Beleid ter preventie van gegevensverlies configureren voor copilots
Organisatiegegevens vormen de belangrijkste activa die beheerders moeten beschermen. Het succes van hun bedrijf wordt voor een groot deel bepaald door hun vermogen om zelf automatisering op te zetten om gebruik te kunnen maken van die gegevens.
U kunt snel uw hoogwaardige copilots bouwen en uitrollen voor uw eindgebruikers. U kunt uw copilots verbinden met vele gegevensbronnen en services. Sommige van deze bronnen en services zijn mogelijk externe niet-Microsoft-services en kunnen zelfs sociale netwerken omvatten.
Het is gemakkelijk om mogelijke blootstelling over het hoofd te zien. Dit soort blootstelling kan het gevolg zijn van gegevenslekken of verbindingen met services en doelgroepen die geen toegang tot de gegevens zouden moeten hebben.
Beheerders kunnen copilots in uw organisatie beheren met behulp van DLP-beleid (Data Loss Prevention) met bestaande en Copilot Studio-connectors. DLP-beleid wordt gemaakt in het Power Platform-beheercentrum. Om een DLP-beleid te maken, moet u een tenantbeheerder zijn of de rol van Omgevingsbeheerder hebben.
Vereisten
- Concepten bekijken met betrekking tot DLP-beleid
Copilot Studio-connectors
Copilot Studio-connectors kunnen worden geclassificeerd binnen een DLP-beleid onder de volgende gegevensgroepen, die worden weergegeven in het Power Platform-beheercentrum bij het bekijken van DLP-beleid:
- Onderneming
- Niet-zakelijk
- Geblokkeerd
U kunt de connectoren in DLP-beleid gebruiken om de gegevens van uw organisatie te beschermen tegen kwaadwillige of onbedoelde gegevensonderschepping door uw copilot-makers.
Belangrijk
Standaard is DLP-handhaving voor copilots uitgeschakeld in alle tenants. Meer informatie over het inschakelen van handhaving.
De connectors moeten zich in één gegevensgroep bevinden, omdat gegevens niet kunnen worden gedeeld tussen connectors die zich in verschillende groepen bevinden.
Er zijn verschillende connectoren beschikbaar in het Copilot Studio beheercentrum. Power Platform Deze connectors kunnen als volgt voor DLP worden geconfigureerd:
| Naam van connector | Omschrijving |
|---|---|
| Application Insights in Copilot Studio | Voorkom dat copilot-makers copilot verbinden met Application Insights. |
| Chatten zonder Microsoft Entra ID-verificatie in Copilot Studio | Cpilot-makers blokkeren om copilots te publiceren die niet zijn geconfigureerd voor verificatie. Gebruikers van Copilot moeten zichzelf verifiëren om met de Copilot te kunnen chatten. Zie voor meer informatie Voorbeeld van preventie van gegevensverlies: vereist verificatie van eindgebruikers in copilots. |
| Direct Line-kanalen in Copilot Studio | Voorkom dat copilot-makers Direct Line-kanalen kunnen inschakelen of gebruiken. In dat geval worden bijvoorbeeld de demowebsite, aangepaste website, mobiele app en andere Direct Line-kanalen geblokkeerd. |
| Facebook-kanaal-in Copilot Studio | Copilot-makers blokkeren van het inschakelen of gebruikmaken van het Facebook-kanaal. |
| Kennisbron met SharePoint en OneDrive in Copilot Studio | Blokkeer dat copilotmakers copiloten publiceren die zijn geconfigureerd met SharePoint als kennisbron. Ondersteunt eindpuntfilters voor DLP-connectors om eindpunten toe te staan of te weigeren. |
| Kennisbron met openbare websites en gegevens in Copilot Studio | Voorkom dat copilot-makers copilots publiceren die zijn geconfigureerd met openbare websites als kennisbron. Ondersteunt eindpuntfilters voor DLP-connectors om eindpunten toe te staan of te weigeren. |
| Kennisbron met documenten in Copilot Studio | Voorkom dat copilot-makers copilots publiceren die zijn geconfigureerd met documenten als kennisbron. |
| Microsoft Teams-kanaal-in Copilot Studio | Copilot-makers blokkeren van het inschakelen of gebruikmaken van het Teams-kanaal. |
| Omnichannel in Copilot Studio | Copilot-makers blokkeren van het inschakelen of gebruikmaken van het Omnichannel-kanaal. |
| Vaardigheden met Copilot Studio | Blokkeer het gebruik van vaardigheden in Copilot Studio-copilots voor copilot-makers. Zie Voorbeeld van gegevensverliespreventie: Vaardigheden blokkeren in copiloten en Voorbeeld van gegevensverliespreventie: HTTP-verzoeken blokkeren in copiloten voor meer informatie. |
Voorbeeld van DLP-beleidsconfiguraties
Om u te helpen aan de slag te gaan met Copilot Studio- copilot-governance, hebben we de volgende voorbeelden gemaakt waarin verschillende scenario's worden beschreven:
- Voorbeeld van preventie van gegevensverlies - Vereist verificatie van eindgebruikers in copilots
- Voorbeeld van preventie van gegevensverlies: SharePoint-kennisbron blokkeren in Copilots
- Voorbeeld van preventie van gegevensverlies: Power Platform-connectoren blokkeren in Copilots
- Voorbeeld van preventie van gegevensverlies: HTTP-aanvragen blokkeren in copilots
- Voorbeeld van preventie van gegevensverlies: vaardigheden in Copilots blokkeren
- Voorbeeld van preventie van gegevensverlies: kanalen blokkeren om publicatie van de Copilot uit te schakelen
PowerShell gebruiken om DLP-handhaving voor copilots in uw organisatie in te schakelen en te beheren
Met de PowerAppDlpErrorSettings en PowerVirtualAgentsDlpEnforcement PowerShell-cmdlets kunt u configureren of DLP-beleid moet worden toegepast op uw copilots.
U kunt:
- Controleer of DLP is ingeschakeld voor copilots in uw tenant.
- Schakel DLP in of uit in een auditmodus (
-Mode SoftEnabled), zodat makers van copilots fouten kunnen zien, maar niet worden verhinderd acties uit te voeren die zouden worden geblokkeerd als DLP-handhaving volledig was ingeschakeld. - Schakel DLP-handhaving in of uit om DLP-handhavingsfouten weer te geven en te voorkomen dat copilot-makers bots publiceren die door DLP zijn beïnvloed of DLP-gerelateerde instellingen configureren.
- Specifieke copilots vrijstellen van DLP-handhaving.
- Voeg de koppelingen voor meer informatie en contactmail toe die aan copilot-makers worden getoond en update deze wanneer ze DLP tegenkomen in de Copilot Studio web- en Teams-apps.
Belangrijk
Voordat u de PowerShell-cmdlets of de hier weergegeven voorbeeldscripts gebruikt, moet u ervoor zorgen dat u de volgende modules met PowerShell installeert.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
U moet een tenantbeheerder zijn om de cmdlets te kunnen gebruiken.
Doorgaans gebruikt u deze cmdlets in overeenstemming met een DLP-implementatieproces, dat in volgorde uit de volgende stappen kan bestaan:
Voeg de e-mailkoppelingen voor meer informatie en beheerderscontactpersonen toe die worden weergegeven in DLP-fouten voor makers van copilots of werk deze bij.
Bepaal voor welke copilots momenteel DLP-beleidshandhaving is ingeschakeld (indien aanwezig).
Gebruik de controle- of "zachte" modus zodat makers DLP-fouten kunnen zien in de Copilot Studio web- en Teams-apps.
Beperk risico's door contact op te nemen met makers en hen te informeren over de beste manier van handelen voor hun app of stroom.
Schakel DLP-handhaving in voor copilots om door DLP beïnvloede taken en functies te voorkomen.
U kunt er ook voor kiezen om een of meer copiloten vrij te stellen van DLP-beleidshandhaving, afhankelijk van het gebruiksscenario en de vereisten van de copilot.
De e-mailkoppelingen voor meer informatie en contact met beheerders toevoegen en bijwerken
U kunt een e-mailkoppeling en koppeling voor meer informatie configureren met behulp van de PowerShell-cmdlet Set-PowerAppDlpErrorSettings. Uw copilot-makers zullen deze informatie zien wanneer zij DLP-fouten tegenkomen.
Voer het volgende PowerShell-script uit om de e-mailkoppeling en koppeling voor meer informatie voor het eerst toe te voegen, waarbij u de waarden voor de parameters <email>, <URL> en <tenant ID> vervangt door uw eigen waarden.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
U kunt een bestaande configuratie bijwerken door hetzelfde PowerShell-script te gebruiken en New-PowerAppDlpErrorSettings te vervangen door Set-PowerAppDlpErrorSettings.
Let op
Deze instellingen gelden voor alle Power Platform-apps binnen de opgegeven tenant.
DLP-handhaving voor copilots inschakelen en configureren
U kunt DLP-handhaving inschakelen, uitschakelen, configureren en controleren binnen Copilot Studio met de cmdlet PowerVirtualAgentsDlpEnforcement.
Vervang (of declareer) in elk van de volgende voorbeelden <tenant ID> door de id van uw tenant.
U kunt zich richten op copilots die na een bepaalde datum zijn gemaakt door <date> te vervangen door een datum in de indeling MM-DD-YYYY. U kunt het bereik verwijderen door de parameter -OnlyForBotsCreatedAfter en de bijbehorende waarde te verwijderen.
DLP-handhaving voor copilots bevestigen
Standaard is DLP-handhaving voor copilots uitgeschakeld in alle tenants.
U kunt de volgende PowerShell-cmdlet uitvoeren om te controleren of DLP voor Copilot Studio is ingeschakeld voor een tenant.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Notitie
Als u Copilot Studio DLP niet hebt geconfigureerd, zijn de resultaten van de cmdlet leeg.
De controle- of "zachte" modus gebruiken om DLP-fouten te kunnen zien in de Copilot Studio web- of Teams-apps
Voer het volgende PowerShell-script uit om DLP-beleid in de controlemodus in te schakelen. Copilot-makers zullen DLP-gerelateerde fouten zien bij het configureren van copilots in de Copilot Studio-web- en Teams-apps, maar ze worden niet geblokkeerd voor het uitvoeren van DLP-gerelateerde acties. Bovendien kunnen makers geen Copilots publiceren zolang de 'softe' modus is ingeschakeld.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Als u copilots wilt vinden die mogelijk worden beïnvloed door het bestaande DLP-beleid van uw organisatie, kunt u:
Gebruik de Center of Excellence (CoE) Starter Kit voor een lijst met copilots in uw organisatie. Ga naar de overzichtspagina van Copilot Studio op het CoE Dashboard om de copilots en omgevingsnamen in uw organisatie te bekijken.
Voer een campagne uit met de copilot-makers in uw organisatie om DLP-fouten aan te pakken of het DLP-beleid te updaten. U kunt alle DLP-fouten van de copilot downloaden door Details te selecteren in de foutmeldingsbanner en Downloaden te selecteren in de foutberichtdetails.
DLP-handhaving voor copilots inschakelen
Belangrijk
Voordat u DLP-handhaving inschakelt, moet u ervoor zorgen dat u weet welke copilots fouten zullen weergeven aan uw copilot-gebruikers als gevolg van schendingen van het DLP-beleid.
Als u problemen tegenkomt, kunt u een copilot vrijstellen van het DLP-beleid of de DLP-handhaving uitschakelen, terwijl uw makers de copilot repareren zodat deze voldoet aan het DLP-beleid.
U kunt de volgende PowerShell-opdracht uitvoeren om DLP-beleid af te dwingen in Copilot Studio. Copilot-makers kunnen geen acties kunnen uitvoeren die door DLP worden beïnvloed en eindgebruikers krijgen fouten te zien als deze worden geactiveerd.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Een bot vrijstellen van DLP-beleid
Als u DLP-afdwinging voor uw tenant hebt ingeschakeld, maar u wilt een copilot vrijstellen van het weergeven van DLP-fouten aan makers en gebruikers, kunt u het volgende PowerShell-script uitvoeren.
Zorg ervoor dat u <environment ID>, <bot ID>, <tenant ID> en <policy ID> vervangt met de juiste id's voor de copilot die u wilt vrijstellen.
Tip
U kunt de <environment ID> en <bot ID> van de URL van de copilot vinden.
De <policy ID> wordt vermeld naast de foutdetails in het bestand Gegevens downloaden. U kunt dat bestand downloaden door Gegevens downloaden te selecteren op de banner voor foutmeldingen in Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
DLP-handhaving voor copilots uitschakelen
Met de volgende opdracht wordt DLP-handhaving in copilots uitgeschakeld.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled