ktg-plugin-marketplace/plugins/ms-ai-architect/skills/ms-ai-engineering/references/azure-ai-services/ai-services-governance-compliance.md

Azure AI Services - Data Governance and Compliance

Last updated: 2026-05 Status: GA Category: Azure AI Services (Foundry Tools)

---

Introduksjon

Data governance og compliance for Azure AI Services handler om å etablere tekniske kontroller som oversetter regulatoriske krav og organisasjonspolicyer til konkrete mekanismer for datahåndtering. Dette omfatter styring av dataaksess, prosessering, lagring, residency, retention og auditlogging.

Azure AI Services (tidligere Cognitive Services) tilbyr innebygde kapabiliteter for å møte både regulatoriske krav (GDPR, HIPAA, ISO-sertifiseringer) og interne governance-policyer. Integrasjon med Microsoft Purview, Azure Policy, Azure Monitor og Key Vault gir en helhetlig styringsmodell som dekker hele datalivssyklusen.

Primære governance-domener:

• Data residency og sovereignty — kontroll over geografisk lagring og prosessering
• Data retention og lifecycle — styring av hvor lenge data lagres
• Audit logging — sporbarhet og etterlevelse av compliance-krav
• Consent management — brukerstyrt tilgang til personopplysninger
• Encryption og key management — sikkerhet for data at rest og in transit

Verifikasjonsgrad: Verified (MCP — microsoft-learn januar 2026)

---

Kjernekomponenter

1. Microsoft Purview for AI Governance

Microsoft Purview er den sentrale governance-plattformen for AI-applikasjoner i Azure-økosystemet.

Kapabilitet	Beskrivelse	AI Services-støtte
Compliance Manager	Oversetter reguleringer (EU AI Act, GDPR) til tekniske kontroller	✅ Støttet
Data Security Posture Management (DSPM) for AI	Oppdager, sikrer og håndhever compliance-kontroller	✅ Støttet via Foundry
Data Classification	Identifiserer og tagget sensitiv data i prompts/responses	✅ Støttet
Sensitivity Labels	Arver og håndhever merking fra Microsoft 365-data	✅ Støttet
Data Loss Prevention (DLP)	Blokkerer deling av sensitiv informasjon til AI-endepunkter	✅ Støttet (via Entra-registrerte apps)
Audit Logging	Fanger prompts, responses og filtilganger	✅ Unified Audit Log
Data Lifecycle Management	Retention policies for AI-interaksjoner	✅ Støttet
eDiscovery	Søk, bevar og eksporter AI-interaksjoner	✅ Støttet

Konfigurering:

For å aktivere Purview for Azure AI Services (Foundry):

1. Via Azure AI Foundry Portal — Aktiver "Microsoft Purview Data Security" i Control Plane
2. Via Microsoft Defender for Cloud — Aktiver "Data Security for Azure AI with Microsoft Purview"

Viktig: Krever pay-as-you-go billing i Purview (audit logging er inkludert i Purview-lisensen).

2. Diagnostic Logging

Azure AI Services genererer rike diagnostikklogger for operasjoner, feilsøking og compliance.

Log-kategorier:

Kategori	Innhold	Bruksområde
Audit	Alle API-kall, autentiseringshendelser	Compliance, sikkerhet
RequestResponse	Full forespørsel/respons-data (inkl. prompts)	Feilsøking, kostnadsstyring
AllMetrics	Latency, throughput, feilrater	Ytelsesovervåking

Lagringsdestinasjoner:

• Azure Storage — Langtidslagring for compliance (konfigurerbar retention)
• Log Analytics Workspace — Sanntidsanalyse med Kusto Query Language (KQL)
• Event Hub — Streaming til eksterne SIEM-systemer

Konfigurasjon:

# Via Azure Portal:
# Resource → Monitoring → Diagnostic settings → Add diagnostic setting
# Velg kategorier: Audit, RequestResponse, AllMetrics
# Destinasjon: Storage Account + Log Analytics

KQL-eksempel — Siste 10 AI Services-operasjoner:

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.COGNITIVESERVICES"
| take 10

3. Data Residency

Azure AI Services lagrer og prosesserer data i den geografiske regionen du velger ved opprettelse av ressursen.

Residency-garanti:

• Data lagres kun i valgt Geography (eks. Europe, Norway)
• Azure kan replikere innenfor samme Geography for høy tilgjengelighet
• Data forlater aldri Geography uten eksplisitt konfigurasjon

Unntak:

• Telemetry logs (objektnavn som indexer, skillsets) lagres globalt i 1,5 år for Microsoft-support
• Caching-funksjoner (Enrichment Cache, Debug Sessions) som bruker Azure Storage i annen region

Offentlig sektor Norge:

For norsk offentlig sektor anbefales:

• Norway East (primær) + Norway West (sekundær) for redundans
• Unngå geo-redundant storage (GRS) som replikerer til andre land
• Bruk Locally Redundant Storage (LRS) eller Zone Redundant Storage (ZRS)

Konfigurasjon:

# Ved opprettelse av AI Services-ressurs:
Location: "Norway East"
Storage redundancy: "LRS" (ikke GRS)

4. Data Retention og Lifecycle

Retention-krav per kategori:

Data-type	Standard retention	Justerbar?	Slettemekanisme
Diagnostic logs	90 dager (Log Analytics default)	✅ 30-730 dager	Automatisk purging
Training data	Ubegrenset (kundestyrt)	✅ Ja	Manuell sletting via API
Custom models	Ubegrenset	✅ Ja	DELETE-operasjon
Request/response logs	0 dager (opt-in)	✅ Ja	Storage lifecycle policy
Purview-captured interactions	Definerbart via retention policy	✅ Ja	Data Lifecycle Management

Purview Retention Policy (eksempel):

Policy: "AI Interactions Retention"
Location: Enterprise AI apps
Retention: 7 years (norsk arkivlov)
Action: Delete automatically after period

GDPR-støtte:

• Right to erasure — Slett brukerdata via Azure Management API
• Right to access — Eksporter via eDiscovery eller Storage-export
• Anonymization — Fjern PII fra logs før langtidslagring

5. Consent Management

Azure AI Services støtter ikke innebygd consent management, men integreres med Entra ID og Microsoft Purview for consent tracking.

Implementasjonsmønster:

1. User consent flow — Autentiser via Entra ID med OAuth2-scopes
2. Logging av consent — Lagre consent-hendelser i Application Insights custom events
3. Consent withdrawal — Trigger deletion av user-specific data via Management API

Eksempel (pseudokode):

// 1. Innhent consent ved autentisering
const consentScopes = ["AIService.ReadWrite", "User.Read"];
const token = await msalClient.acquireToken(consentScopes);

// 2. Logg consent-hendelse
appInsights.trackEvent({
  name: "UserConsentGranted",
  properties: {
    userId: token.claims.sub,
    scopes: consentScopes,
    timestamp: Date.now()
  }
});

// 3. Ved withdrawal — slett brukerdata
await aiServiceClient.deleteUserData(userId);

6. Encryption og Key Management

Azure AI Services krypterer all data at rest med Microsoft-managed keys som standard.

Customer-Managed Keys (CMK):

Organisasjoner kan bruke egne nøkler fra Azure Key Vault for ekstra kontroll:

Feature	Microsoft-Managed Keys	Customer-Managed Keys
Encryption at rest	✅ Default	✅ Valgfritt
Key rotation	Automatisk	Kundekontrollert
Compliance (GDPR, ISO)	✅ Ja	✅ Ja (med ekstra audit trail)
Tilgjengelige regioner	Alle	Alle

Konfigurasjon via Azure Policy:

{
  "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/67121cc7-ff39-4ab8-b7e3-95b84dab487d",
  "displayName": "Azure AI services should enable data encryption with CMK",
  "effect": "Audit" // eller "Deny"
}

Key Vault-integrasjon:

• AI Services bruker Managed Identity for autentisering mot Key Vault
• Støtter automatic key rotation hvis aktivert i Key Vault
• Keys kan lagres i HSM-backed Key Vault for FIPS 140-2 Level 3

---

Arkitekturmønstre

Mønster 1: Multi-Region Compliance Architecture

Scenario: Global organisasjon med data residency-krav i EU og Norge.

┌─────────────────────────────────────────────────────┐
│                Azure Front Door                      │
│          (Global routing med geo-filtering)          │
└───────────────────┬─────────────────────────────────┘
                    │
        ┌───────────┴────────────┐
        │                        │
┌───────▼─────────┐    ┌────────▼────────┐
│  Norway East    │    │  West Europe    │
│  AI Services    │    │  AI Services    │
│  (Norge-data)   │    │  (EU-data)      │
└───────┬─────────┘    └────────┬────────┘
        │                       │
┌───────▼─────────┐    ┌────────▼────────┐
│ Log Analytics   │    │ Log Analytics   │
│ Norway East     │    │ West Europe     │
└───────┬─────────┘    └────────┬────────┘
        │                       │
        └───────────┬───────────┘
                    ▼
        ┌───────────────────────┐
        │  Microsoft Purview    │
        │  (Central governance) │
        └───────────────────────┘

Implementeringsprinsipper:

1. Geo-routing — Front Door router norske IP-er til Norway East
2. Isolerte workspaces — Separate Log Analytics per region
3. Sentralisert policy — Purview Compliance Manager håndhever samme policy på tvers

Mønster 2: Zero-Trust Governance Model

Scenario: Offentlig sektor med GDPR/Schrems II-krav.

┌──────────────────────────────────────────────────┐
│          User (Entra ID + Conditional Access)    │
└────────────────────┬─────────────────────────────┘
                     │
                     │ (User context token)
                     ▼
┌──────────────────────────────────────────────────┐
│      Azure AI Services (Norway East)             │
│  ┌────────────────────────────────────────────┐  │
│  │ Microsoft Purview DLP Policy               │  │
│  │ - Block credit cards, SSN                 │  │
│  │ - Watermark sensitive outputs              │  │
│  └────────────────────────────────────────────┘  │
└────────────────────┬─────────────────────────────┘
                     │
         ┌───────────┴───────────┐
         │                       │
┌────────▼─────────┐   ┌────────▼──────────┐
│ Diagnostic Logs  │   │ Purview Audit Log │
│ (Log Analytics)  │   │ (Unified Audit)   │
└────────┬─────────┘   └────────┬──────────┘
         │                      │
         └──────────┬───────────┘
                    ▼
        ┌───────────────────────┐
        │  Microsoft Sentinel   │
        │  (SIEM + alerting)    │
        └───────────────────────┘

Implementeringsprinsipper:

1. User context enforcement — AI Services arver brukerens Entra ID-tilganger
2. Real-time DLP — Purview blokkerer sensitive prompts før prosessering
3. Continuous monitoring — Sentinel analyserer logs for compliance-brudd

Mønster 3: Hybrid On-Premises/Cloud Governance

Scenario: Skjermingsverdige data som ikke kan forlate Norge.

┌──────────────────────────────────────────┐
│     On-Premises / Azure Stack HCI        │
│  ┌────────────────────────────────────┐  │
│  │  Azure AI Services (Container)     │  │
│  │  - Text Analytics, OCR, osv.       │  │
│  │  - Ingen data forlater datacenter  │  │
│  └────────────────┬───────────────────┘  │
│                   │                      │
│  ┌────────────────▼───────────────────┐  │
│  │  Local Storage (encrypted)         │  │
│  └────────────────────────────────────┘  │
└──────────────────────────────────────────┘
                   │
                   │ (Metadata only, no content)
                   ▼
┌──────────────────────────────────────────┐
│       Azure (Norway East)                │
│  ┌────────────────────────────────────┐  │
│  │  Microsoft Purview                 │  │
│  │  - Audit metadata                  │  │
│  │  - Compliance posture              │  │
│  └────────────────────────────────────┘  │
└──────────────────────────────────────────┘

Implementeringsprinsipper:

1. Containerized deployment — Azure AI Services i Docker/Kubernetes on-prem
2. Air-gapped content — Kun metadata (ikke innhold) sendes til Azure
3. Hybrid governance — Purview mottar compliance-telemetri, ikke brukerdata

---

Beslutningsveiledning

Når bør du bruke Customer-Managed Keys?

Scenario	Microsoft-Managed Keys	Customer-Managed Keys
Offentlig sektor (Norge)	⚠️ Mulig, men vurder CMK	✅ Anbefalt (audit trail)
GDPR/HIPAA-regulert	✅ Tilstrekkelig	✅ Økt kontroll
Finansielle data	⚠️ Vurder risikoappetitt	✅ Anbefalt
Proof-of-Concept	✅ Enklere oppsett	❌ Unødvendig kompleksitet

Kostnad: CMK har ingen ekstra Azure AI Services-kostnad, men Key Vault faktureres separat (~$0.03 per 10 000 operasjoner).

Hvordan velge Diagnostic Log Retention?

┌─────────────────────────────────────────────────┐
│ Compliance-krav?                                │
│  → GDPR: 6-7 år                                 │
│  → Arkivloven (Norge): 7 år                     │
│  → Helsedata: 10 år                             │
└───────────────────┬─────────────────────────────┘
                    │
        ┌───────────┴────────────┐
        │                        │
┌───────▼─────────┐    ┌────────▼──────────┐
│  Hot tier       │    │  Cool tier        │
│  Log Analytics  │    │  Azure Storage    │
│  30-90 dager    │    │  1-10 år          │
│  $2.30/GB       │    │  $0.01/GB/måned   │
└─────────────────┘    └───────────────────┘

Anbefaling:

• 0-90 dager: Log Analytics (rask KQL-søk)
• 90 dager - 7 år: Azure Storage Cool tier (compliance)
• Kostnadskontroll: Filtrer bort høyfrekvente metrics før lagring

DLP Policy for AI Services — Hva blokkere?

Data-type	Anbefaling	Purview-konfigurasjon
Norske personnummer (11 siffer)	✅ Blokker	Custom SIT: [0-9]{11}
Kredittkortnummer	✅ Blokker	Built-in SIT: Credit Card
E-postadresser	⚠️ Vurder context	Built-in SIT: Email Address
Passordhint	✅ Blokker	Custom keyword list
Sensitive filreferanser	✅ Blokker hvis encrypted	Sensitivity Label check

Konfigurasjon (PowerShell):

# Opprett DLP-regel for Entra-registrert AI app
New-DlpComplianceRule -Name "BlockPIIInAIPrompts" `
  -Policy "AIServicesDLP" `
  -BlockAccess $true `
  -ContentContainsSensitiveInformation @(
    @{Name="Norway National ID Number"; minCount=1},
    @{Name="Credit Card Number"; minCount=1}
  ) `
  -Workload "ThirdPartyApps" `
  -AppId "<Entra-app-id-for-AI-service>"

---

Integrasjon med Microsoft-stakken

Azure AI Foundry

Azure AI Foundry (tidligere Azure AI Studio) er den moderne plattformen for AI-utvikling, med førsteklasses governance-integrasjon.

Purview-aktivering:

1. Foundry Portal → Control Plane → Security & Compliance → Enable Microsoft Purview Data Security
2. Resultater:
   • Prompts/responses fanges i Unified Audit Log
   • Klassifisering av sensitive data i Activity Explorer
   • Retention policies håndterer AI-interaksjoner

Agent Identity Management:

Foundry støtter Microsoft Entra Agent Identity for unik identifisering av AI-agenter:

Agent Identity:
  Name: "customer-support-bot-prod"
  Owner: "platform-team@contoso.no"
  Version: "2.1.0"
  Lifecycle: "Production"
  Entra ID: "a1b2c3d4-..."

Observability:

• Agent 365 — Sentralisert visning av alle AI-agenter i organisasjonen
• Dashboards — Real-time metrics for token-forbruk, latency, feilrater
• Cost Management — Allokering av AI-kostnader per avdeling/prosjekt

Microsoft 365 Copilot

AI Services kan integreres med M365 Copilot-data ved å respektere sensitivity labels:

Scenario: RAG-basert AI-agent som søker i SharePoint-dokumenter.

1. Sensitivity label enforcement — Hvis dokument er merket "Confidential", krever AI EXTRACT-rett
2. User permission inheritance — AI arver brukerens SharePoint-tilganger
3. Audit trail — Purview logger hvilke dokumenter AI aksesserte

Konfigurasjon:

# Azure AI Search index med Purview-integrasjon
Index: "sharepoint-docs"
Data source: SharePoint Online
Security trimming: Enabled (AAD-based)
Sensitivity label: Enforced (EXTRACT required)

Power Platform

Power Platform AI Builder bruker samme Purview-infrastruktur.

DLP Policies for Power Platform:

Environment: "Production"
Connector: Azure OpenAI
Policy: "Block high-risk data"
Rules:
  - Block if prompt contains Credit Card Number
  - Warn if response includes Email Address

---

Offentlig sektor (Norge)

Juridiske rammeverk

Lov/regelverk	Relevans for AI Services	Teknisk tiltak
Personopplysningsloven (GDPR)	Behandling av personopplysninger	Data residency Norway, CMK, DLP
Arkivloven	7 års oppbevaringsplikt	Retention policies, Storage lifecycle
Sikkerhetsloven	Sikkerhetsgradert informasjon	Air-gapped deployment (Azure Stack)
Schrems II	Dataoverføring til USA	Norway-only regions, no US support access

Anbefalt konfigurasjon for offentlig sektor

AI Services Configuration (Norway Public Sector):
  Region: Norway East
  Backup region: Norway West
  Storage redundancy: ZRS (Zone Redundant, ikke GRS)
  Encryption: Customer-Managed Keys (Azure Key Vault Norway)
  Diagnostic logs:
    Destination: Log Analytics (Norway East)
    Retention: 7 years (Arkivloven)
    Categories: Audit, RequestResponse
  Purview:
    DLP policies: Block personnummer, kredittkortnummer
    Sensitivity labels: Enforce EXTRACT right
    Retention: 7 years
  Network:
    Public access: Disabled
    Private endpoint: Enabled (VNet-integration)
    Firewall: Restrict to public sector IP ranges
  Support:
    Microsoft support access: Disabled (Lockbox not approved)
    Telemetry: Object names only (no content)

Data Processor Agreement (DPA)

Microsoft tilbyr standard DPA for Azure-tjenester:

• EU Model Clauses — Godkjent mekanisme for dataoverføring
• ISO 27018 — Sertifisering for personvern i cloud
• Compliance Manager — Dokumentasjon for revisor

Dokumenter:

• Microsoft Products and Services DPA
• Azure Compliance Documentation

Risiko og avbøtende tiltak

Risiko	Sannsynlighet	Konsekvens	Avbøtende tiltak
Data leaks til USA	Lav	Høy	Norway-only regions, disable telemetry
Uautorisert tilgang	Medium	Høy	Private endpoints, Entra Conditional Access
Manglende audit trail	Lav	Medium	Purview Unified Audit Log, 7-års retention
Support-tilgang til data	Lav	Høy	Disable Microsoft support access (Customer Lockbox)

---

Kostnad og lisensiering

Azure AI Services Pricing (Compliance-relatert)

Komponent	Kostnad	Faktureringsmodell
AI Services (API-kall)	Varierer per service	Per transaksjon/token
Diagnostic logs (Log Analytics)	$2.30/GB	Data ingestion + retention
Azure Storage (Cool tier)	$0.01/GB/måned	Lagring + operasjoner
Key Vault (CMK)	$0.03 per 10 000 ops	Per nøkkeloperasjon
Private Endpoint	$0.01/time	Per endepunkt

Purview-kostnader:

Feature	Lisens	Pay-as-you-go
Audit (Unified Log)	✅ Inkludert	—
DLP Policies	❌ Krever E5/F5	✅ $2 per user/måned
Sensitivity Labels	❌ Krever E3/E5	✅ $1 per user/måned
DSPM for AI	❌ Ikke i standard lisens	✅ $5 per AI app/måned

Kostnadsoptimalisering:

1. Filtrer metrics — Ikke logg høyfrekvente metrics som ikke trengs for compliance
2. Cool tier migration — Flytt logs > 90 dager til Azure Storage Cool tier
3. Sampling — Bruk Application Insights sampling (eks. 10% av requests) for ikke-compliance-logs

Lisensiering for compliance-features

Microsoft 365:

• E3 — Sensitivity labels, basis DLP
• E5 — Avansert DLP, Insider Risk Management, eDiscovery
• F5 — Frontline workers med DLP

Azure:

• Azure AI Services — Ingen ekstra lisens for governance-features (betaler kun for API-bruk)
• Microsoft Purview — Pay-as-you-go eller inkludert i M365 E5

Anbefaling for offentlig sektor:

• Minimum: Azure AI Services + Purview pay-as-you-go (DLP + Audit)
• Anbefalt: M365 E5 (full compliance-suite) + Azure AI Services

---

For arkitekten (Cosmo)

Sentrale beslutningspunkter

1. Data residency-valg:

Spørsmål til kunden:

• "Har dere juridiske krav til at data ikke kan forlate Norge?"
• "Er data klassifisert som sikkerhetsgradert (konfidensielt/hemmelig)?"

Avgjørelsestre:

Sikkerhetsgradert data?
├─ Ja → Azure Stack HCI (on-premises) eller Azure Government
└─ Nei → Norway East + Norway West
          ├─ GDPR/Schrems II-bekymringer?
          │  ├─ Ja → Disable telemetry, CMK, Private endpoints
          │  └─ Nei → Standard konfigurasjon OK
          └─ Kostnadsoptimalisering?
             ├─ Ja → West Europe (billigere, men EU-residency)
             └─ Nei → Norway East (best latency)

2. Logging og retention:

Spørsmål til kunden:

• "Hvor lenge må dere oppbevare audit logs? (Arkivloven sier 7 år)"
• "Trenger dere real-time alerting på compliance-brudd?"

Anbefalinger:

• Offentlig sektor: 7 år retention i Azure Storage Cool tier
• Privat sektor (GDPR): 6 år retention (etter oppbevaringsplikt)
• Real-time alerting: Log Analytics + Microsoft Sentinel

3. DLP-konfigurasjon:

Spørsmål til kunden:

• "Hvilke datatyper er mest kritiske å beskytte? (Personnummer, helseopplysninger, etc.)"
• "Skal AI-tjenesten blokkere eller bare advare ved sensitiv data?"

Konfigurasjonsmønster:

DLP Strategy:
  Phase 1 (Audit):
    Action: Log only
    Duration: 30 days
    Goal: Forstå datamønstre
  Phase 2 (Warn):
    Action: User warning (can override)
    Duration: 60 days
    Goal: Brukeropplæring
  Phase 3 (Block):
    Action: Hard block
    Goal: Håndheve compliance

Vanlige fallgruver og løsninger

Fallgruve	Symptom	Løsning
Telemetry til USA	Object names (index names) lagres i USA	Ikke bruk sensitive navn i Azure-ressurser
GRS replikerer til annet land	Data kopieres til paired region utenfor Norge	Bruk LRS eller ZRS for Norge-only
Manglende audit trail	Ingen logs i Purview	Aktiver Diagnostic Settings + Purview Data Security
Support får tilgang til data	Microsoft support kan se data ved tickets	Disable support access via Customer Lockbox
Høye Log Analytics-kostnader	$1000+ per måned for small-scale	Filtrer bort verbose metrics, bruk Storage Cool tier

Sjekkliste før produksjonsdeploy

Governance & Compliance Checklist:

□ Region valgt (Norway East for offentlig sektor)
□ Storage redundancy satt til LRS/ZRS (ikke GRS)
□ Customer-Managed Keys konfigurert (hvis påkrevd)
□ Diagnostic Logging aktivert (Audit + RequestResponse)
□ Log Analytics Workspace opprettet (Norway East)
□ Retention policy satt (7 år for Arkivloven)
□ Microsoft Purview Data Security aktivert
□ DLP policies opprettet og testet
□ Sensitivity labels konfigurert (hvis M365-integrasjon)
□ Private Endpoint aktivert (disable public access)
□ Network firewall rules konfigurert
□ Entra Conditional Access policies applied
□ Audit log-søk testet (verifiser data fanges)
□ eDiscovery-eksport testet (verifiser GDPR-slettingsevne)
□ Kostnadsvarsler satt (budsjettmål)
□ Dokumentasjon for revisor ferdigstilt
□ Data Processor Agreement signert (DPA)

Kommunikasjon med interessenter

For juridisk avdeling:

"Azure AI Services er GDPR-compliant ut av boksen, men krever konfigurasjon for Norge-spesifikke krav. Vi anbefaler Norway East-region med Customer-Managed Keys og 7 års audit log retention for å møte Arkivloven. Microsoft tilbyr standard Data Processor Agreement (DPA) med EU Model Clauses."

For økonomiavdeling:

"Compliance-funksjoner som audit logging og encryption er inkludert i Azure AI Services-prisen. Microsoft Purview DLP koster ca. $2 per bruker per måned (pay-as-you-go). Log retention i Azure Storage Cool tier koster ca. $0.01 per GB per måned. Estimert totalkostnad for governance: 5-10% av total AI Services-kostnad."

For sikkerhetsavdeling:

"Vi konfigurerer Private Endpoints (ingen public internet access), Customer-Managed Keys (full nøkkelkontroll), og real-time DLP-blokkering av personnummer. All aktivitet logges til Microsoft Purview Unified Audit Log med 7 års retention. Microsoft Sentinel kan alertere ved avvik. Support-tilgang fra Microsoft kan deaktiveres via Customer Lockbox."

Ytterligere ressurser

For dypdykk i spesifikke områder:

• Data residency-detaljer → Les data-residency-sovereignty.md (når tilgjengelig)
• Audit logging-patterns → Les audit-logging-patterns.md (når tilgjengelig)
• Encryption og key management → Les encryption-key-management.md (når tilgjengelig)

Eksterne lenker:

• Microsoft Trust Center — Azure Compliance
• Azure compliance documentation
• Microsoft Purview documentation

---

Kilder og verifisering

Verifikasjonsmetode: Microsoft Learn MCP (microsoft-learn) januar 2026

Primærkilder (Verified):

1. Governance and security for AI agents across the organization https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ai-agents/governance-security-across-organization Sist bekreftet: 2026-02

2. Use Microsoft Purview to manage data security & compliance for Microsoft Foundry https://learn.microsoft.com/en-us/purview/ai-azure-services Sist bekreftet: 2026-02

3. Enable diagnostic logging for Azure AI services https://learn.microsoft.com/en-us/azure/ai-services/diagnostic-logging Sist bekreftet: 2026-02

4. Azure, Dynamics 365, and Power Platform accountability readiness checklist for GDPR https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-arc-azure-dynamics Sist bekreftet: 2026-02

5. Govern Azure platform services (PaaS) for AI https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/scenarios/ai/platform/governance Sist bekreftet: 2026-02 (via search)

6. Azure security baseline for Azure AI services https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/cognitive-services-security-baseline Sist bekreftet: 2026-02 (via search)

Sekundærkilder (Baseline-kunnskap, verifisert mot MCP-søk):

• Azure Policy for AI Services
• Microsoft Purview Compliance Manager
• Azure Monitor og Log Analytics
• Key Vault integration
• Data residency commitments (Azure global infrastructure)

Confidence-gradering:

• ✅ Verified — Bekreftet via MCP microsoft-learn dokumentasjon (januar 2026)
• ⚠️ Baseline — Basert på modellkunnskap, ingen motstridende MCP-data funnet

Total antall MCP-kall: 8 (4 docs_search + 4 docs_fetch) Unike kilder: 6 primærkilder + 4 sekundærkilder fra søk Sist oppdatert: 2026-05