Sdílet prostřednictvím

Konfigurace zásad ochrany před únikem informací pro agenty

  • Článek

Díky Copilot Studio můžete rychle vytvářet a zavádět agenty s vysokou hodnotou pro vaše uživatele, kteří se můžou připojit k mnoha zdrojům dat a službám. Některé z těchto zdrojů a služeb můžou být externí služby jiných společností než Microsoft a můžou dokonce zahrnovat sociální sítě spolu s připojeními k datům vaší organizace.

Data organizace jsou nejdůležitějším majetkem, za jehož ochranu správci odpovídají. Schopnost používat tato data chráněným způsobem a zároveň se připojovat a komunikovat s jinými službami a systémy je základním kamenem zabezpečení dat.

Zásady ochrany před únikem informací (DLP) umožňují řídit, jak se agenti připojují k datům a službám a jak s nimi pracují, a to v rámci vaší organizace i mimo ni. Správci můžou konfigurovat zásady ochrany před únikem informací Copilot Studio a Power Platform v Centru pro správu Power Platform.

Důležité

Na začátku roku 2025 je vynucování zásad ochrany před únikem informací pro všechny klienty ve výchozím nastavení nastaveno na Povoleno, jak bylo oznámeno ve výstraze centra zpráv MC973179 centra: Copilot Studio – Nadcházející aktualizace vynucování zásad ochrany před únikem informací.

V lednu 2025:

  • Ve výchozím nastavení je vynucování agentů ve všech klientech nastaveno na Měkce povoleno (dříve bylo vynucování ve výchozím nastavení zakázané):
    • Stávající agenti, kteří měli vynucování ochrany před únikem informací nastaveno na Zakázáno, se automaticky změní na Měkce povoleno. Noví agenti mají při vytvoření nastaveno vynucení ochrany před únikem informací na Měkce povoleno.
    • Pokud publikovaný agent porušuje zásady ochrany před únikem informací, uživatelé agenta můžou s agentem dál pracovat, ale aktualizace agenta se nedají publikovat. Porušení zásad ochrany před únikem informací musí být vyřešeno před publikováním agenta.
    • Porušení zásad ochrany před únikem informací jsou pro správce zaznamenány a uživatelům a tvůrcům se zobrazí upozornění ohledně porušení ochrany před únikem informací. Uživatelé nemají zablokované používání agenta.
  • Rutinu PowerShell už nelze použít k vypnutí vynucení.

Od února 2025:

  • Ve výchozím nastavení bude vynucování agentů ve všech tenantech nastavené na Povoleno – všichni publikovaní agenti a aktualizace stávajících agentů podléhají zásadám ochrany před únikem informací, které platí tak, jak jsou definovány v tenantovi.
  • Rutinu PowerShell už nelze použít k zapnutí nebo vypnutí vynucování a po únoru 2025 nebude podporována.

Přečtěte si o potvrzení vynucení ve vašem tenantovi.

Předpoklady

Konektory Copilot Studio

Konektory Copilot Studio lze v rámci zásad DLP klasifikovat do následujících datových skupin, které jsou uvedeny v centru Power Platform pro správu při kontrole zásad DLP:

  • Obchodní
  • Neobchodní
  • Blokováno

Konektory v zásadách ochrany před únikem informací můžete použít k ochraně dat vaší organizace před škodlivými nebo neúmyslnými exfiltracemi dat ze strany tvůrců agent.

Důležité

Copilot Studio podporuje vynucování zásad DLP v reálném čase. Tvůrcům agentů a uživatelům se zobrazí chybové zprávy při jakémkoli porušení zásad ochrany před únikem informací.

V zásadách ochrany před únikem informací musí být konektory ve stejné skupině dat, protože data nelze sdílet mezi konektory, které jsou v různých skupinách.

Zásady ochrany před únikem informací v Centru pro správu Power Platform můžete nakonfigurovat tak, aby blokovaly některý z následujících konektorů Copilot Studio.

Název konektoru Případ použití
Application Insights v aplikaci Copilot Studio Zablokujte tvůrcům agenta připojení agentů k Application Insights.
Chat bez ověřování službou Microsoft Entra ID ve službě Copilot Studio Agent tvůrcům zablokujte publikování agentů, kteří nejsou nakonfigurovaní pro ověřování.
Uživatelé agenta se musí ověřit, aby s agentem mohli chatovat.
Další informace najdete v tématu Příklad ochrany před únikem informací – Vyžadování ověřování uživatelů v agentech.
Kanály Direct Line ve službě Copilot Studio Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Direct Line.
Zablokován bude například ukázkový web, vlastní web, mobilní aplikace a další kanály Direct Line.
Kanál Facebook ve službě Copilot Studio Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Facebook.
Zdroj znalostí se službami SharePoint a OneDrive v nástroji Copilot Studio Zablokovat tvůrcům agentů publikování agentů nakonfigurovaných s SharePoint jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů.
Zdroj znalostí s dokumenty v Copilot Studio Zablokovat tvůrcům agentů publikování agentů nakonfigurovaných s dokumenty jako zdrojem znalostí.
Zdroj znalostí s veřejnými weby a daty v nástroji Copilot Studio Zablokovat tvůrcům agentů publikování agentů nakonfigurovaných s veřejnými weby jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů.
Microsoft Copilot Studio Zablokujte tvůrcům agentů používání spouštěčů událostí v agentech Copilot Studio.
Další informace najdete v tématu Příklad ochrany před únikem informací – Blokování aktivačních událostí v agentech.
Kanál Microsoft Teams ve službě Copilot Studio Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Teams.
Omnikanál ve službě Copilot Studio Zablokovat tvůrcům agentů zapnutí nebo používání kanálu Omnikanálu.
Dovednosti se službou Copilot Studio Zablokujte tvůrcům agentů používání dovedností v agentech Copilot Studio.
Další informace najdete v tématech Příklad ochrany před únikem informací – Blokování dovedností v agentech a Příklad ochrany před únikem informací – Blokování požadavků HTTP v agentech.

Příklady konfigurací zásad DLP

Pokud chcete začít se správou agentů Copilot Studio, projděte si následující ukázkové scénáře:

Použití PowerShell k povolení a správě vynucení ochrany před únikem informací pro agenty ve vaší organizaci

Pomocí rutin PowerAppDlpErrorSettings a PowerVirtualAgentsDlpEnforcement PowerShell můžete nakonfigurovat, zda se mají na vaše agenty použít zásady DLP.

Můžete provádět následující akce:

  • Ověřte, jestli se zásady ochrany před únikem informací vynucují pro agenty ve vašem tenantovi.
  • Přepněte vynucování zásad ochrany před únikem informací do režimu auditování (-Mode SoftEnabled), aby tvůrci agentů viděli chyby, ale nebránili jim v provádění akcí, které by vynucení zásad ochrany před únikem informací blokovalo.
  • Zapnutím nebo vypnutím vynucení ochrany před únikem informací zobrazíte chyby vynucení ochrany před únikem informací a zabráníte tvůrcům agentů publikovat agenty ovlivněné únikem informací nebo konfigurovat nastavení související s únikem informací.
  • Přidejte a aktualizujte další informace a kontaktní e-mailové odkazy, které se zobrazí tvůrcům agentů, když Copilot Studio aktivují porušení zásad ochrany před únikem informací.

Důležité

Abyste mohli používat rutiny PowerShell nebo zde uvedené ukázkové skripty, musíte pomocí PowerShell nainstalovat následující moduly.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Pokud chcete používat rutiny, musíte být správce klienta.

Tyto rutiny byste obvykle používali v souladu s procesem zavádění DLP, který se může skládat z následujících kroků v uvedeném pořadí:

  1. Přidejte nebo aktualizujte e-mailové odkazy s dalšími informacemi a kontakty správce, které se zobrazují v chybách DLP pro tvůrce agentů.

  2. Určete, kteří agenti (pokud existují) mají aktuálně povolené vynucování zásad ochrany před únikem informací.

  3. Používejte režim auditování, aby tvůrci viděli chyby DLP na webu Copilot Studio a v aplikacích Teams.

  4. Snižte riziko tím, že budete kontaktovat výrobce a informovat je o nejlepším postupu pro jejich aplikaci nebo tok.

  5. Zapněte striktní vynucování zásad ochrany před únikem informací pro agenty.

Důležité

Výjimka z vynucení zásad ochrany před únikem informací agenta se už nepodporuje. Agenti, kteří byli dříve vyloučeni z vynucování DLP, budou mít vynucení nastavené na Měkké povolení v lednu 2025 a nastavené na Povoleno v únoru 2025.

Pomocí rutiny PowerShell Set-PowerAppDlpErrorSettings můžete do chybových zpráv ochrany před únikem dat přidat e-mailovou adresu a odkaz Další informace.

Snímek obrazovky chybové zprávy související s ochranou před únikem dat v Copilot Studio se zvýrazněnou e-mailovou adresou a odkazem Další informace.

Pokud chcete e-mailovou adresu a odkaz na další informace přidat poprvé, spusťte následující skript PowerShell a nahraďte hodnoty parametrů <email>, <URL> a <tenant ID> vlastními hodnotami.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Chcete-li aktualizovat existující konfiguraci, použijte stejný skript PowerShell a nahraďte jej New-PowerAppDlpErrorSettings s Set-PowerAppDlpErrorSettings.

Upozorňující

Tato nastavení platí pro všechny aplikace Power Platform v rámci zadaného klienta.

Konfigurace vynucení ochrany před únikem informací pro agenty

Můžete povolit, zakázat, nakonfigurovat a auditovat vynucení DLP v rámci Copilot Studio s rutinou PowerVirtualAgentsDlpEnforcement.

V kterémkoli z následujících příkladů nahraďte (nebo deklarujte) <tenant ID> s ID klienta.

Můžete se zaměřit na agenty vytvořené po určitém datu nahrazením <date> datem ve formátu MM-DD-YYYY. Chcete-li odebrat rozsah, odstraňte parametr -OnlyForBotsCreatedAfter a jeho hodnotu.

Potvrzení vynucení zásad ochrany před únikem informací pro agenty

Ve výchozím nastavení je vynucování zásad ochrany před únikem informací pro agenty nastaveno na režim auditování nebo "měkký" režim.

Spuštěním následující rutiny PowerShell zkontrolujte stav vynucení zásad ochrany před únikem informací pro tenanta.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Poznámka:

Pokud DLP není nakonfigurovaná pro Copilot Studio, odpověď z rutiny je prázdná.

Použijte režim auditování k zobrazení chyb DLP v Copilot Studio

Spusťte následující skript PowerShell a povolte zásady ochrany před únikem informací v auditování nebo v "měkkém" režimu. Když je tento režim aktivní, tvůrci agentů mohou při konfiguraci agentů v Copilot Studio zobrazit chybové zprávy související s DLP, ale neblokuje jim to provádění akcí souvisejících s DLP. Tvůrci však nemohou publikovat agenty, když je tento režim aktivní.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Pokud chcete najít agenty, které můžou mít vliv zásady ochrany před únikem informací vaší organizace, můžete:

  • Pomocí řídicího panelu Power BI startovací sady Center of Excellence (CoE) můžete získat seznam agentů ve vaší organizaci. Přejděte na Copilot Studio stránku přehledu na řídicím panelu CoE a podívejte se na názvy agentů a prostředí ve vaší organizaci.

  • Spusťte kampaň s tvůrci agent ve vaší organizaci, abyste vyřešili chyby ochrany před únikem informací nebo aktualizované zásady ochrany před únikem informací. Všechny agent chyby DLP si můžete stáhnout tak, že v banneru s oznámením o chybě vyberete Podrobnosti a v podrobnostech chybové zprávy vyberete Stáhnout .

Zapnutí vynucení ochrany před únikem informací pro agenty

Upozorňující

Před zapnutím vynucování zásad ochrany před únikem informací se ujistěte, že víte, kteří agenti budou pravděpodobně hlásit chyby uživatelům kvůli porušení zásad ochrany před únikem informací.

Chcete-li vynutit zásady DLP, můžete spustit následující příkaz PowerShell Copilot Studio. Tvůrcům agentů je zabráněno v provádění akcí, které by porušovaly zásady ochrany před únikem informací, a uživatelům se při jakémkoli porušení zobrazí chybové zprávy.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>