Microsoft Purview: KI-Prompts trotz Anonymisierung einsehbar

Microsofts Purview ist ein Management- und Analyse-Tool, das IT-Teams etwa mittels „Insider Risk Management“ die Überwachung von KI-Prompts und -Antworten ermöglicht. Standardmäßig sind die Nutzerinnen und Nutzer dabei pseudonymisiert, sie lassen sich nicht direkt erkennen oder zuordnen. Microsoft liefert Analysten in Purview nun die Möglichkeit, die User trotz aktivierter Anonymisierung „unter Beibehaltung des Privatsphärenschutzes“ zu deanonymisieren. Das erinnert an einen quadratischen Kreis.

Microsoft hat das im Microsoft-365-Admin-Center im Beitrag MC1304292 konkretisiert (Kopie bei merill.net). Purview Insider Risk Management erhält die Möglichkeit für Analysten, Einsicht in KI-Prompts und -Antworten der User zu nehmen. Das ist trotz aktivierter Anonymisierung möglich. Das soll die Sichtbarkeit von KI-bezogenen Risiken erhöhen und dabei die rollenbasierten Zugriffskontrollen sicherstellen. Insider Risk Management in Purview soll Risiken wie Datenlecks, Diebstahl geistigen Eigentums oder Verstöße gegen Sicherheitsrichtlinien aufspüren. Nutzerinnen und Nutzer sind standardmäßig pseudonymisiert und Zugriffe dürfen Analysten nur entsprechend ihrer Rollen vornehmen, was die Privatsphäre schützen soll.

Verteilung ab Anfang Mai 2026

Die öffentliche Vorschau verteilt Microsoft ab Anfang Mai, bis zur Monatsmitte soll das abgeschlossen werden. Ab Mitte Juni folgt dann die allgemeine Verfügbarkeit. Bezüglich der Betroffenheit schreibt Microsoft, dass lediglich Admins und Analysten, die Purview Insider Risk Management nutzen sowie Organisationen, die KI-bezogene Insider-Risiken untersuchen, von der Änderung betroffen sind – Nutzerinnen und Nutzer hingegen sieht Microsoft als nicht davon betroffen an.

Die konkreten Änderungen laut Microsoft umfassen, dass Analysten nun KI-Interaktionsnachrichten einschließlich Prompts und der KI-generierten Antworten einsehen können, sofern die mit Insider-Risiko-Indikatoren in Verbindung stehen. Die Interaktionen sind auch dann sichtbar, wenn Anonymisierung aktiviert wurde. Die User-Identitäten bleiben pseudonymisiert, bis dazu autorisierte Analysten eine Deanonymisierung vornehmen.

Bestehende rollenbasierte Zugriffskontrollen, das Logging der Audits und Privatsphärensicherheitsvorkehrungen bleiben weiterhin in Kraft. Die neue Funktion will Microsoft standardmäßig aktivieren. Admins müssen daher nichts machen, schreibt Microsoft.

Das Verhältnis zur Privatsphäre bei Microsoft scheint ein eher loses zu sein. Vergangene Woche hat das Unternehmen angekündigt, dass es bei der automatisierten Analyse von Dateien die vergebenen Vertraulichkeitslabels künftig stärker berücksichtigen möchte.

(dmk)