Configurar directivas de prevención de pérdida de datos para agentes
Los datos de la organización son los activos más importantes que los administradores tienen la responsabilidad de proteger. La capacidad de crear automatización para usar esos datos constituye gran parte del éxito de su empresa.
Puede crear e implementar rápidamente sus agentes de alto valor para sus usuarios. Puede conectar a sus agentes con muchos orígenes de datos y servicios. Algunos de estas fuentes y servicios pueden ser servicios externos, servicios no de Microsoft y también pueden incluir redes sociales.
Es fácil pasar por alto el potencial de exposición. Este tipo de exposición puede ser resultado de la fuga de datos o conexiones a servicios y audiencias que no deberían tener acceso a los datos.
Los administradores pueden controlar a los agentes de su organización mediante directivas de prevención de pérdida de datos (DLP) con conectores existentes y Copilot Studio existentes. Las directivas de DLP se crean en el centro de administración Power Platform. Para crear una directiva DLP, debe ser administrador de inquilinos o tener el rol Administrador de entorno.
Requisitos previos
- Revisar conceptos sobre directivas de DLP
Conectores de Copilot Studio
Los conectores de Copilot Studio se pueden clasificar dentro de una directiva DLP en los siguientes grupos de datos, que se presentan en el centro de administración de Power Platform al revisar las directivas de DLP:
- Negocio
- No empresariales
- Bloqueado
Puede usar los conectores en directivas DLP para proteger los datos de su organización de cualquier filtración de datos malintencionada o no intencionada por parte de sus creadores de agente.
Importante
De forma predeterminada, la aplicación de DLP para los agentes está deshabilitada en todos los inquilinos. Obtenga más información sobre habilitar el cumplimiento.
Copilot Studio admite la aplicación de DLP en tiempo real. Los usuarios y los creadores de agentes ven los mensajes de error de aplicación de DLP aplicables en cuanto se activa una directiva DLP.
En una directiva DLP, los conectores deben estar en el mismo grupo de datos, ya que los datos no se pueden compartir entre conectores que están en grupos diferentes.
Puede configurar directivas DLP en el centro de administración de Power Platform para bloquear cualquiera de los siguientes conectores de Copilot Studio.
| Nombre del conector | Caso de uso |
|---|---|
| Application Insights en Copilot Studio | Impedir que los creadores de agentes conecten agentes con Application Insights. |
| Chat sin autenticación de Microsoft Entra ID en Copilot Studio | Bloquear a los creadores de agente de la publicación de agentes que no están configurados para la autenticación. Los usuarios del agente deben autenticarse para charlar con el agente. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: requerir autenticación de usuario en agentes. |
| Canales Direct Line de Copilot Studio | Impedir que los creadores de agente habiliten o usen el Direct Line canal. Por ejemplo, se bloquearían el sitio web de demostración, el sitio web personalizado, la aplicación móvil y otros canales de Direct Line. |
| Canal de Facebook en Copilot Studio | Bloquee a los creadores de agente para que no habiliten o usen el canal de Facebook. |
| Origen de conocimiento con SharePoint y OneDrive en Copilot Studio | Bloquear a los creadores de agentes para que no publiquen agentes configurados con SharePoint como origen de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Fuente de conocimiento con documentos en Copilot Studio | Bloquear a los creadores de agentes para que no publiquen agentes configurados con documentos como origen de conocimiento. |
| Origen de conocimiento con datos y sitios web públicos en Copilot Studio | Bloquear a los creadores de agentes para que no publiquen agentes configurados con sitios públicos como origen de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Microsoft Copilot Studio | Impedir que los creadores de agente usen desencadenadores de eventos en los agentes de Copilot Studio. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: bloquear desencadenadores de eventos en agentes. |
| Canal de Microsoft Teams en Copilot Studio | Bloquear a los creadores de agente para que no habiliten o usen el canal de Teams. |
| Omnicanal en Copilot Studio | Impedir que los creadores de agente habiliten o usen el canal omnicanal. |
| Aptitudes con Copilot Studio | Impedir que los creadores de agente usen habilidades en los agentes de Copilot Studio. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: Bloquear capacidades en agentes y Ejemplo de prevención de pérdida de datos: bloquear solicitudes HTTP en agentes. |
Configuraciones de directiva DLP de ejemplo
Para empezar con gobernanza de agente de Copilot Studio, revise los siguientes escenarios de ejemplo:
- Ejemplo de prevención de pérdida de datos: Requerir autenticación de usuario en agentes
- Ejemplo de prevención de pérdida de datos: Bloquear el origen de conocimiento de SharePoint en los agentes
- Ejemplo de prevención de pérdida de datos: Bloquear conectores de Power Platform en agentes
- Ejemplo de prevención de pérdida de datos: bloquear solicitudes HTTP en agentes
- Ejemplo de prevención de pérdida de datos: bloquear habilidades en agentes
- Ejemplo de prevención de pérdida de datos: bloquear desencadenadores de eventos en agentes
- Ejemplo de prevención de pérdida de datos: bloquear canales para deshabilitar la publicación del agente
Use PowerShell para habilitar y administrar la aplicación de DLP para los agentes de su organización
Puede configurar si las directivas DLP deben aplicarse a sus agentes con los cmdlets de PowerShell de PowerAppDlpErrorSettings y PowerVirtualAgentsDlpEnforcement.
Usted puede:
- Confirme si DLP está habilitado para los agentes de su inquilino.
- Habilite o deshabilite DLP en modo de auditoría (
-Mode SoftEnabled) para que los creadores de agente puedan ver los errores, pero no se les impida realizar acciones que se bloquearían si la aplicación de DLP estuviera completamente habilitada. - Habilite o deshabilite la aplicación de DLP para mostrar errores de aplicación de DLP y evitar que los creadores de agentes publiquen bots afectados por DLP o configuren ajustes relacionados con DLP.
- Eximir a agentes específicos de la aplicación de DLP.
- Agregue y actualice los vínculos de correo electrónico de contacto y más información que se muestran a los creadores de agente cuando encuentran DLP en la web y en las aplicaciones Teams y web de Copilot Studio.
Importante
Antes de utilizar los cmdlets de PowerShell o los scripts de ejemplo que se muestran aquí, asegúrese de instalar los siguientes módulos mediante PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Necesita ser un administrador de inquilinos para usar cmdlets.
Por lo general, usaría estos cmdlets de acuerdo con un proceso de implementación de DLP, que podría constar de los siguientes pasos, en orden:
Agregue o actualice los vínculos de correo electrónico de más información y de contacto del administrador que se muestran en los errores de DLP para creadores de agente.
Determine qué agentes (si los hay) tienen habilitada actualmente la aplicación de directivas DLP.
Utilizar el modo de auditoría o "soft" para que los creadores puedan ver los errores de DLP en la web de Copilot Studio y las aplicaciones de Teams.
Mitigar el riesgo poniéndose en contacto con los creadores e informándoles sobre la mejor línea de actuación para su aplicación o flujo.
Habilite el cumplimiento de DLP para que los agentes eviten tareas y características afectadas por DLP.
También puede decidir eximir a uno o varios agentes de la aplicación de directivas DLP, en función del caso de uso y los requisitos del agente.
Agregar y actualizar los vínculos de correo electrónico de contacto de administrador y obtener más información
Puede usar el cmdlet Set-PowerAppDlpErrorSettings de PowerShell para agregar una dirección de correo electrónico y un vínculo «Más información» a los mensajes de error de DLP.
Para agregar la dirección de correo electrónico y el vínculo más información por primera vez, ejecute el siguiente script PowerShell, reemplazando los valores de los parámetros <email>, <URL> y <tenant ID> por los suyos.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Para actualizar una configuración existente, use el mismo script de PowerShell y reemplace New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.
Precaución
Esta configuración se aplica a todas las aplicaciones de Power Platform dentro del inquilino especificado.
Habilitar y configurar la aplicación de DLP para agentes
Puede habilitar, deshabilitar, configurar y auditar la aplicación de DLP dentro de Copilot Studio con el cmdlet PowerVirtualAgentsDlpEnforcement.
En cualquiera de los siguientes ejemplos, reemplace (o declare) <tenant ID> con su id. de inquilino.
Puede limitarse a los agentes creados después de una fecha determinada reemplazando <date> por una fecha con el formato MM-DD-YYYY. Para eliminar el ámbito, elimine el parámetro -OnlyForBotsCreatedAfter y su valor.
Confirmar la aplicación de DLP para los agentes
De forma predeterminada, la aplicación de DLP para los agentes está deshabilitada en todos los inquilinos.
Puede ejecutar el siguiente cmdlet de PowerShell para verificar si DLP para Copilot Studio está habilitado para un inquilino.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Si DLP no está configurado para Copilot Studio, la respuesta del cmdlet está vacía.
Use el modo de auditoría para ver errores de DLP en Copilot Studio
Ejecute el siguiente script PowerShell para habilitar las directivas DLP en modo de auditoría o "suave". Cuando este modo está activo, los creadores de agente pueden ver mensajes de error relacionados con DLP al configurar agentes en Copilot Studio, pero no les impide realizar acciones relacionadas con DLP. Sin embargo, los creadores no pueden publicar agentes mientras este modo esté activo.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Para encontrar agentes a los que las directivas DLP de su organización puedan afectar, puede:
Use el panel de Power BI del Kit de inicio del Centro de excelencia (CoE ) para obtener una lista de agentes en su organización. Vaya a la página de información general de Copilot Studio en el panel de CoE para ver los nombres de agentes y entornos de su organización.
Ejecute una campaña con los creadores de agente de su organización para abordar los errores de DLP o las políticas de DLP actualizadas. Puede descargar todos los errores de DLP del agente seleccionando Detalles en el banner de notificación de error y seleccionando Descargar en los detalles del mensaje de error.
Habilitar la aplicación de DLP para agentes
Importante
Antes de habilitar la aplicación de DLP, asegúrese de saber qué agentes mostrarán errores a sus usuarios agente debido a infracciones de la directiva DLP.
Si tiene problemas, puede eximir a un agente de las directivas de DLP o deshabilitar la aplicación de DLP mientras sus creadores corrigen el agente para cumplir con las directivas de DLP.
Puede ejecutar el siguiente comando de PowerShell para hacer cumplir las directivas DLP en Copilot Studio. Se impedirá que los creadores de agente realicen acciones afectadas por DLP y los usuarios verán errores si se desencadenan.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Deshabilitar la aplicación de DLP para agentes
Utilice el siguiente comando para deshabilitar la aplicación de DLP en los agentes.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled