Konfigurowanie ochrony przed zasadami utraty danych dla agentów
Dane organizacyjne są najprawdopodobniej jednym z najważniejszych składników aktywów, za których bezpieczeństwo jest odpowiedzialny administrator. Możliwość tworzenia automatyzacji w celu wykorzystania tych danych to duża część sukcesu firmy.
Możesz szybko tworzyć i wdrażać agentów o wysokiej wartości dla użytkowników. Agentów można połączyć z wieloma źródłami danych i usługami. Niektóre z tych źródeł i usług mogą być zewnętrzne, usługi innych firm niż Microsoft, a nawet mogą obejmować sieci społecznościowe.
Z łatwością można pominąć ewentualne przechyłki. Taki rodzaj narażenia może wynikać z wycieku danych lub połączeń do usług i odbiorców, którzy nie powinni mieć dostępu do danych.
Administratorzy mogą zarządzać agentami w organizacji przy użyciu zasad ochrony przed utratą danych (DLP) z istniejącymi łącznikami i łącznikami Copilot Studio. Zasady DLP są tworzone w centrum administracyjnym Power Platform. Aby utworzyć zasadę DLP, musisz być administratorem dzierżawy lub mieć rolę administratora środowiska.
Wymagania wstępne
- Przegląd pojęć dotyczących zasad DLP
Łączniki usługi Copilot Studio
Łączniki Copilot Studio można przejrzeć w ramach zasad DLP w następujących grupach danych, które są prezentowane w Centrum administracyjnym platformy Power Platform podczas przeglądania zasad DLP:
- Służbowy
- Niebiznesowe
- Zablokowano
Konektorów można używać w politykach DLP w celu ochrony danych organizacji przed złośliwą lub niezamierzoną eksfiltracją danych przez twórców agentów.
Ważne
Domyślnie wymuszanie DLP dla agentów jest wyłączone we wszystkich dzierżawach. Dowiedz się więcej włączanie egzekwowania przepisów.
Copilot Studio obsługuje wymuszanie DLP w czasie rzeczywistym. Agent twórcy i użytkownicy widzą odpowiednie komunikaty o błędach wymuszania DLP, gdy tylko zasady DLP staną się aktywne.
W zasadach DLP łączniki muszą znajdować się w tej samej grupie danych, ponieważ dane nie mogą być współużytkowane między łącznikami, które znajdują się w różnych grupach.
Zasady DLP można skonfigurować w centrum administracyjnym Power Platform , aby blokować dowolne z następujących łączników Copilot Studio.
| Nazwa łącznika | Przypadek użycia |
|---|---|
| Application Insights w Copilot Studio | Zablokuj twórcom agentów możliwość łączenia agentów z Application Insights. |
| Czat bez uwierzytelniania usługi Tożsamości Microsoft Entra w aplikacji Copilot Studio | Zablokuj twórcom agentów możliwość publikowania agentów, którzy nie zostali skonfigurowani do uwierzytelniania. Użytkownicy agentów muszą się uwierzytelnić, aby móc czatować z agentem. Aby uzyskać więcej informacji, zobacz Przykład ochrony przed utratą danych — wymaganie uwierzytelniania użytkownika w agentach. |
| Kanały interfejsu Direct Line w aplikacji Copilot Studio | Blokowanie twórców agentów z możliwością włączania i używania kanału Direct Line. Na przykład witryna internetowa pokazu, niestandardowa witryna sieci Web, aplikacja mobilna i inne kanały Direct Line zostaną zablokowane. |
| Kanał aplikacji Facebook w aplikacji Copilot Studio | Blokowanie twórców agentów z możliwością włączania i używania kanału Facebook. |
| Źródło wiedzy z programem SharePoint i usługą OneDrive w aplikacji Copilot Studio | Blokowanie twórców agentów z publikowania agentów skonfigurowanych dla SharePoint jako źródła wiedzy. Obsługuje filtrowanie łącznika DLP punkt końcowy w celu zezwalania na punkty końcowe lub odrzucania ich. |
| Źródło wiedzy z dokumentami i w programie Copilot Studio | Blokowanie twórcom agentów możliwości publikowania agentów skonfigurowanych z dokumentami jako źródłem wiedzy. |
| Źródło wiedzy z publicznymi witrynami internetowymi oraz danymi w aplikacji Copilot Studio | Zablokuj twórcom agentów możliwość publikowania agentów skonfigurowanych z publicznymi witrynami internetowymi jako źródłem wiedzy. Obsługuje filtrowanie łącznika DLP punkt końcowy w celu zezwalania na punkty końcowe lub odrzucania ich. |
| Microsoft Copilot Studio | Blokowanie twórcom agentów możliwości korzystania z wyzwalaczy zdarzeń w agentach Copilot Studio. Aby uzyskać więcej informacji, zobacz Przykład ochrony przed utratą danych — blokowanie wyzwalaczy zdarzeń w agentach. |
| Kanał aplikacji Microsoft Teams w aplikacji Copilot Studio | Zablokuj twórcom agentów możliwość włączania lub używania kanału Teams. |
| Kanał aplikacji Obsługa wielokanałowa w aplikacji Copilot Studio | Zablokuj twórcom agentów możliwość włączania lub używania kanału obsługi wielokanałowej. |
| Umiejętności w aplikacji Copilot Studio | Zablokuj twórcom agentów możliwość używania umiejętności w agentach usługi Copilot Studio. Aby uzyskać więcej informacji, zobacz Przykład ochrony przed utratą danych — blokowanie umiejętności w agentach i Przykład ochrony przed utratą danych — blokowanie żądań HTTP w agentach. |
Przykładowe konfiguracje zasad DLP
Aby rozpocząć pracę z ładem dla agentów Copilot Studio, zapoznaj się z następującymi przykładowymi scenariuszami:
- Przykład ochrony przed utratą danych — wymaganie uwierzytelniania użytkownika w agentach
- Przykład zapobiegania utracie danych — blokowanie SharePoint jako źródła wiedzy w agentach
- Przykład ochrony przed utratą danych — blokowanie łączników Power Platform w agentach
- Przykład ochrony przed utratą danych — blokowanie żądań HTTP w agentach
- Przykład ochrony przed utratą danych — blokowanie umiejętności w agentach
- Przykład ochrony przed utratą danych — blokowanie wyzwalaczy zdarzeń w agentach
- Przykład zapobiegania utracie danych — blokowanie kanałów w celu wyłączenia publikowania agenta
Używanie PowerShell do włączania wymuszania DLP dla agentów w organizacji i administrowania nim
Można skonfigurować, czy zasady DLP powinny być stosowane do agentów za pomocą opcji cmdletPowerAppDlpErrorSettings oraz PowerVirtualAgentsDlpEnforcement PowerShell.
Masz następujące możliwości:
- Potwierdzanie, czy w aplikacji DLP włączono obsługę agentów w dzierżawie.
- Włącz lub wyłącz DLP w trybie inspekcji (
-Mode SoftEnabled), aby twórcy agentów widzieli błędy, ale nie uniemożliwiali wykonywania działań, które zostałyby zablokowane, gdyby wymuszanie DLP było w pełni włączone. - Włącz lub wyłącz wymuszanie DLP, aby wyświetlić błędy wymuszania DLP i uniemożliwić twórcom agentów publikowanie botów, których dotyczy DLP, lub konfigurowanie ustawień związanych z DLP.
- Wyklucz określonych agentów z wymuszania DLP.
- Dodanie i aktualizacja linków „Dowiedz się więcej” i „Skontaktuj się przez e-mail”, które są wyświetlane twórcom agentów, gdy napotkają DLP w aplikacjach internetowych Copilot Studio i Teams.
Ważne
Przed użyciem cmdlets programu PowerShell lub przykładowych skryptów pokazanych tutaj należy się upewnić, że przy użyciu programu PowerShell zostały zainstalowane następujące moduły.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Aby używać poleceń cmldlets, należy być administratorem dzierżawy.
Zazwyczaj należy użyć tych poleceń cmdlets zgodnie z procesem wdrażania DLP, który może składać się z następujących kroków w następującej kolejności:
Dodaj lub zaktualizuj łącza do wiadomości e-mail z informacjami dodatkowymi i kontaktem z administratorem, które są wyświetlane w błędach DLP dla twórców agentów.
Określenie, którzy (jeśli w ogóle) agenci mają obecnie włączone wymuszanie zasad DLP.
Użycie trybu inspekcji lub „lekkiego” umożliwia twórcom wyświetlanie błędów DLP w aplikacjach sieci Web Copilot Studio i Teams.
Minimalizowanie ryzyka przez skontaktowanie się z twórcami i poinformowanie ich o najlepszym toku działania w ramach ich aplikacji lub przepływu.
Włącz wymuszanie DLP dla agentów, aby zapobiec zadaniom i funkcjom wpływającym na DLP.
Możesz także zdecydować się na wyłączenie jednego lub więcej agenta z egzekwowania zasad DLP, w zależności od przypadku użycia i wymagań agenta.
Dodawanie i aktualizowanie kolejnych łączy informacji i do poczty e-mail kontaktu z administratorem
Możesz użyć polecenia cmdlet PowerShell Set-PowerAppDlpErrorSettings, aby dodać adres e-mail i link „Dowiedz się więcej” do komunikatów o błędach DLP.
Aby dodać adres e-mail i link Dowiedz się więcej po raz pierwszy, uruchom następujący skrypt PowerShell, zastępując wartości parametrów <email>, <URL> i <tenant ID> własnymi wartościami.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Aby zaktualizować istniejącą konfigurację, należy użyć tego samego skryptu programu PowerShell i zastąpić New-PowerAppDlpErrorSettings używając Set-PowerAppDlpErrorSettings.
Uwaga
Te ustawienia dotyczą wszystkich aplikacji Power Platform w ramach określonego dzierżawcy.
Włączanie i konfigurowanie wymuszania DLP dla agentów
Za pomocą polecenia cmdlet PowerVirtualAgentsDlpEnforcement można włączyć, wyłączyć, skonfigurować i przeprowadzić inspekcję wymuszania DLP w Copilot Studio.
W każdym z poniższych przykładów zastąp (lub zadeklaruj) <tenant ID> swoim identyfikatorem dzierżawcy.
Można określić zakres agentów utworzonych po określonej dacie, zastępując <date> datą w formacie MM-DD-YYYY. Aby usunąć zakres, należy usunąć parametr -OnlyForBotsCreatedAfter i jego wartość.
Potwierdzenie wymuszania DLP dla agentów
Domyślnie wymuszanie DLP dla agentów jest wyłączone we wszystkich dzierżawach.
Można uruchomić następujące polecenie cmdlet programu PowerShell, aby sprawdzić, czy włączono DLP dla Copilot Studio w dzierżawcy.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Notatka
Jeśli nie skonfigurowano DLP dla Copilot Studio, odpowiedź z polecenia cmdlet jest pusta.
Używanie trybu inspekcji do wyświetlania błędow DLP w Copilot Studio
Uruchom następujący skrypt PowerShell, aby włączyć zasady DLP w trybie inspekcji lub "miękkim". Gdy ten tryb jest aktywny, twórcy agentów mogą widzieć komunikaty o błędach związane z DLP podczas konfigurowania agentów w Copilot Studio, ale nie blokuje im to możliwości wykonywania akcji związanych z DLP. Jednak twórcy nie mogą publikować agentów, gdy ten tryb jest aktywny.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Aby znaleźć agentów, na których mogą mieć wpływ zasady DLP organizacji, możesz:
Użyj pulpitu nawigacyjnego Power BI zestawu startowego Centrum doskonałości (CoE), aby uzyskać listę agentów w organizacji. Wejdź na stronę przegląd Copilot Studio na pulpicie nawigacyjnym programu CoE, aby zobaczyć nazwy agentów i środowisk w organizacji.
Przeprowadź kampanię z twórcami agentów w swojej organizacji, aby rozwiązać problemy z błędami DLP lub zaktualizować zasady DLP. Wszystkie błędy usługi DLP agenta można pobrać, wybierając pozycję Szczegóły na bannerze powiadomienia o błędach i wybierając przycisk Pobierz ze szczegółów komunikatu o błędzie.
Włączanie wymuszania DLP dla agentów
Ważne
Przed włączeniem wymuszania zasad DLP upewnij się, że wiesz, którzy agenci mogą zgłaszać użytkownikom błędy z powodu naruszenia zasad DLP.
Jeśli napotkasz problemy, możesz wykluczyć agenta z zasad DLP lub wyłączyć wymuszanie DLP, podczas gdy twórcy naprawią agenta, aby zachował zgodność z zasadami DLP.
Można uruchomić następujące polecenie programu PowerShell w celu wymuszania zasad DLP w programie Copilot Studio. Twórcy agentów nie będą mogli wykonywać działań, na które ma wpływ DLP, a użytkownicy zobaczą błędy, jeśli zostaną one wyzwolone.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Wykluczanie bota z zasad DLP
Jeśli włączono wymuszanie DLP dla dzierżawcy, ale musisz wykluczyć agenta z wyświetlania błędów DLP twórcom i użytkownikom, możesz uruchomić następujący skrypt PowerShell.
Upewnij się, że zastąpiłeś <environment ID>, <bot ID>, <tenant ID> i <policy ID> odpowiednimi identyfikatorami agenta, którego chcesz wyłączyć.
Wskazówka
Elementy <environment ID> i <bot ID> można znaleźć w adresie URL agenta.
Identyfikator <policy ID> jest wyświetlany wraz ze szczegółami w pliku Pobierz szczegóły. Możesz pobrać ten plik, wybierając Pobierz szczegóły na bannerze powiadomienia o błędach w oknie Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Wyłączanie wymuszania DLP dla agentów
Użyj następującego polecenia do wyłączenia wymuszania DLP w agentach.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled