에이전트에 대한 데이터 손실 방지 정책 구성

Copilot Studio를 사용하면 많은 데이터 원본 및 서비스와 연결할 수 있는 사용자를 위한 고부가가치 에이전트를 신속하게 구축하고 롤아웃할 수 있습니다. 이러한 원본 및 서비스 중 일부는 타사 외부 서비스일 수 있으며 조직 데이터에 대한 연결과 함께 소셜 네트워크를 포함할 수도 있습니다.

조직 데이터는 관리자가 보호해야 하는 가장 중요한 자산입니다. 다른 서비스 및 시스템과 연결하고 상호 작용하면서 보호된 방식으로 해당 데이터를 사용할 수 있는 기능은 데이터 보안의 초석입니다.

데이터 손실 방지(DLP) 정책을 사용하면 에이전트가 조직 내부 및 외부에서 데이터 및 서비스에 연결하고 상호 작용하는 방식을 제어할 수 있습니다. 관리자는 Power Platform 관리 센터에서 Copilot Studio 및 Power Platform DLP 정책을 구성할 수 있습니다.

중요

2025년 초에는 모든 테넌트에 대한 DLP 정책 시행이 기본적으로 활성화로 설정되며, 이는 메시지 센터 알림 MC973179: Copilot Studio - 데이터 손실 방지 정책 시행에 대한 향후 업데이트에서 발표되었습니다.

2025년 1월:

• 기본적으로 모든 테넌트의 에이전트에 대한 적용은 소프트 활성화로 설정됩니다(이전에는 적용이 기본적으로 비활성화되었습니다).
  • DLP 적용이 비활성화로 설정된 기존 에이전트는 자동으로 소프트 활성화로 변경됩니다. 새로운 에이전트는 생성 시 기본적으로 DLP 적용이 소프트 활성화로 설정됩니다.
  • 게시된 에이전트에 DLP 정책 위반이 있는 경우 에이전트 사용자는 에이전트와 계속 상호 작용할 수 있지만 에이전트에 대한 업데이트는 게시할 수 없습니다. 에이전트를 게시하기 전에 DLP 정책 위반을 해결해야 합니다.
  • DLP 정책 위반은 관리자에 대해 기록되며 사용자 및 제작자는 DLP 위반 경고를 볼 수 있습니다. 사용자가 에이전트를 사용하는 것이 차단되지 않습니다.
• PowerShell cmdlet을 사용하여 더 이상 적용을 해제할 수 없습니다.

2025년 2월부터:

• 기본적으로 모든 테넌트의 에이전트에 대한 적용은 활성화로 설정됩니다. 게시된 모든 에이전트와 기존 에이전트에 대한 업데이트는 테넌트에 정의된 대로 적용되는 DLP 정책의 적용을 받습니다.
• PowerShell cmdlet은 더 이상 적용을 켜거나 끄는 데 사용할 수 없으며 2025년 2월 이후에는 지원되지 않습니다.

테넌트에서 적용을 확인하는 방법에 대해 알아봅니다.

사전 요구 사항

• DLP 정책에 대한 개념을 검토해야 합니다
• 테넌트 관리자 또는 환경 관리자 역할을 갖고 있어야 합니다

Copilot Studio 커넥터

Copilot Studio 커넥터는 DLP 정책을 검토할 때 Power Platform 관리 센터에 표시되는 다음 데이터 그룹의 DLP 정책 내에서 분류할 수 있습니다.

• 비즈니스
• 비업무
• 차단됨

DLP 정책의 커넥터를 사용하여 에이전트 제작자의 악의적이거나 의도하지 않은 데이터 반출로부터 조직의 데이터를 보호할 수 있습니다.

중요

Copilot Studio는 실시간으로 DLP 정책 시행을 지원합니다. 에이전트 제작자 및 사용자에게 DLP 정책 위반에 대한 오류 메시지가 표시됩니다.

DLP 정책에서는 서로 다른 그룹에 있는 커넥터 간에 데이터를 공유할 수 없으므로 커넥터가 동일한 데이터 그룹에 있어야 합니다.

Power Platform 관리 센터에서 DLP 정책을 구성하여 다음 Copilot Studio 커넥터를 차단할 수 있습니다.

커넥터 이름	사용 사례
Copilot Studio의 Application Insights	Application Insights를 통해 에이전트를 연결하는 에이전트 제작자를 차단합니다.
Copilot Studio에서 Microsoft Entra ID 인증이 없는 채팅	에이전트 제작자가 인증을 위해 구성되지 않은 에이전트를 게시하지 못하도록 차단합니다. 에이전트와 채팅하려면 에이전트 사용자는 자신을 인증해야 합니다. 자세한 내용은 데이터 손실 방지 예제 - 에이전트 에서 사용자 인증 필요를 참조하세요.
Copilot Studio의 Direct Line 채널	에이전트 제작자가 Direct Line 채널을 활성화하거나 사용하지 못하도록 차단합니다. 예를 들어 데모 웹 사이트, 사용자 지정 웹 사이트, 모바일 앱 및 기타 Direct Line 채널이 차단됩니다.
Copilot Studio의 Facebook 채널	에이전트 제작자가 채널을 활성화하거나 사용하지 못하도록 차단합니다 Facebook .
Copilot Studio에 있는 SharePoint 및 OneDrive 참조 자료 원본	에이전트 제작자가 지식 소스로 SharePoint 구성된 에이전트를 게시하지 못하도록 차단합니다. 엔드포인트를 허용하거나 거부하는 DLP 커넥터 엔드포인트 필터링을 지원합니다.
Copilot Studio의 문서를 사용한 참조 자료 원본	에이전트 작성자가 문서를 참조 자료 원본으로 사용하여 구성된 에이전트를 게시하지 못하도록 차단합니다.
Copilot Studio의 공개 웹 사이트 및 데이터가 있는 참조 자료 원본	에이전트 제작자가 공개 웹 사이트를 지식 소스로 사용하여 구성된 에이전트를 게시하지 못하도록 차단합니다. 엔드포인트를 허용하거나 거부하는 DLP 커넥터 엔드포인트 필터링을 지원합니다.
Microsoft Copilot Studio	에이전트 제작자가 Copilot Studio 에이전트에서 이벤트 트리거를 사용하지 못하도록 차단합니다. 자세한 내용은 데이터 손실 방지 예제 - 에이전트의 이벤트 트리거 차단을 참조하세요.
Copilot Studio의 Microsoft Teams 채널	에이전트 제작자가 Teams 채널을 사용하도록 설정하거나 사용하지 못하도록 차단합니다.
Copilot Studio의 옴니채널	에이전트 제작자가 옴니채널 채널을 활성화하거나 사용하지 못하도록 차단합니다.
Copilot Studio와 기술	에이전트 제작자가 Copilot Studio 에이전트의 기술을 사용하지 못하도록 차단합니다. 자세한 내용은 데이터 손실 방지 예 - 에이전트에서 기술 차단 및 데이터 손실 방지 예 - 에이전트에서 HTTP 요청 차단을 참조하세요.

DLP 정책 구성의 예

Copilot Studio 에이전트 거버넌스를 시작하려면 다음 예시 시나리오를 검토하세요.

• 데이터 손실 방지 예제 - 에이전트에서 사용자 인증 요구
• 데이터 손실 방지 예제 - 에이전트에서 지식 소스 차단 SharePoint
• 데이터 손실 방지 예제 - 에이전트에서 커넥터 차단 Power Platform
• 데이터 손실 방지 예제 - 에이전트에서 HTTP 요청 차단
• 데이터 손실 방지 예제 - 에이전트의 기술 차단
• 데이터 손실 방지 예 - 에이전트에서 이벤트 트리거 차단
• 데이터 손실 방지 예제 - 에이전트 게시를 비활성화하는 채널 차단

PowerShell를 사용하여 조직의 에이전트에 대한 DLP 적용을 사용하도록 설정하고 관리합니다

PowerAppDlpErrorSettings 및 PowerVirtualAgentsDlpEnforcement PowerShell cmdlet을 사용하여 에이전트에 DLP 정책을 적용할지 여부를 구성할 수 있습니다.

다음이 가능합니다.

• 테넌트의 에이전트에 대해 DLP 정책이 적용되는지 확인합니다.
• 에이전트 제작자가 오류를 볼 수 있지만 DLP 정책 시행이 차단하는 작업을 수행할 수 없도록 DLP 정책 시행을 감사 모드(-Mode SoftEnabled)로 전환합니다.
• DLP 시행을 사용 또는 사용 중지하여 DLP 시행 오류를 표시하고, 에이전트 제작자가 DLP 영향을 받는 에이전트를 게시하거나 DLP 관련 설정을 구성하지 못하도록 합니다.
• Copilot Studio가 DLP 정책 위반을 트리거할 때 에이전트 제작자에게 표시되는 자세한 정보 및 연락처 이메일 링크를 추가하고 업데이트합니다.

중요

PowerShell cmdlet이나 여기에 표시된 예제 스크립트를 사용하기 전에 PowerShell을 사용하여 다음 모듈을 설치해야 합니다.

• Microsoft.PowerApps.Administration.PowerShell
• Microsoft.PowerApps.PowerShell -AllowClobber

cmdlet을 사용하려면 테넌트 관리자여야 합니다.

일반적으로 다음 단계로 구성될 수 있는 DLP 롤아웃 프로세스에 따라 이러한 cmdlet을 순서대로 사용합니다.

1. 에이전트 제작자에 대한 DLP 오류에 표시되는 자세히 알아보기 및 관리자 연락처 이메일 링크를 추가하거나 업데이트합니다.

2. 현재 DLP 정책 적용을 사용하도록 설정한 에이전트(있는 경우)를 확인합니다.

3. 제작자가 Copilot Studio 웹 및 Teams 앱에서 DLP 오류를 볼 수 있도록 감사 모드를 사용합니다.

4. 제작자에게 연락하고 앱 또는 흐름에 가장 적합한 조치를 알려줌으로써 위험을 완화하세요.

5. 에이전트에 대해 엄격한 DLP 정책 적용을 켭니다.

중요

에이전트 DLP 정책 시행 면제는 더 이상 지원되지 않습니다. 이전에 DLP 시행에서 면제되었던 에이전트의 시행은 2025년 1월에 소프트 활성화로 설정되고, 2025년 2월에는 활성화로 설정됩니다.

자세히 알아보기 및 관리자 연락처 이메일 링크 추가 및 업데이트

Set-PowerAppDlpErrorSettings PowerShell cmdlet를 사용하여 DLP 오류 메시지에 전자 메일 주소 및 "자세한 정보" 링크를 추가할 수 있습니다.

처음으로 이메일 주소와 자세히 알아보기 링크를 추가하려면 다음 PowerShell 스크립트를 실행하고 <email>, <URL>, <tenant ID> 매개 변수의 값을 사용자 고유의 값으로 바꿉니다.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

기존 구성을 업데이트하려면 동일한 PowerShell 스크립트를 사용하고 New-PowerAppDlpErrorSettings를 Set-PowerAppDlpErrorSettings로 바꿉니다.

경고

이러한 설정은 지정된 테넌트 내의 모든 Power Platform 앱에 적용됩니다.

에이전트에 대한 DLP 시행 구성

PowerVirtualAgentsDlpEnforcement cmdlet을 사용하여 Copilot Studio 내에서 DLP 적용을 활성화, 비활성화, 구성 및 감사할 수 있습니다.

다음 예에서 <tenant ID>를 테넌트 ID로 바꾸거나 선언합니다.

형식의 <date> 날짜로 대체 MM-DD-YYYY하여 특정 날짜 이후에 만들어진 에이전트로 범위를 지정할 수 있습니다. 범위를 제거하려면 -OnlyForBotsCreatedAfter 매개 변수와 해당 값을 삭제하세요.

에이전트에 대한 DLP 정책 시행 확인

기본적으로 에이전트에 대한 DLP 정책 적용은 감사 또는 "소프트" 모드로 설정됩니다.

다음 PowerShell cmdlet을 실행하여 테넌트에 대한 DLP 정책 적용 상태를 확인합니다.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

참고

Copilot Studio에 대해 DLP가 구성되지 않은 경우 cmdlet의 응답은 비어 있습니다.

감사 모드를 사용하여 Copilot Studio에서 DLP 오류 확인

다음 PowerShell 스크립트를 실행하여 감사 또는 "소프트" 모드에서 DLP 정책을 사용하도록 설정합니다. 이 모드가 활성화되면 에이전트 제작자는 Copilot Studio에서 에이전트를 구성할 때 DLP 관련 오류 메시지를 볼 수 있지만 DLP 관련 작업을 수행하는 것을 차단하지는 않습니다. 그러나 제작자는 이 모드가 활성화되어 있는 동안 에이전트를 게시할 수 없습니다.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

조직의 DLP 정책이 영향을 줄 수 있는 에이전트를 찾으려면 다음을 수행할 수 있습니다.

• Center of Excellence(CoE) 시작 키트의 Power BI 대시보드를 사용하여 조직의 에이전트 목록을 가져옵니다. Copilot Studio CoE 대시보드의 개요 페이지로 이동하여 조직의 에이전트 및 환경 이름을 확인합니다.

• 조직의 에이전트 제작자와 함께 캠페인을 실행하여 DLP 오류 또는 업데이트된 DLP 정책을 해결하세요. 오류 알림 배너에서 세부 정보를 선택하고 오류 메시지 세부 정보에서 다운로드 를 선택하여 모든 에이전트 DLP 오류를 다운로드할 수 있습니다.

에이전트에 대한 DLP 적용 켜기

경고

DLP 정책 시행을 켜기 전에 DLP 정책 위반으로 인해 사용자에게 오류를 보고할 가능성이 있는 에이전트를 알고 있어야 합니다.

다음 PowerShell 명령을 실행하여 Copilot Studio에서 DLP 정책을 시행할 수 있습니다. 에이전트 제작자는 DLP 정책을 위반하는 작업을 수행할 수 없으며 사용자는 위반에 대한 오류 메시지를 볼 수 있습니다.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>