ms-ai-architect/skills/ms-ai-governance/references/monitoring-observability/compliance-monitoring-ai-governance.md
Kjell Tore Guttormsen dd1036ab8a fix(ms-ai-architect): Foundry URL-navnerom-migrering (ai-foundry → foundry/foundry-classic, 141 filer)
Task #5 del 1/3 (URL-migrering). Verifiseringen motbeviste STATE.md-premisset om ren prefix-swap: rebrand er per-URL, ikke mekanisk. En blind sed ai-foundry→foundry ville lagd 56 nye 404-er (classic-stiene finnes ikke under nytt foundry/-prefiks — bekreftet empirisk).

Metode: resolverte alle 237 unike KB-URLer mot live redirects (curl -L), bygde full-URL→full-URL-mapping fra faktisk url_effective. Bevarer locale-form, query (?view=) og #fragment per lenke.

- 231 navnerom-erstatninger over 141 filer (408 forekomster):
  - 161 → azure/foundry/ (98 ren prefix-swap + 10 sti-reorg + reorg-tilfeller)
  - 69 → azure/foundry-classic/ (eldre hub-spor: assistants, hub-DR, on-your-data; faktisk redirect-mål per operatorvalg)
  - 1 → azure/foundry-local/

- 2 døde lenker (404) fikset til verifiserte mål:
  - agent-service → azure/foundry/agents/overview
  - concepts/evaluation-evaluators/ → azure/foundry/how-to/evaluate-generative-ai-app

- 5 path-/display-referanser (uten https://, i backticks/lenketekst) rettet manuelt.

- 6 slug-baserte ai-foundry-treff urørt (scope-grense): managed-grafana-dashboard, security-baseline, power-platform prompt-builder, architecture baseline-chat (sistnevnte slug-rebrand i annet navnerom — mulig fremtidig funn).

- Parkert til task #5 del 2/3: Norway East GPT-5-datasuverenitet-fiks + modellkatalog-utvidelse (5.3/5.4/5.5, gpt-oss, sora-2).

Verifisert: 0 gjenværende azure/ai-foundry/-navnerom i skills/. validate-plugin.sh 219 PASS. test-kb-integrity.sh 117/117 passed.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

Claude-Session: https://claude.ai/code/session_01REiKFhP4w6xGXXqWKpPCJJ
2026-06-18 13:37:06 +02:00

29 KiB

Compliance Monitoring and AI Governance Dashboards

Last updated: 2026-05 Status: GA Category: Monitoring & Observability


Introduksjon

Compliance monitoring og AI governance dashboards gir organisasjoner strukturert oversikt over hvordan AI-systemer overholder reguleringskrav, sikkerhetspolicyer og etiske retningslinjer. I en tid der AI Act, GDPR, Schrems II og nasjonale regelverk setter strenge krav til hvordan AI skal utvikles og driftes, er kontinuerlig compliance-overvåking ikke lenger valgfritt — det er en forutsetning for produksjonssetting.

Microsoft-stakken tilbyr tre komplementære lag for AI governance: Microsoft Purview Compliance Manager for regulatorisk compliance på tvers av multicloud-miljøer, Azure Policy for teknisk policy enforcement på infrastruktur- og modellnivå, og Microsoft Security Dashboard for AI for helhetlig sikkerhetsoversikt. Sammen danner disse en integrert governance-løsning som balanserer automatisert overvåking med human oversight.

Compliance monitoring for AI skiller seg fra tradisjonell IT-compliance ved at den må fange opp AI-spesifikke risikoer: prompt injection, jailbreak-forsøk, bias i modelloutput, uautorisert dataeksponering via prompts, og oversharing av sensitiv informasjon. Dette krever spesialiserte detection-mekanismer som går utover tradisjonelle SIEM-verktøy, og som kan inspisere både teknisk infrastruktur, dataflyt, modellinteraksjoner og business logic.


Kjernekomponenter

Microsoft Purview Compliance Manager

Central hub for compliance-tracking på tvers av Microsoft 365, Azure, Dynamics 365 og tredjepartsløsninger.

Komponent Formål AI-spesifikk kapabilitet
Assessments Gruppering av controls for en regulering/standard AI-spesifikke templates (AI Act, ISO/IEC 23053:2022, NIST AI RMF)
Controls Tekniske/organisatoriske krav Microsoft-managed, customer-managed og shared controls for AI
Improvement Actions Anbefalte tiltak for compliance Step-by-step guidance, kan assignes til team, med status tracking
Compliance Score Risk-based scoring (0-100%) Vektet etter risiko — AI-controls får ofte høyere vekt
Regulatory Templates 360+ pre-built templates Inkluderer AI-spesifikke: EU AI Act, GDPR AI-tillegg, CCPA, HIPAA

Workflow:

  1. Velg relevant regulatory template (f.eks. "EU AI Act High-Risk AI Systems")
  2. Compliance Manager genererer assessment med alle controls
  3. Tildel improvement actions til ansvarlige team
  4. Implementer tiltak, last opp dokumentasjon som evidence
  5. Compliance score oppdateres automatisk basert på completion

Azure Policy for AI Governance

Teknisk policy enforcement på Azure-ressursnivå — forhindrer non-compliant deployments før de skjer.

Policy Type Beskrivelse Eksempel
Model Restriction Kontrollerer hvilke AI-modeller som kan deployes Kun GPT-4 Turbo og text-embedding-ada-002 tillatt i prod
Region Lock Geografisk begrensning på AI-ressurser Kun Azure Norway East/West (data residency)
Content Safety Enforcement Krever Azure AI Content Safety filters Påkrevd moderat+ filtering for alle prod-deployments
Logging & Monitoring Krever diagnostikk-logging til Log Analytics Alle Azure OpenAI-instanser må logge til sentral workspace
Tagging Enforcement Påkrevde tags for compliance tracking CostCenter, DataClassification, Owner, ComplianceScope
Network Restrictions Tvinger private endpoints og VNet-integrasjon Ingen public endpoints for høyrisiko-AI-tjenester

Enforcement modes:

  • Audit: Logg non-compliance, men tillat deployment (discovery-fase)
  • Deny: Blokkér non-compliant ressurser (produksjon)
  • Append/Modify: Automatisk legg til manglende konfigurasjoner (f.eks. tags, diagnostikk)
  • DeployIfNotExists: Automatisk deploy required resources (f.eks. Log Analytics workspace)

Microsoft Security Dashboard for AI (Preview)

Unified view av AI-security posture på tvers av Microsoft Entra, Defender, Purview og Security Copilot.

Dashboard-seksjoner:

Seksjon Metrikker Alerts
AI Agent Inventory Totalt antall agents, managed vs. unmanaged, shadow AI Nye uregistrerte agents oppdaget
Threat Detection Jailbreak-forsøk, prompt injection, abuse patterns High-severity AI-threats (real-time)
Data Security Sensitive data i prompts/responses, oversharing risks PII-lekkasje via AI-interaksjoner
Access Control Conditional access policies, privileged access reviews Over-privileged AI agent identities
Compliance Status % av agents med required policies, policy drift Non-compliant agents etter 24t grace period

Supported products:

  • Microsoft Entra: Agent identity platform, conditional access for AI apps
  • Microsoft Defender for Cloud: AI workload discovery, posture management, threat protection
  • Microsoft Purview: Data classification, DLP for AI prompts, insider risk detection
  • Security Copilot: Prompt-basert exploration av AI-risikoer

Arkitekturmønstre

Pattern 1: Centralized Compliance Hub (anbefalt for enterprise)

Arkitektur:

┌─────────────────────────────────────────────────────────┐
│ Microsoft Purview Compliance Manager (central hub)      │
│ - Regulatory assessments (AI Act, GDPR, sector-specific)│
│ - Improvement action tracking                           │
│ - Compliance score dashboard                            │
└────────────────┬────────────────────────────────────────┘
                 │
        ┌────────┴────────┐
        │                 │
┌───────▼───────┐  ┌──────▼────────────────────────┐
│ Azure Policy  │  │ Microsoft Security Dashboard  │
│ - Model allow │  │ - Agent inventory             │
│ - Region lock │  │ - Threat detection            │
│ - Logging req │  │ - Data security               │
└───────┬───────┘  └──────┬────────────────────────┘
        │                 │
┌───────▼─────────────────▼──────────────────┐
│ Azure Monitor / Log Analytics              │
│ - Centralized log storage                  │
│ - KQL queries for compliance reports       │
│ - Alerts routed to governance team         │
└───────┬────────────────────────────────────┘
        │
┌───────▼─────────────────────────────────────┐
│ AI Workloads (Azure AI Foundry, Copilot     │
│ Studio, Azure OpenAI, Copilot Experiences)  │
└─────────────────────────────────────────────┘

Fordeler:

  • Single source of truth for compliance status
  • Unified policy enforcement på tvers av plattformer
  • Automatisert evidence collection for audits
  • Sentralisert alerting og remediation workflows

Ulemper:

  • Høyere initial setup-kompleksitet
  • Krever dedikert governance team
  • Kan oppleves som rigid for autonome team (DevOps-friksjon)

Når bruke:

  • Regulerte bransjer (finans, helse, offentlig sektor)
  • Organisasjoner med 10+ AI-prosjekter
  • Multi-tenant scenarios med ulike compliance-krav per tenant

Pattern 2: Decentralized Workload-Level Compliance

Arkitektur:

┌──────────────────────┐  ┌──────────────────────┐  ┌──────────────────────┐
│ Workload A           │  │ Workload B           │  │ Workload C           │
│ - Local dashboard    │  │ - Local dashboard    │  │ - Local dashboard    │
│ - Workload policies  │  │ - Workload policies  │  │ - Workload policies  │
│ - Team-owned alerts  │  │ - Team-owned alerts  │  │ - Team-owned alerts  │
└──────────┬───────────┘  └──────────┬───────────┘  └──────────┬───────────┘
           │                         │                         │
           └─────────────────────────┴─────────────────────────┘
                                     │
                      ┌──────────────▼──────────────────┐
                      │ Central Reporting (aggregated)  │
                      │ - Compliance Manager summary    │
                      │ - Cross-workload risk view      │
                      └─────────────────────────────────┘

Fordeler:

  • Team autonomy — hver workload eier sin compliance
  • Lavere onboarding-friksjon for nye AI-prosjekter
  • Raskere iterasjon (mindre sentralisert approval-lag)

Ulemper:

  • Risiko for policy drift mellom workloads
  • Vanskeligere å få enterprise-wide compliance view
  • Duplikasjon av dashboard-arbeid
  • Auditorer må sjekke mange steder

Når bruke:

  • Organisasjoner med få (<5) AI-workloads
  • Mature DevOps-kultur med sterke team boundaries
  • Mindre regulerte domener (intern tooling, non-customer-facing AI)

Pattern 3: Hybrid: Central Policy + Local Dashboards

Arkitektur: Kombinerer sentralisert policy enforcement (Azure Policy, mandatory logging) med desentraliserte dashboards per workload.

Fordeler:

  • Best of both worlds: enterprise governance MED team autonomy
  • Central policies sikrer minimum compliance baseline
  • Workload teams kan utvide med egne metrics uten å vente på central team

Ulemper:

  • Krever klare grenser mellom "mandatory centralt" og "valgfritt lokalt"
  • Mer kompleks onboarding (må forstå begge lag)

Når bruke:

  • De fleste enterprise-organisasjoner — dette er sweet spot
  • Organisasjoner i overgang fra decentralized til centralized governance

Beslutningsveiledning

Valg av compliance monitoring-strategi

Kriterium Centralized Decentralized Hybrid
Antall AI workloads 10+ <5 5-20
Regulatory pressure Høy (finans, helse, offentlig) Lav (intern tooling) Moderat
Governance maturity Etablert compliance team Team-owned compliance I utvikling
Audit frequency Kvartalsvis+ Ad-hoc Årlig
Multi-tenant Ja Nei Delvis
DevOps kultur Moderat autonomy Høy autonomy Varierende

Vanlige feil

Feil Konsekvens Mitigering
Kun audit-mode policies Ikke blokkerer non-compliant deployments Sett Deny-mode på kritiske policies (f.eks. region lock, public endpoints)
Manglende retention policies AI interactions slettes → audit trail gap Sett Purview retention policies for AI apps (7 år for regulerte sektorer)
Dashboards uten alerts Compliance-brudd oppdages først ved manuell review Konfigurer Azure Monitor alerts med remediation playbooks
Over-reliance på self-assessment Rapportert compliance ≠ faktisk compliance Kombiner automated scanning (Defender for Cloud) med manual audits
Single point of failure Hvis Purview/Compliance Manager går ned → ingen oversikt Eksporter compliance data til offline storage (JSON/CSV) månedlig

Røde flagg (når eskalere)

Observasjon Risiko Eskalering
Compliance score < 60% i 2+ måneder Regulatory audit failure C-level + legal
Shadow AI agents oppdaget (>5% av total) Unmanaged risk, data leakage CISO + data protection officer
High-severity AI threats (jailbreak) med >1 time responstid Brand damage, model compromise Security incident response team
PII-lekkasje i prompts/responses GDPR breach (opp til 4% av global revenue) Legal + privacy officer → varsling til Datatilsynet innen 72t
Non-compliant model deployment i prod Regulatory penalty Rollback + post-mortem

Integrasjon med Microsoft-stakken

Azure AI Foundry

Compliance-features:

  • AI Reports: Generer PDF/SPDX-rapporter med model cards, evaluation metrics, content safety config → brukes som evidence i Compliance Manager
  • Built-in Policy for Model Deployment: Azure Policy templates for å begrense hvilke modeller som kan deployes
  • Management Center: Sentralisert administrasjon av quotas, access, cost tracking
  • Agent 365 Publishing: Publiser agents til sentral katalog for observability

Integration point:

# Azure AI Projects SDK: Enable compliance telemetry
from azure.ai.projects.aio import AIProjectClient
from azure.identity.aio import DefaultAzureCredential

async with DefaultAzureCredential() as credential, \
           AIProjectClient(endpoint="https://project.api.azureml.ms", credential=credential) as client:
    # Send telemetry to Azure Monitor for compliance tracking
    await client.configure_azure_monitor(enable_live_metrics=True)

Azure API Management (AI Gateway)

Governance capabilities:

  • Token consumption metrics: Emit til Application Insights med custom dimensions (user ID, cost center, API ID)
  • Quota enforcement: Rate limits per user/tenant
  • Logging: Prompts, completions, token usage → Azure Monitor Logs
  • Policy enforcement: Input validation, content filtering, max token caps

Sample policy:

<llm-emit-token-metric namespace="llm-compliance">
    <dimension name="UserID" value="@(context.Request.Headers.GetValueOrDefault("x-user-id", "anonymous"))" />
    <dimension name="CostCenter" value="@(context.Request.Headers.GetValueOrDefault("x-cost-center", "unassigned"))" />
    <dimension name="DataClassification" value="@(context.Request.Headers.GetValueOrDefault("x-data-class", "unknown"))" />
</llm-emit-token-metric>

Microsoft Purview

AI-specific solutions:

  • Data Security Posture Management (DSPM) for AI: Discover AI apps, classify data in prompts, detect oversharing
  • Audit logs: Unified audit log for AI interactions (prompts, responses, referenced files, sensitivity labels)
  • Communication Compliance: Policy violations i AI-generert innhold (harassment, sensitive info sharing)
  • eDiscovery: Søk og slett AI interaction data (GDPR "right to be forgotten")
  • Retention policies: Automatisk retain/delete prompts og responses per compliance requirements

Collection policies:

  • DSPM for AI - Detect sensitive info shared with AI via network
  • DSPM for AI - Capture interactions for enterprise AI apps
  • DSPM for AI - Capture interactions for Copilot experiences

Azure Monitor & Log Analytics

Compliance queries (KQL):

// AI policy compliance violations siste 7 dager
AzureDiagnostics
| where TimeGenerated > ago(7d)
| where ResourceType == "MICROSOFT.COGNITIVESERVICES/ACCOUNTS"
| where Category == "RequestResponse" or Category == "Audit"
| extend ComplianceStatus = iff(ResourceId has "prod" and Location !in ("norwayeast", "norwaywest"), "NON_COMPLIANT", "COMPLIANT")
| summarize Violations = countif(ComplianceStatus == "NON_COMPLIANT") by bin(TimeGenerated, 1d), ResourceId
| order by Violations desc
// Token usage per cost center (via APIM custom dimensions)
AppMetrics
| where Name == "TokensProcessed"
| extend CostCenter = tostring(Properties["CostCenter"])
| summarize TotalTokens = sum(Sum), TotalCost = sum(Sum) * 0.00002 by CostCenter, bin(TimeGenerated, 1h)
| order by TotalCost desc

Offentlig sektor (Norge)

AI Act compliance (høyrisiko-AI)

Obligatoriske tiltak for høyrisiko-AI-systemer:

  1. Risikovurdering: Dokumenter i Compliance Manager assessment (bruk "EU AI Act High-Risk" template)
  2. Data governance: Purview DSPM for AI → klassifiser treningsdata og prompt/response-data
  3. Human oversight: Azure Monitor alerts med manual review-steg før kritiske AI-beslutninger
  4. Transparency: AI Reports fra Azure AI Foundry → model cards, evaluation metrics
  5. Technical documentation: Generer SPDX-rapport fra AI Foundry → leverandøruavhengig format
  6. Logging: 6 måneders retention minimum (for high-risk AI) → Purview retention policy
  7. Conformity assessment: Tredjepartsaudit av AI-system før produksjonssetting

Azure-mappings:

  • Article 9 (Risk management): Azure Policy + Defender for Cloud AI workload risk assessment
  • Article 10 (Data governance): Purview data classification + quality monitoring
  • Article 12 (Record-keeping): Azure Monitor Logs + Purview audit logs (6 mnd+)
  • Article 13 (Transparency): AI Foundry model cards + content safety config i AI Reports
  • Article 14 (Human oversight): Azure Monitor alerts → human-in-the-loop workflows (Logic Apps/Power Automate)

GDPR & Schrems II

Data residency:

  • Azure Policy: Deny deployments utenfor Norway East/West (eller EU-regioner)
  • Azure AI Foundry: Velg region ved project creation → kan ikke flyttes senere
  • Azure OpenAI: EU Data Boundary garanterer at prompts/responses ikke forlater EU

Right to erasure (Article 17):

  • Purview eDiscovery: Søk etter brukers AI-interaksjoner basert på UserID
  • Slett fra retention store innen 30 dager etter request
  • Azure Monitor Logs: Purge API for å slette specific user data

DPIA (Data Protection Impact Assessment):

  • Obligatorisk for AI som prosesserer persondata i stor skala
  • Bruk Compliance Manager "GDPR" assessment som template
  • Inkluder Defender for Cloud AI risk assessment i DPIA-dokumentasjonen

Utredningsinstruksen & Forvaltningsloven

Krav til sporbarhet i offentlig forvaltning:

  • Azure Monitor audit logs må kunne dokumentere: Hvem, hva, når, hvorfor for alle AI-beslutninger
  • Retention: Minimum 10 år for saker som kan få rettslige konsekvenser (extend Purview retention policy)
  • Purview audit logs: Capture AI interactions som referenced arkivsaker (via custom dimensions)

Intern kontroll (§ 14):

  • Kvartalsvise compliance reviews i Compliance Manager
  • Automated Azure Policy scanning + manual audit (kombinasjon)
  • Security Dashboard for AI: Månedlig review av threat detections og policy drift

Kostnad og lisensiering

Purview Compliance Manager

Lisens Inkludert AI-relevante features
Microsoft 365 E3 Basic assessments (Microsoft baseline) Ingen AI-spesifikke templates
Microsoft 365 E5 360+ regulatory templates, custom templates, automated assessments AI Act, ISO/IEC 23053, NIST AI RMF templates
Purview Compliance standalone Full Compliance Manager + DLP + eDiscovery DSPM for AI, AI audit logs, retention for AI apps

Prismodell:

  • Compliance Manager: Inkludert i E5 (ingen ekstra kostnad)
  • DSPM for AI: Requires Purview Compliance (del av E5 eller standalone)
  • Custom assessments: Unlimited i E5

Azure Policy

Kostnad: GRATIS (ingen direkte kostnad for policy evaluations) Hidden costs:

  • Azure Monitor Logs storage: ~$2.5/GB/måned (prompts/responses kan bli volumtunge)
  • Remediation workflows (Logic Apps/Azure Functions): $0.000025 per execution

Microsoft Security Dashboard for AI

Kostnad: GRATIS (Preview — pricing TBA ved GA) Requirements:

  • Microsoft Entra (inkludert i Microsoft 365)
  • Microsoft Defender for Cloud: Fra $15/server/måned, $0.02/GB for storage accounts
  • Microsoft Purview: E5 eller standalone

Azure Monitor & Application Insights

Prismodell:

  • Log Analytics ingestion: $2.76/GB (first 5GB/day free per workspace)
  • Application Insights: $2.88/GB
  • Archive storage: $0.02/GB/måned (for long-term retention)

Optimalisering for AI compliance:

  • Ikke logg full prompt/response i prod → bruk hashing + metadata (80% kostnadskutt)
  • Lagre kun HIGH/MEDIUM severity events i Application Insights
  • Bruk Archive tier for >90 dager gamle logs (GDPR/AI Act retention uten full cost)

For arkitekten (Cosmo)

Spørsmål å stille før design

  1. Regulatory scope: Hvilke reguleringer gjelder? (AI Act high-risk, GDPR, sector-specific som HIPAA/PCI-DSS, nasjonale krav som Forvaltningsloven)
  2. Audit frequency: Hvor ofte skal vi rapportere compliance? (Påvirker dashboard-kompleksitet og retention policies)
  3. Risk appetite: Hva er consequensen av non-compliance? (Regulatory fine, brand damage, loss of public trust → styrer hvor mye vi investerer i governance)
  4. Human oversight requirements: Må AI-beslutninger reviewes manuelt? (Påvirker om vi trenger human-in-the-loop workflows)
  5. Data residency: Kan data forlate Norge/EU/spesifikk region? (Styrer Azure region policies)
  6. Retention requirements: Hvor lenge må vi beholde AI interaction logs? (GDPR: 30 dager til 10 år avhengig av case)
  7. Existing governance tools: Har organisasjonen allerede Compliance Manager/Purview? (Påvirker om vi bygger på eksisterende eller starter fra scratch)
  8. Organizational structure: Sentralisert compliance team eller desentralisert til workload teams? (Påvirker arkitekturmønster)

Fallgruver og mitigering

Fallgruve Konsekvens Cosmo-anbefaling
Dashboard-fatigue Governance team overveldes av alerts → ignorerer critical issues Start med TOP 5 critical metrics, utvid gradvis. Bruk severity-based routing (HIGH → immediate alert, MEDIUM → daily digest)
Policy without enforcement Policies blir "guidelines" ikke "guardrails" → non-compliance fortsetter Bruk Deny-mode på kritiske policies. Audit-mode kun i pilot-fase. Set deadline for transition (3 mnd pilot → enforcement)
Metrics without action Dashboards viser problemer, men ingen remediation → "monitoring theater" Knytt hver metric til en improvement action i Compliance Manager med assigned owner + deadline
Over-reliance på Microsoft-managed controls Antakelse om at Microsoft løser alt → gaps i customer responsibility Review Shared Responsibility Model for AI. Alle AI-specific controls (content safety, bias detection, transparency) er customer-managed
Missing business context Tekniske metrics uten kobling til business risk → vanskelig å prioritere Inkluder "business impact" field i alle compliance dashboards (f.eks. "High — affects 10k citizens" vs "Low — internal tool")

Anbefalinger per modenhetsnivå

Nivå 1: Ad-hoc (ingen formell AI governance) → Start med Security Dashboard for AI (preview) for å få inventory → Implementer Azure Policy for region lock + mandatory logging → Sett opp Purview audit logs for AI interactions → Lag ENKEL quarterly compliance review (manual)

Nivå 2: Defined (formelle policies, men manuell tracking) → Onboard til Compliance Manager med 2-3 relevante assessments (GDPR + AI Act + intern policy) → Automatiser policy compliance scanning (Azure Policy + weekly reports) → Implementer retention policies i Purview → Sett opp Azure Monitor dashboards per workload

Nivå 3: Managed (automatisert monitoring, konsistent enforcement) → Sentraliser til Centralized Compliance Hub pattern → Implementer automated remediation workflows (Azure Policy DeployIfNotExists) → Integrér Purview DSPM for AI for continuous data classification → Monthly compliance reviews med C-level reporting

Nivå 4: Optimizing (continuous improvement, predictive compliance) → Bruk Security Copilot for prompt-based risk exploration → Implementer predictive analytics på compliance trends (ML på historiske policy violations) → Red team AI systems kvartalsvis med documented findings → Publish AI Reports automatisk ved hver model release → GitOps-workflow

Når velge hva

Scenario Anbefaling Alternativer
Offentlig sektor (Norge), high-risk AI Centralized Compliance Hub + Purview DSPM for AI + AI Act assessment Ingen alternativer — dette er mandatory baseline
Privat sektor, moderat regulering Hybrid pattern + Security Dashboard for AI + GDPR assessment Decentralized hvis <5 workloads
Intern tooling, lav regulatorisk risiko Decentralized + basic Azure Policy (region, logging) Kan droppes Compliance Manager — bruk bare dashboards
Multi-tenant SaaS (B2B) Centralized + per-tenant policy scopes + chargeback via APIM Vurder separate Compliance Manager per tenant hvis ulike regulatory requirements
Rapid innovation (pilot/POC) Audit-mode policies + manual compliance tracking Transition til enforcement ved produksjonssetting

(Verified MCP 2026-04)

Kilder og verifisering

Microsoft Learn (Verified via MCP)

Core compliance & governance:

Microsoft Purview for AI:

Azure Policy & monitoring:

Security & observability:

Konfidensnivå per seksjon

Seksjon Confidence Kilde
Microsoft Purview Compliance Manager Verified Microsoft Learn MCP fetch (full documentation)
Azure Policy for AI Governance Verified Microsoft Learn MCP search (multiple sources)
Security Dashboard for AI Verified Microsoft Learn MCP search (official preview docs)
Arkitekturmønstre Baseline Synthesized from CAF best practices + real-world patterns
AI Act compliance Verified Microsoft Purview AI regulation assessments docs
GDPR & Schrems II Verified Microsoft Purview + Azure EU Data Boundary docs
Kostnadsmodeller Baseline Azure pricing calculator + documented license tiers (may change)
KQL query samples Baseline Constructed from Azure Monitor schema (test before prod use)

Note: Prismodeller er fra februar 2026 og kan endres. Verifiser alltid mot Azure Pricing Calculator og Microsoft 365 licensing docs før design.