Richtlinien zur Verhinderung von Datenverlust für Agenten konfigurieren
Mit Copilot Studio können Sie schnell hochwertige Agenten für Ihre Benutzenden erstellen und einführen, die sich mit vielen Datenquellen und Diensten verbinden können. Einige dieser Quellen und Dienste können externe Dienste sein, die nicht von Microsoft stammen und neben Verbindungen zu Ihren Organisationsdaten sogar soziale Netzwerke umfassen.
Organisationsdaten sind die wichtigsten Ressourcen, für deren Sicherung Administratoren zuständig sind. Die Möglichkeit, diese Daten auf geschützte Weise zu verwenden und gleichzeitig eine Verbindung zu anderen Diensten und Systemen herzustellen und mit ihnen zu interagieren, ist ein Eckpfeiler der Datensicherheit.
Mit Richtlinien zur Verhinderung von Datenverlust (DLP) können Sie steuern, wie sich Agenten innerhalb und außerhalb Ihrer Organisation mit Daten und Diensten verbinden und mit ihnen interagieren. Fachkräfte für die Administration können im Power Platform Admin Center Copilot Studio- und Power Platform-DLP-Richtlinien konfigurieren.
Wichtig
Anfang 2025 wird die Erzwingung der DLP-Richtlinie für alle Mandanten standardmäßig auf Aktiviert festgelegt, was im Nachrichtencenter mit der Benachrichtigung MC973179: Copilot Studio – anstehende Aktualisierungen bei der Erzwingung der Richtlinie zur Verhinderung von Datenverlust.
Im Januar 2025:
- Die Erzwingung für Agenten ist in allen Mandanten standardmäßig auf Vorläufig aktiviert festgelegt (zuvor war die Erzwingung standardmäßig deaktiviert):
- Vorhandene Agenten, für welche die DLP-Erzwingung auf Deaktiviert festgelegt war, werden automatisch auf Vorläufig aktiviert umgestellt. Bei neuen Agenten wird die DLP-Erzwingung bei der Erstellung standardmäßig auf Vorläufig aktiviert festgelegt.
- Wenn ein veröffentlichter Agent gegen die DLP-Richtlinie verstößt, können Benutzer des Agents weiterhin mit dem Agent interagieren, Aktualisierungen des Agents können jedoch nicht veröffentlicht werden. Die Verstöße gegen die DLP-Richtlinien müssen behoben werden, bevor der Agent veröffentlicht werden kann.
- Verstöße gegen die DLP-Richtlinien werden für Administratoren aufgezeichnet, und Benutzern und Entwicklern werden Warnungen zu DLP-Verstößen angezeigt. Benutzer werden nicht daran gehindert, den Agent zu verwenden.
- Das Cmdlet PowerShell kann nicht mehr verwendet werden, um die Durchsetzung zu deaktivieren.
Ab Februar 2025:
- Standardmäßig wird die Erzwingung für Agenten in allen Mandanten auf Aktiviert festgelegt. Alle veröffentlichten Agenten und Aktualisierungen vorhandener Agenten unterliegen DLP-Richtlinien, die gemäß der Definition im Mandanten gelten.
- Das Cmdlet PowerShell kann nicht mehr zum Ein- oder Ausschalten der Durchsetzung verwendet werden und wird nach Februar 2025 nicht mehr unterstützt.
Erfahren Sie, wie Sie die Erzwingung in Ihrem Mandanten bestätigen.
Anforderungen
- Sie sollten sich mit den Konzepten zu DLP-Richtlinien vertraut machen
- Sie müssen eine Fachkraft für die Mandantenadministration sein oder die Rolle einer Fachkraft für die Umgebungsadministration haben
Copilot Studio-Connectors
Copilot Studio-Konnektoren können innerhalb einer DLP-Richtlinie unter den folgenden Datengruppen klassifiziert werden, die in Power Platform Admin Center beim Überprüfen von DLP-Richtlinien dargestellt werden:
- Unternehmen
- Nicht geschäftlich
- Blockiert
Sie können die Connectors in DLP-Richtlinien verwenden, um die Daten Ihrer Organisation vor böswilliger oder unbeabsichtigter Datenexfiltration durch Ihre Agenten-Erstellenden zu schützen.
Wichtig
Copilot Studio unterstützt die DLP-Richtlinienerzwingung in Echtzeit. Agentenentwicklern und Benutzern werden Fehlermeldungen zu Verstößen gegen die DLP-Richtlinie angezeigt.
In einer DLP-Richtlinie müssen sich die Connectors in derselben Datengruppe befinden, da Daten nicht zwischen Connectors ausgetauscht werden können, die sich in unterschiedlichen Gruppen befinden.
Sie können DLP-Richtlinien im Power Platform Admin Center konfigurieren, um jeden der folgenden Copilot Studio Konnektoren zu blockieren.
| Konnektorname | Anwendungsfall |
|---|---|
| Application Insights in Copilot Studio | Blockieren Sie Agent-Entwickler, die Agenten mit Application Insights verbinden. |
| Chatten ohne Microsoft Entra ID-Authentifizierung in Copilot Studio | Blockieren Sie Agent-Ersteller vor der Veröffentlichung von Agenten, die nicht für die Authentifizierung konfiguriert sind. Agenten-Benutzer müssen sich authentifizieren, um mit dem Agenten chatten zu können. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Anfordern einer Benutzerauthentifizierung bei Agenten. |
| Direct Line-Kanäle in Copilot Studio | Hindern Sie Agenten-Erstellende daran, den Direct Line-Kanal zu aktivieren oder zu verwenden. Dabei würden zum Beispiel die Demowebsite, die benutzerdefinierte Website, die mobile App und andere Direct Line-Kanäle blockiert. |
| Facebook-Kanal in Copilot Studio | Hindern Sie Agenten-Erstellende daran, den Facebook-Kanal zu aktivieren oder zu verwenden. |
| Wissensquelle mit SharePoint und OneDrive in Copilot Studio | Hindern Sie Agenten-Erstellende daran, Agenten zu veröffentlichen, die mit SharePoint als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit Dokumenten in Copilot Studio | Blockieren Sie Agent-Ersteller an der Veröffentlichung von Agenten, die mit Dokumenten als Wissensquelle konfiguriert sind. |
| Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio | Hindern Sie Agenten-Erstellende daran, Agenten zu veröffentlichen, die mit öffentlichen Websites als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Microsoft Copilot Studio | Verhindern Sie, dass Agenten-Erstellende Ereignistrigger in Copilot Studio-Agenten verwenden. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Blockieren von Ereignisauslösern in Agenten. |
| Microsoft Teams-Kanal in Copilot Studio | Blockieren Sie Agent-Entwickler daran, den Teams-Kanal zu aktivieren oder zu verwenden. |
| Omnichannel in Copilot Studio | Blockieren Sie Agent-Entwickler, den Omnichannel-Kanal zu aktivieren oder zu verwenden. |
| Qualifikationen mit Copilot Studio | Blockieren Sie Agent-Entwickler an der Verwendung von Fertigkeiten in Copilot Studio Agenten. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Fertigkeiten in Agenten blockieren und Beispiel für die Verhinderung von Datenverlust – Blockieren von HTTP-Anforderungen in Agenten. |
Beispielhafte DLP-Richtlinienkonfigurationen
Sehen Sie sich die folgenden Beispielszenarien an, um mit Copilot Studio Agent Governance zu beginnen:
- Beispiel für die Verhinderung von Datenverlust – Eine Benutzerauthentifizierung bei Agents anfordern
- Beispiel zur Verhinderung von Datenverlust: SharePoint-Wissensquelle in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: Power Platform-Connectors in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: HTTP-Anforderungen in Agenten blockieren
- Beispiel für die Verhinderung von Datenverlust – Fertigkeiten in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: Ereignistrigger in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: Die Deaktivierung der Agenten-Veröffentlichung durch Kanäle blockieren
PowerShell verwenden, um die DLP-Durchsetzung für Agenten in Ihrer Organisation zu aktivieren und zu verwalten
Mit den PowerAppDlpErrorSettings- und PowerVirtualAgentsDlpEnforcement-PowerShell Cmdlets können Sie konfigurieren, ob DLP-Richtlinien auf Ihre Agenten angewendet werden sollen.
Sie können Folgendes ausführen:
- Vergewissern Sie sich, ob DLP-Richtlinien für Agenten in Ihrem Mandanten erzwungen werden.
- Stellen Sie die DLP-Richtlinienerzwingung auf den Überwachungsmodus um (
-Mode SoftEnabled), damit Agentenerstellende Fehler sehen können, aber nicht daran gehindert werden, Aktionen auszuführen, welche die DLP-Richtlinienerzwingung blockieren würde. - Aktivieren oder deaktivieren Sie die DLP-Erzwingung, um DLP-Erzwingungsfehler anzuzeigen und zu verhindern, dass Agentenerstellende von DLPs betroffene Agenten veröffentlichen oder DLP-bezogene Einstellungen konfigurieren.
- Fügen Sie die Links zu weiteren Informationen und Kontakt-E-Mails, die den Agentenerstellenden angezeigt werden, wenn Copilot Studio einen Verstoß gegen die DLP-Richtlinie auslöst, hinzu oder aktualisieren Sie sie.
Wichtig
Bevor Sie die PowerShell-Cmdlets oder die hier gezeigten Beispielskripts verwenden, installieren Sie unbedingt die folgenden Module mit PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Sie müssen ein Mandantenadministrator sein, um die cmdlets zu verwenden.
In der Regel würden Sie diese Cmdlets gemäß einem DLP-Rollout-Prozess verwenden, der aus den folgenden Schritten in dieser Reihenfolge bestehen könnte:
Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu, die in DLP-Fehlern für Agent-Ersteller angezeigt werden, oder aktualisieren Sie sie.
Ermitteln Sie, bei welchen Agenten (falls vorhanden) derzeit die Durchsetzung der DLP-Richtlinie aktiviert ist.
Verwenden Sie den Überwachungsmodus, damit Erstellende DLP-Fehler in den Copilot Studio- Web- und Teams-Apps sehen können.
Kontaktieren Sie Hersteller und informieren Sie sie über die beste Vorgehensweise für ihre App oder ihren Flow, um das Risiko zu minimieren.
Aktivieren Sie die strikte Erzwingung von DLP-Richtlinien für Agenten.
Wichtig
Ausnahmen von der Erzwingung von DLP-Richtlinien für Agenten werden nicht mehr unterstützt. Bei Agenten, die bisher von der DLP-Erzwingung ausgenommen waren, wird die Erzwingung im Januar 2025 auf Vorläufig aktiviert und im Februar 2025 auf Aktiviert festgelegt.
Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu und aktualisieren Sie sie
Sie können das PowerShell-Cmdlet Set-PowerAppDlpErrorSettings verwenden, um den DLP-Fehlermeldungen eine E-Mail-Adresse und einen Link Weitere Informationen hinzuzufügen.
Um die E-Mail-Adresse und den Link zum ersten Mal hinzuzufügen, führen Sie das folgende PowerShell Skript aus, und ersetzen Sie die Werte für die <email>, <URL> und <tenant ID> Parameter durch Ihre eigenen.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Um eine vorhandene Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, und ersetzen Sie New-PowerAppDlpErrorSettings durch Set-PowerAppDlpErrorSettings.
Warnung
Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.
DLP-Erzwingung für Agenten konfigurieren
Sie können die DLP-Erzwingung in Copilot Studio mit dem PowerVirtualAgentsDlpEnforcement-Cmdlet aktivieren, deaktivieren, konfigurieren und prüfen.
Ersetzen (oder deklarieren) Sie in einem der folgenden Beispiele <tenant ID> durch Ihre Mandanten-ID.
Sie können den Geltungsbereich auf Agenten beschränken, die nach einem bestimmten Datum erstellt wurden, indem Sie <date> durch ein Datum im Format MM-DD-YYYY ersetzen. Um den Bereich zu entfernen, löschen Sie den -OnlyForBotsCreatedAfter-Parameter und seinen Wert.
DLP-Richtlinienerzwingung für Agenten bestätigen
Standardmäßig ist die Durchsetzung von DLP-Richtlinien für Agenten auf den Überwachungsmodus oder den „vorläufigen“ Modus eingestellt.
Führen Sie das folgende PowerShell-Cmdlet aus, um den Status der DLP-Richtliniendurchsetzung für einen Mandanten zu überprüfen.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Anmerkung
Wenn DLP für Copilot Studio nicht konfiguriert ist, ist die Antwort des Cmdlets leer.
Verwenden Sie den Überwachungsmodus, um DLP-Fehler in Copilot Studio zu sehen
Führen Sie das folgende PowerShell-Skript aus, um DLP-Richtlinien im Überwachungsmodus oder im „weichen“ Modus zu aktivieren. Wenn dieser Modus aktiv ist, können Agent-Ersteller DLP-bezogene Fehlermeldungen sehen, wenn sie Agenten in Copilot Studio konfigurieren, aber er blockiert sie nicht daran, DLP-bezogene Aktionen auszuführen. Ersteller können jedoch keine Agenten veröffentlichen, während dieser Modus aktiv ist.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
So finden Sie Agenten, auf die sich die DLP-Richtlinien Ihrer Organisation auswirken könnten:
Verwenden Sie das Power BI Dashboard für das Center of Excellence (CoE) Starter Kit, um eine Liste der Agenten in Ihrer Organisation abzurufen. Wechseln Sie zur Copilot Studio Übersichtsseite im CoE-Dashboard, um die Agenten- und Umgebungsnamen in Ihrer Organisation anzuzeigen.
Führen Sie eine Kampagne mit den Agenten-Erstellenden in Ihrer Organisation durch, um DLP-Fehler oder aktualisierte DLP-Richtlinien zu beheben. Sie können alle Agenten-DLP-Fehler herunterladen, indem Sie im Fehlerbenachrichtigungsbanner Details und in den Fehlermeldungsdetails Herunterladen auswählen.
DLP-Durchsetzung für Agents aktivieren
Warnung
Stellen Sie vor dem Aktivieren der DLP-Richtliniendurchsetzung sicher, dass Sie wissen, welche Agents Benutzern wahrscheinlich Fehler aufgrund von Verstößen gegen die DLP-Richtlinien melden.
Sie können den folgenden PowerShell-Befehl ausführen, um Copilot Studio DLP-Richtlinien zu erzwingen. Agent-Ersteller werden daran gehindert, Aktionen auszuführen, die gegen DLP-Richtlinien verstoßen würden, und Benutzern werden Fehlermeldungen bei Verstößen angezeigt.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>