Nakonfigurujte zásady prevence ztráty dat pro agenty
Data organizace jsou nejdůležitějším majetkem, za jehož ochranu správci odpovídají. Schopnost vytvářet aplikace a automatizovat použití je velkou částí úspěchu vaší společnosti.
Můžete rychle vytvářet a zavádět své vysoce hodnotné agenty pro vaše koncové uživatele. Své agenty můžete propojit s mnoha datovými zdroji a službami. Některé z těchto zdrojů a služeb mohou být externími službami jinými než Microsoft a mohou dokonce zahrnovat sociální sítě.
Je snadné přehlédnout potenciál pro expozici. Tento druh expozice může být důsledkem úniku dat nebo připojení ke službám a publiku, které by nemělo mít k datům přístup.
Administrátoři mohou řídit agenty ve vaší organizaci pomocí zásad prevence ztráty dat (DLP) se stávajícími a Copilot Studio konektory. Zásady ochrany před únikem informací jsou vytvářeny v centru pro správu Power Platform. Chcete-li vytvořit zásady ochrany před únikem informací, musíte být správcem klienta nebo mít roli Správce prostředí.
Předpoklady
- Přezkoumání konceptů o Zásadách DLP
Konektory Copilot Studio
Konektory Copilot Studio lze v rámci zásad DLP klasifikovat do následujících datových skupin, které jsou uvedeny v centru Power Platform pro správu při kontrole zásad DLP:
- Obchodní
- Neobchodní
- Blokováno
Konektory v zásadách DLP můžete zamknout použít k zamknout dat vaší organizace před jakýmkoli škodlivým nebo neúmyslným únikem dat tvůrci agent.
Důležité
Ve výchozím nastavení je vynucení DLP pro agenty zakázáno u všech tenantů. Přečtěte si o povolení vynucení.
Konektory musí být v jedné datové skupině, protože data nelze sdílet mezi konektory, které jsou v různých skupinách.
V Centru pro správu Power Platform je k dispozici několik konektorů Copilot Studio. Tyto konektory lze pro DLP nakonfigurovat následovně:
| Název konektoru | Description |
|---|---|
| Application Insights v aplikaci Copilot Studio | Zablokujte tvůrcům agent připojení agent s Application Insights. |
| Chat bez ověřování službou Microsoft Entra ID ve službě Copilot Studio | Blokujte agent tvůrcům publikační agenty, kteří nejsou nakonfigurováni pro ověřování. agent uživatelé se musí ověřit aby mohli chatovat s agent. Další informace naleznete v části Příklad prevence ztráty dat – Vyžadování ověření koncového uživatele v agentech. |
| Kanály Direct Line ve službě Copilot Studio | Zablokujte tvůrcům agent povolení nebo používání kanálu Direct Line . Zablokován bude například ukázkový web, vlastní web, mobilní aplikace a další kanály Direct Line. |
| Kanál Facebook ve službě Copilot Studio | Zablokujte tvůrcům agent povolení nebo používání kanálu Facebook . |
| Zdroj znalostí se službami SharePoint a OneDrive v nástroji Copilot Studio | Blokujte tvůrce agent z publikačních agentů nakonfigurovaných s SharePoint jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů. |
| Zdroj znalostí s veřejnými weby a daty v nástroji Copilot Studio | Blokujte tvůrcům agent publikační agenty nakonfigurované s veřejnými weby jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů. |
| Zdroj znalostí s dokumenty v Copilot Studio | Zablokujte tvůrce agent z publikačních agentů nakonfigurovaných s dokumenty jako zdrojem znalostí. |
| Kanál Microsoft Teams ve službě Copilot Studio | Zablokujte tvůrcům agent povolení nebo používání kanálu Teams. |
| Omnikanál ve službě Copilot Studio | Zablokujte agent tvůrcům povolení nebo používání kanálu Omnikanál. |
| Dovednosti se službou Copilot Studio | Zablokujte tvůrcům agent používání dovednosti v Copilot Studio agentech. Další informace naleznete v části Příklad prevence ztráty dat – Blokování dovednosti v agentech a Příklad prevence ztráty dat – Blokování požadavků HTTP v agentech. |
| Událost se spouští pomocí Copilot Studio | Zablokujte tvůrce agent v používání spouštěčů událostí v Copilot Studio agentech. Další informace najdete v části Příklad prevence ztráty dat – Blokování spouštěčů událostí v agentech. |
Příklady konfigurací zásad DLP
Abychom vám pomohli začít s řízením Copilot Studio agent, vytvořili jsme následující příklady, které podrobně popisují různé scénáře:
- Příklad prevence ztráty dat – Vyžadovat ověření koncového uživatele v agentech
- Příklad prevence ztráty dat – Block SharePoint zdroj znalostí v agentech
- Příklad prevence ztráty dat – Blok Power Platform Konektory v agentech
- Příklad prevence ztráty dat – Blokujte HTTP požadavky v agentech
- Příklad prevence ztráty dat – Blokování dovednosti v agentech
- Příklad prevence ztráty dat – Blokujte spouštěče událostí v agentech
- Příklad prevence ztráty dat – Blokujte kanály, abyste zakázali publikování agent
Použijte PowerShell k povolení a správě vynucení DLP pro agenty ve vaší organizaci
Pomocí rutin PowerAppDlpErrorSettings a PowerVirtualAgentsDlpEnforcement PowerShell můžete nakonfigurovat, zda mají být zásady DLP aplikovány na vaše agenty.
Můžete provádět následující akce:
- Potvrďte, zda je pro agenty ve vašem tenantovi povolena DLP.
- Povolte nebo zakažte DLP v režimu auditování (
-Mode SoftEnabled), aby tvůrci agent viděli chyby, ale nebylo jim zabráněno v provádění akcí, které by byly zablokovány, pokud by bylo vynucení DLP plně povoleno. - Povolte nebo zakažte vynucení DLP, abyste zobrazili chyby vynucování DLP a zabránili agent tvůrcům publikovat roboty ovlivněné DLP nebo konfigurovat nastavení související s DLP.
- Vyjmout konkrétní agenty z prosazování DLP.
- Přidejte a aktualizujte odkazy na další informace a kontaktní e-maily, které se agent tvůrcům zobrazí, když narazí na DLP ve Copilot Studio webu a aplikacích Teams.
Důležité
Abyste mohli používat rutiny PowerShell nebo zde uvedené ukázkové skripty, musíte pomocí PowerShell nainstalovat následující moduly.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Pokud chcete používat rutiny, musíte být správce klienta.
Tyto rutiny byste obvykle používali v souladu s procesem zavádění DLP, který se může skládat z následujících kroků v uvedeném pořadí:
Přidejte nebo aktualizujte e-mailové odkazy na další informace a kontakt na správce, které se zobrazují v chybách DLP pro tvůrce agent.
Zjistěte, kteří (pokud nějací) agenti mají aktuálně povoleno vynucování zásad DLP.
Použijte auditování nebo "měkký" režim, aby tvůrci viděli chyby DLP na webu Copilot Studio a v aplikaci Teams.
Snižte riziko tím, že budete kontaktovat výrobce a informovat je o nejlepším postupu pro jejich aplikaci nebo tok.
Povolte vynucení DLP pro agenty, abyste zabránili úlohám a funkcím ovlivněným DLP.
Můžete se také rozhodnout vyjmout jednoho nebo více agentů z prosazování zásad DLP, v závislosti na případu použití a požadavcích agent.
Přidejte a aktualizujte e-mailové odkazy na další informace a kontakt na správce
Můžete nakonfigurovat e-mail a odkaz na další informace pomocí rutiny prostředí PowerShell Set-PowerAppDlpErrorSettings. Vaši agent tvůrci uvidí tyto informace, když zaznamenají chyby DLP.
Chcete-li poprvé přidat e-mail a odkaz na další informace, spusťte následující skript prostředí PowerShell a nahraďte parametry <email>, <URL> a <tenant ID> vlastními.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Chcete-li aktualizovat existující konfiguraci, použijte stejný skript PowerShell a nahraďte jej New-PowerAppDlpErrorSettings s Set-PowerAppDlpErrorSettings.
Upozornění
Tato nastavení platí pro všechny aplikace Power Platform v rámci zadaného klienta.
Povolte a nakonfigurujte vynucení DLP pro agenty
Můžete povolit, zakázat, nakonfigurovat a auditovat vynucení DLP v rámci Copilot Studio s rutinou PowerVirtualAgentsDlpEnforcement.
V kterémkoli z následujících příkladů nahraďte (nebo deklarujte) <tenant ID> s ID klienta.
Rozsah na agenty vytvořené po určitém datu můžete nahradit nahrazením <date> datem ve formátu MM-DD-YYYY. Chcete-li odebrat rozsah, odstraňte parametr -OnlyForBotsCreatedAfter a jeho hodnotu.
Potvrďte vynucení DLP pro agenty
Ve výchozím nastavení je vynucení DLP pro agenty zakázáno u všech tenantů.
Můžete spustit následující rutinu PowerShell a zkontrolovat, zda je DLP pro Copilot Studio povoleno pro klienta.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Poznámka:
Pokud jste nenakonfigurovali DLP pro Copilot Studio, výsledky z rutiny budou prázdné.
Použití auditování nebo "měkkého" režimu, abyste viděli chyby DLP na webu Copilot Studio nebo v aplikaci Teams
Spuštěním následujícího skriptu PowerShell povolíte zásady DLP v režimu auditování. Agent tvůrci uvidí chyby související s DLP při konfiguraci agentů ve Copilot Studio webové aplikaci a aplikaci Teams, ale nebude jim zablokováno provádění akcí souvisejících s DLP. Kromě toho nemohou tvůrci publikovat agenty, pokud je povolen měkký režim.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Chcete-li najít agenty, na které by mohly mít dopad stávající zásady ochrany před únikem informací (DLP) vaší organizace, můžete:
Pomocí Center of Excellence (CoE) Starter Kit získáte seznam agentů ve vaší organizaci. Přejděte na stránku Copilot Studio přehledu na řídicím panelu CoE a podívejte se na názvy agentů a prostředí ve vaší organizaci.
Spusťte kampaň s agent tvůrci ve vaší organizaci a vyřešte chyby DLP nebo aktualizované zásady DLP. Všechny chyby agent DLP si můžete stáhnout tak, že vyberete Podrobnosti v banneru s upozorněním na chybu a u chyby vyberete možnost Stáhnout podrobnosti zprávy.
Povolit vynucení DLP pro agenty
Důležité
Než povolíte vynucení DLP, ujistěte se, že víte, kteří agenti budou zobrazovat chyby vašim agent uživatelům kvůli porušení zásad DLP.
Pokud narazíte na problémy, můžete agent vyjmout ze zásad DLP nebo deaktivovat vynucování DLP, zatímco vaši tvůrci opraví agent, aby byly v souladu se zásadami DLP.
Chcete-li vynutit zásady DLP, můžete spustit následující příkaz PowerShell Copilot Studio. Agent tvůrcům bude zabráněno v provádění akcí ovlivněných DLP a koncoví uživatelé uvidí chyby, pokud je spustí.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Osvobození robota od zásad DLP
Pokud jste pro svého tenanta povolili vynucení DLP, ale potřebujete agent osvobodit od zobrazování chyb DLP tvůrcům a uživatelům, můžete spustit následující PowerShell skript.
Nezapomeňte nahradit <environment ID>, <bot ID>, <tenant ID> a <policy ID> příslušnými ID pro agent, které chcete vyjmout.
Tip
Můžete najít <environment ID> a <bot ID> z adresy URL agent.
<policy ID> je uvedeno vedle podrobností o chybě v souboru Stáhnout podrobnosti. Tento soubor si můžete stáhnout výběrem Stáhnout podrobnosti na banneru s upozorněním na chybu v Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Zakázat vynucení DLP pro agenty
Následující příkaz zakáže vynucení DLP v agentech.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled