Configurer les stratégies de protection contre la perte de données pour les agents
Avec Copilot Studio, vous pouvez créer et déployer rapidement des agents de grande valeur pour vos utilisateurs qui peuvent se connecter à de nombreuses sources de données et de nombreux services. Certaines de ces sources et services peuvent être des services externes, non Microsoft, et peuvent même inclure des réseaux sociaux, ainsi que des connexions à vos données d’organisation.
Les données organisationnelles sont l’une des ressources les plus importantes qu’il incombe aux administrateurs de protéger. La possibilité d’utiliser ces données de manière protégée, tout en continuant à se connecter et à interagir avec d’autres services et systèmes, est la pierre angulaire de la sécurité des données.
Les stratégies de protection contre la perte de données (DLP) vous permettent de régir la façon dont les agents se connectent et interagissent avec les données et les services, à l’intérieur et à l’extérieur de votre organisation. Les administrateurs peuvent configurer des stratégies DLP pour Copilot Studio et Power Platform dans le centre d’administration Power Platform.
Important
Au début de l’année 2025, l’application de la stratégie DLP pour tous les clients est définie sur Activé par défaut, comme annoncé dans l’alerte du centre de messages MC973179 : Copilot Studio - Mises à jour à venir pour l’application de la stratégie de protection contre la perte de données.
En janvier 2025 :
- Par défaut, l’application pour les agents dans tous les clients est définie sur Activation temporaire (auparavant, l’application était désactivée par défaut) :
- Les agents existants pour lesquels l’application de la protection DLP était définie sur Désactivé passent automatiquement à Activation temporaire. L’application de la protection DLP est définie sur Activation temporaire par défaut pour les nouveaux agents, à la création.
- Si un agent publié ne respecte pas la stratégie DLP, les utilisateurs de l’agent peuvent continuer à interagir avec l’agent, mais les mises à jour de l’agent ne peuvent pas être publiées. Les violations de la stratégie DLP doivent être résolues avant que l’agent puisse être publié.
- Les violations de la stratégie DLP sont enregistrées pour les administrateurs, et les utilisateurs et les créateurs voient les avertissements de violation DLP. Les utilisateurs ne sont pas empêchés d’utiliser l’agent.
- L’applet de commande PowerShell ne peut plus être utilisée pour désactiver l'application.
À partir de février 2025 :
- Par défaut, l'application pour les agents dans tous les clients sera définie sur Activé ; tous les agents publiés et les mises à jour des agents existants sont soumis aux stratégies DLP qui s’appliquent telles que définies dans le client.
- L’applet de commande PowerShell ne peut plus être utilisée pour activer ou désactiver l'application et ne sera plus prise en charge après février 2025.
En savoir plus sur la confirmation de l’application dans votre client.
Prérequis
- Vous devez passer en revue les concepts relatifs aux stratégies DLP
- Vous devez être un administrateur de clients ou avoir le rôle Administrateur d’environnement
Connecteurs Copilot Studio
Les connecteurs Copilot Studio peuvent être classés au sein d’une stratégie DLP dans les groupes de données suivants, qui sont présentés dans le centre d’administration Power Platform lors de l’examen des stratégies DLP :
- Métier
- Hors métier
- Bloqué
Vous pouvez utiliser les connecteurs dans les stratégies DLP pour protéger les données de votre organisation contre toute exfiltration de données malveillante ou involontaire par vos créateurs d’agent.
Important
Copilot Studio prend en charge l’application de la stratégie DLP en temps réel. Les créateurs et les utilisateurs d’agents voient des messages d’erreur pour toute violation de la stratégie DLP.
Dans une stratégie DLP, les connecteurs doivent se trouver dans le même groupe de données, car les données ne peuvent pas être partagées entre des connecteurs appartenant à des groupes différents.
Vous pouvez configurer les stratégies DLP dans le centre d’administration Power Platform pour bloquer l’un des connecteurs Copilot Studio suivants.
| Nom du connecteur | Cas d’utilisation |
|---|---|
| Application Insights dans Copilot Studio | Empêchez les créateurs d’agent de connecter des agents à Application Insights. |
| Conversation sans authentification de Microsoft Entra ID dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents qui ne sont pas configurés pour l’authentification. Les utilisateurs de l’agent doivent s’authentifier pour discuter avec l’agent. Pour plus d’informations, consultez Exemple de protection contre la perte de données - Exiger l’authentification de l’utilisateur dans les agents. |
| Canaux Direct Line dans Copilot Studio | Empêchez les créateurs d’agents d’activer ou d’utiliser le canal Direct Line. Par exemple, le site web de démonstration, le site web personnalisé, l’application mobile et d’autres canaux Direct Line seraient bloqués. |
| Canal Facebook dans Copilot Studio | Empêchez les créateurs d’agents d’activer ou d’utiliser le canal Facebook. |
| Source de connaissances avec SharePoint et OneDrive dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents configurés avec SharePoint comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison. |
| Source de connaissances avec des documents dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents configurés avec des documents comme source de connaissances. |
| Source de connaissances avec les sites web publics et les données dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents configurés avec des sites web publics comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison. |
| Microsoft Copilot Studio | Empêchez les créateurs d’agent d’utiliser des déclencheurs d’événements dans les agents Copilot Studio. Pour plus d’informations, consultez Exemple de protection contre la perte de données - Bloquer les déclencheurs d’événements dans les agents. |
| Canal Microsoft Teams dans Copilot Studio | Empêchez les créateurs d’agents d’activer ou d’utiliser le canal Teams. |
| Omnicanal dans Copilot Studio | Empêchez les créateurs d’agent d’activer ou d’utiliser le canal omnicanal. |
| Compétences avec Copilot Studio | Empêchez les créateurs d’agent d’utiliser les compétences dans les agents Copilot Studio. Pour plus d’informations, voir Exemple de protection contre la perte de données - Bloquer les compétences dans les agents et Exemple de protection contre la perte de données - Bloquer les requêtes HTTP dans les agents. |
Exemple de configurations de stratégie DLP
Pour commencer à utiliser la gouvernance de l’agent Copilot Studio, examinez les exemples de scénarios suivants :
- Exemple de protection contre la perte de données - Exiger l’authentification de l’utilisateur dans les agents
- Exemple de protection contre la perte de données – Bloquer la source de connaissances SharePoint dans les agents
- Exemple de protection contre la perte de données - Bloquer les connecteurs Power Platform dans les agents
- Exemple de protection contre la perte de données - Bloquer les requêtes HTTP dans les agents
- Exemple de protection contre la perte de données - Bloquer les compétences dans les agents
- Exemple de protection contre la perte de données - Bloquer les déclencheurs d’événements dans les agents
- Exemple de protection contre la perte de données – Bloquer les canaux pour désactiver la publication de l’agent
Utilisez PowerShell pour activer et administrer l’application de la protection DLP pour les agents de votre organisation
Vous pouvez configurer si les stratégies DLP doivent être appliquées à vos agents à l’aide des applets de commande PowerShell PowerAppDlpErrorSettings et PowerVirtualAgentsDlpEnforcement.
Vous pouvez :
- Confirmez si les stratégies DLP sont appliquées pour les agents de votre client.
- Basculez l’application de la stratégie DLP en mode d’audit (
-Mode SoftEnabled) afin que les créateurs d’agent puissent voir les erreurs, mais ne soient pas empêchés d’effectuer des actions que l’application de la stratégie DLP bloquerait. - Activez ou désactivez l’application de la stratégie DLP pour afficher les erreurs d’application de la stratégie DLP et empêcher les créateurs d’agents de publier des agents affectés par la stratégie DLP ou de configurer les paramètres liés à la stratégie DLP.
- Ajoutez et mettez à jour les liens d’information et d’e-mail du contact qui s’affichent pour les créateurs d’agents lorsque Copilot Studio déclenche une violation de la stratégie DLP.
Important
Avant d’utiliser les applets de commande PowerShell ou les exemples de scripts présentés ici, assurez-vous d’installer les modules suivants à l’aide de PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Vous devez être administrateur client pour utiliser les applets de commande.
En règle générale, vous utiliserez ces applets de commande conformément à un processus de déploiement DLP, qui peut comprendre les étapes suivantes, dans l’ordre :
Ajoutez ou mettez à jour les liens d’informations et d’e-mail du contact de l’administrateur qui s’affichent dans les erreurs DLP pour les créateurs d’agent.
Déterminez quels agents (le cas échéant) ont actuellement activé l’application de la stratégie DLP.
Utilisez le mode d’audit afin que les créateurs puissent voir les erreurs DLP dans les applications web et Teams de Copilot Studio.
Atténuer le risque en contactant les créateurs et en les informant de la meilleure marche à suivre pour leur application ou leur flux.
Activez l’application stricte de la stratégie DLP pour les agents.
Important
L’exemption d’application de la stratégie DLP de l’agent n’est plus prise en charge. Les agents qui étaient auparavant exemptés de l’application de la stratégie DLP verront leur application définie sur Activation temporaire en janvier 2025 et définie sur Activé en février 2025.
Ajouter et mettre à jour les liens Pour en savoir plus et les liens Adresse e-mail de contact de l’administrateur
Vous pouvez utiliser l’applet de commande PowerShell Set-PowerAppDlpErrorSettings pour ajouter une adresse e-mail et un lien « En savoir plus » aux messages d’erreur DLP.
Pour ajouter l’adresse e-mail et le lien En savoir plus pour la première fois, exécutez le script PowerShell suivant, en remplaçant les valeurs des paramètres <email>, <URL> et <tenant ID> par les vôtres.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Pour mettre à jour une configuration existante, utilisez le même script PowerShell et remplacez New-PowerAppDlpErrorSettings par Set-PowerAppDlpErrorSettings.
Avertissement
Ces paramètres s’appliquent à toutes les applications Power Platform au sein du client spécifié.
Configurer l’application de la stratégie DLP pour les agents
Vous pouvez activer, désactiver, configurer et auditer l’application de la DLP dans Copilot Studio avec l’applet de commande PowerVirtualAgentsDlpEnforcement.
Dans l’un des exemples suivants, remplacez (ou déclarez) <tenant ID> avec l’ID de votre client.
Vous pouvez étendre votre portée aux agents créés après une certaine date en remplaçant <date> par une date au format MM-DD-YYYY. Pour supprimer l’étendue, supprimez le paramètre -OnlyForBotsCreatedAfter et sa valeur.
Confirmer l’application de la stratégie DLP pour les agents
Par défaut, l’application de la stratégie DLP pour les agents est définie sur le mode d’audit ou « temporaire ».
Exécutez l’applet de commande PowerShell suivante pour vérifier le statut de l’application de la stratégie DLP pour un client.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
Si DLP n’est pas configuré pour Copilot Studio, la réponse de l’applet de commande est vide.
Utiliser le mode d’audit pour voir les erreurs DLP dans Copilot Studio
Exécutez le script PowerShell suivant pour activer les stratégies DLP en mode audit ou « soft ». Lorsque ce mode est actif, les créateurs d’agent peuvent voir les messages d’erreur liés à DLP lors de la configuration des agents dans Copilot Studio, mais cela ne les empêche pas d’effectuer des actions liées à DLP. Cependant, les créateurs ne peuvent pas publier d’agents tant que ce mode est actif.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Pour rechercher les agents susceptibles d’être affectés par les stratégies DLP de votre organisation, vous pouvez :
Utilisez le tableau de bord Power BI du Kit de démarrage du Center of Excellence (CoE) pour obtenir une liste des agents de votre organisation. Accédez à la page de présentation Copilot Studio du tableau de bord CoE pour voir les noms des agents et des environnements dans votre organisation.
Lancez une campagne avec les créateurs d’agent de votre organisation pour corriger les erreurs DLP ou mettre à jour les stratégies DLP. Vous pouvez télécharger toutes les erreurs DLP de l’agent en sélectionnant Détails dans la bannière de notification d’erreur et en sélectionnant Télécharger dans les détails du message d’erreur.
Activer l’application de la protection DLP pour les agents
Avertissement
Avant d’activer l’application de la stratégie DLP, assurez-vous de savoir quels agents sont susceptibles de signaler des erreurs aux utilisateurs en raison de violations de la stratégie DLP.
Vous pouvez exécuter la commande PowerShell suivante pour appliquer les stratégies DLP dans Copilot Studio. Les créateurs d’agents ne peuvent pas effectuer d’actions qui enfreindraient les stratégies DLP, et les utilisateurs voient des messages d’erreur pour toute violation.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>