Task #5 del 1/3 (URL-migrering). Verifiseringen motbeviste STATE.md-premisset om ren prefix-swap: rebrand er per-URL, ikke mekanisk. En blind sed ai-foundry→foundry ville lagd 56 nye 404-er (classic-stiene finnes ikke under nytt foundry/-prefiks — bekreftet empirisk). Metode: resolverte alle 237 unike KB-URLer mot live redirects (curl -L), bygde full-URL→full-URL-mapping fra faktisk url_effective. Bevarer locale-form, query (?view=) og #fragment per lenke. - 231 navnerom-erstatninger over 141 filer (408 forekomster): - 161 → azure/foundry/ (98 ren prefix-swap + 10 sti-reorg + reorg-tilfeller) - 69 → azure/foundry-classic/ (eldre hub-spor: assistants, hub-DR, on-your-data; faktisk redirect-mål per operatorvalg) - 1 → azure/foundry-local/ - 2 døde lenker (404) fikset til verifiserte mål: - agent-service → azure/foundry/agents/overview - concepts/evaluation-evaluators/ → azure/foundry/how-to/evaluate-generative-ai-app - 5 path-/display-referanser (uten https://, i backticks/lenketekst) rettet manuelt. - 6 slug-baserte ai-foundry-treff urørt (scope-grense): managed-grafana-dashboard, security-baseline, power-platform prompt-builder, architecture baseline-chat (sistnevnte slug-rebrand i annet navnerom — mulig fremtidig funn). - Parkert til task #5 del 2/3: Norway East GPT-5-datasuverenitet-fiks + modellkatalog-utvidelse (5.3/5.4/5.5, gpt-oss, sora-2). Verifisert: 0 gjenværende azure/ai-foundry/-navnerom i skills/. validate-plugin.sh 219 PASS. test-kb-integrity.sh 117/117 passed. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> Claude-Session: https://claude.ai/code/session_01REiKFhP4w6xGXXqWKpPCJJ
29 KiB
Compliance Monitoring and AI Governance Dashboards
Last updated: 2026-05 Status: GA Category: Monitoring & Observability
Introduksjon
Compliance monitoring og AI governance dashboards gir organisasjoner strukturert oversikt over hvordan AI-systemer overholder reguleringskrav, sikkerhetspolicyer og etiske retningslinjer. I en tid der AI Act, GDPR, Schrems II og nasjonale regelverk setter strenge krav til hvordan AI skal utvikles og driftes, er kontinuerlig compliance-overvåking ikke lenger valgfritt — det er en forutsetning for produksjonssetting.
Microsoft-stakken tilbyr tre komplementære lag for AI governance: Microsoft Purview Compliance Manager for regulatorisk compliance på tvers av multicloud-miljøer, Azure Policy for teknisk policy enforcement på infrastruktur- og modellnivå, og Microsoft Security Dashboard for AI for helhetlig sikkerhetsoversikt. Sammen danner disse en integrert governance-løsning som balanserer automatisert overvåking med human oversight.
Compliance monitoring for AI skiller seg fra tradisjonell IT-compliance ved at den må fange opp AI-spesifikke risikoer: prompt injection, jailbreak-forsøk, bias i modelloutput, uautorisert dataeksponering via prompts, og oversharing av sensitiv informasjon. Dette krever spesialiserte detection-mekanismer som går utover tradisjonelle SIEM-verktøy, og som kan inspisere både teknisk infrastruktur, dataflyt, modellinteraksjoner og business logic.
Kjernekomponenter
Microsoft Purview Compliance Manager
Central hub for compliance-tracking på tvers av Microsoft 365, Azure, Dynamics 365 og tredjepartsløsninger.
| Komponent | Formål | AI-spesifikk kapabilitet |
|---|---|---|
| Assessments | Gruppering av controls for en regulering/standard | AI-spesifikke templates (AI Act, ISO/IEC 23053:2022, NIST AI RMF) |
| Controls | Tekniske/organisatoriske krav | Microsoft-managed, customer-managed og shared controls for AI |
| Improvement Actions | Anbefalte tiltak for compliance | Step-by-step guidance, kan assignes til team, med status tracking |
| Compliance Score | Risk-based scoring (0-100%) | Vektet etter risiko — AI-controls får ofte høyere vekt |
| Regulatory Templates | 360+ pre-built templates | Inkluderer AI-spesifikke: EU AI Act, GDPR AI-tillegg, CCPA, HIPAA |
Workflow:
- Velg relevant regulatory template (f.eks. "EU AI Act High-Risk AI Systems")
- Compliance Manager genererer assessment med alle controls
- Tildel improvement actions til ansvarlige team
- Implementer tiltak, last opp dokumentasjon som evidence
- Compliance score oppdateres automatisk basert på completion
Azure Policy for AI Governance
Teknisk policy enforcement på Azure-ressursnivå — forhindrer non-compliant deployments før de skjer.
| Policy Type | Beskrivelse | Eksempel |
|---|---|---|
| Model Restriction | Kontrollerer hvilke AI-modeller som kan deployes | Kun GPT-4 Turbo og text-embedding-ada-002 tillatt i prod |
| Region Lock | Geografisk begrensning på AI-ressurser | Kun Azure Norway East/West (data residency) |
| Content Safety Enforcement | Krever Azure AI Content Safety filters | Påkrevd moderat+ filtering for alle prod-deployments |
| Logging & Monitoring | Krever diagnostikk-logging til Log Analytics | Alle Azure OpenAI-instanser må logge til sentral workspace |
| Tagging Enforcement | Påkrevde tags for compliance tracking | CostCenter, DataClassification, Owner, ComplianceScope |
| Network Restrictions | Tvinger private endpoints og VNet-integrasjon | Ingen public endpoints for høyrisiko-AI-tjenester |
Enforcement modes:
- Audit: Logg non-compliance, men tillat deployment (discovery-fase)
- Deny: Blokkér non-compliant ressurser (produksjon)
- Append/Modify: Automatisk legg til manglende konfigurasjoner (f.eks. tags, diagnostikk)
- DeployIfNotExists: Automatisk deploy required resources (f.eks. Log Analytics workspace)
Microsoft Security Dashboard for AI (Preview)
Unified view av AI-security posture på tvers av Microsoft Entra, Defender, Purview og Security Copilot.
Dashboard-seksjoner:
| Seksjon | Metrikker | Alerts |
|---|---|---|
| AI Agent Inventory | Totalt antall agents, managed vs. unmanaged, shadow AI | Nye uregistrerte agents oppdaget |
| Threat Detection | Jailbreak-forsøk, prompt injection, abuse patterns | High-severity AI-threats (real-time) |
| Data Security | Sensitive data i prompts/responses, oversharing risks | PII-lekkasje via AI-interaksjoner |
| Access Control | Conditional access policies, privileged access reviews | Over-privileged AI agent identities |
| Compliance Status | % av agents med required policies, policy drift | Non-compliant agents etter 24t grace period |
Supported products:
- Microsoft Entra: Agent identity platform, conditional access for AI apps
- Microsoft Defender for Cloud: AI workload discovery, posture management, threat protection
- Microsoft Purview: Data classification, DLP for AI prompts, insider risk detection
- Security Copilot: Prompt-basert exploration av AI-risikoer
Arkitekturmønstre
Pattern 1: Centralized Compliance Hub (anbefalt for enterprise)
Arkitektur:
┌─────────────────────────────────────────────────────────┐
│ Microsoft Purview Compliance Manager (central hub) │
│ - Regulatory assessments (AI Act, GDPR, sector-specific)│
│ - Improvement action tracking │
│ - Compliance score dashboard │
└────────────────┬────────────────────────────────────────┘
│
┌────────┴────────┐
│ │
┌───────▼───────┐ ┌──────▼────────────────────────┐
│ Azure Policy │ │ Microsoft Security Dashboard │
│ - Model allow │ │ - Agent inventory │
│ - Region lock │ │ - Threat detection │
│ - Logging req │ │ - Data security │
└───────┬───────┘ └──────┬────────────────────────┘
│ │
┌───────▼─────────────────▼──────────────────┐
│ Azure Monitor / Log Analytics │
│ - Centralized log storage │
│ - KQL queries for compliance reports │
│ - Alerts routed to governance team │
└───────┬────────────────────────────────────┘
│
┌───────▼─────────────────────────────────────┐
│ AI Workloads (Azure AI Foundry, Copilot │
│ Studio, Azure OpenAI, Copilot Experiences) │
└─────────────────────────────────────────────┘
Fordeler:
- Single source of truth for compliance status
- Unified policy enforcement på tvers av plattformer
- Automatisert evidence collection for audits
- Sentralisert alerting og remediation workflows
Ulemper:
- Høyere initial setup-kompleksitet
- Krever dedikert governance team
- Kan oppleves som rigid for autonome team (DevOps-friksjon)
Når bruke:
- Regulerte bransjer (finans, helse, offentlig sektor)
- Organisasjoner med 10+ AI-prosjekter
- Multi-tenant scenarios med ulike compliance-krav per tenant
Pattern 2: Decentralized Workload-Level Compliance
Arkitektur:
┌──────────────────────┐ ┌──────────────────────┐ ┌──────────────────────┐
│ Workload A │ │ Workload B │ │ Workload C │
│ - Local dashboard │ │ - Local dashboard │ │ - Local dashboard │
│ - Workload policies │ │ - Workload policies │ │ - Workload policies │
│ - Team-owned alerts │ │ - Team-owned alerts │ │ - Team-owned alerts │
└──────────┬───────────┘ └──────────┬───────────┘ └──────────┬───────────┘
│ │ │
└─────────────────────────┴─────────────────────────┘
│
┌──────────────▼──────────────────┐
│ Central Reporting (aggregated) │
│ - Compliance Manager summary │
│ - Cross-workload risk view │
└─────────────────────────────────┘
Fordeler:
- Team autonomy — hver workload eier sin compliance
- Lavere onboarding-friksjon for nye AI-prosjekter
- Raskere iterasjon (mindre sentralisert approval-lag)
Ulemper:
- Risiko for policy drift mellom workloads
- Vanskeligere å få enterprise-wide compliance view
- Duplikasjon av dashboard-arbeid
- Auditorer må sjekke mange steder
Når bruke:
- Organisasjoner med få (<5) AI-workloads
- Mature DevOps-kultur med sterke team boundaries
- Mindre regulerte domener (intern tooling, non-customer-facing AI)
Pattern 3: Hybrid: Central Policy + Local Dashboards
Arkitektur: Kombinerer sentralisert policy enforcement (Azure Policy, mandatory logging) med desentraliserte dashboards per workload.
Fordeler:
- Best of both worlds: enterprise governance MED team autonomy
- Central policies sikrer minimum compliance baseline
- Workload teams kan utvide med egne metrics uten å vente på central team
Ulemper:
- Krever klare grenser mellom "mandatory centralt" og "valgfritt lokalt"
- Mer kompleks onboarding (må forstå begge lag)
Når bruke:
- De fleste enterprise-organisasjoner — dette er sweet spot
- Organisasjoner i overgang fra decentralized til centralized governance
Beslutningsveiledning
Valg av compliance monitoring-strategi
| Kriterium | Centralized | Decentralized | Hybrid |
|---|---|---|---|
| Antall AI workloads | 10+ | <5 | 5-20 |
| Regulatory pressure | Høy (finans, helse, offentlig) | Lav (intern tooling) | Moderat |
| Governance maturity | Etablert compliance team | Team-owned compliance | I utvikling |
| Audit frequency | Kvartalsvis+ | Ad-hoc | Årlig |
| Multi-tenant | Ja | Nei | Delvis |
| DevOps kultur | Moderat autonomy | Høy autonomy | Varierende |
Vanlige feil
| Feil | Konsekvens | Mitigering |
|---|---|---|
| Kun audit-mode policies | Ikke blokkerer non-compliant deployments | Sett Deny-mode på kritiske policies (f.eks. region lock, public endpoints) |
| Manglende retention policies | AI interactions slettes → audit trail gap | Sett Purview retention policies for AI apps (7 år for regulerte sektorer) |
| Dashboards uten alerts | Compliance-brudd oppdages først ved manuell review | Konfigurer Azure Monitor alerts med remediation playbooks |
| Over-reliance på self-assessment | Rapportert compliance ≠ faktisk compliance | Kombiner automated scanning (Defender for Cloud) med manual audits |
| Single point of failure | Hvis Purview/Compliance Manager går ned → ingen oversikt | Eksporter compliance data til offline storage (JSON/CSV) månedlig |
Røde flagg (når eskalere)
| Observasjon | Risiko | Eskalering |
|---|---|---|
| Compliance score < 60% i 2+ måneder | Regulatory audit failure | C-level + legal |
| Shadow AI agents oppdaget (>5% av total) | Unmanaged risk, data leakage | CISO + data protection officer |
| High-severity AI threats (jailbreak) med >1 time responstid | Brand damage, model compromise | Security incident response team |
| PII-lekkasje i prompts/responses | GDPR breach (opp til 4% av global revenue) | Legal + privacy officer → varsling til Datatilsynet innen 72t |
| Non-compliant model deployment i prod | Regulatory penalty | Rollback + post-mortem |
Integrasjon med Microsoft-stakken
Azure AI Foundry
Compliance-features:
- AI Reports: Generer PDF/SPDX-rapporter med model cards, evaluation metrics, content safety config → brukes som evidence i Compliance Manager
- Built-in Policy for Model Deployment: Azure Policy templates for å begrense hvilke modeller som kan deployes
- Management Center: Sentralisert administrasjon av quotas, access, cost tracking
- Agent 365 Publishing: Publiser agents til sentral katalog for observability
Integration point:
# Azure AI Projects SDK: Enable compliance telemetry
from azure.ai.projects.aio import AIProjectClient
from azure.identity.aio import DefaultAzureCredential
async with DefaultAzureCredential() as credential, \
AIProjectClient(endpoint="https://project.api.azureml.ms", credential=credential) as client:
# Send telemetry to Azure Monitor for compliance tracking
await client.configure_azure_monitor(enable_live_metrics=True)
Azure API Management (AI Gateway)
Governance capabilities:
- Token consumption metrics: Emit til Application Insights med custom dimensions (user ID, cost center, API ID)
- Quota enforcement: Rate limits per user/tenant
- Logging: Prompts, completions, token usage → Azure Monitor Logs
- Policy enforcement: Input validation, content filtering, max token caps
Sample policy:
<llm-emit-token-metric namespace="llm-compliance">
<dimension name="UserID" value="@(context.Request.Headers.GetValueOrDefault("x-user-id", "anonymous"))" />
<dimension name="CostCenter" value="@(context.Request.Headers.GetValueOrDefault("x-cost-center", "unassigned"))" />
<dimension name="DataClassification" value="@(context.Request.Headers.GetValueOrDefault("x-data-class", "unknown"))" />
</llm-emit-token-metric>
Microsoft Purview
AI-specific solutions:
- Data Security Posture Management (DSPM) for AI: Discover AI apps, classify data in prompts, detect oversharing
- Audit logs: Unified audit log for AI interactions (prompts, responses, referenced files, sensitivity labels)
- Communication Compliance: Policy violations i AI-generert innhold (harassment, sensitive info sharing)
- eDiscovery: Søk og slett AI interaction data (GDPR "right to be forgotten")
- Retention policies: Automatisk retain/delete prompts og responses per compliance requirements
Collection policies:
DSPM for AI - Detect sensitive info shared with AI via networkDSPM for AI - Capture interactions for enterprise AI appsDSPM for AI - Capture interactions for Copilot experiences
Azure Monitor & Log Analytics
Compliance queries (KQL):
// AI policy compliance violations siste 7 dager
AzureDiagnostics
| where TimeGenerated > ago(7d)
| where ResourceType == "MICROSOFT.COGNITIVESERVICES/ACCOUNTS"
| where Category == "RequestResponse" or Category == "Audit"
| extend ComplianceStatus = iff(ResourceId has "prod" and Location !in ("norwayeast", "norwaywest"), "NON_COMPLIANT", "COMPLIANT")
| summarize Violations = countif(ComplianceStatus == "NON_COMPLIANT") by bin(TimeGenerated, 1d), ResourceId
| order by Violations desc
// Token usage per cost center (via APIM custom dimensions)
AppMetrics
| where Name == "TokensProcessed"
| extend CostCenter = tostring(Properties["CostCenter"])
| summarize TotalTokens = sum(Sum), TotalCost = sum(Sum) * 0.00002 by CostCenter, bin(TimeGenerated, 1h)
| order by TotalCost desc
Offentlig sektor (Norge)
AI Act compliance (høyrisiko-AI)
Obligatoriske tiltak for høyrisiko-AI-systemer:
- Risikovurdering: Dokumenter i Compliance Manager assessment (bruk "EU AI Act High-Risk" template)
- Data governance: Purview DSPM for AI → klassifiser treningsdata og prompt/response-data
- Human oversight: Azure Monitor alerts med manual review-steg før kritiske AI-beslutninger
- Transparency: AI Reports fra Azure AI Foundry → model cards, evaluation metrics
- Technical documentation: Generer SPDX-rapport fra AI Foundry → leverandøruavhengig format
- Logging: 6 måneders retention minimum (for high-risk AI) → Purview retention policy
- Conformity assessment: Tredjepartsaudit av AI-system før produksjonssetting
Azure-mappings:
- Article 9 (Risk management): Azure Policy + Defender for Cloud AI workload risk assessment
- Article 10 (Data governance): Purview data classification + quality monitoring
- Article 12 (Record-keeping): Azure Monitor Logs + Purview audit logs (6 mnd+)
- Article 13 (Transparency): AI Foundry model cards + content safety config i AI Reports
- Article 14 (Human oversight): Azure Monitor alerts → human-in-the-loop workflows (Logic Apps/Power Automate)
GDPR & Schrems II
Data residency:
- Azure Policy:
Denydeployments utenfor Norway East/West (eller EU-regioner) - Azure AI Foundry: Velg region ved project creation → kan ikke flyttes senere
- Azure OpenAI: EU Data Boundary garanterer at prompts/responses ikke forlater EU
Right to erasure (Article 17):
- Purview eDiscovery: Søk etter brukers AI-interaksjoner basert på UserID
- Slett fra retention store innen 30 dager etter request
- Azure Monitor Logs: Purge API for å slette specific user data
DPIA (Data Protection Impact Assessment):
- Obligatorisk for AI som prosesserer persondata i stor skala
- Bruk Compliance Manager "GDPR" assessment som template
- Inkluder Defender for Cloud AI risk assessment i DPIA-dokumentasjonen
Utredningsinstruksen & Forvaltningsloven
Krav til sporbarhet i offentlig forvaltning:
- Azure Monitor audit logs må kunne dokumentere: Hvem, hva, når, hvorfor for alle AI-beslutninger
- Retention: Minimum 10 år for saker som kan få rettslige konsekvenser (extend Purview retention policy)
- Purview audit logs: Capture AI interactions som referenced arkivsaker (via custom dimensions)
Intern kontroll (§ 14):
- Kvartalsvise compliance reviews i Compliance Manager
- Automated Azure Policy scanning + manual audit (kombinasjon)
- Security Dashboard for AI: Månedlig review av threat detections og policy drift
Kostnad og lisensiering
Purview Compliance Manager
| Lisens | Inkludert | AI-relevante features |
|---|---|---|
| Microsoft 365 E3 | Basic assessments (Microsoft baseline) | ❌ Ingen AI-spesifikke templates |
| Microsoft 365 E5 | 360+ regulatory templates, custom templates, automated assessments | ✅ AI Act, ISO/IEC 23053, NIST AI RMF templates |
| Purview Compliance standalone | Full Compliance Manager + DLP + eDiscovery | ✅ DSPM for AI, AI audit logs, retention for AI apps |
Prismodell:
- Compliance Manager: Inkludert i E5 (ingen ekstra kostnad)
- DSPM for AI: Requires Purview Compliance (del av E5 eller standalone)
- Custom assessments: Unlimited i E5
Azure Policy
Kostnad: GRATIS (ingen direkte kostnad for policy evaluations) Hidden costs:
- Azure Monitor Logs storage: ~$2.5/GB/måned (prompts/responses kan bli volumtunge)
- Remediation workflows (Logic Apps/Azure Functions): $0.000025 per execution
Microsoft Security Dashboard for AI
Kostnad: GRATIS (Preview — pricing TBA ved GA) Requirements:
- Microsoft Entra (inkludert i Microsoft 365)
- Microsoft Defender for Cloud: Fra $15/server/måned, $0.02/GB for storage accounts
- Microsoft Purview: E5 eller standalone
Azure Monitor & Application Insights
Prismodell:
- Log Analytics ingestion: $2.76/GB (first 5GB/day free per workspace)
- Application Insights: $2.88/GB
- Archive storage: $0.02/GB/måned (for long-term retention)
Optimalisering for AI compliance:
- Ikke logg full prompt/response i prod → bruk hashing + metadata (80% kostnadskutt)
- Lagre kun HIGH/MEDIUM severity events i Application Insights
- Bruk Archive tier for >90 dager gamle logs (GDPR/AI Act retention uten full cost)
For arkitekten (Cosmo)
Spørsmål å stille før design
- Regulatory scope: Hvilke reguleringer gjelder? (AI Act high-risk, GDPR, sector-specific som HIPAA/PCI-DSS, nasjonale krav som Forvaltningsloven)
- Audit frequency: Hvor ofte skal vi rapportere compliance? (Påvirker dashboard-kompleksitet og retention policies)
- Risk appetite: Hva er consequensen av non-compliance? (Regulatory fine, brand damage, loss of public trust → styrer hvor mye vi investerer i governance)
- Human oversight requirements: Må AI-beslutninger reviewes manuelt? (Påvirker om vi trenger human-in-the-loop workflows)
- Data residency: Kan data forlate Norge/EU/spesifikk region? (Styrer Azure region policies)
- Retention requirements: Hvor lenge må vi beholde AI interaction logs? (GDPR: 30 dager til 10 år avhengig av case)
- Existing governance tools: Har organisasjonen allerede Compliance Manager/Purview? (Påvirker om vi bygger på eksisterende eller starter fra scratch)
- Organizational structure: Sentralisert compliance team eller desentralisert til workload teams? (Påvirker arkitekturmønster)
Fallgruver og mitigering
| Fallgruve | Konsekvens | Cosmo-anbefaling |
|---|---|---|
| Dashboard-fatigue | Governance team overveldes av alerts → ignorerer critical issues | Start med TOP 5 critical metrics, utvid gradvis. Bruk severity-based routing (HIGH → immediate alert, MEDIUM → daily digest) |
| Policy without enforcement | Policies blir "guidelines" ikke "guardrails" → non-compliance fortsetter | Bruk Deny-mode på kritiske policies. Audit-mode kun i pilot-fase. Set deadline for transition (3 mnd pilot → enforcement) |
| Metrics without action | Dashboards viser problemer, men ingen remediation → "monitoring theater" | Knytt hver metric til en improvement action i Compliance Manager med assigned owner + deadline |
| Over-reliance på Microsoft-managed controls | Antakelse om at Microsoft løser alt → gaps i customer responsibility | Review Shared Responsibility Model for AI. Alle AI-specific controls (content safety, bias detection, transparency) er customer-managed |
| Missing business context | Tekniske metrics uten kobling til business risk → vanskelig å prioritere | Inkluder "business impact" field i alle compliance dashboards (f.eks. "High — affects 10k citizens" vs "Low — internal tool") |
Anbefalinger per modenhetsnivå
Nivå 1: Ad-hoc (ingen formell AI governance) → Start med Security Dashboard for AI (preview) for å få inventory → Implementer Azure Policy for region lock + mandatory logging → Sett opp Purview audit logs for AI interactions → Lag ENKEL quarterly compliance review (manual)
Nivå 2: Defined (formelle policies, men manuell tracking) → Onboard til Compliance Manager med 2-3 relevante assessments (GDPR + AI Act + intern policy) → Automatiser policy compliance scanning (Azure Policy + weekly reports) → Implementer retention policies i Purview → Sett opp Azure Monitor dashboards per workload
Nivå 3: Managed (automatisert monitoring, konsistent enforcement) → Sentraliser til Centralized Compliance Hub pattern → Implementer automated remediation workflows (Azure Policy DeployIfNotExists) → Integrér Purview DSPM for AI for continuous data classification → Monthly compliance reviews med C-level reporting
Nivå 4: Optimizing (continuous improvement, predictive compliance) → Bruk Security Copilot for prompt-based risk exploration → Implementer predictive analytics på compliance trends (ML på historiske policy violations) → Red team AI systems kvartalsvis med documented findings → Publish AI Reports automatisk ved hver model release → GitOps-workflow
Når velge hva
| Scenario | Anbefaling | Alternativer |
|---|---|---|
| Offentlig sektor (Norge), high-risk AI | Centralized Compliance Hub + Purview DSPM for AI + AI Act assessment | Ingen alternativer — dette er mandatory baseline |
| Privat sektor, moderat regulering | Hybrid pattern + Security Dashboard for AI + GDPR assessment | Decentralized hvis <5 workloads |
| Intern tooling, lav regulatorisk risiko | Decentralized + basic Azure Policy (region, logging) | Kan droppes Compliance Manager — bruk bare dashboards |
| Multi-tenant SaaS (B2B) | Centralized + per-tenant policy scopes + chargeback via APIM | Vurder separate Compliance Manager per tenant hvis ulike regulatory requirements |
| Rapid innovation (pilot/POC) | Audit-mode policies + manual compliance tracking | Transition til enforcement ved produksjonssetting |
(Verified MCP 2026-04)
Kilder og verifisering
Microsoft Learn (Verified via MCP)
Core compliance & governance:
- Monitor cloud compliance — Verified 2026-02
- Microsoft Purview Compliance Manager — Verified 2026-02
- Govern Azure platform services (PaaS) for AI — Verified 2026-02
- Govern AI apps and data for regulatory compliance — Verified 2026-02
Microsoft Purview for AI:
- Microsoft Purview data security and compliance protections for generative AI apps — Verified 2026-02
- Use Microsoft Purview to manage data security & compliance for Microsoft Foundry — Verified 2026-02
- Assessments for AI regulations — Verified 2026-02
Azure Policy & monitoring:
- Azure Policy Regulatory Compliance controls for Azure AI Search — Verified 2026-02
- Control AI model deployment with built-in policies in Microsoft Foundry portal — Verified 2026-02
- AI gateway in Azure API Management (Observability and governance) — Verified 2026-02
Security & observability:
- Assess your organization's AI risk with Microsoft Security Dashboard for AI (Preview) — Verified 2026-02
- Governance and security for AI agents across the organization — Verified 2026-02
- Monitor Azure OpenAI (Dashboards) — Verified 2026-02
Konfidensnivå per seksjon
| Seksjon | Confidence | Kilde |
|---|---|---|
| Microsoft Purview Compliance Manager | Verified | Microsoft Learn MCP fetch (full documentation) |
| Azure Policy for AI Governance | Verified | Microsoft Learn MCP search (multiple sources) |
| Security Dashboard for AI | Verified | Microsoft Learn MCP search (official preview docs) |
| Arkitekturmønstre | Baseline | Synthesized from CAF best practices + real-world patterns |
| AI Act compliance | Verified | Microsoft Purview AI regulation assessments docs |
| GDPR & Schrems II | Verified | Microsoft Purview + Azure EU Data Boundary docs |
| Kostnadsmodeller | Baseline | Azure pricing calculator + documented license tiers (may change) |
| KQL query samples | Baseline | Constructed from Azure Monitor schema (test before prod use) |
Note: Prismodeller er fra februar 2026 og kan endres. Verifiser alltid mot Azure Pricing Calculator og Microsoft 365 licensing docs før design.