Beleidsregels voor preventie van gegevensverlies configureren voor agenten
Organisatiegegevens vormen de belangrijkste activa die beheerders moeten beschermen. Het succes van hun bedrijf wordt voor een groot deel bepaald door hun vermogen om zelf automatisering op te zetten om gebruik te kunnen maken van die gegevens.
U kunt snel waardevolle agenten bouwen en uitrollen voor uw gebruikers. U kunt uw agenten verbinden met vele gegevensbronnen en services. Sommige van deze bronnen en services zijn mogelijk externe niet-Microsoft-services en kunnen zelfs sociale netwerken omvatten.
Het is gemakkelijk om mogelijke blootstelling over het hoofd te zien. Dit soort blootstelling kan het gevolg zijn van gegevenslekken of verbindingen met services en doelgroepen die geen toegang tot de gegevens zouden moeten hebben.
Beheerders kunnen agenten in uw organisatie beheren met behulp van DLP-beleid (Data Loss Prevention) met bestaande connectoren en Copilot Studio-connectoren. DLP-beleid wordt gemaakt in het Power Platform-beheercentrum. Om een DLP-beleid te maken, moet u een tenantbeheerder zijn of de rol van Omgevingsbeheerder hebben.
Vereisten
- Concepten bekijken met betrekking tot DLP-beleid
Copilot Studio-connectors
Copilot Studio-connectors kunnen worden geclassificeerd binnen een DLP-beleid onder de volgende gegevensgroepen, die worden weergegeven in het Power Platform-beheercentrum bij het bekijken van DLP-beleid:
- Onderneming
- Niet-zakelijk
- Geblokkeerd
U kunt de connectoren in DLP-beleid gebruiken om de gegevens van uw organisatie te beschermen tegen kwaadaardige of onbedoelde gegevensexfiltratie door uw makers van agenten.
Belangrijk
Standaard is DLP-handhaving voor agenten uitgeschakeld in alle tenants. Meer informatie over het inschakelen van handhaving.
Copilot Studio ondersteunt DLP-handhaving in realtime. Agent makers en gebruikers zien toepasselijke DLP-handhavingsfoutmeldingen zodra een DLP-beleid actief wordt.
In een DLP-beleid moeten de connectoren zich in dezelfde gegevensgroep bevinden, omdat gegevens niet kunnen worden gedeeld tussen connectoren die zich in verschillende groepen bevinden.
U kunt DLP-beleid configureren in het Power Platform-beheercentrum om de volgende Copilot Studio connectoren te blokkeren.
| Naam van connector | Gebruiksscenario |
|---|---|
| Application Insights in Copilot Studio | Voorkom dat makers van agenten agenten kunnen verbinden met Application Insights. |
| Chatten zonder Microsoft Entra ID-verificatie in Copilot Studio | Blokkeer makers van agenten voor het publiceren van agenten die niet voor verificatie zijn geconfigureerd. Gebruikers van agenten moeten zichzelf verifiëren om met de agent te kunnen chatten. Zie Voorbeeld van preventie van gegevensverlies: gebruikersverificatie vereisen in agenten voor meer informatie. |
| Direct Line-kanalen in Copilot Studio | Voorkom dat makers van agenten het Direct Line-kanaal kunnen inschakelen of gebruiken. In dat geval worden bijvoorbeeld de demowebsite, aangepaste website, mobiele app en andere Direct Line-kanalen geblokkeerd. |
| Facebook-kanaal-in Copilot Studio | Voorkom dat makers van agenten het Facebook-kanaal kunnen inschakelen of gebruiken. |
| Kennisbron met SharePoint en OneDrive in Copilot Studio | Blokkeer het publiceren door agentmakers van agenten die zijn geconfigureerd met SharePoint als kennisbron. Ondersteunt eindpuntfilters voor DLP-connectors om eindpunten toe te staan of te weigeren. |
| Kennisbron met documenten in Copilot Studio | Blokkeer het publiceren door agentmakers van agenten die zijn geconfigureerd met docmenten als kennisbron. |
| Kennisbron met openbare websites en gegevens in Copilot Studio | Voorkom dat agentmakers agenten publiceren die zijn geconfigureerd met openbare websites als kennisbron. Ondersteunt eindpuntfilters voor DLP-connectors om eindpunten toe te staan of te weigeren. |
| Microsoft Copilot Studio | Voorkom dat makers van agenten gebeurtenistriggers kunnen gebruiken in Copilot Studio-agenten. Zie Voorbeeld van preventie van gegevensverlies: gebeurtenistriggers in agenten blokkeren voor meer informatie. |
| Microsoft Teams-kanaal-in Copilot Studio | Voorkom agentmakers van het inschakelen of gebruiken van het Teams-kanaal. |
| Omnichannel in Copilot Studio | Voorkom dat makers van agenten het Omnichannel-kanaal kunnen inschakelen of gebruiken. |
| Vaardigheden met Copilot Studio | Voorkom dat makers van agenten vaardigheden kunnen gebruiken in Copilot Studio-agenten. Zie Voorbeeld van preventie van gegevensverlies: vaardigheden blokkeren in agenten en Voorbeeld van preventie van gegevensverlies: HTTP-aanvragen in agenten blokkeren voor meer informatie. |
Voorbeeld van DLP-beleidsconfiguraties
Bekijk de volgende voorbeeldscenario's om aan de slag te gaan met governance voor Copilot Studio-agenten:
- Voorbeeld van preventie van gegevensverlies - gebruikersauthenticatie vereisen in agenten
- Voorbeeld van preventie van gegevensverlies: SharePoint-kennisbron blokkeren in agenten
- Voorbeeld van preventie van gegevensverlies: Power Platform-connectoren blokkeren in agenten
- Voorbeeld van preventie van gegevensverlies: HTTP-aanvragen blokkeren in agenten
- Voorbeeld van preventie van gegevensverlies: blokkeer vaardigheden in agenten
- Voorbeeld van preventie van gegevensverlies - Blokkeer gebeurtenistriggers in agenten
- Voorbeeld van preventie van gegevensverlies: kanalen blokkeren om publiceren van agenten uit te schakelen
Gebruik PowerShell om DLP-handhaving voor agenten in uw organisatie in te schakelen en te beheren
U kunt configureren of DLP-beleid moet worden toegepast op uw agenten met de PowerShell-cmdlets PowerAppDlpErrorSettings en PowerVirtualAgentsDlpEnforcement.
U kunt:
- Controleer of DLP is ingeschakeld voor agenten in uw tenant.
- Schakel DLP in of uit in een controlemodus (
-Mode SoftEnabled), zodat makers van agenten fouten kunnen zien, maar niet worden belemmerd in het uitvoeren van acties die geblokkeerd zouden worden als DLP-afdwinging volledig zou zijn ingeschakeld. - Schakel DLP-handhaving in of uit om DLP-handhavingsfouten weer te geven en te voorkomen dat agentmakers bots publiceren die door DLP zijn beïnvloed of DLP-gerelateerde instellingen configureren.
- Stel specifieke agenten vrij van DLP-handhaving.
- Voeg de links voor meer informatie en e-mailadressen voor contact toe en werk deze bij. Deze links worden weergegeven aan agentmakers wanneer ze DLP tegenkomen in de Copilot Studio web- en Teams-apps.
Belangrijk
Voordat u de PowerShell-cmdlets of de hier weergegeven voorbeeldscripts gebruikt, moet u ervoor zorgen dat u de volgende modules met PowerShell installeert.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
U moet een tenantbeheerder zijn om de cmdlets te kunnen gebruiken.
Doorgaans gebruikt u deze cmdlets in overeenstemming met een DLP-implementatieproces, dat in volgorde uit de volgende stappen kan bestaan:
Voeg de koppelingen voor meer informatie en contactgegevens van de beheerder toe of werk deze bij. Deze koppelingen worden weergegeven in DLP-fouten voor makers van agenten.
Bepaal voor welke (indien van toepassing) agenten momenteel DLP-beleidshandhaving is ingeschakeld.
Gebruik de controle- of "zachte" modus zodat makers DLP-fouten kunnen zien in de Copilot Studio web- en Teams-apps.
Beperk risico's door contact op te nemen met makers en hen te informeren over de beste manier van handelen voor hun app of stroom.
Schakel DLP-handhaving in voor agenten om door DLP-beïnvloede taken en functies te voorkomen.
U kunt er ook voor kiezen om een of meer agenten vrij te stellen van DLP-beleidshandhaving, afhankelijk van het gebruiksscenario en de vereisten van de agent.
De e-mailkoppelingen voor meer informatie en contact met beheerders toevoegen en bijwerken
U kunt de Powershell-cmdlet Set-PowerAppDlpErrorSettings gebruiken om een e-mailadres en een Meer informatie-koppeling toe te voegen aan de DLP-foutberichten.
Als u voor het eerst het e-mailadres en de Meer informatie-koppeling wilt toevoegen, voert u het volgende PowerShell-script uit, waarbij u de waarden voor de parameters <email>, <URL> en <tenant ID> vervangt door uw eigen waarden.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
U kunt een bestaande configuratie bijwerken door hetzelfde PowerShell-script te gebruiken en New-PowerAppDlpErrorSettings te vervangen door Set-PowerAppDlpErrorSettings.
Let op
Deze instellingen gelden voor alle Power Platform-apps binnen de opgegeven tenant.
DLP-handhaving voor agenten inschakelen en configureren
U kunt DLP-handhaving inschakelen, uitschakelen, configureren en controleren binnen Copilot Studio met de cmdlet PowerVirtualAgentsDlpEnforcement.
Vervang (of declareer) in elk van de volgende voorbeelden <tenant ID> door de id van uw tenant.
U kunt de scope instellen op agenten die na een bepaalde datum zijn gemaakt door <date> te vervangen door een datum in de notatie MM-DD-YYYY. U kunt het bereik verwijderen door de parameter -OnlyForBotsCreatedAfter en de bijbehorende waarde te verwijderen.
DLP-handhaving voor agenten bevestigen
Standaard is DLP-handhaving voor agenten uitgeschakeld in alle tenants.
U kunt de volgende PowerShell-cmdlet uitvoeren om te controleren of DLP voor Copilot Studio is ingeschakeld voor een tenant.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Opmerking
Als DLP niet is geconfigureerd voor Copilot Studio, is de respons vanuit de cmdlet leeg.
De controlemodus gebruiken om DLP-fouten te zien in Copilot Studio
Voer het volgende script PowerShell uit om DLP-beleid in te schakelen in de audit- of 'zachte' modus. Wanneer deze modus actief is, kunnen makers van agenten aan DLP gerelateerde foutmeldingen zien bij het configureren van agenten in Copilot Studio. Het voorkomt echter niet dat ze aan DLP gerelateerde acties kunnen uitvoeren. Makers kunnen echter geen agenten publiceren zolang deze modus actief is.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Om agenten te vinden die mogelijk worden beïnvloed door het DLP-beleid van uw organisatie, kunt u het volgende doen:
Gebruik het Power BI-dashboard of de Center of Excellence (CoE) Starter Kit om een lijst te krijgen van de agenten in uw organisatie. Ga naar de Copilot Studio-overzichtspagina op het CoE-dashboard om de agenten en omgevingsnamen in uw organisatie te bekijken.
Voer een campagne uit onder de makers van agenten in uw organisatie om DLP-fouten of bijgewerkte DLP-beleidsregels aan te pakken. U kunt alle DLP-fouten voor agenten downloaden door Details te selecteren in de banner met foutmeldingen en Downloaden te selecteren in de details van het foutbericht.
DLP-handhaving voor agenten inschakelen
Belangrijk
Voordat u DLP-handhaving inschakelt, moet u weten welke agenten naar verwachting fouten aan gebruikers zullen melden vanwege schendingen van het DLP-beleid.
Als u problemen ondervindt, kunt u een agent vrijstellen van DLP-beleid of DLP-handhaving uitschakelen terwijl uw makers de agent zo aanpassen dat deze voldoet aan DLP-beleid.
U kunt de volgende PowerShell-opdracht uitvoeren om DLP-beleid af te dwingen in Copilot Studio. Agentmakers kunnen geen acties kunnen uitvoeren die door DLP worden beïnvloed en gebruikers krijgen fouten te zien als deze worden geactiveerd.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Een bot vrijstellen van DLP-beleid
Als u DLP-afdwinging voor uw tenant hebt ingeschakeld, maar u wilt een agent vrijstellen van het weergeven van DLP-fouten aan makers en gebruikers, kunt u het volgende PowerShell-script uitvoeren.
Zorg ervoor dat u <environment ID>, <bot ID>, <tenant ID> en <policy ID> vervangt door de juiste id's voor de agent die u wilt vrijstellen.
Tip
U kunt de <environment ID> en <bot ID> vinden via de URL van de agent.
De <policy ID> wordt vermeld naast de foutdetails in het bestand Gegevens downloaden. U kunt dat bestand downloaden door Gegevens downloaden te selecteren op de banner voor foutmeldingen in Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
DLP-handhaving voor agenten uitschakelen
Gebruik de volgende opdracht om DLP-handhaving uit te schakelen in agenten.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled