Configurar políticas de datos prevención de pérdidas para agentes
Los datos de la organización son los activos más importantes que los administradores tienen la responsabilidad de proteger. La capacidad de crear automatización para usar esos datos constituye gran parte del éxito de su empresa.
Puede crear e implementar rápidamente sus agentes de alto valor para sus usuarios finales. Puede Conectar a sus agentes con muchas fuentes de datos y servicios. Algunos de estas fuentes y servicios pueden ser servicios externos, servicios no de Microsoft y también pueden incluir redes sociales.
Es fácil pasar por alto el potencial de exposición. Este tipo de exposición puede ser resultado de la fuga de datos o conexiones a servicios y audiencias que no deberían tener acceso a los datos.
Los administradores pueden gobernar los agentes de su organización mediante políticas de datos prevención de pérdidas (DLP) con conectores existentes. Copilot Studio Las directivas de DLP se crean en el centro de administración Power Platform. Para crear una directiva DLP, debe ser administrador de inquilinos o tener el rol Administrador de entorno.
Requisitos previos
- Revisar conceptos sobre directivas de DLP
Conectores de Copilot Studio
Los conectores de Copilot Studio se pueden clasificar dentro de una directiva DLP en los siguientes grupos de datos, que se presentan en el centro de administración de Power Platform al revisar las directivas de DLP:
- Negocio
- No empresariales
- Bloqueado
Puede utilizar los conectores en las políticas de DLP para proteger los datos de su organización de cualquier exfiltración de datos maliciosa o involuntaria por parte de sus creadores.
Importante
De forma predeterminada, la implementación de DLP para agentes está deshabilitada en todos los inquilinos. Obtenga información sobre cómo habilitar la aplicación de la ley .
Los conectores deben estar en un solo grupo de datos, ya que los datos no se pueden compartir entre conectores que están en diferentes grupos.
Hay varios conectores disponibles en el Centro de administración. Copilot Studio Power Platform Estos conectores se pueden configurar para DLP de la siguiente manera:
| Nombre del conector | Description |
|---|---|
| Application Insights en Copilot Studio | Impide que los creadores de agente se conecten con agente . Application Insights |
| Chat sin autenticación de Microsoft Entra ID en Copilot Studio | Impedir que los creadores de agente publiquen agentes que no estén configurados para la autenticación. Los usuarios de agente deben autenticarse para chatear con agente. Para obtener más información, consulte el Ejemplo de datos Omnicanal: Requerir autenticación de usuario final en agentes. |
| Canales Direct Line de Copilot Studio | Impedir que los creadores de agente habiliten o utilicen el canal Direct Line . Por ejemplo, se bloquearían el sitio web de demostración, el sitio web personalizado, la aplicación móvil y otros canales de Direct Line. |
| Canal de Facebook en Copilot Studio | Impedir que los creadores de agente habiliten o utilicen el canal. Facebook |
| Origen de conocimiento con SharePoint y OneDrive en Copilot Studio | Bloquear a los creadores de agente para que no publiquen agentes configurados con SharePoint como fuente de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Origen de conocimiento con datos y sitios web públicos en Copilot Studio | Impedir que los creadores de agente publiquen agentes configurados con sitios web públicos como fuente de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Fuente de conocimiento con documentos en Copilot Studio | Impedir que los creadores de agente publiquen agentes configurados con documentos como fuente de conocimiento. |
| Canal de Microsoft Teams en Copilot Studio | Impedir que los creadores de agente habiliten o utilicen el canal Teams. |
| Omnicanal en Copilot Studio | Impedir que los creadores de agente habiliten o utilicen el canal proteger. |
| Aptitudes con Copilot Studio | Impedir que los creadores de agente utilicen capacidades en los agentes. Copilot Studio Para obtener más información, consulte Ejemplo de datos prevención de pérdidas: Bloquear capacidades en agentes y Ejemplo de datos prevención de pérdidas: Bloquear solicitudes HTTP en agentes. |
| Disparadores de eventos con Copilot Studio | Impide que los creadores de agente utilicen activadores de eventos en los agentes. Copilot Studio Para obtener más información, consulte el Ejemplo de datos prevención de pérdidas: Bloquear activadores de eventos en agentes. |
Configuraciones de directiva DLP de ejemplo
Para ayudarlo a comenzar con la gobernanza de agente, creamos los siguientes ejemplos que detallan diferentes escenarios: Copilot Studio
- Ejemplo de datos prevención de pérdidas: Requerir autenticación de usuario final en agentes
- Ejemplo de datos prevención de pérdidas: bloque de fuente de conocimiento en agentes SharePoint
- Ejemplo de datos prevención de pérdidas: Conectores de bloque en agentes Power Platform
- Ejemplo de datos prevención de pérdidas: bloquear solicitudes HTTP en agentes
- Ejemplo de datos prevención de pérdidas: bloque capacidades en agentes
- Ejemplo de datos prevención de pérdidas: Bloquear activadores de eventos en agentes
- Ejemplo de datos prevención de pérdidas: bloquear canales para deshabilitar la publicación de agente
Utilice PowerShell para habilitar y administrar la aplicación de DLP para los agentes de su organización
Puede configurar si las políticas DLP deben aplicarse a sus agentes con los cmdlets PowerAppDlpErrorSettings y PowerVirtualAgentsDlpEnforcement PowerShell.
Usted puede:
- Confirme si DLP está habilitado para los agentes en su inquilino.
- Habilite o deshabilite DLP en un modo de auditoría (
-Mode SoftEnabled) para que los creadores de agente puedan ver errores, pero no se les impida realizar acciones que estarían bloqueadas si la implementación de DLP estuviera completamente habilitada. - Habilite o deshabilite la implementación de DLP para mostrar errores de implementación de DLP y evitar que los creadores de agente publiquen bots afectados por DLP o configuren ajustes relacionados con DLP.
- Eximir a agentes específicos de la aplicación de la DLP.
- Agregue y actualice los enlaces de correo electrónico de contacto y de más información que se muestran a los creadores de agente cuando encuentran DLP en las aplicaciones web y de Teams. Copilot Studio
Importante
Antes de utilizar los cmdlets de PowerShell o los scripts de ejemplo que se muestran aquí, asegúrese de instalar los siguientes módulos mediante PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Necesita ser un administrador de inquilinos para usar cmdlets.
Por lo general, usaría estos cmdlets de acuerdo con un proceso de implementación de DLP, que podría constar de los siguientes pasos, en orden:
Agregue o actualice los enlaces de correo electrónico de contacto de administrador y de más información que se muestran en los errores de DLP para los creadores de agente.
Determinar qué agentes (si hay alguno) tienen actualmente habilitada la aplicación de políticas DLP.
Utilizar el modo de auditoría o "soft" para que los creadores puedan ver los errores de DLP en la web de Copilot Studio y las aplicaciones de Teams.
Mitigar el riesgo poniéndose en contacto con los creadores e informándoles sobre la mejor línea de actuación para su aplicación o flujo.
Habilite la implementación de DLP para que los agentes eviten tareas y funciones afectadas por DLP.
También puede decidir eximir a uno o más agentes de la aplicación de la política DLP, según el caso de uso y los requisitos de agente.
Agregar y actualizar los vínculos de correo electrónico de contacto de administrador y obtener más información
Puede configurar un correo electrónico y un vínculo para obtener más información mediante el cmdlet Set-PowerAppDlpErrorSettings de PowerShell. Los creadores de agente verán esta información cuando experimenten errores DLP.
Para agregar el correo electrónico y el vínculo para obtener más información por primera vez, ejecute el siguiente script de PowerShell, reemplazando los valores para los parámetros <email>, <URL> y <tenant ID> con los suyos propios.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Para actualizar una configuración existente, use el mismo script de PowerShell y reemplace New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.
Precaución
Esta configuración se aplica a todas las aplicaciones de Power Platform dentro del inquilino especificado.
Habilitar y configurar la implementación de DLP para agentes
Puede habilitar, deshabilitar, configurar y auditar la aplicación de DLP dentro de Copilot Studio con el cmdlet PowerVirtualAgentsDlpEnforcement.
En cualquiera de los siguientes ejemplos, reemplace (o declare) <tenant ID> con su id. de inquilino.
Puede incluir agentes creados después de una fecha determinada reemplazando <date> con una fecha en el formato MM-DD-YYYY. Para eliminar el ámbito, elimine el parámetro -OnlyForBotsCreatedAfter y su valor.
Confirmar la implementación de DLP para los agentes
De forma predeterminada, la implementación de DLP para agentes está deshabilitada en todos los inquilinos.
Puede ejecutar el siguiente cmdlet de PowerShell para verificar si DLP para Copilot Studio está habilitado para un inquilino.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Si no ha configurado el DLP de Copilot Studio, los resultados del cmdlet estarán vacíos.
Utilizar el modo de auditoría o "soft" para ver los errores de DLP en la web de Copilot Studio o las aplicaciones de Teams
Ejecute el siguiente script de PowerShell para habilitar las directivas DLP en el modo de auditoría. Los creadores de agente verán errores relacionados con DLP al configurar agentes en las aplicaciones web y de Teams, pero no se les impedirá realizar acciones relacionadas con DLP. Copilot Studio Además, los creadores no pueden publicar agentes mientras el modo suave esté habilitado.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Para encontrar agentes que podrían verse afectados por las políticas DLP existentes de su organización, puede:
Utilice el Kit de inicio del Centro de Excelencia (CoE) para obtener una lista de agentes en su organización. Vaya a la página de descripción general en el Panel de control del CoE para ver los agentes y los nombres de Gatillo en su organización. Copilot Studio
Ejecute una campaña con los creadores de agente en su organización para abordar errores de DLP o políticas de DLP actualizadas. Puede descargar todos los errores DLP agente seleccionando Detalles en el banner de notificación de error y seleccionando Descargar en los detalles del mensaje de error.
Habilitar la implementación de DLP para agentes
Importante
Antes de habilitar la implementación de DLP, asegúrese de saber qué agentes mostrarán errores a sus usuarios agente debido a violaciones de la política de DLP.
Si tiene problemas, puede eximir un agente de las políticas de DLP o deshabilitar la aplicación de DLP mientras sus creadores arreglan el agente para cumplir con las políticas de DLP.
Puede ejecutar el siguiente comando de PowerShell para hacer cumplir las directivas DLP en Copilot Studio. A los creadores de agente se les impedirá realizar acciones que afecten a DLP y los usuarios finales verán errores si lo hacen.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Eximir a un bot de las directivas DLP
Si ha habilitado la implementación de DLP para su inquilino, pero necesita eximir a un agente de mostrar errores de DLP a los creadores y usuarios, puede ejecutar el siguiente script PowerShell.
Asegúrese de reemplazar <environment ID>, <bot ID>, <tenant ID> y <policy ID> con los ID apropiados para el agente que desea eximir.
Propina
Puedes encontrar el <environment ID> y <bot ID> en la URL de agente.
<policy ID> aparece junto a los detalles del error en el archivo Descargar detalles. Puede descargar ese archivo seleccionando Descargar detalles en la imagen de notificación de error en Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Deshabilitar la implementación de DLP para agentes
El siguiente comando deshabilitará la implementación de DLP en los agentes.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled