Konfigurace zásad ochrany před únikem informací pro agenty
Data organizace jsou nejdůležitějším majetkem, za jehož ochranu správci odpovídají. Schopnost vytvářet aplikace a automatizovat použití je velkou částí úspěchu vaší společnosti.
Můžete rychle vytvářet a zavádět agenty s vysokou hodnotou pro vaše uživatele. Agenty můžete propojit s mnoha zdroji dat a službami. Některé z těchto zdrojů a služeb mohou být externími službami jinými než Microsoft a mohou dokonce zahrnovat sociální sítě.
Je snadné přehlédnout potenciál pro expozici. Tento druh expozice může být důsledkem úniku dat nebo připojení ke službám a publiku, které by nemělo mít k datům přístup.
Správci můžou řídit agenty ve vaší organizaci pomocí zásad ochrany před únikem informací (DLP) s existujícími konektory a Copilot Studio konektory. Zásady ochrany před únikem informací jsou vytvářeny v centru pro správu Power Platform. Chcete-li vytvořit zásady ochrany před únikem informací, musíte být správcem klienta nebo mít roli Správce prostředí.
Předpoklady
- Přezkoumání konceptů o Zásadách DLP
Konektory Copilot Studio
Konektory Copilot Studio lze v rámci zásad DLP klasifikovat do následujících datových skupin, které jsou uvedeny v centru Power Platform pro správu při kontrole zásad DLP:
- Obchodní
- Neobchodní
- Blokováno
Konektory v zásadách ochrany před únikem informací můžete použít k ochraně dat vaší organizace před škodlivými nebo neúmyslnými exfiltracemi dat ze strany tvůrců agent.
Důležité
Ve výchozím nastavení je vynucování ochrany před únikem informací pro agenty zakázané ve všech tenantech. Přečtěte si, jak povolit vynucení.
Copilot Studio podporuje vynucování DLP v reálném čase. Agent tvůrcům a uživatelům se zobrazí příslušné chybové zprávy o vynucení ochrany před únikem informací, jakmile se zásady ochrany před únikem informací aktivují.
V zásadách ochrany před únikem informací musí být konektory ve stejné skupině dat, protože data nelze sdílet mezi konektory, které jsou v různých skupinách.
Zásady ochrany před únikem informací v Centru pro správu Power Platform můžete nakonfigurovat tak, aby blokovaly některý z následujících konektorů Copilot Studio.
| Název konektoru | Případ použití |
|---|---|
| Application Insights v aplikaci Copilot Studio | Zablokujte tvůrcům agenta připojení agentů k Application Insights. |
| Chat bez ověřování službou Microsoft Entra ID ve službě Copilot Studio | Agent tvůrcům zablokujte publikování agentů, kteří nejsou nakonfigurovaní pro ověřování. Uživatelé agenta se musí ověřit, aby s agentem mohli chatovat. Další informace najdete v tématu Příklad ochrany před únikem informací – Vyžadování ověřování uživatelů v agentech. |
| Kanály Direct Line ve službě Copilot Studio | Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Direct Line. Zablokován bude například ukázkový web, vlastní web, mobilní aplikace a další kanály Direct Line. |
| Kanál Facebook ve službě Copilot Studio | Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Facebook. |
| Zdroj znalostí se službami SharePoint a OneDrive v nástroji Copilot Studio | Zablokovat tvůrcům agentů publikování agentů nakonfigurovaných s SharePoint jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů. |
| Zdroj znalostí s dokumenty v Copilot Studio | Zablokovat tvůrcům agentů publikování agentů nakonfigurovaných s dokumenty jako zdrojem znalostí. |
| Zdroj znalostí s veřejnými weby a daty v nástroji Copilot Studio | Zablokovat tvůrcům agentů publikování agentů nakonfigurovaných s veřejnými weby jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů. |
| Microsoft Copilot Studio | Zablokujte tvůrcům agentů používání spouštěčů událostí v agentech Copilot Studio. Další informace najdete v tématu Příklad ochrany před únikem informací – Blokování aktivačních událostí v agentech. |
| Kanál Microsoft Teams ve službě Copilot Studio | Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Teams. |
| Omnikanál ve službě Copilot Studio | Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Omnikanálu. |
| Dovednosti se službou Copilot Studio | Zablokujte tvůrcům agentů používání dovedností v agentech Copilot Studio. Další informace najdete v tématech Příklad ochrany před únikem informací – Blokování dovedností v agentech a Příklad ochrany před únikem informací – Blokování požadavků HTTP v agentech. |
Příklady konfigurací zásad DLP
Pokud chcete začít se správou agentů Copilot Studio, projděte si následující ukázkové scénáře:
- Příklad ochrany před únikem informací – Vyžadování ověřování uživatelů v agentech
- Příklad ochrany před únikem informací – Blokování SharePoint zdroje znalostí v agentech
- Příklad ochrany před únikem informací – blokování Power Platform konektorů v agentech
- Příklad ochrany před únikem informací – Blokování požadavků HTTP v agentech
- Příklad ochrany před únikem informací – Blokování dovedností u agentů
- Příklad ochrany před únikem informací – blokování triggerů událostí v agentech
- Příklad ochrany před únikem informací – Blokování kanálů pro deaktivaci publikování agenta
Použití PowerShell k povolení a správě vynucení ochrany před únikem informací pro agenty ve vaší organizaci
Pomocí rutin PowerAppDlpErrorSettings a PowerVirtualAgentsDlpEnforcement PowerShell můžete nakonfigurovat, zda se mají na vaše agenty použít zásady DLP.
Můžete provádět následující akce:
- Potvrďte, zda je ve vašem tenantovi zapnuto DLP pro agenty.
- Zapněte nebo vypněte DLP v režimu auditování (
-Mode SoftEnabled), aby tvůrci agentů viděli chyby, ale nebránili jim v provádění akcí, které by byly blokovány, pokud by bylo vynucení DLP plně zapnuto. - Zapněte nebo vypněte vynucení DLP, abyste zobrazili chyby vynucení DLP a zabránili tvůrcům agenta publikovat roboty ovlivněné DLP nebo konfigurovat nastavení související s DLP.
- Vyjmout konkrétní agenty z vynucování DLP.
- Přidejte a aktualizujte další informace a kontaktní e-mailové odkazy, které se zobrazí tvůrcům agent, když narazí na DLP na Copilot Studio webu a v aplikacích Teams.
Důležité
Abyste mohli používat rutiny PowerShell nebo zde uvedené ukázkové skripty, musíte pomocí PowerShell nainstalovat následující moduly.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Pokud chcete používat rutiny, musíte být správce klienta.
Tyto rutiny byste obvykle používali v souladu s procesem zavádění DLP, který se může skládat z následujících kroků v uvedeném pořadí:
Přidejte nebo aktualizujte e-mailové odkazy s dalšími informacemi a kontakty správce, které se zobrazují v chybách DLP pro tvůrce agentů.
Určete, kteří agenti (pokud existují) mají aktuálně povolené vynucování zásad ochrany před únikem informací.
Použijte auditování nebo "měkký" režim, aby tvůrci viděli chyby DLP na webu Copilot Studio a v aplikaci Teams.
Snižte riziko tím, že budete kontaktovat výrobce a informovat je o nejlepším postupu pro jejich aplikaci nebo tok.
Povolte vynucení ochrany před únikem informací pro agenty, abyste zabránili úlohám a funkcím ovlivněným únikem informací.
Můžete se také rozhodnout vyjmout jednoho nebo více agentů z vynucování zásad ochrany před únikem informací v závislosti na případu použití a požadavcích agenta.
Přidejte a aktualizujte e-mailové odkazy na další informace a kontakt na správce
Pomocí rutiny PowerShell Set-PowerAppDlpErrorSettings můžete do chybových zpráv ochrany před únikem dat přidat e-mailovou adresu a odkaz Další informace.
Pokud chcete e-mailovou adresu a odkaz na další informace přidat poprvé, spusťte následující skript PowerShell a nahraďte hodnoty parametrů <email>, <URL> a <tenant ID> vlastními hodnotami.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Chcete-li aktualizovat existující konfiguraci, použijte stejný skript PowerShell a nahraďte jej New-PowerAppDlpErrorSettings s Set-PowerAppDlpErrorSettings.
Upozornění
Tato nastavení platí pro všechny aplikace Power Platform v rámci zadaného klienta.
Povolení a konfigurace vynucení ochrany před únikem informací pro agenty
Můžete povolit, zakázat, nakonfigurovat a auditovat vynucení DLP v rámci Copilot Studio s rutinou PowerVirtualAgentsDlpEnforcement.
V kterémkoli z následujících příkladů nahraďte (nebo deklarujte) <tenant ID> s ID klienta.
Můžete se zaměřit na agenty vytvořené po určitém datu nahrazením <date> datem ve formátu MM-DD-YYYY. Chcete-li odebrat rozsah, odstraňte parametr -OnlyForBotsCreatedAfter a jeho hodnotu.
Potvrzení vynucení ochrany před únikem informací pro agenty
Ve výchozím nastavení je vynucování ochrany před únikem informací pro agenty zakázané ve všech tenantech.
Můžete spustit následující rutinu PowerShell a zkontrolovat, zda je DLP pro Copilot Studio povoleno pro klienta.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Poznámka:
Pokud DLP není nakonfigurovaná pro Copilot Studio, odpověď z rutiny je prázdná.
Použijte režim auditování k zobrazení chyb DLP v Copilot Studio
Spusťte následující skript PowerShell a povolte zásady ochrany před únikem informací v auditování nebo v "měkkém" režimu. Když je tento režim aktivní, tvůrci agentů mohou při konfiguraci agentů v Copilot Studio zobrazit chybové zprávy související s DLP, ale neblokuje jim to provádění akcí souvisejících s DLP. Tvůrci však nemohou publikovat agenty, když je tento režim aktivní.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Pokud chcete najít agenty, které můžou mít vliv zásady ochrany před únikem informací vaší organizace, můžete:
Pomocí řídicího panelu Power BI startovací sady Center of Excellence (CoE) můžete získat seznam agentů ve vaší organizaci. Přejděte na Copilot Studio stránku přehledu na řídicím panelu CoE a podívejte se na názvy agentů a prostředí ve vaší organizaci.
Spusťte kampaň s tvůrci agent ve vaší organizaci, abyste vyřešili chyby ochrany před únikem informací nebo aktualizované zásady ochrany před únikem informací. Všechny agent chyby DLP si můžete stáhnout tak, že v banneru s oznámením o chybě vyberete Podrobnosti a v podrobnostech chybové zprávy vyberete Stáhnout .
Zapnutí vynucení DLP pro agenty
Důležité
Před povolením vynucení ochrany před únikem informací se ujistěte, že víte, kteří agenti budou pravděpodobně hlásit chyby uživatelům kvůli porušení zásad ochrany před únikem informací.
Pokud narazíte na problémy, můžete agenta vyjmout ze zásad DLP nebo vypnout vynucení DLP, zatímco vaši tvůrci opraví agenta tak, aby vyhovoval zásadám DLP.
Chcete-li vynutit zásady DLP, můžete spustit následující příkaz PowerShell Copilot Studio. Tvůrcům agentů bude zabráněno v provádění akcí ovlivněných DLP a uživatelé uvidí chyby, pokud se spustí.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Zakázání vynucení ochrany před únikem informací pro agenty
Použijte následující příkaz a zakažte vynucování ochrany před únikem informací u agentů.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled