Configurer les politiques de données protection des pertes pour les agents
Les données organisationnelles sont l’une des ressources les plus importantes qu’il incombe aux administrateurs de protéger. Le fait de pouvoir créer des automatisations pour utiliser ces données contribue largement aux performances d’une société.
Vous pouvez rapidement créer et déployer vos agents à haute valeur ajoutée pour vos utilisateurs finaux. Vous pouvez Connecter vos agents avec de nombreuses sources de données et services. Certaines de ces sources et certains de ces services peuvent être des services externes hors Microsoft et même peuvent inclure des réseaux sociaux.
Il est facile de négliger le potentiel d’exposition. Ce type d’exposition peut aboutir à des fuites de données ou des connexions à des services et à des audiences qui ne devraient pas avoir accès aux données.
Les administrateurs peuvent gérer les agents de votre organisation à l’aide de politiques de données (DLP) avec des connecteurs existants. Copilot Studio Les stratégies DLP sont créées dans le Centre d’administration Power Platform. Pour créer une stratégie DLP, vous devez être un administrateur de client ou avoir le Rôle d’administrateur d’environnement.
Conditions préalables
- Réviser les concepts sur les stratégies DLP
Connecteurs Copilot Studio
Les connecteurs Copilot Studio peuvent être classés au sein d’une stratégie DLP dans les groupes de données suivants, qui sont présentés dans le centre d’administration Power Platform lors de l’examen des stratégies DLP :
- Métier
- Hors métier
- Bloqué
Vous pouvez utiliser les connecteurs dans les politiques DLP pour protéger les données de votre organisation contre toute exfiltration de données malveillante ou involontaire par vos créateurs.
Important
Par défaut, l’application DLP pour les agents est désactivée dans tous les locataires. En savoir plus sur l’activation de l’application des règles.
Les connecteurs doivent se trouver dans un seul groupe de données, car les données ne peuvent pas être partagées entre les connecteurs qui se trouvent dans des groupes différents.
Plusieurs connecteurs Copilot Studio sont disponibles dans le centre d’administration Power Platform. Ces connecteurs peuvent être configurés pour DLP comme suit :
| Nom du connecteur | Description |
|---|---|
| Application Insights dans Copilot Studio | Empêchez les créateurs de agent de se connecter à agent . Application Insights |
| Conversation sans authentification de Microsoft Entra ID dans Copilot Studio | Empêchez les créateurs de agent de publier des agents qui ne sont pas configurés pour l’authentification. Les utilisateurs de agent doivent s’authentifier pour discuter avec les agent. Pour plus d’informations, consultez Exemple de données protection des pertes - Exiger l’authentification de l’utilisateur final dans les agents. |
| Canaux Direct Line dans Copilot Studio | Empêchez les créateurs de agent d’activer ou d’utiliser Direct Line le canal. Par exemple, le site web de démonstration, le site web personnalisé, l’application mobile et d’autres canaux Direct Line seraient bloqués. |
| Canal Facebook dans Copilot Studio | Empêchez les créateurs de agent d’activer ou d’utiliser le canal Facebook . |
| Source de connaissances avec SharePoint et OneDrive dans Copilot Studio | Bloquez les créateurs de agent des agents de publication configurés avec SharePoint comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison. |
| Source de connaissances avec les sites web publics et les données dans Copilot Studio | Empêchez les créateurs de agent de publier des agents configurés avec des sites Web publics comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison. |
| Source de connaissances avec des documents dans Copilot Studio | Empêchez les créateurs de agent de publier des agents configurés avec des documents comme source de connaissances. |
| Canal Microsoft Teams dans Copilot Studio | Empêchez les créateurs de agent d’activer ou d’utiliser le canal Teams. |
| Omnicanal dans Copilot Studio | Empêchez les créateurs de agent d’activer ou d’utiliser le canal protéger. |
| Compétences avec Copilot Studio | Empêchez les créateurs de agent d’utiliser agent dans Copilot Studio les agents. Pour plus d’informations, voir Exemple de données Omnicanal - Bloquer compétences dans les agents et Exemple de données Omnicanal - Bloquer les requêtes HTTP dans les agents. |
| Déclencheurs d’événements avec Copilot Studio | Empêchez les créateurs de agent d’utiliser des déclencheurs d’événements dans les agents. Copilot Studio Pour plus d’informations, consultez Exemple de données protection des pertes - Déclencheurs d’événements de blocage dans les agents. |
Exemple de configurations de stratégie DLP
Pour vous aider à démarrer avec la gouvernance Copilot Studio agent, nous avons créé les exemples suivants qui détaillent différents scénarios :
- Exemple de données protection des pertes - Exiger l’authentification de l’utilisateur final dans les agents
- Exemple de données protection des pertes - Bloc SharePoint source de connaissances dans les agents
- Exemple de données protection des pertes - Bloc Power Platform Connecteurs dans les agents
- Exemple de données protection des pertes - Bloquer les requêtes HTTP dans les agents
- Exemple de données protection des pertes - Bloc compétences dans les agents
- Exemple de données environnement - Déclencheurs d’événements de blocage dans les agents
- Exemple de données protection des pertes - Bloquer les canaux pour désactiver la publication agent
Utilisez PowerShell pour activer et administrer l’application de la DLP pour les agents de votre organisation
Vous pouvez configurer si les stratégies DLP doivent être appliquées à vos agents avec les applets de commande PowerAppDlpErrorSettings et PowerVirtualAgentsDlpEnforcement PowerShell.
Vous pouvez :
- Confirmez si DLP est activé pour les agents de votre locataire.
- Activez ou désactivez DLP dans un mode d’audit (
-Mode SoftEnabled) afin que les créateurs de agent puissent voir les erreurs, mais ne soient pas empêchés d’effectuer des actions qui seraient bloquées si l’application DLP était entièrement activée. - Activez ou désactivez l’application DLP pour afficher les erreurs d’application DLP et empêcher les créateurs de agent de publier des robots affectés par DLP ou de configurer des paramètres liés à DLP.
- Exempter des agents spécifiques de l’application de la DLP.
- Ajoutez et mettez à jour les liens d’information et de contact par e-mail qui sont affichés aux créateurs de agent lorsqu’ils rencontrent des DLP dans les applications Web et Teams. Copilot Studio
Important
Avant d’utiliser les applets de commande PowerShell ou les exemples de scripts présentés ici, assurez-vous d’installer les modules suivants à l’aide de PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Vous devez être administrateur client pour utiliser les applets de commande.
En règle générale, vous utiliserez ces applets de commande conformément à un processus de déploiement DLP, qui peut comprendre les étapes suivantes, dans l’ordre :
Ajoutez ou mettez à jour les liens d’information et de contact administrateur qui s’affichent dans les erreurs DLP pour les créateurs agent.
Déterminez quels agents (le cas échéant) ont actuellement l’application de la politique DLP activée.
Utiliser le mode audit ou « soft » pour que les créateurs puissent voir les erreurs DLP dans les applications Web et Teams Copilot Studio.
Atténuer le risque en contactant les créateurs et en les informant de la meilleure marche à suivre pour leur application ou leur flux.
Activez l’application DLP pour les agents afin d’empêcher les tâches et fonctionnalités affectées par DLP.
Vous pouvez également décider d’exempter un ou plusieurs agents de l’application de la politique DLP, en fonction du cas d’utilisation et des exigences de agent.
Ajouter et mettre à jour les liens Pour en savoir plus et les liens Adresse e-mail de contact de l’administrateur
Vous pouvez configurer un lien Pour en savoir plus et un lien Adresse e-mail à l’aide de l’applet de commande PowerShell Set-PowerAppDlpErrorSettings. Vos fabricants de agent verront ces informations lorsqu’ils rencontreront des erreurs DLP.
Pour ajouter le lien Pour en savoir plus et le lien Adresse e-mail pour la première fois, exécutez le script PowerShell suivant, en remplaçant les valeurs des paramètres <email>, <URL>, et <tenant ID> par les vôtres.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Pour mettre à jour une configuration existante, utilisez le même script PowerShell et remplacez New-PowerAppDlpErrorSettings par Set-PowerAppDlpErrorSettings.
Avertissement
Ces paramètres s’appliquent à toutes les applications Power Platform au sein du client spécifié.
Activer et configurer l’application DLP pour les agents
Vous pouvez activer, désactiver, configurer et auditer l’application de la DLP dans Copilot Studio avec l’applet de commande PowerVirtualAgentsDlpEnforcement.
Dans l’un des exemples suivants, remplacez (ou déclarez) <tenant ID> avec l’ID de votre client.
Vous pouvez accéder aux agents créés après une certaine date en remplaçant <date> par une date au format MM-DD-YYYY. Pour supprimer l’étendue, supprimez le paramètre -OnlyForBotsCreatedAfter et sa valeur.
Confirmer l’application de la DLP pour les agents
Par défaut, l’application DLP pour les agents est désactivée dans tous les locataires.
Vous pouvez exécuter l’applet de commande PowerShell suivante pour vérifier si la DLP pour Copilot Studio est activée pour un client.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
Si vous n’avez pas configuré la DLP Copilot Studio, les résultats de l’applet de commande seront vides.
Utiliser le mode audit ou « soft » pour voir les erreurs DLP dans les applications Web ou Teams Copilot Studio
Exécutez le script PowerShell suivant pour activer les stratégies DLP en mode audit. Les créateurs de agent verront des erreurs liées à la DLP lors de la configuration des agents dans les applications Web et Teams, mais ils ne seront pas empêchés d’effectuer des actions liées à la DLP. Copilot Studio De plus, les créateurs ne peuvent pas publier d’agents lorsque le mode soft est activé.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Pour trouver les agents qui pourraient être affectés par les politiques DLP existantes de votre organisation, vous pouvez :
Utilisez le kit de démarrage du Centre d’excellence (CoE) pour obtenir une liste des agents de votre organisation. Accédez à la page d’aperçu du tableau de bord du CoE pour voir les agents et les noms environnement de votre organisation. Copilot Studio
Menez une campagne avec les créateurs de agent de votre organisation pour résoudre les erreurs DLP ou mettre à jour les politiques DLP. Vous pouvez télécharger toutes les erreurs DLP agent en sélectionnant Détails dans la bannière de notification d’erreur et en sélectionnant Télécharger dans les détails du message d’erreur.
Activer l’application de la DLP pour les agents
Important
Avant d’activer l’application de la politique DLP, assurez-vous de savoir quels agents afficheront des erreurs à vos utilisateurs agent en raison de violations de la politique DLP.
Si vous rencontrez des problèmes, vous pouvez exempter un agent des politiques DLP ou désactiver l’application DLP pendant que vos créateurs corrigent le agent pour qu’il soit conforme aux politiques DLP.
Vous pouvez exécuter la commande PowerShell suivante pour appliquer les stratégies DLP dans Copilot Studio. Les créateurs de agent ne pourront pas effectuer d’actions impactées par la DLP, et les utilisateurs finaux verront des erreurs s’ils Gâchette.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Exempter un bot des stratégies DLP
Si vous avez activé l’application DLP pour votre locataire, mais que vous devez exempter un agent de l’affichage des erreurs DLP aux créateurs et aux utilisateurs, vous pouvez exécuter le script PowerShell suivant.
Assurez-vous de remplacer <environment ID>, <bot ID>, <tenant ID> et <policy ID> par les identifiants appropriés pour le agent que vous souhaitez exempter.
Astuce
Vous pouvez trouver le <environment ID> et <bot ID> à partir de l’URL de agent.
L’<policy ID> est répertorié à côté des détails de l’erreur dans le fichier Télécharger les détails. Vous pouvez télécharger ce fichier en sélectionnant Télécharger les détails sur la bannière de notification d’erreur dans Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Désactiver l’application DLP pour les agents
La commande suivante désactivera l’application DLP dans les agents.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled