适用于 Microsoft Copilot 的 Microsoft Purview 数据安全性和合规性保护

Microsoft 365 安全 & 合规性许可指南

虽然 AI 驱动的生产力工具可以解锁有价值的见解并提高用户工作效率，但它们还会引入新的用户活动并生成大量数据。 与其他企业活动和数据一样，它们需要安全性和合规性管理。

Microsoft Purview 的以下功能可增强适用于 Microsoft 365 的 Microsoft Copilot的数据安全性和合规性：

• 由Microsoft Purview 信息保护加密的敏感度标签和内容
• 数据分类
• 客户密钥
• 通信合规性
• 审核
• 内容搜索
• 电子数据展示
• 保留和删除
• 客户密码箱

注意

若要检查组织的许可计划是否支持这些功能，请参阅页面顶部的许可指南链接。 有关适用于 Microsoft 365 的 Microsoft Copilot本身的许可信息，请参阅适用于 Microsoft 365 的 Microsoft Copilot的服务说明。

使用以下部分详细了解这些 Microsoft Purview 功能如何提供额外的数据安全性和合规性控制，以加速组织采用 Microsoft Copilot。 如果你不熟悉 Microsoft Purview，可能还会发现产品概述有所帮助： 了解 Microsoft Purview。

有关适用于 Microsoft 365 的 Copilot安全性和符合性要求的更多常规信息，请参阅适用于 Microsoft 365 的 Microsoft Copilot的数据、隐私和安全性。

Microsoft Purview 增强了 Copilot 的信息保护

Copilot 使用 现有控件来确保存储在租户中的数据永远不会返回 给用户或大型语言模型 (LLM) 如果用户无权访问该数据。 当数据将组织的 敏感度标签 应用于内容时，会有一层额外的保护：

• 当文件在 Word、Excel、PowerPoint 或类似的电子邮件或日历事件打开 Outlook 中时，数据的敏感度会显示给应用中的用户，其中包含标签名称和内容标记 (，例如为标签配置的页眉或页脚文本) 。

• 当敏感度标签应用加密时，用户必须具有 EXTRACT 使用权限以及 VIEW，Copilot 才能返回数据。

• 当 Microsoft 365 租户在 Office 应用中打开时，此保护扩展到存储在 Microsoft 365 租户外部的数据 (正在使用) 的数据。 例如，本地存储、网络共享和云存储。

提示

如果尚未启用，建议为 SharePoint 和 OneDrive 启用敏感度标签，同时熟悉这些服务可以处理的文件类型和标签配置。 如果未为这些服务启用敏感度标签，适用于 Microsoft 365 的 Copilot可以访问的加密文件仅限于从 Windows 上的 Office 应用使用的数据。

有关说明，请参阅 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。

此外，当你使用 Microsoft Copilot Graph 的聊天 (以前Microsoft 365 Chat) 可以访问来自各种内容的数据时，适用于 Microsoft 365 的 Copilot返回的标签数据的敏感度对显示引文和响应中列出的项目的用户可见。 使用 Microsoft Purview 门户或Microsoft Purview 合规门户中定义的敏感度标签的优先级编号，Copilot 中的最新响应显示用于该 Copilot 聊天的数据的最高优先级敏感度标签。

尽管合规性管理员定义了敏感度标签的优先级，但优先级越高，通常表示内容具有更高的敏感度，具有更严格的权限。 因此，Copilot 响应使用限制性最高的敏感度标签进行标记。

注意

如果项目由Microsoft Purview 信息保护加密，但没有敏感度标签，适用于 Microsoft 365 的 Microsoft Copilot也不会将这些项目返回给用户（如果加密不包括用户的 EXTRACT 或 VIEW 使用权限）。

如果尚未使用敏感度标签，请参阅 敏感度标签入门。

尽管 DLP 策略尚不支持适用于 Microsoft 365 的 Microsoft Copilot交互，但支持敏感信息类型和可训练分类器的数据分类，以识别用户向 Copilot 发送的提示和响应中的敏感数据。

具有敏感度标签继承的 Copilot 保护

使用 Copilot 基于应用了敏感度标签的项目创建新内容时，将自动继承源文件中的敏感度标签，并具有标签的保护设置。

例如，用户在 Word中选择“使用 Copilot 进行草稿”，然后选择“引用文件”。 或者用户从 PowerPoint 中的文件选择Create演示文稿。 源内容具有敏感度标签 机密\任何人 (不受限制) 应用，并且该标签配置为应用显示“机密”的页脚。 新内容将自动标记为 机密\任何人 (不受限制) 具有相同页脚。

若要查看此操作的操作示例，watch Ignite 2023 会话中的以下演示，即让企业为 Microsoft 365 Copilot 做好准备。 该演示演示演示了当用户使用 Copilot 草稿并引用已标记的文件时，如何将默认敏感度标签“ 常规 ”替换为 “机密” 标签。 功能区下的信息栏告知用户 Copilot 创建的内容导致新标签自动应用：

如果使用多个文件创建新内容，则 优先级最高的 敏感度标签用于标签继承。

与所有自动标记方案一样，如果不使用强制标记) ，则用户始终可以替代和替换继承的 标签 (或删除。

无敏感度标签的 Microsoft Purview 保护

即使敏感度标签未应用于内容，服务和产品也可能使用 Azure Rights Management 服务的加密功能。 因此，在将数据和链接返回到用户之前，适用于 Microsoft 365 的 Copilot仍可以检查 VIEW 和 EXTRACT 使用权限，但不会自动继承对新项的保护。

提示

当你始终使用敏感度标签来保护数据，并且加密由标签应用时，你将获得最佳用户体验。

可以使用 Azure Rights Management 服务中没有敏感度标签的加密功能的产品和服务示例：

• Microsoft Purview 邮件加密
• Microsoft 信息权限管理 (IRM)
• Microsoft 权限管理连接器
• Microsoft Rights Management SDK

对于不使用 Azure Rights Management 服务的其他加密方法：

• 受 S/MIME 保护的电子邮件不会由 Copilot 返回，并且当受 S/MIME 保护的电子邮件打开时，Copilot 在 Outlook 中不可用。

• 适用于 Microsoft 365 的 Copilot无法访问受密码保护的文档，除非用户已在同一应用中打开这些文档， (正在使用) 的数据。 密码不是由目标项继承的。

与其他 Microsoft 365 服务（如电子数据展示和搜索）一样，使用 Microsoft Purview 客户密钥或你自己的根密钥 (BYOK) 加密的项目受到支持，并且有资格由 适用于 Microsoft 365 的 Copilot 返回。

Copilot 通过 EXTRACT 使用权限遵循现有保护

虽然你可能不太熟悉加密内容的单个使用权限，但它们已经存在了很长时间。 从 Windows Server Rights Management 到 Active Directory Rights Management，到使用 Azure Rights Management 服务成为 Azure 信息保护的云版本。

如果你曾经收到过“请勿转发”电子邮件，它将使用权限来阻止你在进行身份验证后转发电子邮件。 与映射到常见业务方案的其他捆绑使用权限一样，“请勿转发电子邮件”授予收件人使用权限，以控制他们对内容执行的操作，并且不包括 FORWARD 使用权限。 除了不转发之外，你无法打印此“请勿转发”电子邮件，也无法从中复制文本。

授予复制文本权限的使用权限是 EXTRACT，其更易用的通用名称为 Copy。 正是这种使用权限决定了适用于 Microsoft 365 的 Copilot是否可以向用户显示来自加密内容的文本。

注意

由于完全控制 (OWNER) 使用权限包括所有使用权限，因此 EXTRACT 自动包含在完全控制中。

使用 Microsoft Purview 门户或Microsoft Purview 合规门户配置敏感度标签以应用加密时，首先选择是立即分配权限，还是允许用户分配权限。 如果现在分配，则可以通过选择具有预设使用权限组的预定义权限级别（例如 Co-Author 或审阅者）来配置权限。 或者，可以选择自定义权限，在其中可以单独选择可用的使用权限。

在门户中，EXTRACT 使用情况权限显示为 “复制和提取内容” (EXTRACT) 。 例如，选择的默认权限级别为 “共同创作”，其中将看到 “复制和提取内容 (EXTRACT) 包括在内。 因此，适用于 Microsoft 365 的 Copilot可以返回受此加密配置保护的内容：

如果从下拉列表框中选择“ 自定义 ”，然后从列表中选择 “完全控制 (所有者) ，则此配置还将授予 EXTRACT 使用权限。

注意

应用加密的人员始终具有 EXTRACT 使用权限，因为他们是 Rights Management 所有者。 此特殊角色自动包括所有使用权限和一些其他操作，这意味着用户自己加密的内容始终有资格通过适用于 Microsoft 365 的 Copilot返回给他们。 配置的使用限制适用于有权访问内容的其他人员。

或者，如果选择加密配置以允许用户分配权限，则对于 Outlook，此配置包括“不转发”和“仅加密”的预定义权限。 与“不转发”不同，Encrypt-Only 选项包含 EXTRACT 使用权限。

为 Word、Excel 和 PowerPoint 选择自定义权限时，用户在应用敏感度标签时在 Office 应用中选择自己的权限。 他们被告知，从这两个选择中， “读取 ”不包括复制内容的权限，但 “更改” 包含权限。 这些对复制的引用引用引用了 EXTRACT 使用权限。 如果用户选择“ 更多选项”，则可以通过选择“ 允许具有读取权限的用户复制内容”，将 EXTRACT 用法权限添加到“读取”。

提示

如果需要检查有权查看的文档是否包括 EXTRACT 使用权限，请在 Windows Office 应用中打开它，并自定义状态栏以显示权限。 选择敏感度标签名称旁边的图标以显示 “我的权限”。 查看 “复制”的值，该值映射到 EXTRACT 使用权限，并确认它是否显示 “是” 或“ 否”。

对于电子邮件，如果权限未显示在 Outlook for Windows 邮件顶部，请选择带有标签名称的信息横幅，然后选择“ 查看权限”。

Copilot 遵循用户的 EXTRACT 使用权限，但它已应用于内容。 大多数情况下，在标记内容时，授予用户的使用权限与敏感度标签配置中的使用权限相匹配。 但是，在某些情况下，可能会导致内容的使用权限与应用的标签配置不同：

• 敏感度标签在已应用使用权限后应用
• 应用敏感度标签后应用使用权限

有关为加密配置敏感度标签的详细信息，请参阅 使用敏感度标签应用加密来限制对内容的访问。

有关使用权限的技术详细信息，请参阅配置 Azure 信息保护的使用权限。

Microsoft Purview 支持 Copilot 的合规性管理

使用 Microsoft Purview 合规性功能来支持适用于 Microsoft 365 的 Copilot的风险和合规性要求。

可以针对租户中的每个用户监视与 Copilot 的交互。 因此，可以使用 Purview 的分类 (敏感信息类型和可训练的分类器，) 、内容搜索、通信合规性、审核、电子数据展示以及自动保留和删除功能。

对于 通信合规性，可以分析用户提示和 Copilot 响应，以检测不适当或有风险的交互或机密信息共享。 有关详细信息，请参阅配置通信合规性策略以检测适用于 Microsoft 365 的 Copilot交互。

对于 审核，当用户与 Copilot 交互时 会捕获 详细信息。 事件包括用户与 Copilot 交互的方式和时间、活动发生位置的 Microsoft 365 服务，以及对 Microsoft 365 中存储的文件（在交互期间访问）的引用。 如果这些文件应用了敏感度标签，也会捕获该标签。 在 Microsoft Purview 门户或Microsoft Purview 合规门户的审核解决方案中，选择“Copilot 活动”和“与 Copilot 交互”。 还可以选择“ Copilot ”作为工作负载。 例如，从合规性门户：

对于 内容搜索，由于用户提示 Copilot 和来自 Copilot 的响应存储在用户的邮箱中，因此当用户的邮箱被选为搜索查询的源时，可以搜索和检索它们。 通过选择“ 添加条件>类型>Copilot 交互”，从源邮箱中选择并检索此数据。

同样，对于 电子数据展示，你使用相同的查询过程来选择邮箱，并检索 Copilot 的用户提示和来自 Copilot 的响应。 在电子数据展示 (Premium) 中创建集合并源到评审阶段后，此数据可用于执行所有现有审阅操作。 然后，可以进一步保留或导出这些集合和审阅集。 如果需要删除此数据，请参阅搜索和删除适用于 Microsoft 365 的 Microsoft Copilot的数据。

对于支持自动保留和删除的 保留策略 ，用户对 Copilot 的提示和来自 Copilot 的响应由 Teams 聊天和 Copilot 交互的位置标识。 以前仅名为 Teams 聊天，用户无需使用 Teams 聊天来应用此策略。 以前为 Teams 聊天配置的任何现有保留策略现在都会自动包含用户提示和响应，以及来自适用于 Microsoft 365 的 Microsoft Copilot的响应：

有关此保留工作的详细信息，请参阅了解适用于 Microsoft 365 的 Microsoft Copilot的保留期。

与所有保留策略和保留一样，如果同一位置的多个策略适用于用户， 则保留原则 可解决任何冲突。 例如，数据将保留所有应用的保留策略或电子数据展示保留的最长持续时间。

要使保留标签自动保留 Copilot 中引用的文件，请为具有自动应用保留标签策略的云附件选择选项：将标签应用于 Exchange、Teams、Viva Engage 和 Copilot 中共享的云附件和链接。 与所有保留的云附件一样，将保留引用时的文件版本。

有关此保留的工作原理的详细信息，请参阅 保留如何处理云附件。

有关配置说明：

• 若要为 Copilot 交互配置通信合规性策略，请参阅Create和管理通信合规性策略。

• 若要在审核日志中搜索 Copilot 交互，请参阅搜索审核日志。

• 若要使用内容搜索查找 Copilot 交互，请参阅内容搜索。

• 若要将电子数据展示用于 Copilot 交互，请参阅Microsoft Purview 电子数据展示解决方案。

• 若要创建或更改 Copilot 交互的保留策略，请参阅Create和配置保留策略。

• 若要为 Copilot 中引用的文件创建自动应用保留标签策略，请参阅 自动应用保留标签以保留或删除内容。

Copilot 的其他文档

有关详细信息，请参阅为 Copilot 部署 Microsoft Purview 数据安全性和合规性保护的注意事项。

若要详细了解适用于 Microsoft 365 的 Copilot以及组织如何使用此副驾驶进行工作，请参阅适用于 Microsoft 365 的 Microsoft Copilot文档。

若要了解如何将零信任应用于适用于 Microsoft 365 的 Copilot，请参阅将零信任原则应用于适用于 Microsoft 365 的 Microsoft Copilot。