Partilhar via

Configurar políticas de prevenção contra perda de dados para agentes

  • Artigo

Com o Copilot Studio, você pode criar e implantar rapidamente agentes de alto valor para seus usuários que podem se conectar a várias fontes de dados e serviços. Algumas dessas fontes e serviços podem ser serviços externos, que não são da Microsoft, e podem até incluir redes sociais, juntamente com conexões com seus dados organizacionais.

Os dados de sua organização são um dos ativos mais importantes pelos quais você é responsável por proteger. A capacidade de usar esses dados de forma protegida, enquanto ainda se conecta e interage com outros serviços e sistemas, é uma pedra angular da segurança de dados.

As políticas de DLP (prevenção contra perda de dados) permitem que você controle como os agentes se conectam e interagem com dados e serviços, dentro e fora da organização. Os administradores podem configurar as políticas do Copilot Studio e do Power Platform no centro de administração do Power Platform.

Importante

No início de 2025, a imposição da política de DLP para todos os locatários foi definida como Habilitada por padrão, conforme anunciado no alerta da central de mensagens MC973179: Copilot Studio - Próximas atualizações para aplicação da política de prevenção contra perda de dados.

Em 2025 de janeiro:

  • Por padrão, a aplicação para agentes em todos os locatários será definida como Habilitação Suave (anteriormente, a aplicação era desabilitada por padrão):
    • Os agentes existentes que tinham a imposição de DLP definida como Desabilitada serão automaticamente alterados para Habilitação Suave. Os novos agentes terão a aplicação de DLP definida como Habilitação Suave por padrão, na criação.
    • Se um agente publicado tiver uma violação da política de DLP, os usuários do agente poderão continuar a interagir com o agente, no entanto, as atualizações do agente não poderão ser publicadas. As violações da política de DLP devem ser resolvidas antes que o agente possa ser publicado.
    • As violações da política de DLP são registradas para administradores, e os usuários e criadores veem avisos de violação de DLP. Os usuários não são impedidos de usar o agente.
  • O cmdlet PowerShell não pode mais ser usado para desativar a imposição.

A partir de fevereiro de 2025:

  • Por padrão, a aplicação para agentes em todos os locatários será definida como Habilitada – todos os agentes publicados e atualizações para agentes existentes estão sujeitos a políticas de DLP que se aplicam conforme definido no locatário.
  • O cmdlet PowerShell não pode mais ser usado para ativar ou desativar a imposição e não terá suporte após fevereiro de 2025.

Saiba mais sobre como confirmar a aplicação em seu locatário.

Pré-requisitos

Conectores do Copilot Studio

Os conectores do Copilot Studio podem ser classificados dentro de uma política DLP nos seguintes grupos de dados, que são apresentados no centro de administração do Power Platform ao revisar as políticas DLP:

  • Negócios
  • Não comercial
  • Bloqueado

Você pode usar os conectores nas políticas de DLP para proteger os dados da sua organização contra qualquer exfiltração de dados mal-intencionada ou não intencional por seus criadores de agente.

Importante

O Copilot Studio oferece suporte a aplicação de DLP em tempo real. Os criadores e usuários do agente veem mensagens de erro para qualquer violação da política de DLP.

Em uma política de DLP, os conectores devem estar no mesmo grupo de dados porque os dados não podem ser compartilhados entre conectores que estão em grupos diferentes.

Você pode configurar políticas de DLP no centro de administração do Power Platform para bloquear qualquer um dos conectores do Copilot Studio a seguir.

Nome do conector Caso de uso
Application Insights no Copilot Studio Impeça os criadores de agente de conectar agentes com o Application Insights.
Chat sem autenticação do Microsoft Entra ID no Copilot Studio Bloqueie criadores de agente de publicar agentes que não estejam configurados para autenticação.
Os usuários do agente devem se autenticar para conversar com o agente.
Para obter mais informações, consulte Exemplo de prevenção contra perda de dados - Exigir autenticação de usuário em agentes.
Canais do Direct Line no Copilot Studio Impeça que criadores do agente habilitem ou usem o canal do Direct Line.
Por exemplo, o site de demonstração, o site personalizado, o aplicativo móvel e outros canais do Direct Line seriam bloqueados.
Canal do Facebook no Copilot Studio Impedir que os criadores de agente habilitem ou usem o canal do Facebook.
Fonte de conhecimento com o SharePoint e o OneDrive no Copilot Studio Impeça criadores do agente de publicar agentes configurados com o SharePoint e como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade.
Fonte de conhecimento com documentos no Copilot Studio Impeça criadores do agente de publicar agentes configurados com documento como uma fonte de conhecimento.
Fonte de conhecimento com sites públicos e dados no Copilot Studio Impeça criadores do agente de publicar agentes configurados com sites públicos como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade.
Microsoft Copilot Studio Impedir que os criadores de agente usem gatilhos de eventos nos agentes do Copilot Studio.
Para obter mais informações, consulte Exemplo de prevenção contra perdas de dados - Bloquear gatilhos de eventos em agentes.
Canal do Microsoft Teams no Copilot Studio Impedir que os criadores de agente habilitem ou usem o canal do Teams.
Omnicanal no Copilot Studio Impedir que os criadores de agente habilitem ou usem o canal do Omnicanal.
Habilidades com Copilot Studio Impedir que criadores do agente usem habilidades em agentes do Copilot Studio.
Para obter mais informações, consulte Exemplo de prevenção contra perda de dados - Bloquear habilidades em agentes e Exemplo de prevenção contra perda de dados - Bloquear solicitações HTTP em agentes.

Exemplo de configurações da política DLP

Para começar a usar a governança do agente do Copilot Studio, analise os seguintes cenários de exemplo:

Use PowerShell para habilitar e administrar a imposição de DLP para agentes em sua organização

Você pode configurar se as políticas DLP devem ser aplicadas aos seus agentes com PowerAppDlpErrorSettings e PowerVirtualAgentsDlpEnforcement cmdlets do PowerShell.

Você pode:

  • Confirme se as políticas de DLP são aplicadas para os agentes em seu locatário.
  • Altere a aplicação da política DLP para o modo de auditoria (-Mode SoftEnabled) para que os criadores de agentes possam ver os erros, mas não sejam impedidos de realizar ações que a aplicação da política DLP bloquearia.
  • Habilite ou desabilite a aplicação da política DLP para mostrar erros de aplicação da política DLP e impedir que os criadores de agentes publiquem agentes afetados por DLP ou configurem configurações relacionadas ao DLP.
  • Adicione e atualize os links de email de contato e de aprendizado que são mostrados aos criadores de agente quando o Copilot Studio acionar uma violação de política de DLP.

Importante

Antes de usar os cmdlets do PowerShell ou os scripts de exemplo mostrados aqui, instale os módulos a seguir usando o PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Você precisa ser administrador de locatários para usar os cmdlets.

Normalmente, você usaria esses cmdlets de acordo com um processo de distribuição de DLP, que pode consistir nas seguintes etapas, na ordem:

  1. Adicione ou atualize os links de email de contato de administrador e Saiba mais que são mostrados em Erros de DLP para criadores de agente.

  2. Determine quais agentes (se houver) atualmente têm a imposição de política de DLP habilitada.

  3. Use o modo de auditoria para que os criadores possam ver erros de DLP nos aplicativos do Teams e da Web do Copilot Studio.

  4. Reduza o risco ao contatar criadores e informá-los sobre a melhor medida para o aplicativo ou fluxo.

  5. Ative a aplicação da política DLP para agentes a fim de impedir tarefas e recursos afetados por DLP.

Importante

Não há mais suporte para a isenção de aplicação da política DLP para agentes. Os agentes que anteriormente estavam isentos da aplicação de DLP terão sua aplicação definida como Habilitação suave em janeiro de 2025 e definida como Habilitada em fevereiro de 2025.

Você pode usar o cmdlet do PowerShell Set-PowerAppDlpErrorSettings para adicionar um endereço de email e um link "Saiba mais" às mensagens de erro de DLP.

Captura de tela de uma mensagem de erro relacionada à DLP no Copilot Studio, com um endereço de email e o link Saiba mais realçados.

Para adicionar o endereço de email e o link Saiba mais pela primeira vez, execute o seguinte script PowerShell, substituindo os valores dos parâmetros <email>, <URL>, e <tenant ID> pelos seus.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Para atualizar uma configuração existente, use o mesmo script do PowerShell e substitua New-PowerAppDlpErrorSettings por Set-PowerAppDlpErrorSettings.

Aviso

Essas configurações se aplicam a todos os aplicativos do Power Platform no locatário especificado.

Configurar a aplicação de DLP para agentes

Você pode habilitar, desabilitar, configurar e auditar a aplicação de DLP dentro do Copilot Studio com o cmdlet do PowerVirtualAgentsDlpEnforcement.

Em qualquer um dos exemplos a seguir, substitua (ou declare) <tenant ID> com o ID do seu locatário.

Você pode definir o escopo para agentes criados após uma determinada data substituindo <date> por uma data no formato MM-DD-YYYY. Para remover o escopo, exclua o parâmetro -OnlyForBotsCreatedAfter e seu valor.

Confirmar a aplicação da política de DLP para agentes

Por padrão, a aplicação da política de DLP para agentes é definida para o modo de auditoria ou "suave".

Execute o cmdlet PowerShell a seguir para verificar o status de imposição da política de DLP de um locatário.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Observação

Se a DLP não estiver configurada para o Copilot Studio, a resposta do cmdlet estará vazia.

Usar o modo de auditoria para ver erros de DLP no Copilot Studio

Execute o script PowerShell a seguir para habilitar políticas de DLP no modo de auditoria ou "flexível". Quando esse modo está ativo, os criadores de agente podem ver mensagens de erro relacionadas a DLP ao configurar agentes no Copilot Studio, mas isso não os impede de executar ações relacionadas a DLP. No entanto, os criadores não podem publicar agentes enquanto esse modo estiver ativo.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Para localizar agentes que as políticas de DLP da sua organização podem afetar, você pode:

  • Use o painel do Power BI do Kit de Início do CoE (Centro de Excelência) para obter uma lista de agentes em sua organização. Vá para a página visão geral do Copilot Studio no Painel do CoE para ver os nomes de agentes e ambientes em sua organização.

  • Execute uma campanha com os criadores de agentes em sua organização para resolver erros de DLP ou políticas de DLP atualizadas. Você pode baixar todos os erros de DLP do agente selecionando Detalhes na faixa de notificação do erro e selecionando Baixar nos detalhes da mensagem de erro.

Ativar a imposição de DLP para agentes

Aviso

Antes de ativar a imposição da política de DLP, certifique-se de saber quais agentes provavelmente relatarão erros aos usuários devido a violações da política de DLP.

Você pode executar o seguinte comando do PowerShell para aplicar políticas DLP no Copilot Studio. Os criadores de agente são impedidos de executar ações que violariam as políticas de DLP, e os usuários veem mensagens de erro para quaisquer violações.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>