Del via

Konfigurer politikker for forebyggelse af datatab for agenter

  • Artikel

Organisationens data er sandsynligvis et af de vigtigste aktiver, som administratorer ansvarlig for at beskytte. Muligheden for at opbygge automatisering til at bruge disse data er en stor del af virksomhedens succes.

Du kan hurtigt oprette og udrulle dine agenter af høj værdi til dine brugere. Du kan etablere forbindelse mellem dine agenter og mange datakilder og tjenester. Nogle af disse kilder og tjenester kan være eksterne ikke-Microsoft-tjenester og kan endda inkludere sociale netværk.

Det er nemt at overse potentialet for eksponering. Denne form for eksponering kan være resultatet af datalækage eller forbindelser til servicer og målgrupper, der ikke burde have adgang til dataene.

Administratorer kan styre agenter i din organisation ved hjælp af politikker til forebyggelse af datatab (DLP) med eksisterende og Copilot Studio-connectorer. DLP-politikker oprettes i Power Platform Administration. Hvis du vil oprette en DLP-politik, skal du være lejeradministrator eller have rollen som miljøadministrator.

Forudsætninger

Copilot Studio-connectors

Copilot Studio-connectorer kan klassificeres inden for en DLP-politik under følgende datagrupper, som vises i Power Platform Administration under gennemgang af DLP-politikker:

  • Virksomhed
  • Ikke-forretningsmæssig
  • Blokeret

Du kan bruge connectorerne i DLP-politikker til at beskytte din organisations data mod skadelig eller utilsigtet dataudtrækning fra dine agentudviklere.

Vigtige oplysninger

DLP-håndhævelse for agenter er som standard deaktiveret i alle lejere. Få mere at vide om, hvordan du aktiverer håndhævelse.

Copilot Studio understøtter DLP-håndhævelse i realtid. Agent-skabere og brugere får vist relevante fejlmeddelelser om DLP-håndhævelse, så snart en DLP-politik bliver aktiv.

I en DLP-politik skal connectorerne være i samme datagruppe, da data ikke kan deles mellem connectorer, der er i forskellige grupper.

Du kan konfigurere DLP-politikker i Power Platform Administration for at blokere en af følgende Copilot Studio connectorer.

Connectornavn Use case
Application Insights i Copilot Studio Bloker agent-skabere fra til at forbinde agenter med Application Insights.
Chat uden Microsoft Entra ID-godkendelse i Copilot Studio Bloker agentudviklere fra at publicere agenter, der ikke er konfigureret til godkendelse.
Agentbrugere skal autentificere sig selv for at chatte med agenten.
Flere oplysninger i Eksempel på forhindring af datatab - kræver godkendelse af brugere i agenter.
Direct Line-kanaler i Copilot Studio Bloker agentudviklere fra at aktivere eller bruge Direct Line-kanaler.
Demo-webstedet, det brugerdefinerede websted, mobilappen og andre Direct Line-kanaler kan f.eks. blokeres.
Facebook-kanal i Copilot Studio Bloker agent-udviklere fra at aktivere eller bruge kanalen Facebook.
Videnkilde med SharePoint og OneDrive i Copilot Studio Bloker agentudviklere fra at publicere agenter, der er konfigureret med SharePoint som videnskilde. Understøtter DLP-slutpunkt for connector-filtrering at tillade eller afvise slutpunkter.
Videnskilde med dokumenter i Copilot Studio Bloker agentudviklere fra at publicere agenter, der er konfigureret med dokumenter som videnskilde.
Videnkilde med offentlige websteder og data i Copilot Studio Bloker agentudviklere i at publicere agenter, der er konfigureret med offentlige websteder som en videnskilde. Understøtter DLP-slutpunkt for connector-filtrering at tillade eller afvise slutpunkter.
Microsoft Copilot Studio Bloker agentudviklere i at bruge hændelsesudløsere i Copilot Studio-agenter.
Flere oplysninger i Eksempel på forhindring af datatab - Bloker hændelsesudløsere i agenter.
Microsoft Teams-kanal i Copilot Studio Bloker agent-udviklere fra at aktivere eller bruge Teams-kanalen.
Omnikanal i Copilot Studio Bloker agent-udviklere fra at aktivere eller bruge omnikanalkanalen.
Færdigheder med Copilot Studio Bloker agentudviklere i at bruge færdigheder i Copilot Studio-agenter.
Flere oplysninger i Eksempel på forebyggelse af datatab - Bloker færdigheder i agenter og Eksempel på forebyggelse af datatab - Bloker HTTP-anmodninger i agenter.

Eksempel på konfigurationer af DLP-politik

Du kan komme i gang med Copilot Studio-agentstyring ved at gennemgå følgende eksempelscenarier:

Brug PowerShell til at aktivere og administrere DLP-håndhævelse for agenter i din organisation

Du kan konfigurere, om DLP-politikker skal anvendes på dine agenter, med PowerAppDlpErrorSettings og PowerVirtualAgentsDlpEnforcement PowerShell cmdletter.

Du kan:

  • Bekræft, om DLP er aktiveret for agenter i din lejer.
  • Aktivér eller deaktiver DLP i overvågningstilstand (-Mode SoftEnabled), så agent-udviklere kan se fejl, men ikke forhindres i at udføre handlinger, der ville blive blokeret, hvis DLP-håndhævelse var fuldt aktiveret.
  • Aktivér eller deaktiver DLP-håndhævelse for at få vist DLP-håndhævelsesfejl og forhindre agentudviklere i at publicere DLP-påvirkede robotter eller konfigurere DLP-relaterede indstillinger.
  • Undtage specifikke agenter fra DLP-håndhævelse.
  • Tilføj og opdater maillinkene til flere oplysninger og kontakter, der vises for agentudviklere, når de støder på DLP i Copilot Studio til web- og Teams-apps.

Vigtige oplysninger

Før du bruger PowerShell-cmdlets eller de eksempelscripts, der er vist her, skal du sikre dig, at du installerer følgende moduler ved hjælp af PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Du skal være lejeradministrator for at kunne bruge cmdletter.

Du bruger som regel disse cmdletter i overensstemmelse med en DLP-udrulningsproces, som kan bestå af følgende trin i nævnte rækkefølge:

  1. Tilføj eller opdater linkene til at flere oplysninger og administratorkontaktmails, der vises i DLP-fejl for agentudviklere.

  2. Find ud af, hvilke (om nogen) agenter der i øjeblikket har aktiveret håndhævelse af DLP-politikker.

  3. Brug overvågningstilstand eller "blød" tilstand, så udviklerne kan se DLP-fejl i web- og Teams-apps til Copilot Studio.

  4. Afhjælp risici ved at kontakte udviklere og informere dem om den bedste fremgangsmåde for deres app eller flow.

  5. Aktivér DLP-håndhævelse for agenter for at forhindre DLP-påvirkede opgaver og funktioner.

Du kan også beslutte at undtage en eller flere agenter fra håndhævelse af DLP-politik, afhængigt af agentens anvendelseseksempel og krav.

Du kan bruge Set-PowerAppDlpErrorSettings PowerShell cmdlet til at føje en mailadresse og linket "Få mere at vide" til DLP-fejlmeddelelserne.

Skærmbillede af en DLP-relateret fejlmeddelelse i Copilot Studio med en mailadresse og linket Få mere at vide fremhævet.

Hvis du vil tilføje mailadressen og linket til mere at vide for første gang, skal du køre følgende PowerShell-script og erstatte værdierne for <email>, <URL> og <tenant ID> parametrene med dine egne.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Hvis du vil opdatere en eksisterende konfiguration, skal du bruge det samme PowerShell-script og erstatte New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.

Advarsel

Disse indstillinger gælder for alle Power Platform-apps i den angivne lejer.

Aktivere og konfigurere DLP-håndhævelse for agenter

Du kan aktivere, deaktivere, konfigurere og overvåge DLP-håndhævelse i Copilot Studio med PowerVirtualAgentsDlpEnforcement-cmdletten.

I et af følgende eksempler skal du erstatte (eller deklarere) <tenant ID> med dit lejer-id.

Du kan begrænse omfanget til agenter, der er oprettet efter en bestemt dato, ved at erstatte <date> med en dato i formatet MM-DD-YYYY. Hvis du vil fjerne omfanget, skal du slette parameteren -OnlyForBotsCreatedAfter og dens værdi.

Bekræft DLP-håndhævelse for agenter

DLP-håndhævelse for agenter er som standard deaktiveret i alle lejere.

Du kan køre følgende PowerShell-cmdlet for at kontrollere, om DLP for Copilot Studio er aktiveret for en lejer.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Bemærk

Hvis DLP ikke er konfigureret for Copilot Studio, er svaret fra cmdlet'en tomt.

Brug overvågningstilstand til at se DLP-fejl i Copilot Studio

Kør følgende PowerShell-script for at aktivere DLP-politikker i overvågningstilstand eller "blød" tilstand. Når denne tilstand er aktiv, kan agentudviklere se DLP-relaterede fejlmeddelelser, når de konfigurerer agenter i Copilot Studio, men det forhindrer dem ikke i at udføre DLP-relaterede handlinger. Skabere kan dog ikke udgive agenter, mens denne tilstand er aktiv.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Hvis du vil finde agenter, som din organisations DLP-politikker kan påvirke, kan du:

  • Brug Power BI-dashboardet i Center of Excellence (CoE)-startpakken til at få vist en liste over agenter i din organisation. Gå til siden Copilot Studio-oversigt i CoE Dashboard for at se agenter og miljønavne i din organisation.

  • Kør en kampagne med agentudviklere i din organisation for at løse DLP-fejl eller opdaterede DLP-politikker. Du kan downloade alle agent DLP-fejl ved at vælge Detaljer i fejlmeddelelsesbanneret og vælge Download i fejlmeddelelsesdetaljerne.

Aktivér DLP-håndhævelse for agenter

Vigtige oplysninger

Før du aktiverer DLP-håndhævelse, skal du sikre dig, at du ved, hvilke agenter der måske rapporterer fejl på grund af overtrædelse af DLP-politikken.

Hvis du støder på problemer, kan du undtage en agent fra DLP-politikker eller deaktivere DLP-håndhævelse, mens dine udviklere retter agenten for at overholde DLP-politikkerne.

Du kan køre følgende PowerShell-kommando for at gennemtvinge DLP-politikker i Copilot Studio. Agenter-udviklere forhindres i at udføre DLP-påvirkede handlinger, og brugerne får vist fejl, hvis de udløses.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Udelukke en robot DLP-politikker

Hvis du har aktiveret DLP-håndhævelse for din lejer, men du har brug for at undtage en agent fra at vise DLP-fejl til udviklere og brugere, kan du køre følgende PowerShell-script.

Sørg for at erstatte <environment ID>, <bot ID>, <tenant ID> og <policy ID> med de relevante id'er til den agent, du vil undtage.

Tip

Du kan finde <environment ID> og <bot ID> fra agentens URL.

<policy ID> vises sammen med fejloplysningerne i filen Hent detaljer. Du kan hente denne fil ved at vælge Hent detaljer på banneret til fejlmeddelelser i Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Deaktiver DLP-håndhævelse for agenter

Brug følgende kommando til at deaktiverer DLP-håndhævelse i agenter.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled