Freigeben über

Richtlinien zur Verhinderung von Datenverlust für Agenten konfigurieren

  • Artikel

Organisationsdaten sind die wichtigsten Ressourcen, für deren Sicherung Administratoren zuständig sind. Durch die Fähigkeit, auf der Basis dieser Daten Automatisierungen zu entwickeln, ist ein großer Teil des Erfolgs ihres Unternehmens.

Sie können Ihre hochwertigen Agenten schnell erstellen und für Ihre Benutzer einführen. Sie können Ihre Agenten mit vielen Datenquellen und Diensten verbinden. Einige dieser Quellen und Dienste können externe Microsoft-fremde Dienste sein und sogar soziale Netzwerke umfassen.

Es ist leicht, das Potenzial der Exposition zu übersehen. Diese Art der Offenlegung kann durch Datenlecks oder Verbindungen mit Diensten und Zielgruppen entstehen, die keinen Zugriff auf die Daten haben sollten.

Administratoren können Agenten in Ihrer Organisation mithilfe von Richtlinien zur Verhinderung von Datenverlust (DLP) mit vorhandenen und Copilot Studio Konnektoren steuern. DLP-Richtlinien werden im Power Platform Admin Center erstellt. Um eine DLP-Richtlinie zu erstellen, müssen Sie ein Mandantenadministrator sein oder die Rolle des Umgebungsadministrators haben.

Anforderungen

Copilot Studio-Connectors

Copilot Studio-Konnektoren können innerhalb einer DLP-Richtlinie unter den folgenden Datengruppen klassifiziert werden, die in Power Platform Admin Center beim Überprüfen von DLP-Richtlinien dargestellt werden:

  • Unternehmen
  • Nicht geschäftlich
  • Blockiert

Sie können die Connectors in DLP-Richtlinien verwenden, um die Daten Ihrer Organisation vor böswilliger oder unbeabsichtigter Datenexfiltration durch Ihre Agenten-Erstellenden zu schützen.

Wichtig

Standardmäßig ist die DLP-Durchsetzung für Agents in allen Mandanten deaktiviert. Weitere Informationen über die Aktivierung der Durchsetzung.

Copilot Studio unterstützt die DLP-Durchsetzung in Echtzeit. Erstellende und Benutzende von Agenten sehen Fehlermeldungen zur DLP-Durchsetzung, sobald eine DLP-Richtlinie aktiv wird.

In einer DLP-Richtlinie müssen sich die Connectors in derselben Datengruppe befinden, da Daten nicht zwischen Connectors ausgetauscht werden können, die sich in unterschiedlichen Gruppen befinden.

Sie können DLP-Richtlinien im Power Platform Admin Center konfigurieren, um jeden der folgenden Copilot Studio Konnektoren zu blockieren.

Konnektorname Anwendungsfall
Application Insights in Copilot Studio Blockieren Sie Agent-Entwickler, die Agenten mit Application Insights verbinden.
Chatten ohne Microsoft Entra ID-Authentifizierung in Copilot Studio Blockieren Sie Agent-Ersteller vor der Veröffentlichung von Agenten, die nicht für die Authentifizierung konfiguriert sind.
Agenten-Benutzer müssen sich authentifizieren, um mit dem Agenten chatten zu können.
Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Anfordern einer Benutzerauthentifizierung bei Agenten.
Direct Line-Kanäle in Copilot Studio Hindern Sie Agenten-Erstellende daran, den Direct Line-Kanal zu aktivieren oder zu verwenden.
Dabei würden zum Beispiel die Demowebsite, die benutzerdefinierte Website, die mobile App und andere Direct Line-Kanäle blockiert.
Facebook-Kanal in Copilot Studio Hindern Sie Agenten-Erstellende daran, den Facebook-Kanal zu aktivieren oder zu verwenden.
Wissensquelle mit SharePoint und OneDrive in Copilot Studio Hindern Sie Agenten-Erstellende daran, Agenten zu veröffentlichen, die mit SharePoint als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten.
Wissensquelle mit Dokumenten in Copilot Studio Blockieren Sie Agent-Ersteller an der Veröffentlichung von Agenten, die mit Dokumenten als Wissensquelle konfiguriert sind.
Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio Hindern Sie Agenten-Erstellende daran, Agenten zu veröffentlichen, die mit öffentlichen Websites als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten.
Microsoft Copilot Studio Verhindern Sie, dass Agenten-Erstellende Ereignistrigger in Copilot Studio-Agenten verwenden.
Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Blockieren von Ereignisauslösern in Agenten.
Microsoft Teams-Kanal in Copilot Studio Blockieren Sie Agent-Entwickler daran, den Teams-Kanal zu aktivieren oder zu verwenden.
Omnichannel in Copilot Studio Blockieren Sie Agent-Entwickler, den Omnichannel-Kanal zu aktivieren oder zu verwenden.
Qualifikationen mit Copilot Studio Blockieren Sie Agent-Entwickler an der Verwendung von Fertigkeiten in Copilot Studio Agenten.
Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Fertigkeiten in Agenten blockieren und Beispiel für die Verhinderung von Datenverlust – Blockieren von HTTP-Anforderungen in Agenten.

Beispielhafte DLP-Richtlinienkonfigurationen

Sehen Sie sich die folgenden Beispielszenarien an, um mit Copilot Studio Agent Governance zu beginnen:

PowerShell verwenden, um die DLP-Durchsetzung für Agenten in Ihrer Organisation zu aktivieren und zu verwalten

Mit den PowerAppDlpErrorSettings- und PowerVirtualAgentsDlpEnforcement-PowerShell Cmdlets können Sie konfigurieren, ob DLP-Richtlinien auf Ihre Agenten angewendet werden sollen.

Sie können Folgendes ausführen:

  • Vergewissern Sie sich, ob DLP für Agenten in Ihrem Mandanten aktiviert ist.
  • Aktivieren oder deaktivieren Sie DLP in einem Überwachungsmodus (-Mode SoftEnabled), damit Agent-Ersteller Fehler sehen, aber nicht daran gehindert werden, Aktionen auszuführen, die blockiert würden, wenn die DLP-Durchsetzung vollständig aktiviert wäre.
  • Aktivieren oder deaktivieren Sie die DLP-Erzwingung, um DLP-Erzwingungsfehler anzuzeigen und zu verhindern, dass Agenten-Erstellende von der DLP betroffene Bots veröffentlichen oder mit der DLP zusammenhängende Einstellungen konfigurieren.
  • Sie können bestimmte Agenten von der DLP-Erzwingung ausnehmen.
  • Fügen Sie die Links zu mehr Informationen und Kontakt-E-Mail-Adressen hinzu, die Agenten-Erstellenden angezeigt werden, wenn sie eine DLP in Copilot Studio Web und in Teams-Apps finden, und aktualisieren Sie sie.

Wichtig

Bevor Sie die PowerShell-Cmdlets oder die hier gezeigten Beispielskripts verwenden, installieren Sie unbedingt die folgenden Module mit PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Sie müssen ein Mandantenadministrator sein, um die cmdlets zu verwenden.

In der Regel würden Sie diese Cmdlets gemäß einem DLP-Rollout-Prozess verwenden, der aus den folgenden Schritten in dieser Reihenfolge bestehen könnte:

  1. Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu, die in DLP-Fehlern für Agent-Ersteller angezeigt werden, oder aktualisieren Sie sie.

  2. Ermitteln Sie, bei welchen Agenten (falls vorhanden) derzeit die Durchsetzung der DLP-Richtlinie aktiviert ist.

  3. Verwenden Sie den Auditing- oder „Soft“-Modus, damit Ersteller DLP-Fehler in den Copilot Studio Web- und Teams-Apps sehen können.

  4. Kontaktieren Sie Hersteller und informieren Sie sie über die beste Vorgehensweise für ihre App oder ihren Flow, um das Risiko zu minimieren.

  5. Aktivieren Sie die DLP-Erzwingung für Agenten, um Aufgaben und Features zu verhindern, die von DLP-Richtlinien betroffen sind.

Sie können je nach Anwendungsfall und Anforderungen des Agenten auch einen oder mehrere Agenten von der Erzwingung der DLP-Richtlinie ausnehmen.

Sie können das PowerShell-Cmdlet Set-PowerAppDlpErrorSettings verwenden, um den DLP-Fehlermeldungen eine E-Mail-Adresse und einen Link Weitere Informationen hinzuzufügen.

Screenshot einer DLP-bezogenen Fehlermeldung in Copilot Studio, mit hervorgehobener E-Mail-Adresse und dem Link Weitere Informationen.

Um die E-Mail-Adresse und den Link zum ersten Mal hinzuzufügen, führen Sie das folgende PowerShell Skript aus, und ersetzen Sie die Werte für die <email>, <URL> und <tenant ID> Parameter durch Ihre eigenen.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Um eine vorhandene Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, und ersetzen Sie New-PowerAppDlpErrorSettings durch Set-PowerAppDlpErrorSettings.

Achtung

Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.

DLP-Durchsetzung für Agenten aktivieren und konfigurieren

Sie können die DLP-Erzwingung in Copilot Studio mit dem PowerVirtualAgentsDlpEnforcement-Cmdlet aktivieren, deaktivieren, konfigurieren und prüfen.

Ersetzen (oder deklarieren) Sie in einem der folgenden Beispiele <tenant ID> durch Ihre Mandanten-ID.

Sie können den Geltungsbereich auf Agenten beschränken, die nach einem bestimmten Datum erstellt wurden, indem Sie <date> durch ein Datum im Format MM-DD-YYYY ersetzen. Um den Bereich zu entfernen, löschen Sie den -OnlyForBotsCreatedAfter-Parameter und seinen Wert.

DLP-Durchsetzung für Agenten bestätigen

Standardmäßig ist die DLP-Durchsetzung für Agents in allen Mandanten deaktiviert.

Sie können das folgende PowerShell-Cmdlet ausführen, um zu überprüfen, ob DLP für Copilot Studio für einen Mandanten aktiviert ist.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Anmerkung

Wenn DLP für Copilot Studio nicht konfiguriert ist, ist die Antwort des Cmdlets leer.

Verwenden Sie den Überwachungsmodus, um DLP-Fehler in Copilot Studio zu sehen

Führen Sie das folgende PowerShell-Skript aus, um DLP-Richtlinien im Überwachungsmodus oder im „weichen“ Modus zu aktivieren. Wenn dieser Modus aktiv ist, können Agent-Ersteller DLP-bezogene Fehlermeldungen sehen, wenn sie Agenten in Copilot Studio konfigurieren, aber er blockiert sie nicht daran, DLP-bezogene Aktionen auszuführen. Ersteller können jedoch keine Agenten veröffentlichen, während dieser Modus aktiv ist.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

So finden Sie Agenten, auf die sich die DLP-Richtlinien Ihrer Organisation auswirken könnten:

  • Verwenden Sie das Power BI Dashboard für das Center of Excellence (CoE) Starter Kit, um eine Liste der Agenten in Ihrer Organisation abzurufen. Wechseln Sie zur Copilot Studio Übersichtsseite im CoE-Dashboard, um die Agenten- und Umgebungsnamen in Ihrer Organisation anzuzeigen.

  • Führen Sie eine Kampagne mit den Agenten-Erstellenden in Ihrer Organisation durch, um DLP-Fehler oder aktualisierte DLP-Richtlinien zu beheben. Sie können alle Agenten-DLP-Fehler herunterladen, indem Sie im Fehlerbenachrichtigungsbanner Details und in den Fehlermeldungsdetails Herunterladen auswählen.

DLP-Durchsetzung für Agenten aktivieren

Wichtig

Stellen Sie vor dem Aktivieren der DLP-Durchsetzung sicher, dass Sie wissen, welche Agenten Ihren Agent-Benutzern aufgrund von Verstößen gegen die DLP-Richtlinien möglicherweise Fehler anzeigen.

Wenn Probleme auftreten, können Sie einen Agenten von DLP-Richtlinien ausnehmen oder die DLP-Erzwingung deaktivieren, während Ihre Erstellenden den Agenten reparieren, damit er den DLP-Richtlinien entspricht.

Sie können den folgenden PowerShell-Befehl ausführen, um Copilot Studio DLP-Richtlinien zu erzwingen. Agenten-Erstellende werden daran gehindert, von der DLP beeinflusste Aktionen auszuführen, und Benutzende erhalten Fehlermeldungen, wenn sie ausgelöst werden.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

DLP-Durchsetzung für Agenten deaktivieren

Verwenden Sie den folgenden Befehl, um die DLP-Durchsetzung in Agenten zu deaktivieren.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled