓋關鍵 AI 法規——包括歐盟 AI 法案、NIST AI RMF 及 ISO/IEC 標準——並可免費提供六個月的 Copilot 或 Agent 授權。 此能力使得快速且自動化的合規檢查無需額外購買，簡化了 AI 部署的治理流程。

必要條件

• 管理員帳號必須在相關的 AI Foundry 帳號中指派 Azure AI 專案經理或 Azure AI 使用者 RBAC 角色。
• 此存取權限是為了在 Compliance Manager 中建立 AI Foundry 服務的評估時新增代理人員。

主要特色

• 範圍評估 ——使用者可直接在合規管理員中定義評估範圍。
• 完整行動集 – AI Foundry 提供 75 項行動，包括 15 項自動化評估行動，涵蓋可靠性、BLEU 分數、一致性與流暢度等指標。
• 自動同步 – 合規管理員會定期同步 AI Foundry 提供的這 15 項評估行動，顯示即時通過/失敗狀態及詳細指標。
• 彈性行動管理 ——使用者可透過合規管理工具設定將自動化操作轉換為手動操作。
• 手動更新支援 – 允許沒有 AI Foundry 存取權限的組織手動更新。
• 減少工作量 ——透過自動同步評估結果，消除重複性任務。
• 詳細洞察 – 提供細緻的評估指標及合規狀態，以提升透明度。

Microsoft 365 Copilot 與 Copilot Chat 的基線評估

Microsoft Purview 合規管理工具提供 Microsoft Copilot for Microsoft 365 及 Copilot Chat 的基線評估。 此評估源自全球人工智慧法規，包含建議的控制措施，以協助組織維持合規並降低風險。

當購買 Microsoft 365 的 Microsoft Copilot 或 Copilot Chat 授權時，基線評估會自動在 Microsoft 365 系統管理中心中設定。 管理員可在入口網站內查看已完成的行動及待處理任務，以追蹤合規進度並實施必要的控管措施。

建立評量前的初步步驟

以下列出有助於你準備製作評估的步驟與資訊：

• 規劃評估的 分組策略 。
• 了解 監管範本，其中包含評估的控制與行動建議。
• 如果你評估的是非 Microsoft 服務，請設置 連接器 。

評量小組

當你建立評量時，必須指派給一個小組。 群組是容器，讓你能以符合你邏輯的方式組織評估，例如按年份或法規，或根據你組織的部門或地理區域來排列。 這就是為什麼我們建議在建立評估前先規劃分組策略。 以下是兩組的範例及其基礎評估：

• FFIEC IS 2020 評估
  • FFIEC 是
• 資料安全與隱私評估
  • ISO 27001：2013
  • ISO 27018：2014

同一群組內的不同評量可以分享改進行動。 改進行動可以是你在技術解決方案中所做的變更，這些解決方案映射到你的租戶，例如啟用雙重驗證，或是你在系統外執行的非技術性操作，例如建立新的工作場所政策。 你對技術改進行動所做的任何細節或狀態更新，都會被所有團隊的評估記錄。 非技術性改進行動的更新將由您應用的群組內的評估機制認可。 這讓你能同時執行一項改進措施並滿足多項需求。

與團體合作時需要知道的事項

• 你可以在製作評估的過程中建立一個小組。
• 群組不能是獨立的實體。 一個小組必須包含至少一項評量。
• 團體名稱必須在組織內獨一無二。
• 群組沒有安全屬性。 所有權限都與評估相關聯。
• 一旦你把評估加入一個群組，分組就無法更改。
• 若您將新評量加入現有小組，該組內評量的共同資訊會被複製至新評量。
• 同一組內不同評量中的相關評量控制措施完成後會自動更新。
• 群組可以包含針對相同認證或法規的評估，但每個群組只能包含針對特定產品認證對的一項評估。 例如，一個群組不能包含 Office 365 和 NIST CSF 的兩份評量。 只有當同一產品對應的認證或法規不同時，一個群組才能包含多個評估。
• 刪除評估會斷開該評估與該團體之間的關係。
• 群組無法被刪除。

設置連接器

Compliance Manager 整合了一套連接器，用來建立涵蓋非 Microsoft 服務如 Salesforce 和 Zoom 的評估。 請造訪 「與連接器合作 」了解更多並開始設定流程。

建立評估

要建立和修改評估，使用者必須擔任合規管理管理、合規管理評估員或全域管理員的角色。 了解更多關於 角色與權限的資訊。

在開始建立評量前，務必確定你將分配給哪一組，或準備好為此評量建立新組別。 閱讀有關團體與評量的詳細資訊。 要建立評估，你必須採用引導式流程來選擇法規並指定服務。

建立自訂評估

你可以透過新增控制措施和改進措施來修改監管範本，建立客製化評估。 請造訪 「建立自訂評估」 (預覽) 以獲得說明。

使用引導式流程建立評估

1. 從您的 評量 頁面，選擇 新增評量 以開始評量建立嚮導。

2. 在「 根據你的評估在法規 頁面」中，選擇「 選擇法規 」以選擇評估的監管範本。 Select 法規 飛出頁面開啟。

3. 使用搜尋框找到你想要的法規，然後選擇法規名稱左側的勾選框。 選擇 儲存，確認你的選擇，然後選擇 下一步。

4. 在 新增名稱與群組 頁面，請在以下欄位輸入數值：

   • 評量名稱：評量名稱必須是唯一的。 如果名稱與任何組別的評量相符，你會收到錯誤訊息，要求你建立另一個名稱。
   • 評量小組：將評量分配給小組，方式有兩種：
     • 用現有群組 把它指派到你建立的群組;或
     • 建立新的小組 ，讓你負責評估。 請輸入這個團體的名稱。 您也可以從 現有群組複製資料，例如實作與測試細節及文件，並選擇適當的欄位。

   完成後，選擇 「下一步」。

5. 在「選擇服務」頁面，指定此評估適用於哪些服務 () 使用「選擇服務」指令了解更多多雲支援資訊。 飛出視窗顯示你所選法規可用的服務。 在你想要的服務旁邊勾選，然後選擇 新增。 然後選取 [下一步]。

   • 如果你想要的服務沒有列出，你可以把它加成新服務。 當你新增一項服務時，會使用 底層法規的通用版本 ，並進行手動實施與測試工作。 新增服務：
     • 在 「選擇服務 」頁面，選擇 新增服務。
     • 輸入服務名稱和說明。
     • 選取 新增。 該服務列於評估詳情頁面的 服務 區 塊。

6. 如果你選擇了一個服務包含多個 Microsoft Defender for Cloud 的訂閱，你就會進入一個子步驟，選擇服務訂閱。 選擇 管理訂閱。 在飛出視窗中，每個服務的分頁會顯示該服務內所有訂閱清單。 所有訂閱都是預設選擇，但你可以透過名稱旁的 X 來移除任何訂閱。 在 「選擇服務 」頁面，選擇 「下一步」。

7. 評論與結尾： 檢視所有選擇並做必要的修改。 當你對設定滿意後，選擇 建立評估。

下一個畫面確認評估已被建立。 當你選擇 「完成」時，會進入新評估的詳細頁面。 如果你在選擇建立評估後看到評估失敗畫面，請選擇「再試一次」以重新建立你的評估。

編輯評估

建立評估後，你可以編輯它以更新名稱，並新增或移除服務與訂閱。 更新評估：

1. 在評量詳情頁面，選擇右上角的省略號，選擇 編輯評量。 評估更新精靈開啟。

2. 你可以在 「更新評估名稱 」頁面更新評量名稱，或保持原狀，然後選擇 「下一頁」。

3. 在 「選擇服務 」頁面，新增或移除服務，然後選擇 「下一步」。

4. 在 「選擇服務訂閱」 頁面，選擇 「管理訂閱」 以更改您的訂閱內容。 然後選取 [下一步]。

5. 檢視你的更新後，選擇 修改評估 以儲存你的變更。

監控評估進度與控制措施

每個評量都有詳細頁面，讓你一目了然地了解完成評量的進度。 該頁面顯示您的服務表現，以及控制措施和改進行動的狀態。 展開頁面左側的 概覽 區塊，以查看評估的基本細節，包括其組別、法規、相關服務、完成狀態及說明。

進度標籤顯示完成評估進度的百分比。 進度條會顯示評估涵蓋的各項服務中所獲得的積分。 請參閱 服務詳情，了解各項服務。 在 「控制」標籤中查看評估中的所有控制項及其當前狀態。快速查看評估中所有改進行動的狀態，請點擊 「你的改進行動」標籤。Microsoft 為評估所處理的行動列於 Microsoft 行動標籤中。

各服務評估進度

評估進度標籤中的服務區，能幫助您了解各服務在各項法規上的表現，無論是個別服務、訂閱層級，還是整個組織的整體管理。 該評估的可用訂閱量及開發進度資料來自 Microsoft Defender for Cloud。 任何與訂閱無障礙相關的錯誤都應該在你的雲端 Defender 中修正。 更多資訊請參閱 「配置雲端設定 」。

選擇「 檢視服務詳情 」指令，位於 評估進度 條圖旁或下方，或右上方的命令列，可查看包含更多細節的飛出窗格。 「查看服務詳情」的飛出窗格列出每項服務及其完成評估的進度。 選擇服務名稱旁的 「檢視 」會顯示另一個窗格，列出服務內的每個訂閱及其狀態。

在服務的詳細資料面板上，你會看到該服務內涵蓋的訂閱清單。 服務進度計數器顯示目前因服務相關改進行動所獲得的積分，佔可達成總分數中的總分數。

你可以透過 編輯評估內容，為你想涵蓋的服務新增更多訂閱。

[控制項] 索引標籤

控制分頁會顯示評估中每個控制的詳細資訊。 控制狀態分解圖會依家族 (顯示控制狀態，例如組態管理與事件回應) ，讓您一目了然地看到哪些控制群組需要關注。 分解表下方的表格列出所有控制措施。 你可以依照控制組、狀態和服務來篩選清單。 下表顯示了每個控制項的以下細節：

• 控制標題
• 狀態：控制區內改進行動的測試狀態：
  • 通過：所有改進行動的測試狀態均為「通過」，或至少一項通過，其餘則為「超出範圍」。
  • 失敗 至少有一個改進行動的測試狀態為「失敗」。
  • 無：所有改進措施尚未經過測試。
  • 超出範圍：所有改進行動均不在本評估範圍內。
  • 進行中：改進行動的狀態與上述不同，可能包括「進行中」、「部分加分」或「未偵測」。
• 控制識別碼：控制的識別號碼，依其對應的法規、標準或政策分配。
• 獲得的分數：完成動作所獲得的分數，佔可達成總分數中的總數。
• 你的改進行動：完成的行動數量佔待完成總數。
• Microsoft 行動：Microsoft 完成的行動數量。

從列表中選擇一個控制項以查看其詳細頁面。 圖表顯示控制區內改進行動的測試狀態。 圖表下方的表格列出該控制項的改進措施。 從清單中選擇一個改進動作，深入該改進行動的詳細頁面，從那裡管理實作與測試。 了解如何 運用改進行動。

你的改進行動標籤頁

評估詳情頁面的 「改進行動 」標籤列出了所有控制項的改進行動。 狀態條圖會詳細列出評估中改進行動的總檢定狀態，讓你能快速判斷哪些已經測試過，哪些還需要完成。 將滑鼠移到或選擇測試狀態標籤，讓該狀態在條列中只高亮出。

在條下方，表格列出所有行動與關鍵細節，包括：服務、測試狀態、潛在與已獲得點數、相關法規與標準、適用解決方案、行動類型及控制族。

依 服務 篩選以查看與服務及其進展相關的動作。 從表格中選擇一個改進動作，前往其詳細頁面，從那裡你可以管理實作和測試。 了解如何 運用改進行動。

Microsoft 動作標籤

Microsoft 動作分頁會出現，用於基於支援 Microsoft 產品的範本進行評估。 它列出了評估中由 Microsoft 管理的所有行動。 該清單顯示關鍵行動細節，包括：服務、測試狀態、影響整體合規分數的點數、相關法規與標準、適用解決方案、行動類型及控制族。 選擇一個改進動作以查看其詳情頁面。

授權使用者存取個別評量

當您在 Microsoft Purview 入口網站中指派使用者合規經理角色時，他們預設可以查看或編輯所有評估中的資料 (檢視 合規經理角色類型) 。 你可以透過在評估內管理使用者角色，限制使用者只存取特定評估。 以這種方式限制存取，有助於確保負責監督特定法規或標準合規的使用者，僅能取得執行職責所需的資料與資訊。 (您也可以設定 使用者對法規的存取權限，讓使用者能存取該法規所建立的所有評估資料 )

需要存取權以進行稽核或其他目的的外部使用者，也可以被指派一個角色來檢視評估並編輯測試資料。 你透過指派外部人員 Microsoft Entra 角色來提供存取權限。 了解更多關於 分配角色的資訊。

授權存取的步驟

請依照步驟授權使用者進行評估。

1. 從你的 評量 頁面，找到你想要授權的評量。 選擇它以開啟其詳情頁面。

2. 在右上角，選擇 管理使用者存取。

3. 會出現 一個「管理使用者存取 」的飛出視窗。 它有三個分頁，分別對應讀者、評估員和貢獻者三個角色。 請前往您希望使用者擔任此評估角色的分頁。 目前有權進行評估的使用者，姓名左側會有一個藍色方框，並有勾選標記。

4. 在你所在的角色標籤中選擇 + Add 指令： 新增讀者、 新增評估員 或 新增貢獻者。

5. 另一個飛出窗格會出現，列出你組織中的所有使用者。 你可以選擇你想新增的使用者名稱旁的勾選框，或是在搜尋欄輸入他們的名字，然後從中選擇該使用者。 你可以同時選擇多個使用者。

6. 完成所有選擇後，選擇 新增。

   注意事項

   如果你指派一個角色給已經有角色的人，你選擇的新角色分配會覆蓋他們原本的角色。 在這種情況下，你會看到一個確認框，要求你確認職務變更。

7. 飛出視窗關閉，你回到評估細節頁面。 頂端會有確認訊息，確認該評估的新角色分配。

移除存取權的步驟

您可以依照以下步驟移除使用者對個別評量的存取權限：

1. 在評估的詳細頁面，選擇 管理使用者存取。

2. 在 「管理使用者存取 」飛出窗格中，點選你想移除的使用者角色對應的標籤。

3. 找到你想移除的角色使用者。 檢查他們名字左側的圓圈，然後選擇角色標籤下方的 「移除 」指令。要一次移除所有使用者，請選擇「 全部移除 」指令，但不要檢查每個使用者名字旁的圓圈。

4. 會跳出一個 「移除存取權？」 的對話框，要求你確認移除。 選擇 「移除存取權 」以確認角色移除。

5. 在飛出視窗選擇 儲存 。 使用者的角色將從評估中移除。

學習如何全面了解 所有有權使用評量的使用者。

關於多重角色的說明

• 使用者可以有一個角色適用於評估，同時同時持有另一個角色，該角色廣泛適用於整體合規管理員的存取權限。

  • 例如，如果您指派使用者一個 合規經理讀者 角色，也可以指派該使用者一個合規 經理評估員 角色，以執行特定評估。 實際上，使用者同時擁有這兩個角色，但他們編輯資料的能力僅限於被分配為 評估者 角色的評估。
  • 移除一個基於評估的角色，並不會移除使用者整體的合規經理角色（如果他們有合規經理）。 如果你想更改使用者的整體角色，你必須透過 Microsoft Purview 入口網站來更改。 了解更多關於 分配角色與權限的資訊。

• 對於個人評量，使用者一次只能擔任一個基於評量的角色。

  • 例如，如果使用者在 GDPR 評估中持有讀者角色，而你想將他們改成貢獻者角色，首先需要移除他們的讀者角色，然後再重新指派他們閱讀者的角色。

接受評量更新

當評估有更新可用時，你會看到通知，並可選擇接受更新或延後。 根據合規管理工具中提供的監管範本，評估匯報可取得。 如果您的組織使用通用範本來評估其他產品，繼承可能不被支援。

更新的原因

評估更新發生在有基礎範本變更影響評分時。 變更可能包括根據法規變更或產品變更調整控制映射或其他指引。 評估更新可能來自您的組織及 Microsoft。

如果 Microsoft 更新了你擴充的合規管理員範本，當你接受這些更新後，評估系統就會繼承這些更新。 你的評量會保留你在擴展評量時套用的其他屬性。

你建立的自訂評估不會收到 Microsoft 的任何範本更新。 自訂評估可以接收改進行動更新，但任何針對評估與改進行動之間對應的 Microsoft 更新，都不適用於自訂範本。

你看到評估更新通知的地方

評估詳情頁面旁邊也會顯示「 待更新」 標籤。 選擇該評估以進入詳細頁面。

評估詳情頁面頂部附近有訊息顯示該評估有更新可用。 請在橫幅中選擇 「檢視更新 」按鈕，以檢視具體變更並決定接受或延期更新。

評估詳情頁面也可能列出帶有待 處理更新 標籤的改進行動。 這些更新是針對改進行動本身的具體變更，需要單獨接受。 請造訪「 接受改進行動更新 」以了解更多資訊。

審核更新以接受或延後

當你從評估詳情頁面選擇 「檢視更新 」時，螢幕右側會出現一個飛出視窗。 飛出視窗提供以下關於待更新的關鍵細節：

• 範本標題
• 更新來源 (Microsoft、貴組織或特定使用者)
• 更新建立日期
• 說明更新的概述
• 關於變更的具體細節，包括對合規分數的影響、評估完成進度，以及改進行動與控制措施的具體變更數量。

選擇 「更新範本 」指令會下載一個 Excel 檔案，內含該版本及待更新版本的控制資料。 選擇 Current 範本 指令會下載一個未更新的現有範本檔案。

要接受更新並更改評估，請選擇 「接受更新」。 被接受的變更是永久的。

如果你選擇 取消，該更新將不會套用到評估中。 不過，在你接受更新前，仍會看到 「待處理更新 」通知。

• 為何建議接受更新：接受更新有助於確保您獲得最新的解決方案使用指引及採取適當改進行動，以達成認證要求。

• 為什麼你可能想延後更新：如果你正在完成評估，建議先確保你已經完成該評估的工作，才會接受可能干擾控制對應的更新。 你可以在審查更新的飛燈窗格中選擇 取消 ，將更新延後。

匯出評估報告

您可以將評估匯出為 Excel 檔案，供組織內的合規利害關係人或外部審計員及監管機構使用。 在評估詳情頁面，選擇右上角的 匯出操作 ，會產生一個 Excel 檔案，您可以儲存並分享。 該報告是截至出口日期和時間的評估快照。 它包含你和 Microsoft 共同管理的控制細節，包括實作狀態、測試日期及測試結果。

刪除評估

刪除評量會從評量頁面的清單中移除。 請注意刪除評量時的以下重要點：

• 刪除評估是永久性的;你無法拿回它。 如果你想再次使用同一個評量，就必須重新建立它。
• 如果評量中的改進行動未出現在其他評量中，則隨著評量被刪除，該行動也會被刪除。
• 我們建議在永久刪除評估報告前，先 匯出 一份報告。

要刪除評估，請依照以下步驟操作：

1. 從 評量 頁面選擇你想刪除的評量。

2. 在評估的詳細頁面，請在螢幕右上角選擇 「刪除評估 」。 如果沒有看到這個選項，請選擇右上角的省略號 (...) ，然後從列表中選擇 刪除評估 。

3. 跳出視窗，請你確認是否要永久刪除該評估。 選擇 刪除評量 以關閉視窗。 你會收到確認視窗，顯示你的評估已被從合規管理員刪除。