通信合规性

重要

Microsoft Purview 通信合规性提供了工具来帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和商业行为违规,例如敏感或机密信息、骚扰或威胁性语言,以及共享成人内容。 根据隐私设计构建,用户名默认为假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以帮助确保用户级隐私。

保护敏感信息并检测和处理工作场所骚扰事件是遵守内部政策和标准的重要组成部分。 Microsoft Purview 通信合规性有助于快速检测、捕获电子邮件、Microsoft Teams 通信和适用于 Microsoft 365 的 Microsoft Copilot交互并采取修正操作,从而最大程度地降低这些风险。 其中包括包含亵渎、威胁和骚扰的潜在不适当的通信,以及在组织内外共享敏感信息的通信。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Microsoft Purview 通信合规性是一种内部风险解决方案,可帮助你检测、捕获并处理可能导致组织内潜在的数据安全或合规性事件的不当消息。 通信合规性评估 Microsoft 和第三方应用中基于文本和基于图像的邮件, (Teams、适用于 Microsoft 365 的 Microsoft Copilot、Viva Engage、Outlook、WhatsApp 等 ) 的潜在业务策略违规行为,包括敏感信息的不当共享、威胁性或骚扰性语言以及潜在的法规违规 (,例如股票和资本操纵) 。

通信合规性的使命是跨客户的企业通信渠道促进安全合规的通信。 借助基于角色的访问控制,人工调查人员可以采取修正措施,例如从 Teams 中删除邮件或通知发件人潜在的不当行为。

系统功能

通信合规性使用机器学习模型和关键字 (keyword) 匹配来识别包含潜在业务行为或法规策略违规的消息,然后由调查人员审查。 通信合规性通过提供基于角色的访问控制,通过假名化和负责任地使用产品来培养用户隐私。

重要

Microsoft 致力于确保人工智能 (AI) 系统以值得人们信任的方式负责任地开发。 作为此承诺的一部分,Microsoft Purview 工程团队正在实施 Microsoft 负责任 AI 策略的六项核心原则,以设计、构建和管理 AI 解决方案。 作为负责任部署 AI 工作的一部分,我们提供文档、基于角色的访问、方案证明等,以帮助组织负责任地使用 AI 系统。

用户获得 权限 ,允许他们执行其角色中的任务,例如:

  • 管理员角色:管理员配置策略以检测组织中的特定模式。 管理员选择要包含在策略中的机器学习分类器,并且可以将机器学习分类器的价值与关键字 (keyword) /短语匹配结合使用以满足组织需求。
  • 调查员角色:调查人员查看和修正内置分类器标记的潜在风险消息。 调查人员可以采取一系列操作来处理显示的消息,如果没有手动调查人员审查,不会采取自动操作。 调查人员可以通过报告将 Microsoft 分类器错误分类 为错误分类 操作来共享有关邮件的反馈,该操作旨在通过客户提交的反馈不断提高分类器性能。
  • 通信合规性角色:通信合规性角色可以为组织创建策略,并查看每个策略的策略匹配项。

通信合规性的预期用途

通信合规性使组织能够检测、会审和修正潜在的业务行为和/或法规合规性违规的通信。 通信合规性提供了以下策略模板,这些模板使用机器学习分类器供用户使用:

  • 商业行为:歧视、亵渎、威胁和有针对性的骚扰分类器
  • 合规性:公司破坏、客户投诉、礼品 & 娱乐、洗钱、监管串通、股票操纵、未经授权的披露分类器

用于评估和衡量性能的指标

通信合规性考虑了许多指标,以全面评估系统准确性和性能。 误报率和真正率 (也称为从测试数据集) 召回率,是告知分类器性能的两个最重要的指标。 例如,定量指标 (客户) 命中次数和定性反馈也用于评估性能并帮助改进分类器。

操作因素和设置

操作因素和设置允许有效和负责任地使用系统。 下表中详细介绍了这些内容。

操作因素 优点
基于角色的访问控制 - 任何个人都没有太大的权力来影响组织中通信合规性的使用:
- 调查人员只能查看他们有权查看的策略
- 管理员只能创建/编辑策略
- 通信合规性角色具有查看和编辑策略的最广泛权限。
在策略中使用多个条件 机器学习分类器中的值可以使用其他功能(例如关键短语匹配、敏感信息检测或特定域的范围)进行微调。
最终用户报告 Teams 中不适当的内容 邮件收件人可以报告他们认为不适当的邮件,或认为数据安全事件是识别通信风险的主动方法。
由内置分类器捕获的消息的关键字突出显示 调查人员明确了哪些关键短语触发了哪些分类器。
假名化 发件人/收件人别名已化名,以最大程度地减少调查偏差。
用户选择要检测中的模式的通信通道 用户可以选择哪些频道(如 Microsoft Teams、Exchange、Viva Engage或第三方源)来标识和检测内容模式。
报告错误分类项的反馈循环 机器学习分类器错误分类的项可以报告给 Microsoft,以提高分类器的未来性能。 根据 Microsoft 隐私声明,将尊重用户隐私。

通信合规性的限制

任何人工智能解决方案都有限制。 通信合规性用户可在使用系统时将限制的影响降到最低。 下表详细介绍了这些限制。

限制 受影响的用户 将影响降到最低的方法
误报消息 邮件发件人 - 通信合规性使用反馈循环来报告错误分类的项目,以不断提高分类器性能。
- 人工审阅者必须在执行操作之前查看邮件。
假负消息 管理员和邮件收件人 机器学习分类器可以与多个条件(例如关键短语匹配或用户范围)结合使用,以满足独特的组织需求。
对回避键入和其他对抗输入的有限支持 邮件收件人 提供基本的规避键入覆盖范围,以解决与数字交换字母的问题,并在未来版本中将有所改进。
并非所有语言都涵盖 邮件收件人 目前支持的 12 种语言对应于最高使用区域。

配置通信合规性

使用以下步骤为组织配置通信合规性:

内部风险解决方案通信合规性步骤。

  1. 了解 通信合规性
  2. 规划 通信合规性验证许可
  3. 配置 先决条件权限
  4. 创建和配置 通信合规性策略

重要

Microsoft Purview 通信合规性提供了内置的机器学习工具,用于检测可能违反法规、行为准则或组织要求的消息。 用户可以在策略配置期间选择内置分类器来评估组织通信,并且管理员能够根据组织需求随时编辑策略设置。 在设计上以隐私为基础构建,除非组织调查人员明确同意,否则不会与 Microsoft 共享客户数据/评估, 因为报告是错误分类 操作。

有关通信合规性的详细信息