次の方法で共有

エージェントのデータ損失防止ポリシーを構成する

  • [アーティクル]

組織のデータは、管理者が責任をもって守るべき最も重要な資産です。 こうしたデータを活用するオートメーションを構築する機能は、会社の成功に大きく貢献します。

価値の高いエージェントを迅速に構築し、ユーザー向けに展開できます。 エージェントを多くのデータ ソースやサービスに接続できます。 これらソースとサービスの中には、外部の Microsoft 以外のサービスであったり、ソーシャル ネットワークを含む可能性があります。

曝露の可能性は見落としやすいものです。 この種の曝露は、データの漏えい、またはデータへのアクセスを許可されていないサービスやオーディエンスへの接続によって発生する可能性があります。

管理者は、既存のコネクタでデータ損失防止 (DLP) ポリシーを使用して Copilot Studio 組織内のエージェントを管理できます。 DLP ポリシーは、Power Platform 管理センター で作成されます。 DLP ポリシーを作成するには、テナント管理者 になるか、または 環境管理者の役割 を持っている必要があります。

前提条件

Copilot Studio コネクタ

Copilot Studio コネクタは、DLP ポリシー内で以下のデータ グループに分類され、DLP ポリシーを確認する際に Power Platform 管理センターで表示されます。

  • 事業
  • 非ビジネス
  • ブロック済み

DLP ポリシーでコネクタを使用して、エージェント 作成者による悪意のあるデータ流出や意図しないデータ流出から組織のデータを保護できます。

重要

既定では、エージェントの DLP 強制はすべてのテナントで無効になっています。 強制の有効化 について解説します。

有効にすると、 Copilot Studio リアルタイムでの DLP 強制をサポートします。 たとえば、ポリシーが適用されると、作成者とユーザーの両方に DLP 強制エラーが表示されます。

異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは 1 つのデータグループに属する必要があります。

複数の Copilot Studio コネクタを Power Platform 管理センターで入手できます。 これらのコネクタは、次のように DLP 用に構成できます。

コネクタ名 プロパティ
Copilot StudioのApplication Insights エージェントの作成者がエージェントと Application Insights が接続する のをブロックします。
Copilot Studio で Microsoft Entra ID 認証なしでチャットする エージェント 作成者が認証用に構成されていないエージェントを公開できないようにします。
エージェントとチャットにあたって、エージェントのユーザーは、自分自身を認証する必要があります
詳細については、「 データ損失防止の例 - エージェントでユーザー認証を要求する」を参照してください。
Copilot Studio の Direct Line チャネル エージェント 作成者によるチャネルの有効化または使用をブロックし Direct Line 。
たとえば、デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他の Direct Line チャネルはブロックされます。
Copilot Studio の Facebook チャネル エージェント 作成者によるチャネルの有効化または使用をブロックし Facebook 。
Copilot Studio の SharePoint と OneDrive を含むナレッジ ソース エージェント 作成者をブロックし、ナレッジ ソースとして構成 SharePoint エージェントを公開しないようにします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。
公開 Web サイトと Copilot Studio のデータを含むナレッジ ソース エージェント 作成者が、ナレッジ ソースとして公開 Web サイトで構成されたエージェントを公開するのをブロックします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。
Copilot Studio のドキュメントでの知識源 エージェント 作成者が、ドキュメントをナレッジ ソースとして構成したエージェントを公開できないようにします。
Copilot Studio の Microsoft Teams チャネル エージェント 作成者による Teams チャネルの有効化または使用をブロックします。
Copilot Studio のオムニチャネル エージェント作成者によるオムニチャネルチャネルの有効化または使用をブロックします。
Copilot Studio のスキル エージェント作成者がエージェント Copilot Studio スキルを使用することをブロックします。
詳細については、データ損失防止の事例 - エージェントでスキル をブロックする および データ損失防止の事例 - エージェントで HTTP リクエストをブロックする を参照してください。
Copilot Studio を使用したイベントのトリガー エージェント作成者がエージェント Copilot Studio イベントトリガーを使用できないようにします。
詳細については、「 データ損失防止の例 - エージェントのイベントトリガーをブロックする」を参照してください。

DLP ポリシー構成の例

Copilot Studio エージェント ガバナンスを開始するために、さまざまなシナリオを詳しく説明する次の例を作成しました:

PowerShell を使用して、組織内のエージェントに対する DLP 強制を有効にし、管理する

DLP ポリシーをエージェントに適用するかどうかは、 PowerAppDlpErrorSettings and PowerVirtualAgentsDlpEnforcement PowerShell コマンドレットで構成できます。

以下のことを行えます。

  • テナント内のエージェントに対して DLP が有効になっているかどうかを確認します。
  • 監査モード (-Mode SoftEnabled) で DLP を有効または無効にして、エージェント 作成者はエラーを確認できますが、DLP 強制が完全に有効になった場合にブロックされるアクションの実行を妨げないようにします。
  • DLP 適用を有効または無効にして、DLP 適用エラーを表示し、エージェントの作成者が DLP の影響を受けるボットを公開したり、DLP 関連の設定を構成したりできないようにします。
  • DLP 強制から特定のエージェントを除外します。
  • Web アプリや Teams アプリで DLP に遭遇したときに エージェント 作成者に表示される詳細情報と連絡先 Copilot Studio メールのリンクを追加および更新します。

重要

PowerShell コマンドレット、またはここに示すサンプル スクリプトを使用する前に、PowerShell を使用して次のモジュールがインストールされていることを確認してください。

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

コマンドレットを使用するには、テナント管理者である必要があります。

通常、これらのコマンドレットは、次の手順で構成される DLP のロールアウト プロセスに従って使用します。

  1. エージェント 作成者の DLP エラーに表示される詳細情報と管理者の連絡先のメール リンクを追加または更新します。

  2. 現在 DLP ポリシーの適用が有効になっているエージェント (存在する場合) を特定します。

  3. 監査または「ソフト」モードを使用することで、作成者は Copilot Studio web と Teams アプリの DLP エラーを確認することができます。

  4. 作成者に連絡し、アプリやフローに関する最適な対応を通知することでリスクを低減します。

  5. エージェントの DLP 強制を有効にして、DLP の影響を受けるタスクや機能を防止します。

また、エージェントのユースケースと要件に応じて、DLP ポリシーの適用から 1 つ以上のエージェントを除外することもできます。

Set-PowerAppDlpErrorSettings PowerShell コマンドレットを使用して、メールと詳細情報リンクを設定することができます。 エージェント 作成者には、DLP エラーが発生した場合にこの情報が表示されます。

DLP 関連のエラーが表示され、エラー テキストがハイライト表示された Copilot Studio ウェブ アプリのスクリーンショット。

電子メールと詳細情報のリンクを初めて追加する場合は、次の PowerShell スクリプトを実行し、<email><URL><tenant ID> パラメータの値を独自のものに置き換えます。

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

既存の設定を更新する場合は、同じ PowerShell スクリプトを使用し、 New-PowerAppDlpErrorSettingsSet-PowerAppDlpErrorSettings に置き換えます。

注意

これらの設定は、指定したテナント内のすべての Power Platform アプリに適用されます。

エージェントの DLP 強制を有効にして構成する

PowerVirtualAgentsDlpEnforcement コマンドレットを使用すると、Copilot Studio 内の DLP 実施の有効化、無効化、設定、監査が可能です。

以下の例のいずれにおいても、<tenant ID> をテナントの ID に置き換えて (または宣言) します。

<date>MM-DD-YYYY 形式に置き換えることで、特定の日付以降に作成されたエージェントにスコープを設定できます。 スコープを削除するには、-OnlyForBotsCreatedAfter パラメータとその値を削除します。

エージェントの DLP 強制を確認する

既定では、エージェントの DLP 強制はすべてのテナントで無効になっています。

以下の PowerShell コマンドレットを実行することで、あるテナントで Copilot Studio 用 DLP が有効になっているかどうかを確認できます。

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Note

Copilot Studio DLP を設定していない場合、コマンドレットからの結果は空白になります。

監査または「ソフト」モードを使用して、Copilot Studio の Web または Teams アプリで DLP エラーを確認する

以下の PowerShell スクリプトを実行し、監査モードで DLP ポリシーを有効にします。 エージェントの作成者は、Copilot Studio Web アプリや Teams アプリでエージェントを構成する際に DLP 関連のエラーが表示されますが、DLP 関連のアクションの実行はブロックされません。 また、作成者は ソフト モードが有効になっている間はエージェントを公開できません。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

組織の既存の DLP ポリシーの影響を受ける可能性のあるエージェントを見つけるには、次の操作を行います。

  1. センター オブ エクセレンス (CoE) スタート キット を使用して、組織内のエージェントの一覧を取得します。 CoE ダッシュボード Copilot Studio [概要] ページに移動して、組織内のエージェントと環境名を確認します。

    CoE スターター キットのダッシュボードを開き、Copilot Studio の概要を表示した画面。

  2. 組織内の エージェント 作成者と共にキャンペーンを実施し、DLP エラーや更新された DLP ポリシーに対処します。 すべての エージェント DLP エラーをダウンロードするには、エラー通知バナーで 詳細 を選択し、エラー メッセージの詳細から ダウンロード を選択します。

エージェントの DLP 強制を有効にする

重要

DLP 強制を有効にする前に、DLP ポリシー違反が原因で エージェント ユーザーにエラーを表示するエージェントを把握していることを確認してください。

問題が発生した場合は、DLP ポリシーから エージェント を除外するか、作成者が DLP ポリシーに準拠するように エージェントを修正する間、DLP 強制を無効にすることができます。

以下の PowerShell コマンドを実行することで、Copilot Studio に DLP ポリシーを適用することができます。 エージェントの作成者は DLP の影響を受けるアクションを実行できなくなり、トリガーされた場合はユーザーにエラーが表示されます。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

DLP ポリシーからボットを除外する

テナントの DLP 強制を有効にしたが、作成者とユーザーに DLP エラーが表示されないように エージェント を除外する必要がある場合は、次の PowerShell スクリプトを実行できます。

<environment ID><bot ID><tenant ID><policy ID> を除外する エージェント の適切な ID に置き換えてください。

チップ

エージェントの URL から <environment ID><bot ID> を見つけることができます。

<policy ID>ダウンロードの詳細 ファイルにエラーの詳細と一緒に記載されています。 Copilot Studio のエラー通知バナーで ダウンロードの詳細 を選択すると、当該のファイルをダウンロードすることができます。

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

エージェントの DLP 強制を無効にする

次のコマンドは、エージェントでの DLP 強制を無効にします。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled