为了使 DSPM for AI 从生成式 AI 应用程序收集提示和响应,并启用来自其他Microsoft Purview解决方案的所有功能和风险分析,需要针对 DSPM for AI 中的每个Microsoft Purview解决方案启用配置和策略。 下表显示了需要启用的解决方案列表。
| Microsoft Purview解决方案 | Configuration | Validation |
|---|---|---|
| Microsoft Purview 审核 | 在 DSPM for AI 概述中启用Microsoft Purview 审核 | 已启用审核状态 |
| 适用于 AI 的DSPM | 启用 KYD 策略,“保护企业应用(预览版)的交互” | 策略状态为“开” |
| 通信合规性 | 启用策略,“控制 AI 策略中的不道德行为” | 策略状态为“开” |
| 内部风险管理 | 启用策略“检测有风险的 AI 使用策略” | 策略状态为“开” |
| 电子数据展示 | 不需要额外的步骤或策略 | N/A |
Important
若要在 Microsoft Purview 中设置新的 DLP 策略以测试 DLP 集成,请运行 New-DlpComplianceRule cmdlet。 有关详细信息,请参阅 New-DlpComplianceRule。
启用Microsoft Purview 审核
默认情况下,系统已为你的组织启用 Microsoft Purview 审核,但你应确认其确已启用。
Microsoft Purview 审核解决方案提供集成解决方案,以帮助组织有效响应安全事件、取证调查、内部调查和合规责任。 在 Microsoft 数十个服务和解决方案中执行的数千项用户和管理员操作都会在贵组织的统一审核日志中被捕获、记录并保留。 这些事件的审计记录可供你组织中的安全运营团队、IT 管理员、内部风险团队以及合规与法律调查人员搜索。 此功能可帮助您了解整个组织内开展的活动情况。 有关详细信息,请参阅Microsoft Purview中的审核解决方案。
使用 DSPM for AI 门户
- 在 Microsoft Purview 中浏览到 DSPM for AI 解决方案中的“概述”页。
- 在“入门”部分中,选择“激活Microsoft Purview 审核。
- 选择 激活。
- 验证状态指示器是否变为绿色,如下图所示。
为 AI 创建 DSPM 一键策略
可以使用导航窗格中的“查看所有建议”链接或“建议”查看租户的所有可用建议。 选择以下策略之一,然后选择“ 创建策略 ”以激活租户中的策略。 创建默认策略后,可以随时从门户中各自的解决方案区域查看和编辑它们。 例如,你需要在测试期间将策略范围限定为特定用户,或者满足业务需求。 或者,你希望添加或删除用于检测敏感信息的分类器。 使用“策略”页快速导航到门户中的正确位置。 使用“策略”页面监视默认一键创建的策略以及来自其他 Microsoft Purview 解决方案的 AI 相关策略的状态。 若要编辑策略,请在门户中使用相应的管理解决方案。 例如,对于 AI 的 DSPM - AI 中的不道德行为,你可以从通信合规性解决方案中查看和修复匹配项。
数据发现策略
以下策略旨在使 DSPM for AI 能够在 DSPM for AI Reports 和 Activity Explorer 中收集、分析并显示数据和分析结果。
创建用于 AI 的 DSPM - 保护来自企业应用的交互(预览版)策略
若要在 Microsoft Graph 中构建 Microsoft Purview API,需要创建Microsoft Purview“了解你的数据”(KYD)策略。 若要开发和测试应用,请创建一个适用于所有应用的策略,并在 Microsoft Purview 中启用提示和响应存储以及敏感数据检测。 这使你能够查看对Microsoft Purview 门户中Microsoft Purview API 的应用调用的结果。
使用 AI 的 DSPM 门户
- 在 Microsoft Purview 中浏览到 DSPM for AI 解决方案中的“建议或策略”页。
- 选择“保护企业应用(预览版)中的交互”。
- 选择“ 创建策略”。
- 确认该策略的状态已设为开启。
可以使用 PowerShell 创建同一 KYD 策略。 如果门户存在任何问题,请按照 使用 PowerShell 创建 DSPM for AI Know Your Data (KYD) 策略中的说明进行操作。
创建适用于 AI 的 DSPM - 在 AI 策略中控制不道德行为
此策略使用 Microsoft Purview 通信合规性 检测 AI 中的提示和响应中的敏感信息。 此策略涵盖组织中的所有用户和组。
Microsoft Purview 通信合规性是一种内部风险解决方案,可帮助你检测、捕获和处理组织中可能不适当的消息,从而最大程度地降低通信风险。 预定义策略和自定义策略可让您检查内部和外部通信是否符合策略,以便指定的审阅者对其进行审查。 可以在 Microsoft Purview 通信合规解决方案中查看和修正这些匹配项。 有关详细信息,请参阅 “了解通信合规性”。
使用 DSPM for AI 门户
- 在 Microsoft Purview 中浏览到 DSPM for AI 解决方案中的“建议或策略”页。
- 选择“在 AI 中控制不道德行为”。
- 选择“ 创建策略”。
- 确认策略状态已设为ON。
创建适用于 AI 的 DSPM - 检测有风险的 AI 使用策略
此策略通过使用Microsoft Purview 内部风险管理解决方案检测智能 Microsoft 365 Copilot 副驾驶®和其他生成 AI 应用中的风险提示和响应,帮助计算用户风险。
用户可能会无意或有意在Microsoft AI 工具中创建提示,这些工具可能包含敏感信息或有风险的意向。 此外,AI 工具可能会不当使用敏感信息来提供对用户提示的响应,这些提示可能会使组织面临更高的风险。 为了帮助防范这些风险,此策略可帮助检测并启用组织中 AI 工具中这些类型的提示和响应的风险评分。 有关详细信息,请参阅 了解内部风险管理。
使用 DSPM for AI 门户
- 在 Microsoft Purview 中浏览到 DSPM for AI 解决方案中的“建议或策略”页。
- 选择“检测有风险的 AI 使用情况”。
- 选择“ 创建策略”。
- 确认该策略的状态为开启。
测试用于生成式 AI 应用集成的 Microsoft Purview DSPM for AI 配置
创建所有策略后,应开始在 DSPM for AI 中看到生成的 AI 应用的提示和响应活动、敏感检测和分析。 有关 AI 应用集成验证的详细信息,请参阅测试Microsoft Purview配置。
使用导航窗格中的“ 报表 ”部分或“报表”页查看创建的默认策略的结果。 至少需要等待一天才能填充报表。 选择 Microsoft Copilot 体验类别和企业 AI 应用类别,以帮助你确定具体的生成式 AI 应用。
选择“活动浏览器”即可查看从策略收集的数据详细信息。 这些更详细的信息包括活动类型和用户、日期和时间、AI 应用类别和应用、访问的应用、任何敏感信息类型、引用的文件以及引用的敏感文件。
使用 PowerShell 创建 AI 的 DSPM 了解你的数据 (KYD) 策略
还可以使用 PowerShell 创建Microsoft Purview“了解数据”策略。 如果要自动创建策略,或者出于某种原因无法使用门户,这非常有用。
Important
Entra 实施平面已弃用。 创建或更新 DLP 和收集策略时使用 Application 。
现有策略:以前配置的 Entra DLP 和收集策略将继续工作,无需更改。 这些策略现在显示在 Application 管理接口中,其行为和范围保持不变。 当前处于生效状态的策略无需采取任何操作。
集成:更新提供 DLP 或集合策略强制平面值的任何自定义脚本、自动化过程或 API 集成。 将字符串 Entra 替换为 Application. 有关示例,请参阅本节中的 PowerShell 代码片段。
安装 PowerShell 7(如果尚未安装)。 请参阅 安装 PowerShell。
启用引入时的收集策略
通过引入 ON,Microsoft Purview API 会将提示和响应存储在 Microsoft Purview AI 交互中。
New-FeatureConfiguration -FeatureScenario KnowYourData -Name "DSPM for AI - Collection policy for enterprise AI apps" -Mode Enable -ScenarioConfig '{"Activities": ["UploadText", "DownloadText"], "EnforcementPlanes": ["Application"], "SensitiveTypeIds": ["All"], "IsIngestionEnabled": true}' -Locations '[{"Workload": "Applications","Location": "ee1680d0-702f-4090-b26c-c49091e86531","LocationSource":"Entra","LocationType":"Group","Inclusions": [{"Type": "Tenant","Identity": "All"}]}]'
引入关闭的收集策略
通过引入 OFF,Microsoft Purview API 不会将提示和响应存储在 Microsoft Purview AI 交互中。
Set-FeatureConfiguration "DSPM for AI - Collection policy for enterprise AI apps" -ScenarioConfig '{"Activities": ["UploadText", "DownloadText"], "EnforcementPlanes": ["Application"], "SensitiveTypeIds": ["All"], "IsIngestionEnabled": false}'
故障排除
运行这些命令时,不应收到任何错误消息。 您可能会收到错误提示的一些常见原因:
策略已存在
要解决,要么删除策略 - 使用
Remove-FeatureConfiguration "DSPM for AI - Collection policy for enterprise AI apps"
格式不正确
要解决,尝试粘贴到记事本中,并关闭自动换行。 此命令应为一个连续行。
该功能尚未为租户完全启用,在这种情况下,它表示该 cmdlet 不存在。
若要解决此问题,请联系Microsoft Purview管理员。