Konfigurer politikker for forebyggelse af datatab for agenter
Med Copilot Studio kan du hurtigt opbygge og udrulle værdifulde agenter til dine brugere, som kan oprette forbindelse til mange datakilder og tjenester. Nogle af disse kilder og tjenester kan være eksterne tjenester, der ikke er fra Microsoft, og kan endda omfatte sociale netværk sammen med forbindelser til dine organisationsdata.
Organisationens data er sandsynligvis et af de vigtigste aktiver, som administratorer ansvarlig for at beskytte. Muligheden for at bruge disse data på en beskyttet måde, mens du stadig forbinder og interagerer med andre tjenester og systemer, er en hjørnesten i datasikkerhed.
Med politikker til forebyggelse af datatab (DLP) kan du styre, hvordan agenter opretter forbindelse til og interagerer med data og tjenester i og uden for organisationen. Administratorer kan konfigurere Copilot Studio og Power Platform DLP-politikker i Power Platform Administration.
Vigtige oplysninger
I begyndelsen af 2025 er håndhævelse af DLP-politik for alle lejere angivet til Aktiveret som standard, som annonceret i meddelelsescenteradvarslen MC973179: Copilot Studio - Kommende opdateringer til håndhævelse af politikker til forebyggelse af datatab
I Januar 2025:
- Som standard er håndhævelse for agenter i alle lejere angivet til Blødt aktiveret (tidligere var håndhævelse deaktiveret som standard):
- Eksisterende agenter, hvor DLP-håndhævelse er angivet til Deaktiveret, skifter automatisk til Blødt aktiveret. Nye agenter vil have DLP-håndhævelse indstillet til blødt aktiveret som standard ved oprettelsen.
- Hvis en udgivet agent overtræder DLP-politikken, kan brugere af agenten fortsætte med at interagere med agenten, men opdateringer til agenten kan ikke udgives. Overtrædelser af DLP-politikker skal løses, før agenten kan udgives.
- Overtrædelser af DLP-politikker registreres for administratorer, og brugere og skabere får vist advarsler om DLP-overtrædelser. Brugere er ikke blokeret fra at bruge agenten.
- Cmdlet PowerShell kan ikke længere bruges til at slå håndhævelse fra.
Fra februar 2025:
- Som standard er håndhævelse for agenter i alle lejere angivet til Aktiveret – alle publicerede agenter og opdateringer til eksisterende agenter er underlagt DLP-politikker, der gælder som defineret i lejeren.
- PowerShell-cmdlet'en kan ikke længere bruges til at slå håndhævelse til eller fra og understøttes ikke efter februar 2025.
Få mere at vide om, hvordan du bekræfter håndhævelsen i din lejer.
Forudsætninger
- Du bør gennemgå begreber om DLP-politikker
- Du skal være lejeadministrator elle have Miljøadministratorrolle
Copilot Studio-connectors
Copilot Studio-connectorer kan klassificeres inden for en DLP-politik under følgende datagrupper, som vises i Power Platform Administration under gennemgang af DLP-politikker:
- Virksomhed
- Ikke-forretningsmæssig
- Blokeret
Du kan bruge connectorerne i DLP-politikker til at beskytte din organisations data mod skadelig eller utilsigtet dataudtrækning fra dine agentudviklere.
Vigtige oplysninger
Copilot Studio understøtter DLP-håndhævelse af politik i realtid. Agentudviklere og brugere får vist fejlmeddelelser for enhver overtrædelse af DLP-politikken.
I en DLP-politik skal connectorerne være i samme datagruppe, da data ikke kan deles mellem connectorer, der er i forskellige grupper.
Du kan konfigurere DLP-politikker i Power Platform Administration for at blokere en af følgende Copilot Studio connectorer.
| Connectornavn | Use case |
|---|---|
| Application Insights i Copilot Studio | Bloker agent-skabere fra til at forbinde agenter med Application Insights. |
| Chat uden Microsoft Entra ID-godkendelse i Copilot Studio | Bloker agentudviklere fra at publicere agenter, der ikke er konfigureret til godkendelse. Agentbrugere skal autentificere sig selv for at chatte med agenten. Flere oplysninger i Eksempel på forhindring af datatab - kræver godkendelse af brugere i agenter. |
| Direct Line-kanaler i Copilot Studio | Bloker agentudviklere fra at aktivere eller bruge Direct Line-kanaler. Demo-webstedet, det brugerdefinerede websted, mobilappen og andre Direct Line-kanaler kan f.eks. blokeres. |
| Facebook-kanal i Copilot Studio | Bloker agent-udviklere fra at aktivere eller bruge kanalen Facebook. |
| Videnkilde med SharePoint og OneDrive i Copilot Studio | Bloker agentudviklere fra at publicere agenter, der er konfigureret med SharePoint som videnskilde. Understøtter DLP-slutpunkt for connector-filtrering at tillade eller afvise slutpunkter. |
| Videnskilde med dokumenter i Copilot Studio | Bloker agentudviklere fra at publicere agenter, der er konfigureret med dokumenter som videnskilde. |
| Videnkilde med offentlige websteder og data i Copilot Studio | Bloker agentudviklere i at publicere agenter, der er konfigureret med offentlige websteder som en videnskilde. Understøtter DLP-slutpunkt for connector-filtrering at tillade eller afvise slutpunkter. |
| Microsoft Copilot Studio | Bloker agentudviklere i at bruge hændelsesudløsere i Copilot Studio-agenter. Flere oplysninger i Eksempel på forhindring af datatab - Bloker hændelsesudløsere i agenter. |
| Microsoft Teams-kanal i Copilot Studio | Bloker agent-udviklere fra at aktivere eller bruge Teams-kanalen. |
| Omnikanal i Copilot Studio | Bloker agent-udviklere fra at aktivere eller bruge omnikanalkanalen. |
| Færdigheder med Copilot Studio | Bloker agentudviklere i at bruge færdigheder i Copilot Studio-agenter. Flere oplysninger i Eksempel på forebyggelse af datatab - Bloker færdigheder i agenter og Eksempel på forebyggelse af datatab - Bloker HTTP-anmodninger i agenter. |
Eksempel på konfigurationer af DLP-politik
Du kan komme i gang med Copilot Studio-agentstyring ved at gennemgå følgende eksempelscenarier:
- Eksempel på forhindring af datatab – Kræv godkendelse af brugere i agenter
- Eksempel på forhindring af datatab – blokering af SharePoint og videnskilde i agenter
- Eksempel på forhindring af datatab - Bloker Power Platform-connectorer i agenter
- Eksempel på forhindring af datatab - Bloker HTTP-forespørgsler i agenter
- Eksempel på forebyggelse af datatab - Bloker færdigheder i agenter
- Eksempel på forhindring af datatab - Bloker hændelsesudløsere i agenter
- Eksempel på forhindring af datatab – Bloker kanaler til deaktivering af agentudgivelse
Brug PowerShell til at aktivere og administrere DLP-håndhævelse for agenter i din organisation
Du kan konfigurere, om DLP-politikker skal anvendes på dine agenter, med PowerAppDlpErrorSettings og PowerVirtualAgentsDlpEnforcement PowerShell cmdletter.
Du kan:
- Bekræft, om DLP-politikker er aktiveret for agenter i din lejer.
- Skift DLP-politikhåndhævelse til overvågningstilstand (
-Mode SoftEnabled), så agent-udviklere kan se fejl, men ikke forhindres i at udføre handlinger, der ville blive blokeret, hvis DLP-håndhævelse var fuldt aktiveret. - Aktivér eller deaktiver DLP-håndhævelse for at få vist DLP-håndhævelsesfejl og forhindre agentudviklere i at publicere DLP-påvirkede agenter eller konfigurere DLP-relaterede indstillinger.
- Tilføj og opdater maillinkene til få mere at vide, og kontakt dem, der vises til agent skabere, når Copilot Studio udløser en overtrædelse af DLP-politikken.
Vigtige oplysninger
Før du bruger PowerShell-cmdlets eller de eksempelscripts, der er vist her, skal du sikre dig, at du installerer følgende moduler ved hjælp af PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du skal være lejeradministrator for at kunne bruge cmdletter.
Du bruger som regel disse cmdletter i overensstemmelse med en DLP-udrulningsproces, som kan bestå af følgende trin i nævnte rækkefølge:
Tilføj eller opdater linkene til at flere oplysninger og administratorkontaktmails, der vises i DLP-fejl for agentudviklere.
Find ud af, hvilke (om nogen) agenter der i øjeblikket har aktiveret håndhævelse af DLP-politikker.
Brug overvågningstilstand, så udviklere kan se DLP-fejl i Copilot Studio web- og Teams-apps.
Afhjælp risici ved at kontakte udviklere og informere dem om den bedste fremgangsmåde for deres app eller flow.
Aktivér streng håndhævelse af DLP-politikker for helpdesk-medarbejdere.
Vigtige oplysninger
Agent undtagelsen for håndhævelse af DLP-politikker understøttes ikke længere. Agenter, der tidligere har været undtaget fra DLP-håndhævelse, får deres håndhævelse angivet til Blødt aktiveret i januar 2025 og angivet til Aktiveret i februar 2025.
Tilføje og opdatere links til flere oplysninger og administratorkontaktmails
Du kan bruge Set-PowerAppDlpErrorSettings PowerShell cmdlet til at føje en mailadresse og linket "Få mere at vide" til DLP-fejlmeddelelserne.
Hvis du vil tilføje mailadressen og linket til mere at vide for første gang, skal du køre følgende PowerShell-script og erstatte værdierne for <email>, <URL> og <tenant ID> parametrene med dine egne.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Hvis du vil opdatere en eksisterende konfiguration, skal du bruge det samme PowerShell-script og erstatte New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.
Advarsel!
Disse indstillinger gælder for alle Power Platform-apps i den angivne lejer.
Konfigurere DLP-håndhævelse for agenter
Du kan aktivere, deaktivere, konfigurere og overvåge DLP-håndhævelse i Copilot Studio med PowerVirtualAgentsDlpEnforcement-cmdletten.
I et af følgende eksempler skal du erstatte (eller deklarere) <tenant ID> med dit lejer-id.
Du kan begrænse omfanget til agenter, der er oprettet efter en bestemt dato, ved at erstatte <date> med en dato i formatet MM-DD-YYYY. Hvis du vil fjerne omfanget, skal du slette parameteren -OnlyForBotsCreatedAfter og dens værdi.
Bekræft DLP politik-håndhævelse for agenter
DLP-politikhåndhævelse for helpdesk-medarbejdere er som standard angivet til overvågningstilstand eller "blød" tilstand.
Kør følgende PowerShell-cmdlet for at kontrollere status for håndhævelse af DLP-politikker for en lejer.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Bemærk
Hvis DLP ikke er konfigureret for Copilot Studio, er svaret fra cmdlet'en tomt.
Brug overvågningstilstand til at se DLP-fejl i Copilot Studio
Kør følgende PowerShell-script for at aktivere DLP-politikker i overvågningstilstand eller "blød" tilstand. Når denne tilstand er aktiv, kan agentudviklere se DLP-relaterede fejlmeddelelser, når de konfigurerer agenter i Copilot Studio, men det forhindrer dem ikke i at udføre DLP-relaterede handlinger. Skabere kan dog ikke udgive agenter, mens denne tilstand er aktiv.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Hvis du vil finde agenter, som din organisations DLP-politikker kan påvirke, kan du:
Brug Power BI-dashboardet i Center of Excellence (CoE)-startpakken til at få vist en liste over agenter i din organisation. Gå til siden Copilot Studio-oversigt i CoE Dashboard for at se agenter og miljønavne i din organisation.
Kør en kampagne med agentudviklere i din organisation for at løse DLP-fejl eller opdaterede DLP-politikker. Du kan downloade alle agent DLP-fejl ved at vælge Detaljer i fejlmeddelelsesbanneret og vælge Download i fejlmeddelelsesdetaljerne.
Slå DLP-håndhævelse til for helpdesk-medarbejdere
Advarsel!
Før du slår håndhævelse af DLP-politikker til, skal du sikre dig, at du ved, hvilke agenter der sandsynligvis vil rapportere fejl til brugere på grund af overtrædelse af DLP-politikker.
Du kan køre følgende PowerShell-kommando for at gennemtvinge DLP-politikker i Copilot Studio. Helpdesk-medarbejderudviklere forhindres i at udføre handlinger, der er i strid med DLP-politikkerne, og brugerne får vist fejlmeddelelser om eventuelle overtrædelser.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>