Configurare i criteri di prevenzione della perdita dei dati per gli agenti
Con Copilot Studio, puoi creare e implementare rapidamente agenti di alto valore per gli utenti in grado di connettersi a molte origini dati e servizi. Alcune di queste origini e servizi potrebbero essere servizi esterni, non Microsoft, e potrebbero anche includere social network, oltre alle connessioni ai dati dell'organizzazione.
I dati organizzativi sono la cosa più importante che gli amministratori delle risorse devono salvaguardare. La capacità di utilizzare tali dati in modo protetto, pur continuando a connettersi e interagire con altri servizi e sistemi, è una pietra miliare della sicurezza dei dati.
I criteri di prevenzione della perdita dei dati (DLP) consentono di regolare il modo in cui gli agenti si connettono e interagiscono con dati e servizi, all'interno e all'esterno dell'organizzazione. Gli amministratori possono configurare i criteri DLP Copilot Studio e Power Platform nell'interfaccia di amministrazione di Power Platform.
Importante
All'inizio del 2025, l'applicazione dei criteri DLP per tutti i tenant è impostata su Abilitata per impostazione predefinita, come annunciato nell'avviso MC973179: Copilot Studio - Prossimi aggiornamenti per l'applicazione dei criteri di prevenzione della perdita dei dati.
A gennaio 2025:
- Per impostazione predefinita, l'applicazione per gli agenti in tutti i tenant è impostata su Abilitata temporaneamente (in precedenza, l'applicazione era disabilitata per impostazione predefinita):
- Gli agenti esistenti che avevano l'applicazione della prevenzione della perdita dei dati impostata su Disabilitata passeranno automaticamente ad Abilitata temporaneamente. Per i nuovi agenti, l'applicazione della prevenzione della perdita dei dati sarà impostata su Abilitata temporaneamente per impostazione predefinita, al momento della creazione.
- Se un agente pubblicato presenta una violazione dei criteri DLP, gli utenti dell'agente possono continuare a interagire con l'agente, tuttavia gli aggiornamenti dell'agente non possono essere pubblicati. Le violazioni dei criteri DLP devono essere risolte prima che l'agente possa essere pubblicato.
- Le violazioni dei criteri DLP vengono registrate per gli amministratori e gli utenti e gli autori visualizzano gli avvisi di violazione DLP. Agli utenti non viene impedito di usare l'agente.
- Il cmdlet PowerShell non può più essere utilizzato per disattivare l'applicazione delle regole.
A partire da febbraio 2025:
- Per impostazione predefinita, l'applicazione delle regole per gli agenti in tutti i tenant sarà impostata su Abilitata: tutti gli agenti pubblicati e gli aggiornamenti degli agenti esistenti sono soggetti ai criteri DLP che si applicano come definito nel tenant.
- Il cmdlet PowerShell non può più essere usato per attivare o disattivare l'applicazione delle regole e non sarà supportato dopo febbraio 2025.
Informazioni su come confermare l'applicazione nel tenant.
Prerequisiti
- È consigliabile rivedere i concetti relativi ai criteri DLP
- Devi essere un amministratore del tenant o avere il ruolo di Amministratore dell'ambiente
Connettori Copilot Studio
I connettori Copilot Studio possono essere classificati all'interno di un criterio DLP nei seguenti gruppi di dati, presentati nell'interfaccia di amministrazione di Power Platform durante la revisione dei criteri DLP:
- Azienda
- Non aziendale
- Bloccato
Puoi usare i connettori nei criteri DLP per proteggere i dati della tua organizzazione da qualsiasi esfiltrazione di dati dannosa o involontaria da parte degli autori degli agenti.
Importante
Copilot Studio sostiene l'applicazione dei criteri DLP in tempo reale. Gli autori degli agenti e gli utenti visualizzano messaggi di errore per qualsiasi violazione dei criteri DLP.
Nei criteri DLP i connettori devono trovarsi nello stesso gruppo di dati perché i dati non possono essere condivisi tra connettori che si trovano in gruppi diversi.
Puoi configurare i criteri DLP nell'interfaccia di amministrazione di Power Platform per bloccare uno qualsiasi dei seguenti connettori Copilot Studio.
| Nome del connettore | Caso d'uso |
|---|---|
| Application Insights in Copilot Studio | Impedisci agli autori degli agenti di connettere gli agenti con Application Insights. |
| Chat senza autenticazione Microsoft Entra ID in Copilot Studio | Impedisci agli autori degli agenti di pubblicare agenti non configurati per l'autenticazione. Gli utenti dell'agente devono autenticarsi per poter chattare con l'agente. Per ulteriori informazioni, vedi Esempio di prevenzione della perdita dei dati: richiedere l'autenticazione dell'utente negli agenti. |
| Canali Direct Line in Copilot Studio | Impedisci agli autori di agenti di abilitare o utilizzare il canale Direct Line. Ad esempio, il sito Web dimostrativo, il sito Web personalizzato, l'app per dispositivi mobili e altri canali Direct Line verrebbero bloccati. |
| Canale Facebook in Copilot Studio | Impedisci agli autori di agenti di abilitare o utilizzare il canale Facebook. |
| Origine di conoscenza con SharePoint e OneDrive in Copilot Studio | Impedisci agli autori degli agenti di pubblicare agenti configurati con SharePoint come origine della conoscenza. Supporta il filtro dell'endpoint del connettore DLP per consentire o negare gli endpoint. |
| Origine di conoscenza con documenti in Copilot Studio | Impedisci agli autori di agenti di pubblicare agenti configurati con documenti come origine di conoscenza. |
| Origine di conoscenza con dati e siti Web pubblici in Copilot Studio | Impedisci agli autori di agente di pubblicare agenti configurati con siti Web pubblici come origine di conoscenza. Supporta il filtro dell'endpoint del connettore DLP per consentire o negare gli endpoint. |
| Microsoft Copilot Studio | Impedisci agli autori di agente di usare i trigger di evento negli agenti di Copilot Studio. Per altre informazioni, vedi Esempio di prevenzione della perdita dei dati: bloccare i trigger di eventi negli agenti. |
| Canale Microsoft Teams in Copilot Studio | Impedisci agli autori di agenti di abilitare o usare il canale Teams. |
| Multicanale in Copilot Studio | Impedisci agli autori di agenti di abilitare o usare il canale Multicanale. |
| Competenze con Copilot Studio | Impedisci agli autori di agenti di usare le competenze negli agenti di Copilot Studio. Per altre informazioni, vedi Esempio di prevenzione della perdita dei dati - Bloccare le competenze negli agenti e Esempio di prevenzione della perdita dei dati - Bloccare le richieste HTTP negli agenti. |
Esempio di configurazioni di criteri DLP
Per iniziare a usare la governance degli agenti di Copilot Studio, esamina i seguenti scenari di esempio:
- Esempio di prevenzione della perdita dei dati: richiedere l'autenticazione dell'utente negli agenti
- Esempio di prevenzione della perdita dei dati: bloccare l'origine SharePoint della conoscenza negli agenti
- Esempio di prevenzione della perdita di dati: bloccare i connettori Power Platform negli agenti
- Esempio di prevenzione della perdita dei dati: bloccare le richieste HTTP negli agenti
- Esempio di prevenzione della perdita di dati: bloccare le competenze negli agenti
- Esempio di prevenzione della perdita dei dati: bloccare i trigger di eventi negli agenti
- Esempio di prevenzione della perdita di dati: bloccare i canali per disabilitare la pubblicazione degli agenti
Usa PowerShell per abilitare e amministrare l'applicazione dei criteri DLP per gli agenti nella tua organizzazione
È possibile configurare se i criteri DLP devono essere applicati agli agenti con i PowerAppDlpErrorSettings e i cmdlet PowerShell PowerVirtualAgentsDlpEnforcement.
È possibile:
- Verifica se i criteri DLP vengono applicati agli agenti nel tenant.
- Modifica l'applicazione dei criteri DLP in modalità di controllo (
-Mode SoftEnabled) in modo che gli autori degli agenti possano visualizzare gli errori, ma non possano eseguire azioni che verrebbero bloccate dall'applicazione dei criteri DLP. - Abilita o disabilita l'applicazione DLP per visualizzare gli errori di applicazione DLP e impedire ai creatori di agenti di pubblicare agenti interessati da DLP o di configurare impostazioni correlate a DLP.
- Aggiungi e aggiorna i collegamenti alle e-mail per saperne di più e per contattare che vengono mostrati agli autori degli agenti quando Copilot Studio attiva una violazione dei criteri DLP.
Importante
Prima di utilizzare i cmdlet di PowerShell o gli script di esempio mostrati qui, assicurati di installare i seguenti moduli utilizzando PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Devi essere un amministratore del tenant per usare i cmdlet.
In genere, questi cmdlet vengono utilizzati in base a un processo di rollout DLP, che potrebbe consistere nei seguenti passaggi, nell'ordine:
Aggiungi o aggiorna i collegamenti alle e-mail di supporto e di contatto dell'amministratore visualizzati negli errori di prevenzione della perdita dei dati per gli autori degli agenti.
Determinare quali agenti (se presenti) hanno attualmente abilitato l'applicazione dei criteri DLP.
Usa la modalità di controllo in modo che gli autori possano vedere gli errori DLP nelle app Copilot Studio Web e Teams.
Riduci il rischio contattando i produttori e informandoli sulla migliore linea d'azione per la loro app o flusso.
Attiva l'applicazione rigorosa dei criteri DLP per gli agenti.
Importante
L'esenzione dell'applicazione dei criteri DLP dell'agente non è più supportata. Per gli agenti che in precedenza erano esentati dall'applicazione della DLP, l'applicazione sarà impostata su Abilitata temporaneamente a gennaio 2025 e Abilitata a febbraio 2025.
Aggiungere e aggiornare i collegamenti e-mail per ulteriori informazioni e per i contatti dell'amministratore
Puoi usare il Set-PowerAppDlpErrorSettingscmdlet PowerShell per aggiungere un indirizzo e-mail e un collegamento "Altre informazioni" ai messaggi di errore dei criteri DLP.
Per aggiungere l'indirizzo e-mail e il collegamento Ulteriori informazioni per la prima volta, esegui lo script PowerShell seguente, sostituendo i valori dei parametri <email>, <URL> e <tenant ID> con i propri.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Per aggiornare una configurazione esistente, usa lo stesso script di PowerShell e sostituisci New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.
Avviso
Queste impostazioni si applicano a tutte le app Power Platform all'interno del tenant specificato.
Configurare l'applicazione dei criteri DLP per gli agenti
È possibile abilitare, disabilitare, configurare e controllare l'applicazione dei DLP in Copilot Studio con i cmdlet PowerVirtualAgentsDlpEnforcement.
In uno dei seguenti esempi, sostituisci (o dichiara) <tenant ID> con l'ID del tuo tenant.
Puoi definire l'ambito agli agenti creati dopo una determinata data sostituendo <date> con una data nel formato MM-DD-YYYY. Per rimuovere l'ambito, eliminare il parametro -OnlyForBotsCreatedAfter e il suo valore.
Conferma l'applicazione dei criteri DLP per gli agenti
Per impostazione predefinita, l'applicazione dei criteri DLP per gli agenti è impostata sulla modalità di controllo o "temporanea".
Eseguire il cmdlet PowerShell seguente per verificare lo stato di applicazione dei criteri DLP per un tenant.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Se i criteri DLP non sono configurati per Copilot Studio, la risposta del cmdlet è vuota.
Usa la modalità di controllo per visualizzare gli errori DLP in Copilot Studio
Esegui lo script PowerShell seguente per abilitare i criteri DLP in modalità di controllo o "soft". Quando questa modalità è attiva, gli autori degli agenti possono visualizzare messaggi di errore relativi alla prevenzione della perdita dei dati durante la configurazione degli agenti in Copilot Studio, ma ciò non impedisce loro di eseguire azioni correlate alla prevenzione della perdita dei dati. Tuttavia, gli autori non possono pubblicare agenti mentre questa modalità è attiva.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Per trovare gli agenti che potrebbero essere interessati dai criteri DLP dell'organizzazione, puoi:
Usa la dashboard Power BI dello Starter Kit CoE (Center of Excellence) per ottenere un elenco di agenti nella tua organizzazione. Vai alla pagina della panoramica Copilot Studio sul dashboard CoE per vedere i nomi degli agenti e degli ambienti nella tua organizzazione.
Esegui una campagna con gli autori di agenti nell'organizzazione per risolvere gli errori DLP o i criteri DLP aggiornati. Puoi scaricare tutti gli errori DLP dell'agente selezionando Dettagli nel banner di notifica dell'errore e selezionando Scarica dai dettagli del messaggio di errore.
Abilitare l'applicazione dei criteri DLP per gli agenti
Avviso
Prima di attivare l'applicazione dei criteri DLP, assicurati di sapere quali agenti potrebbero segnalare errori agli utenti a causa di violazioni dei criteri DLP.
Puoi eseguire il comando PowerShell seguente per applicare i criteri DLP in Copilot Studio. I creatori di agenti non possono eseguire azioni che violano i criteri DLP e gli utenti visualizzano messaggi di errore per eventuali violazioni.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>