에이전트에 대한 데이터 손실 방지 정책 구성

조직 데이터는 관리자가 보호해야 하는 가장 중요한 자산입니다. 해당 데이터를 사용하는 자동화를 구축하는 능력은 회사 성공의 큰 부분입니다.

사용자를 위해 가치가 높은 에이전트를 신속하게 구축하고 롤아웃할 수 있습니다. 에이전트를 다양한 데이터 원본 및 서비스와 연결할 수 있습니다. 이러한 원본 및 서비스 중 일부는 Microsoft 이외의 외부 서비스일 수 있으며 소셜 네트워크를 포함할 수도 있습니다.

노출 가능성을 간과하기 쉽습니다. 이러한 종류의 노출은 데이터 유출 또는 데이터에 액세스해서는 안 되는 서비스 및 대상에 대한 연결로 인해 발생할 수 있습니다.

관리자는 기존 및 Copilot Studio 커넥터와 함께 DLP(데이터 손실 방지) 정책을 사용하여 조직의 에이전트를 관리할 수 있습니다. DLP 정책은 Power Platform 관리 센터에서 생성됩니다. DLP 정책을 만들려면 테넌트 관리자이거나 환경 관리자 역할을 가지고 있어야 합니다.

전제 조건

• DLP 정책에 대한 개념 검토

Copilot Studio 커넥터

Copilot Studio 커넥터는 DLP 정책을 검토할 때 Power Platform 관리 센터에 표시되는 다음 데이터 그룹의 DLP 정책 내에서 분류할 수 있습니다.

• 비즈니스
• 비업무
• 차단됨

DLP 정책의 커넥터를 사용하여 에이전트 제작자의 악의적이거나 의도하지 않은 데이터 반출로부터 조직의 데이터를 보호할 수 있습니다.

중요

기본적으로 에이전트에 대한 DLP 적용은 모든 테넌트에서 사용하지 않도록 설정됩니다. 시행 활성화에 대해 알아보세요.

활성화되면 Copilot Studio 실시간으로 DLP 적용을 지원합니다. 예를 들어 정책이 적용될 때 제작자와 사용자 모두 DLP 시행 오류를 보게 됩니다.

다른 그룹에 있는 커넥터 간에 데이터를 공유할 수 없으므로 커넥터는 단일 데이터 그룹에 있어야 합니다.

Power Platform 관리 센터에서 여러 Copilot Studio 커넥터를 사용할 수 있습니다. 이러한 커넥터는 다음과 같이 DLP에 대해 구성될 수 있습니다.

커넥터 이름	Description
Copilot Studio의 Application Insights	Application Insights를 사용하여 에이전트를 연결하는 에이전트 제작자를 차단합니다.
Copilot Studio에서 Microsoft Entra ID 인증이 없는 채팅	에이전트 제작자가 인증을 위해 구성되지 않은 에이전트를 게시하지 못하도록 차단합니다. 에이전트와 채팅하려면 에이전트 사용자는 자신을 인증해야 합니다. 자세한 내용은 데이터 손실 방지 예제 - 에이전트 에서 사용자 인증 필요를 참조하세요.
Copilot Studio의 Direct Line 채널	에이전트 제작자가 Direct Line 채널을 활성화하거나 사용하지 못하도록 차단합니다. 예를 들어 데모 웹 사이트, 사용자 지정 웹 사이트, 모바일 앱 및 기타 Direct Line 채널이 차단됩니다.
Copilot Studio의 Facebook 채널	에이전트 제작자가 채널을 활성화하거나 사용하지 못하도록 차단합니다 Facebook .
Copilot Studio에 있는 SharePoint 및 OneDrive 참조 자료 원본	에이전트 제작자가 지식 소스로 SharePoint 구성된 에이전트를 게시하지 못하도록 차단합니다. 엔드포인트를 허용하거나 거부하는 DLP 커넥터 엔드포인트 필터링을 지원합니다.
Copilot Studio의 공개 웹 사이트 및 데이터가 있는 참조 자료 원본	에이전트 제작자가 공개 웹 사이트를 지식 소스로 사용하여 구성된 에이전트를 게시하지 못하도록 차단합니다. 엔드포인트를 허용하거나 거부하는 DLP 커넥터 엔드포인트 필터링을 지원합니다.
Copilot Studio의 문서를 사용한 참조 자료 원본	에이전트 작성자가 문서를 참조 자료 원본으로 사용하여 구성된 에이전트를 게시하지 못하도록 차단합니다.
Copilot Studio의 Microsoft Teams 채널	에이전트 제작자가 Teams 채널을 사용하도록 설정하거나 사용하지 못하도록 차단합니다.
Copilot Studio의 옴니채널	에이전트 제작자가 옴니채널 채널을 활성화하거나 사용하지 못하도록 차단합니다.
Copilot Studio와 기술	에이전트 제작자가 Copilot Studio 에이전트의 기술을 사용하지 못하도록 차단합니다. 자세한 내용은 데이터 손실 방지 예 - 에이전트에서 기술 차단 및 데이터 손실 방지 예 - 에이전트에서 HTTP 요청 차단을 참조하세요.
Copilot Studio을 사용한 이벤트 트리거	에이전트 제작자가 Copilot Studio 에이전트에서 이벤트 트리거를 사용하지 못하도록 차단합니다. 자세한 내용은 데이터 손실 방지 예제 - 에이전트의 이벤트 트리거 차단을 참조하세요.

DLP 정책 구성의 예

Copilot Studio 에이전트 거버넌스를 시작하는 데 도움이 되도록 다양한 시나리오를 자세히 설명하는 다음 예제를 만들었습니다.

• 데이터 손실 방지 예제 - 에이전트에서 사용자 인증 요구
• 데이터 손실 방지 예제 - 에이전트에서 지식 소스 차단 SharePoint
• 데이터 손실 방지 예제 - 에이전트에서 커넥터 차단 Power Platform
• 데이터 손실 방지 예제 - 에이전트에서 HTTP 요청 차단
• 데이터 손실 방지 예제 - 에이전트의 기술 차단
• 데이터 손실 방지 예 - 에이전트에서 이벤트 트리거 차단
• 데이터 손실 방지 예제 - 에이전트 게시를 비활성화하는 채널 차단

PowerShell를 사용하여 조직의 에이전트에 대한 DLP 적용을 사용하도록 설정하고 관리합니다

PowerAppDlpErrorSettings 및 PowerVirtualAgentsDlpEnforcement PowerShell cmdlet을 사용하여 에이전트에 DLP 정책을 적용할지 여부를 구성할 수 있습니다.

다음이 가능합니다.

• 테넌트의 에이전트에 대해 DLP가 사용하도록 설정되어 있는지 확인합니다.
• 감사 모드(-Mode SoftEnabled)에서 DLP를 사용하거나 사용하지 않도록 설정하여 에이전트 작성자가 오류를 볼 수 있지만 DLP 적용이 완전히 사용하도록 설정된 경우 차단되는 작업을 수행할 수 없습니다.
• DLP 시행을 활성화 또는 비활성화하여 DLP 시행 오류를 표시하고 에이전트 제작자가 DLP 영향을 받는 봇을 게시하거나 DLP 관련 설정을 구성하지 못하도록 합니다.
• 특정 에이전트를 DLP 적용에서 제외합니다.
• 웹 및 Teams 앱에서 DLP를 Copilot Studio 발견할 때 에이전트 제작자에게 표시되는 자세한 정보 및 연락처 이메일 링크를 추가하고 업데이트합니다.

중요

PowerShell cmdlet이나 여기에 표시된 예제 스크립트를 사용하기 전에 PowerShell을 사용하여 다음 모듈을 설치해야 합니다.

• Microsoft.PowerApps.Administration.PowerShell
• Microsoft.PowerApps.PowerShell -AllowClobber

cmdlet을 사용하려면 테넌트 관리자여야 합니다.

일반적으로 다음 단계로 구성될 수 있는 DLP 롤아웃 프로세스에 따라 이러한 cmdlet을 순서대로 사용합니다.

1. 에이전트 제작자에 대한 DLP 오류에 표시되는 자세히 알아보기 및 관리자 연락처 이메일 링크를 추가하거나 업데이트합니다.

2. 현재 DLP 정책 적용을 사용하도록 설정한 에이전트(있는 경우)를 확인합니다.

3. 제작자가 Copilot Studio 웹 및 Teams 앱에서 DLP 오류를 볼 수 있도록 감사 또는 "소프트" 모드를 사용합니다.

4. 제작자에게 연락하고 앱 또는 흐름에 가장 적합한 조치를 알려줌으로써 위험을 완화하세요.

5. 에이전트에 대한 DLP 적용을 활성화하여 DLP의 영향을 받는 작업 및 기능을 방지합니다.

에이전트의 사용 사례 및 요구 사항에 따라 하나 이상의 에이전트를 DLP 정책 시행에서 제외하도록 결정할 수도 있습니다.

자세히 알아보기 및 관리자 연락처 이메일 링크 추가 및 업데이트

Set-PowerAppDlpErrorSettings PowerShell cmdlet을 사용하여 이메일 및 자세히 알아보기 링크를 구성할 수 있습니다. 에이전트 제작자는 DLP 오류가 발생할 때 이 정보를 볼 수 있습니다.

이메일 및 자세히 알아보기 링크를 처음 추가하려면 다음 PowerShell 스크립트를 실행하여 <email>, <URL> 및 <tenant ID> 매개 변수의 값을 자신의 값으로 바꿉니다.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

기존 구성을 업데이트하려면 동일한 PowerShell 스크립트를 사용하고 New-PowerAppDlpErrorSettings를 Set-PowerAppDlpErrorSettings로 바꿉니다.

주의

이러한 설정은 지정된 테넌트 내의 모든 Power Platform 앱에 적용됩니다.

에이전트에 대한 DLP 적용 사용 및 구성

PowerVirtualAgentsDlpEnforcement cmdlet을 사용하여 Copilot Studio 내에서 DLP 적용을 활성화, 비활성화, 구성 및 감사할 수 있습니다.

다음 예에서 <tenant ID>를 테넌트 ID로 바꾸거나 선언합니다.

형식의 <date> 날짜로 대체 MM-DD-YYYY하여 특정 날짜 이후에 만들어진 에이전트로 범위를 지정할 수 있습니다. 범위를 제거하려면 -OnlyForBotsCreatedAfter 매개 변수와 해당 값을 삭제하세요.

에이전트에 대한 DLP 적용 확인

기본적으로 에이전트에 대한 DLP 적용은 모든 테넌트에서 사용하지 않도록 설정됩니다.

다음 PowerShell cmdlet을 실행하여 Copilot Studio용 DLP가 테넌트에 대해 활성화되어 있는지 확인할 수 있습니다.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

노트

Copilot Studio DLP를 구성하지 않은 경우 cmdlet의 결과는 비어 있습니다.

감사 또는 "소프트" 모드를 사용하여 Copilot Studio 웹 또는 Teams 앱에서 DLP 오류 확인

다음 PowerShell 스크립트를 실행하여 감사 모드에서 DLP 정책을 활성화합니다. 에이전트 제작자는 웹 및 Teams 앱에서 에이전트를 Copilot Studio 구성할 때 DLP 관련 오류를 볼 수 있지만 DLP 관련 작업을 수행하는 것은 차단되지 않습니다. 또한 제작자는 소프트 모드가 활성화되어 있는 동안 에이전트를 게시할 수 없습니다.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

조직의 기존 DLP 정책의 영향을 받을 수 있는 에이전트를 찾으려면 다음을 수행할 수 있습니다.

1. CoE(Center of Excellence) 시작 키트 를 사용하여 조직의 에이전트 목록을 가져옵니다. Copilot Studio CoE 대시보드의 개요 페이지로 이동하여 조직의 에이전트 및 환경 이름을 확인합니다.

   

2. 조직의 에이전트 제작자와 함께 캠페인을 실행하여 DLP 오류 또는 업데이트된 DLP 정책을 해결하세요. 오류 알림 배너에서 세부 정보를 선택하고 오류 메시지 세부 정보에서 다운로드 를 선택하여 모든 에이전트 DLP 오류를 다운로드할 수 있습니다.

에이전트에 대한 DLP 적용 사용 설정

중요

DLP 시행을 사용 설정하기 전에 DLP 정책 위반으로 인해 에이전트 사용자에게 오류를 표시할 에이전트를 알고 있어야 합니다.

문제가 발생하면 제작자가 DLP 정책을 준수하도록 에이전트를 수정하는 동안 DLP 정책에서 에이전트를 제외하거나 DLP 적용을 사용하지 않도록 설정할 수 있습니다.

다음 PowerShell 명령을 실행하여 Copilot Studio에서 DLP 정책을 시행할 수 있습니다. 에이전트 제작자는 DLP의 영향을 받는 작업을 수행할 수 없으며 트리거되면 사용자에게 오류가 표시됩니다.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

DLP 정책에서 봇 제외

테넌트에 대해 DLP 적용을 사용하도록 설정했지만 제작자 및 사용자에게 DLP 오류를 표시하지 않도록 에이전트를 제외해야 하는 경우 다음 PowerShell 스크립트를 실행할 수 있습니다.

<environment ID>, <bot ID>, <tenant ID>, <policy ID>를 면제하려는 에이전트의 적절한 ID로 바꿔야 합니다.

팁

에이전트의 URL에서 <environment ID>와 <bot ID>를 확인할 수 있습니다.

<policy ID>는 다운로드 세부 정보 파일의 오류 세부 정보와 함께 나열됩니다. Copilot Studio의 오류 알림 배너에서 세부 정보 다운로드를 선택하여 해당 파일을 다운로드할 수 있습니다.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

에이전트에 대한 DLP 적용 사용 중지

다음 명령은 에이전트에서 DLP 적용을 사용하지 않도록 설정합니다.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled