Configurer les stratégies de protection contre la perte de données pour les agents
Les données organisationnelles sont l’une des ressources les plus importantes qu’il incombe aux administrateurs de protéger. Le fait de pouvoir créer des automatisations pour utiliser ces données contribue largement aux performances d’une société.
Vous pouvez rapidement créer et déployer vos agents à forte valeur ajoutée pour vos utilisateurs. Vous pouvez connecter vos agents à de nombreuses sources de données et services. Certaines de ces sources et certains de ces services peuvent être des services externes hors Microsoft et même peuvent inclure des réseaux sociaux.
Il est facile de négliger le potentiel d’exposition. Ce type d’exposition peut aboutir à des fuites de données ou des connexions à des services et à des audiences qui ne devraient pas avoir accès aux données.
Les administrateurs peuvent contrôler les agents de votre organisation en utilisant des stratégies de protection contre la perte de données (DLP) avec des connecteurs existants et Copilot Studio. Les stratégies DLP sont créées dans le Centre d’administration Power Platform. Pour créer une stratégie DLP, vous devez être un administrateur de client ou avoir le Rôle d’administrateur d’environnement.
Conditions préalables
- Réviser les concepts sur les stratégies DLP
Connecteurs Copilot Studio
Les connecteurs Copilot Studio peuvent être classés au sein d’une stratégie DLP dans les groupes de données suivants, qui sont présentés dans le centre d’administration Power Platform lors de l’examen des stratégies DLP :
- Métier
- Hors métier
- Bloqué
Vous pouvez utiliser les connecteurs dans les stratégies DLP pour protéger les données de votre organisation contre toute exfiltration de données malveillante ou involontaire par vos créateurs d’agent.
Important
Par défaut, l’application de la DLP pour les agents est désactivée dans tous les locataires. En savoir plus sur l’activation de l’application.
Copilot Studio prend en charge l’application de la DLP en temps réel. Les créateurs et les utilisateurs de l’agent voient les messages d’erreur d’application de la DLP applicables dès qu’une stratégie DLP devient active.
Dans une stratégie DLP, les connecteurs doivent se trouver dans le même groupe de données, car les données ne peuvent pas être partagées entre des connecteurs appartenant à des groupes différents.
Vous pouvez configurer les stratégies DLP dans le centre d’administration Power Platform pour bloquer l’un des connecteurs Copilot Studio suivants.
| Nom du connecteur | Cas d’utilisation |
|---|---|
| Application Insights dans Copilot Studio | Empêchez les créateurs d’agent de connecter des agents à Application Insights. |
| Conversation sans authentification de Microsoft Entra ID dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents qui ne sont pas configurés pour l’authentification. Les utilisateurs de l’agent doivent s’authentifier pour discuter avec l’agent. Pour plus d’informations, consultez Exemple de protection contre la perte de données - Exiger l’authentification de l’utilisateur dans les agents. |
| Canaux Direct Line dans Copilot Studio | Empêchez les créateurs d’agents d’activer ou d’utiliser le canal Direct Line. Par exemple, le site web de démonstration, le site web personnalisé, l’application mobile et d’autres canaux Direct Line seraient bloqués. |
| Canal Facebook dans Copilot Studio | Empêchez les créateurs d’agents d’activer ou d’utiliser le canal Facebook. |
| Source de connaissances avec SharePoint et OneDrive dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents configurés avec SharePoint comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison. |
| Source de connaissances avec des documents dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents configurés avec des documents comme source de connaissances. |
| Source de connaissances avec les sites web publics et les données dans Copilot Studio | Empêchez les créateurs d’agents de publier des agents configurés avec des sites web publics comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison. |
| Microsoft Copilot Studio | Empêchez les créateurs d’agent d’utiliser des déclencheurs d’événements dans les agents Copilot Studio. Pour plus d’informations, consultez Exemple de protection contre la perte de données - Bloquer les déclencheurs d’événements dans les agents. |
| Canal Microsoft Teams dans Copilot Studio | Empêchez les créateurs d’agents d’activer ou d’utiliser le canal Teams. |
| Omnicanal dans Copilot Studio | Empêchez les créateurs d’agent d’activer ou d’utiliser le canal omnicanal. |
| Compétences avec Copilot Studio | Empêchez les créateurs d’agent d’utiliser les compétences dans les agents Copilot Studio. Pour plus d’informations, voir Exemple de protection contre la perte de données - Bloquer les compétences dans les agents et Exemple de protection contre la perte de données - Bloquer les requêtes HTTP dans les agents. |
Exemple de configurations de stratégie DLP
Pour commencer à utiliser la gouvernance de l’agent Copilot Studio, examinez les exemples de scénarios suivants :
- Exemple de protection contre la perte de données - Exiger l’authentification de l’utilisateur dans les agents
- Exemple de protection contre la perte de données – Bloquer la source de connaissances SharePoint dans les agents
- Exemple de protection contre la perte de données - Bloquer les connecteurs Power Platform dans les agents
- Exemple de protection contre la perte de données - Bloquer les requêtes HTTP dans les agents
- Exemple de protection contre la perte de données - Bloquer les compétences dans les agents
- Exemple de protection contre la perte de données - Bloquer les déclencheurs d’événements dans les agents
- Exemple de protection contre la perte de données – Bloquer les canaux pour désactiver la publication de l’agent
Utilisez PowerShell pour activer et administrer l’application de la protection DLP pour les agents de votre organisation
Vous pouvez configurer si les stratégies DLP doivent être appliquées à vos agents à l’aide des applets de commande PowerShell PowerAppDlpErrorSettings et PowerVirtualAgentsDlpEnforcement.
Vous pouvez :
- Confirmez si la DLP est activée pour les agents dans votre locataire.
- Activez ou désactivez DLP en mode d’audit (
-Mode SoftEnabled) afin que les créateurs d’agent puissent voir les erreurs, mais ne soient pas empêchés d’effectuer des actions qui seraient bloquées si l’application de la DLP était entièrement activée. - Activez ou désactivez l’application de la protection DLP pour afficher les erreurs d’application de la protection DLP et empêcher les créateurs d’agents de publier des bots affectés par la protection DLP ou de configurer les paramètres liés à la protection DLP.
- Exemptez des agents spécifiques de l’application de la protection DLP.
- Ajoutez et mettez à jour les liens d’informations et d’e-mail du contact qui s’affichent pour les créateurs d’agent lorsqu’ils rencontrent DLP dans les applications web et Teams Copilot Studio.
Important
Avant d’utiliser les applets de commande PowerShell ou les exemples de scripts présentés ici, assurez-vous d’installer les modules suivants à l’aide de PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Vous devez être administrateur client pour utiliser les applets de commande.
En règle générale, vous utiliserez ces applets de commande conformément à un processus de déploiement DLP, qui peut comprendre les étapes suivantes, dans l’ordre :
Ajoutez ou mettez à jour les liens d’informations et d’e-mail du contact de l’administrateur qui s’affichent dans les erreurs DLP pour les créateurs d’agent.
Déterminez quels agents (le cas échéant) ont actuellement activé l’application de la stratégie DLP.
Utiliser le mode audit ou « soft » pour que les créateurs puissent voir les erreurs DLP dans les applications Web et Teams Copilot Studio.
Atténuer le risque en contactant les créateurs et en les informant de la meilleure marche à suivre pour leur application ou leur flux.
Activez l’application de la protection DLP pour les agents afin d’empêcher les tâches et les fonctionnalités affectées par la protection DLP.
Vous pouvez également décider d’exempter un ou plusieurs agents de l’application de la stratégie DLP, en fonction du cas d’utilisation et des exigences de l’agent.
Ajouter et mettre à jour les liens Pour en savoir plus et les liens Adresse e-mail de contact de l’administrateur
Vous pouvez utiliser l’applet de commande PowerShell Set-PowerAppDlpErrorSettings pour ajouter une adresse e-mail et un lien « En savoir plus » aux messages d’erreur DLP.
Pour ajouter l’adresse e-mail et le lien En savoir plus pour la première fois, exécutez le script PowerShell suivant, en remplaçant les valeurs des paramètres <email>, <URL> et <tenant ID> par les vôtres.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Pour mettre à jour une configuration existante, utilisez le même script PowerShell et remplacez New-PowerAppDlpErrorSettings par Set-PowerAppDlpErrorSettings.
Avertissement
Ces paramètres s’appliquent à toutes les applications Power Platform au sein du client spécifié.
Activer et configurer l’application de la protection DLP pour les agents
Vous pouvez activer, désactiver, configurer et auditer l’application de la DLP dans Copilot Studio avec l’applet de commande PowerVirtualAgentsDlpEnforcement.
Dans l’un des exemples suivants, remplacez (ou déclarez) <tenant ID> avec l’ID de votre client.
Vous pouvez étendre votre portée aux agents créés après une certaine date en remplaçant <date> par une date au format MM-DD-YYYY. Pour supprimer l’étendue, supprimez le paramètre -OnlyForBotsCreatedAfter et sa valeur.
Confirmer l’application de la protection DLP pour les agents
Par défaut, l’application de la DLP pour les agents est désactivée dans tous les locataires.
Vous pouvez exécuter l’applet de commande PowerShell suivante pour vérifier si la DLP pour Copilot Studio est activée pour un client.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
Si DLP n’est pas configuré pour Copilot Studio, la réponse de l’applet de commande est vide.
Utiliser le mode d’audit pour voir les erreurs DLP dans Copilot Studio
Exécutez le script PowerShell suivant pour activer les stratégies DLP en mode audit ou « soft ». Lorsque ce mode est actif, les créateurs d’agent peuvent voir les messages d’erreur liés à DLP lors de la configuration des agents dans Copilot Studio, mais cela ne les empêche pas d’effectuer des actions liées à DLP. Cependant, les créateurs ne peuvent pas publier d’agents tant que ce mode est actif.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Pour rechercher les agents susceptibles d’être affectés par les stratégies DLP de votre organisation, vous pouvez :
Utilisez le tableau de bord Power BI du Kit de démarrage du Center of Excellence (CoE) pour obtenir une liste des agents de votre organisation. Accédez à la page de présentation Copilot Studio du tableau de bord CoE pour voir les noms des agents et des environnements dans votre organisation.
Lancez une campagne avec les créateurs d’agent de votre organisation pour corriger les erreurs DLP ou mettre à jour les stratégies DLP. Vous pouvez télécharger toutes les erreurs DLP de l’agent en sélectionnant Détails dans la bannière de notification d’erreur et en sélectionnant Télécharger dans les détails du message d’erreur.
Activer l’application de la protection DLP pour les agents
Important
Avant d’activer l’application de la protection DLP, assurez-vous de savoir quels agents sont susceptibles de signaler des erreurs à vos utilisateurs en raison de violations de la stratégie DLP.
Si vous rencontrez des problèmes, vous pouvez exempter un agent des stratégies DLP ou désactiver l’application de la DLP pendant que vos créateurs corrigent l'agent pour se conformer aux stratégies DLP.
Vous pouvez exécuter la commande PowerShell suivante pour appliquer les stratégies DLP dans Copilot Studio. Les créateurs d’agent ne pourront pas effectuer d’actions ayant un impact sur DLP, et les utilisateurs verront les erreurs si elles se déclenchent.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Désactiver l’application de la protection DLP pour les agents
Utilisez la commande suivante pour désactiver l’application de la protection DLP dans les agents.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled