Partilhar via


Configurar políticas de prevenção contra perda de dados para agentes

Os dados de sua organização são um dos ativos mais importantes pelos quais você é responsável por proteger. A capacidade de criar automação para usar esses dados é uma parte significativa do sucesso da sua empresa.

Você pode criar e implementar rapidamente seus agentes de alto valor para seus usuários. Você pode conectar seus agentes a várias fontes de dados e serviços. Alguns desses serviços e origens podem ser externos, serviços de terceiros e podem incluir até mesmo redes sociais.

É fácil ignorar o potencial da exposição. Esse tipo de exposição pode resultar em vazamento de dados ou conexões com serviços e públicos que não deveriam ter acesso aos dados.

Os administradores podem controlar os agentes em sua organização usando políticas de DLP (prevenção contra perda de dados) com conectores existentes e o Copilot Studio. As políticas de DLP são criadas no centro de administração do Power Platform. Para criar uma política DLP, você deve ser um administrador de locatários ou ter a função de Administrador de Ambiente.

Pré-requisitos

Conectores do Copilot Studio

Os conectores do Copilot Studio podem ser classificados dentro de uma política DLP nos seguintes grupos de dados, que são apresentados no centro de administração do Power Platform ao revisar as políticas DLP:

  • Negócios
  • Não comercial
  • Bloqueado

Você pode usar os conectores nas políticas de DLP para proteger os dados da sua organização contra qualquer exfiltração de dados mal-intencionada ou não intencional por seus criadores de agente.

Importante

Por padrão, a imposição de DLP para agentes está desabilitada em todos os locatários. Saiba mais sobre como habilitar a imposição.

Uma vez habilitado, Copilot Studio suporta a aplicação de DLP em tempo real. Por exemplo, criadores e usuários verão erros de aplicação de DLP quando uma política for aplicada.

Os conectores precisam estar em um único grupo de dados, pois os dados não podem ser compartilhados entre conectores que estão em grupos diferentes.

Vários conectores do Copilot Studio estão disponíveis no centro de administração do Power Platform. Esses conectores podem ser configurados para DLP assim:

Nome do conector Description
Application Insights no Copilot Studio Impeça que criadores do agente conectem o agente com o Application Insights.
Chat sem autenticação do Microsoft Entra ID no Copilot Studio Bloqueie criadores de agente de publicar agentes que não estejam configurados para autenticação.
Os usuários do agente devem se autenticar para conversar com o agente.
Para obter mais informações, consulte Exemplo de prevenção contra perda de dados - Exigir autenticação de usuário em agentes.
Canais do Direct Line no Copilot Studio Impeça que criadores do agente habilitem ou usem o canal do Direct Line.
Por exemplo, o site de demonstração, o site personalizado, o aplicativo móvel e outros canais do Direct Line seriam bloqueados.
Canal do Facebook no Copilot Studio Impedir que os criadores de agente habilitem ou usem o Facebook canal.
Fonte de conhecimento com o SharePoint e o OneDrive no Copilot Studio Impeça criadores do agente de publicar agentes configurados com o SharePoint e como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade.
Fonte de conhecimento com sites públicos e dados no Copilot Studio Impeça criadores do agente de publicar agentes configurados com sites públicos como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade.
Fonte de conhecimento com documentos no Copilot Studio Impeça criadores do agente de publicar agentes configurados com documento como uma fonte de conhecimento.
Canal do Microsoft Teams no Copilot Studio Impedir que os criadores de agente habilitem ou usem o canal do Teams.
Omnicanal no Copilot Studio Impedir que os criadores de agente habilitem ou usem o canal do Omnicanal.
Habilidades com Copilot Studio Impedir que criadores do agente usem habilidades em agentes do Copilot Studio.
Para obter mais informações, consulte Exemplo de prevenção de perda de dados - Bloquear habilidades em agentes e Exemplo de prevenção de perda de dados - Bloquear solicitações HTTP em agentes.
Gatilhos de evento com o Copilot Studio Impedir que os criadores de agente usem gatilhos de eventos nos Copilot Studio agentes.
Para obter mais informações, consulte Exemplo de prevenção contra perda de dados - Bloquear gatilhos de eventos em agentes.

Exemplo de configurações da política DLP

Para ajudar você a começar a usar a governança do agente do Copilot Studio, criamos os seguintes exemplos que detalham diferentes cenários:

Use PowerShell para habilitar e administrar a imposição de DLP para agentes em sua organização

Você pode configurar se as políticas DLP devem ser aplicadas aos seus agentes com PowerAppDlpErrorSettings e PowerVirtualAgentsDlpEnforcement cmdlets do PowerShell.

Você pode:

  • Confirme se a DLP está habilitada para agentes em seu locatário.
  • Habilite ou desabilite a DLP em um modo de auditoria (-Mode SoftEnabled) para que os criadores de agente possam ver erros, mas não sejam impedidos de executar ações que seriam bloqueadas se a imposição de DLP estivesse totalmente habilitada.
  • Habilite ou desabilite a imposição de DLP para mostrar erros de imposição de DLP e impedir que criadores de agente publiquem bots afetados por DLP ou definam configurações relacionadas a DLP.
  • Isentar agentes específicos da aplicação de DLP.
  • Adicione e atualize os links de email de contato e Saiba mais que são mostrados aos criadores de agente quando encontram DLP nos aplicativos Web e do Copilot Studio Teams.

Importante

Antes de usar os cmdlets do PowerShell ou os scripts de exemplo mostrados aqui, instale os módulos a seguir usando o PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Você precisa ser administrador de locatários para usar os cmdlets.

Normalmente, você usaria esses cmdlets de acordo com um processo de distribuição de DLP, que pode consistir nas seguintes etapas, na ordem:

  1. Adicione ou atualize os links de email de contato de administrador e Saiba mais que são mostrados em Erros de DLP para criadores de agente.

  2. Determine quais agentes (se houver) atualmente têm a imposição de política de DLP habilitada.

  3. Use o modo de auditoria ou "flexível" para que os fabricantes possam ver erros de DLP nos aplicativos da Web do Copilot Studio e do Teams.

  4. Reduza o risco ao contatar criadores e informá-los sobre a melhor medida para o aplicativo ou fluxo.

  5. Habilite a imposição de DLP para que os agentes impeçam tarefas e recursos afetados por DLP.

Você também pode decidir isentar um ou mais agentes da imposição da política de DLP, dependendo do caso de uso e dos requisitos do agente.

Você pode configurar um link saiba mais e email usando o cmdlet Set-PowerAppDlpErrorSettings do PowerShell. Seus criadores de agente verão essas informações quando ocorrerem erros de DLP.

Captura de tela do aplicativo da Web do Copilot Studio mostrando um erro relacionado a DLP com texto de erro realçado.

Para adicionar o link saiba mais e email pela primeira vez, execute o seguinte script do PowerShell, substituindo os valores dos parâmetros de <email>, <URL> e <tenant ID> pelos seus.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Para atualizar uma configuração existente, use o mesmo script do PowerShell e substitua New-PowerAppDlpErrorSettings por Set-PowerAppDlpErrorSettings.

Cuidado

Essas configurações se aplicam a todos os aplicativos do Power Platform no locatário especificado.

Habilitar e configurar a imposição de DLP para agentes

Você pode habilitar, desabilitar, configurar e auditar a aplicação de DLP dentro do Copilot Studio com o cmdlet do PowerVirtualAgentsDlpEnforcement.

Em qualquer um dos exemplos a seguir, substitua (ou declare) <tenant ID> com o ID do seu locatário.

Você pode definir o escopo para agentes criados após uma determinada data substituindo <date> por uma data no formato MM-DD-YYYY. Para remover o escopo, exclua o parâmetro -OnlyForBotsCreatedAfter e seu valor.

Confirmar a imposição de DLP para agentes

Por padrão, a imposição de DLP para agentes está desabilitada em todos os locatários.

Você pode executar o seguinte cmdlet do PowerShell para verificar se DLP para Copilot Studio está habilitado para um locatário.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Nota

Se você não configurou a DLP do Copilot Studio, os resultados do cmdlet estarão vazios.

Use o modo de auditoria ou "flexível" para ver os erros de DLP nos aplicativos da Web do Copilot Studio e do Teams

Execute o seguinte script do PowerShell para habilitar as políticas DLP no modo de auditoria. Os criadores de agente verão erros relacionados a DLP ao configurar agentes na web e nos aplicativos do Teams do Copilot Studio, mas não serão impedidos de executar ações relacionadas a DLP. Além disso, os criadores não podem publicar agentes enquanto o modo flexível estiver ativado.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Para localizar agentes que podem ser afetados pelas políticas de DLP existentes da sua organização, você pode:

  1. Use o Kit Inicial do CoE (Centro de Excelência) para obter uma lista de agentes em sua organização. Vá para a página de Copilot Studio visão geral no Painel do CoE para ver os nomes de agentes e ambientes em sua organização.

    Captura de tela do painel Kit de início do CoE aberto para a visão geral do Copilot Studio.

  2. Execute uma campanha com os criadores de agentes em sua organização para resolver erros de DLP ou políticas de DLP atualizadas. Você pode baixar todos os erros de DLP do agente selecionando Detalhes na faixa de notificação do erro e selecionando Baixar nos detalhes da mensagem de erro.

Habilitar a imposição de DLP para agentes

Importante

Antes de habilitar a imposição de DLP, certifique-se de saber quais agentes mostrarão erros aos usuários do agente devido a violações da política de DLP.

Se você tiver problemas, poderá isentar um agente das políticas de DLP ou desabilitar a imposição de DLP enquanto seus criadores corrigem o agente para estar em conformidade com as políticas de DLP.

Você pode executar o seguinte comando do PowerShell para aplicar políticas DLP no Copilot Studio. Os criadores de agente serão impedidos de executar ações afetadas por DLP e os usuários verão erros se forem acionados.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Isentar um bot das políticas DLP

Se você habilitou a imposição de DLP para seu locatário, mas precisa isentar um agente de mostrar erros de DLP para criadores e usuários, você pode executar o seguinte script PowerShell.

Certifique-se de substituir <environment ID>, <bot ID>, <tenant ID>, e <policy ID> com as IDs apropriadas para o agente que você deseja isentar.

Dica

Você pode encontrar o <environment ID> e <bot ID> a partir da URL do agente.

A <policy ID> é listada ao lado dos detalhes do erro no arquivo Detalhes do download. Você pode baixar esse arquivo selecionando Detalhes de download no banner de notificação de erro no Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Desabilitar a imposição de DLP para agentes

O comando a seguir desabilitará a imposição de DLP nos agentes.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled