Configurar directivas de prevención de pérdida de datos para agentes
Con Copilot Studio, puede crear e implementar rápidamente agentes de alto valor para sus usuarios que pueden conectarse con muchos orígenes de datos y servicios. Algunas de estas fuentes y servicios pueden ser servicios externos que no son de Microsoft, e incluso pueden incluir redes sociales, junto con conexiones a los datos de su organización.
Los datos de la organización son los activos más importantes que los administradores tienen la responsabilidad de proteger. La capacidad de utilizar esos datos de forma protegida, sin dejar de conectarse e interactuar con otros servicios y sistemas, es una piedra angular de la seguridad de los datos.
Las directivas de prevención de pérdida de datos (DLP) permiten controlar la forma en que los agentes se conectan e interactúan con los datos y los servicios, dentro y fuera de la organización. Los administradores pueden configurar directivas DLP Copilot Studio y Power Platform en el centro de adminisrtación de Power Platform.
Importante
A principios de 2025, la aplicación de directivas de DLP para todos los inquilinos se establece en Activado de forma predeterminada, como se anunció en la alerta del centro de mensajes MC973179: Copilot Studio - Próximas actualizaciones de la aplicación de directivas de prevención de pérdida de datos.
En enero de 2025:
- De forma predeterminada, la aplicación para los agentes en todos los inquilinos se establecerá en Activación suave (anteriormente, la aplicación estaba deshabilitada de forma predeterminada):
- Los agentes existentes que tenían la aplicación de DLP establecida en Deshabilitado cambiarán automáticamente a Activación suave. Los nuevos agentes tendrán la aplicación de DLP establecida en Activación suave automáticamente de forma predeterminada, en el momento de la creación.
- Si un agente publicado tiene una infracción de directiva DLP, los usuarios del agente pueden continuar interactuando con el agente, sin embargo, no se pueden publicar actualizaciones del agente. Las infracciones de la directiva DLP deben resolverse antes de que se pueda publicar el agente.
- Las infracciones de la directiva DLP se registran para los administradores, y los usuarios y creadores ven advertencias de infracción de DLP. No se bloquea el uso del agente por parte de los usuarios.
- El cmdlet PowerShell ya no se puede usar para desactivar el cumplimiento.
A partir de febrero de 2025:
- De forma predeterminada, el cumplimiento para los agentes en todos los inquilinos se establecerá en Habilitado: todos los agentes publicados y las actualizaciones de los agentes existentes están sujetos a las directivas DLP que se aplican según lo definido en el inquilino.
- El cmdlet PowerShell ya no se puede usar para activar o desactivar el cumplimiento y no se admitirá después de febrero de 2025.
Obtenga información sobre cómo confirmar el cumplimiento en el inquilino.
Requisitos previos
- Debe revisar los conceptos sobre las directivas DLP
- Debe ser administrador del inquilino o tener la función de administrador del entorno
Conectores de Copilot Studio
Los conectores de Copilot Studio se pueden clasificar dentro de una directiva DLP en los siguientes grupos de datos, que se presentan en el centro de administración de Power Platform al revisar las directivas de DLP:
- Negocio
- No empresariales
- Bloqueado
Puede usar los conectores en directivas DLP para proteger los datos de su organización de cualquier filtración de datos malintencionada o no intencionada por parte de sus creadores de agente.
Importante
Copilot Studio admite la aplicación de directivas DLP en tiempo real. Los creadores de agentes y los usuarios ven mensajes de error por cualquier infracción de la directiva DLP.
En una directiva DLP, los conectores deben estar en el mismo grupo de datos, ya que los datos no se pueden compartir entre conectores que están en grupos diferentes.
Puede configurar directivas DLP en el centro de administración de Power Platform para bloquear cualquiera de los siguientes conectores de Copilot Studio.
| Nombre del conector | Caso de uso |
|---|---|
| Application Insights en Copilot Studio | Impedir que los creadores de agentes conecten agentes con Application Insights. |
| Chat sin autenticación de Microsoft Entra ID en Copilot Studio | Bloquear a los creadores de agente de la publicación de agentes que no están configurados para la autenticación. Los usuarios del agente deben autenticarse para charlar con el agente. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: requerir autenticación de usuario en agentes. |
| Canales Direct Line de Copilot Studio | Impedir que los creadores de agente habiliten o usen el Direct Line canal. Por ejemplo, se bloquearían el sitio web de demostración, el sitio web personalizado, la aplicación móvil y otros canales de Direct Line. |
| Canal de Facebook en Copilot Studio | Bloquee a los creadores de agente para que no habiliten o usen el canal de Facebook. |
| Origen de conocimiento con SharePoint y OneDrive en Copilot Studio | Bloquear a los creadores de agentes para que no publiquen agentes configurados con SharePoint como origen de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Fuente de conocimiento con documentos en Copilot Studio | Bloquear a los creadores de agentes para que no publiquen agentes configurados con documentos como origen de conocimiento. |
| Origen de conocimiento con datos y sitios web públicos en Copilot Studio | Bloquear a los creadores de agentes para que no publiquen agentes configurados con sitios públicos como origen de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Microsoft Copilot Studio | Impedir que los creadores de agente usen desencadenadores de eventos en los agentes de Copilot Studio. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: bloquear desencadenadores de eventos en agentes. |
| Canal de Microsoft Teams en Copilot Studio | Bloquear a los creadores de agente para que no habiliten o usen el canal de Teams. |
| Omnicanal en Copilot Studio | Impedir que los creadores de agente habiliten o usen el canal omnicanal. |
| Aptitudes con Copilot Studio | Impedir que los creadores de agente usen habilidades en los agentes de Copilot Studio. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: Bloquear capacidades en agentes y Ejemplo de prevención de pérdida de datos: bloquear solicitudes HTTP en agentes. |
Configuraciones de directiva DLP de ejemplo
Para empezar con gobernanza de agente de Copilot Studio, revise los siguientes escenarios de ejemplo:
- Ejemplo de prevención de pérdida de datos: Requerir autenticación de usuario en agentes
- Ejemplo de prevención de pérdida de datos: Bloquear el origen de conocimiento de SharePoint en los agentes
- Ejemplo de prevención de pérdida de datos: Bloquear conectores de Power Platform en agentes
- Ejemplo de prevención de pérdida de datos: bloquear solicitudes HTTP en agentes
- Ejemplo de prevención de pérdida de datos: bloquear habilidades en agentes
- Ejemplo de prevención de pérdida de datos: bloquear desencadenadores de eventos en agentes
- Ejemplo de prevención de pérdida de datos: bloquear canales para deshabilitar la publicación del agente
Use PowerShell para habilitar y administrar la aplicación de DLP para los agentes de su organización
Puede configurar si las directivas DLP deben aplicarse a sus agentes con los cmdlets de PowerShell de PowerAppDlpErrorSettings y PowerVirtualAgentsDlpEnforcement.
Usted puede:
- Confirme si las directivas DLP se aplican a los agentes de su inquilino.
- Habilite o deshabilite DLP en modo de auditoría (
-Mode SoftEnabled) para que los creadores de agente puedan ver los errores, pero no se les impida realizar acciones que se bloquearían si la aplicación de DLP estuviera completamente habilitada. - Habilite o deshabilite la aplicación de DLP para mostrar errores de aplicación de DLP y evitar que los creadores de agentes publiquen agentes afectados por DLP o configuren ajustes relacionados con DLP.
- Agregue y actualice los vínculos de correo electrónico de contacto y más información que se muestran a los creadores de agentes cuando Copilot Studio desencadena una infracción de la directiva DLP.
Importante
Antes de utilizar los cmdlets de PowerShell o los scripts de ejemplo que se muestran aquí, asegúrese de instalar los siguientes módulos mediante PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Necesita ser un administrador de inquilinos para usar cmdlets.
Por lo general, usaría estos cmdlets de acuerdo con un proceso de implementación de DLP, que podría constar de los siguientes pasos, en orden:
Agregue o actualice los vínculos de correo electrónico de más información y de contacto del administrador que se muestran en los errores de DLP para creadores de agente.
Determine qué agentes (si los hay) tienen habilitada actualmente la aplicación de directivas DLP.
Use el modo de auditoría para que los creadores puedan ver los errores de DLP en la web y en las aplicaciones de Copilot Studio de Teams.
Mitigar el riesgo poniéndose en contacto con los creadores e informándoles sobre la mejor línea de actuación para su aplicación o flujo.
Active la aplicación estricta de directivas DLP para los agentes.
Importante
Ya no se admite la exención de aplicación de directivas DLP del agente. Los agentes que anteriormente estaban exentos de la aplicación de DLP tendrán su aplicación establecida en Activación suave en enero de 2025 y en Habilitado en febrero de 2025.
Agregar y actualizar los vínculos de correo electrónico de contacto de administrador y obtener más información
Puede usar el cmdlet Set-PowerAppDlpErrorSettings de PowerShell para agregar una dirección de correo electrónico y un vínculo «Más información» a los mensajes de error de DLP.
Para agregar la dirección de correo electrónico y el vínculo más información por primera vez, ejecute el siguiente script PowerShell, reemplazando los valores de los parámetros <email>, <URL> y <tenant ID> por los suyos.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Para actualizar una configuración existente, use el mismo script de PowerShell y reemplace New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.
Advertencia
Esta configuración se aplica a todas las aplicaciones de Power Platform dentro del inquilino especificado.
Configurar la aplicación de DLP para los agentes
Puede habilitar, deshabilitar, configurar y auditar la aplicación de DLP dentro de Copilot Studio con el cmdlet PowerVirtualAgentsDlpEnforcement.
En cualquiera de los siguientes ejemplos, reemplace (o declare) <tenant ID> con su id. de inquilino.
Puede limitarse a los agentes creados después de una fecha determinada reemplazando <date> por una fecha con el formato MM-DD-YYYY. Para eliminar el ámbito, elimine el parámetro -OnlyForBotsCreatedAfter y su valor.
Confirmar la aplicación de directivas de DLP para los agentes
De forma predeterminada, la aplicación de directivas DLP para los agentes está configurada en modo de auditoría o "suave".
Ejecute el siguiente cmdlet PowerShell para comprobar el estado de aplicación de la directiva DLP para un inquilino.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Si DLP no está configurado para Copilot Studio, la respuesta del cmdlet está vacía.
Use el modo de auditoría para ver errores de DLP en Copilot Studio
Ejecute el siguiente script PowerShell para habilitar las directivas DLP en modo de auditoría o "suave". Cuando este modo está activo, los creadores de agente pueden ver mensajes de error relacionados con DLP al configurar agentes en Copilot Studio, pero no les impide realizar acciones relacionadas con DLP. Sin embargo, los creadores no pueden publicar agentes mientras este modo esté activo.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Para encontrar agentes a los que las directivas DLP de su organización puedan afectar, puede:
Use el panel de Power BI del Kit de inicio del Centro de excelencia (CoE ) para obtener una lista de agentes en su organización. Vaya a la página de información general de Copilot Studio en el panel de CoE para ver los nombres de agentes y entornos de su organización.
Ejecute una campaña con los creadores de agente de su organización para abordar los errores de DLP o las políticas de DLP actualizadas. Puede descargar todos los errores de DLP del agente seleccionando Detalles en el banner de notificación de error y seleccionando Descargar en los detalles del mensaje de error.
Activar la aplicación de DLP para agentes
Advertencia
Antes de activar la aplicación de la directiva DLP, asegúrese de saber qué agentes tienen más probabilidades de notificar errores a los usuarios debido a infracciones de la directiva DLP.
Puede ejecutar el siguiente comando de PowerShell para hacer cumplir las directivas DLP en Copilot Studio. Los creadores de agentes no pueden realizar acciones que infrinjan las directivas de DLP, y los usuarios ven mensajes de error por cualquier infracción.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>