Настройка политик защиты от потери данных для агентов
С Copilot Studio можно быстро создавать и развертывать ценные агенты для пользователей, способные подключаться ко многим источникам данных и службам. Некоторые из этих источников и служб могут быть внешними службами, не относящимися к Майкрософт, и могут даже включать социальные сети, а также подключения к данным организации.
Данные организации — один из наиболее важных активов, за обеспечение безопасности которых отвечает администратор. Возможность использовать эти данные защищенным образом, при этом подключаясь и взаимодействуя с другими службами и системами, является краеугольным камнем безопасности данных.
Политики защиты от потери данных (DLP) позволяют управлять тем, как агенты подключаются к данным и службам и взаимодействуют с ними как внутри организации, так и за ее пределами. Администраторы могут настраивать политики защиты от потери данных Copilot Studio и Power Platform в центре администрирования Power Platform.
Внимание!
В начале 2025 г. для применения политики защиты от потери данных для всех клиентов по умолчанию установлено значение Включено, как было объявлено в оповещении центра сообщений MC973179: Copilot Studio — предстоящие обновления для применения политики защиты от потери данных.
В январе 2025:
- По умолчанию принудительное применение для агентов во всех клиентах будет установлено в мягкое включение (ранее, принудительное применение было отключено по умолчанию):
- Существующие агенты, для которых принудительное применение политики защиты от потери данных отключено, автоматически перейдут в режим мягкого включения. При создании для новых агентов принудительное применение защиты от потери данных будет включено как в режиме мягкого включения.
- Если опубликованный агент нарушает политику защиты от потери данных, пользователи агента могут продолжать взаимодействовать с агентом, однако обновления агента не могут быть опубликованы. Нарушения политики защиты от потери данных должны быть устранены до публикации агента.
- Нарушения политики защиты от потери данных записываются для администраторов, а пользователи и создатели видят предупреждения о нарушениях защиты от потери данных. Пользователям не запрещено использовать агент.
- Командлет PowerShell больше нельзя использовать для отключения принудительного применения.
Начиная с февраля 2025 года:
- По умолчанию принудительное применение для агентов во всех клиентах будет включено — на все опубликованные агенты и обновления существующих агентов распространяются политики защиты от потери данных, которые применяются в соответствии с определениями в клиенте.
- Командлет PowerShell больше нельзя использовать для включения и отключения принудительного применения, и он не будет поддерживаться после февраля 2025 года.
Узнайте, как подтвердить принудительное применение в клиенте.
Предварительные требования
- Ознакомьтесь с основными понятиями политик защиты от потери данных
- Вы должны быть администратором клиента или иметь роль администратора системы
Соединители Copilot Studio
Соединители Copilot Studio в рамках политики защиты от потери данных можно классифицировать на следующие группы данных, которые присутствуют в центре администрирования Power Platform при просмотре политик защиты от потери данных:
- Бизнес
- Отличные от бизнес
- Заблокировано
Соединители в политиках защиты от потери данных можно использовать для защиты данных организации от любой злонамеренной или непреднамеренной кражи данных создателями ваших агентов.
Внимание!
Copilot Studio поддерживает принудительное применение политики защиты от потери данных в режиме реального времени. Создатели агентов и пользователи видят сообщения об ошибках при любом нарушении политики защиты от потери данных.
В политике защиты от потери данных соединители должны находиться в одной группе данных, так как данные не могут совместно использоваться соединителями, находящимися в разных группах.
Политики защиты от потери данных можно настроить в центре администрирования Power Platform для блокировки любого из следующих соединителей Copilot Studio.
| Имя соединителя | Вариант использования |
|---|---|
| Application Insights в Copilot Studio | Запретите создателям агентов подключать агенты к Application Insights. |
| Чат без проверки подлинности Microsoft Entra ID в Copilot Studio | Заблокируйте создателей агентов публикацию агентов, которые не настроены для аутентификации. Пользователи агентов должны аутентифицироваться для общения с агентом. Дополнительные сведения см. в разделе Пример защиты от потери данных — требование проверки подлинности пользователей в агентах. |
| Каналы Direct Line в Copilot Studio | Запретите создателям агентов включать или использовать канал Direct Line. Например, демонстрационный веб-сайт, пользовательский веб-сайт, мобильное приложение и другие каналы Direct Line будут заблокированы. |
| Канал Facebook в Copilot Studio | Запретите создателям агентов включать или использовать канал Facebook. |
| Источник знаний с SharePoint и OneDrive в Copilot Studio | Запретите создателям агентов публикацию агентов, настроенных с использованием SharePoint в качестве источника знаний. Поддерживает фильтрацию конечных точек соединителя DLP, чтобы разрешить или запретить конечные точки. |
| Источник знаний с документами в Copilot Studio | Запретите создателям агентов публикацию агентов, настроенных с использованием документов в качестве источника знаний. |
| Источник знаний с общедоступными веб-сайтами и данными в Copilot Studio | Запретите создателям агентов публикацию агентов, настроенных с использованием общедоступных веб-сайтов в качестве источника знаний. Поддерживает фильтрацию конечных точек соединителя DLP, чтобы разрешить или запретить конечные точки. |
| Microsoft Copilot Studio | Запретите создателям агентов использовать триггеры событий в агентах Copilot Studio. Дополнительные сведения см. в разделе Пример защиты от потери данных — блокировка триггеров событий в агентах. |
| Канал Microsoft Teams в Copilot Studio | Запретите создателям агентов включать или использовать канал Teams. |
| Многоканальное взаимодействие в Copilot Studio | Запретите создателям агентов включать или использовать канал многоканального взаимодействия. |
| Навыки в Copilot Studio | Запретите создателям агентов использовать навыки в агентах Copilot Studio. Дополнительные сведения см. в разделе Пример защиты от потери данных — Блокировка навыков в агентах и Пример защиты от потери данных — Блокировка HTTP-запросов в агентах. |
Пример конфигураций политик защиты от потери данных
Чтобы приступить к работе с управлением агентами Copilot Studio, ознакомьтесь со следующими примерами сценариев:
- Пример защиты от потери данных. Требование аутентификации пользователей в агентах
- Пример защиты от потери данных — блокировка источника знаний SharePoint в агентах
- Пример защиты от потери данных — блокировка соединителей Power Platform в агентах
- Пример предотвращения потери данных — блокировка запросов HTTP в агентах
- Пример защиты от потери данных — блокировка навыков в агентах
- Пример защиты от потери данных — блокировка триггеров событий в агентах
- Пример защиты от потери данных — блокировка каналов для отключения публикации агента
Использование PowerShell для включения и администрирования принудительного применения политики защиты от потери данных для агентов в организации
Вы можете настроить, следует ли применять политики защиты от потери данных к агентам, с помощью командлетов PowerShell PowerAppDlpErrorSettings и PowerVirtualAgentsDlpEnforcement.
Вы можете:
- Проверьте, применяются ли политики защиты от потери данных для агентов в арендаторе.
- Переключите применение политик защиты от потери данных в режим аудита (
-Mode SoftEnabled), чтобы создатели агентов могли видеть ошибки, но не были лишены возможности выполнять действия, которые в противном случае были бы заблокированы применением политики защиты от потери данных. - Включите или отключите принудительное применение защиты от потери данных, чтобы отображать ошибки применения защиты от потери данных и запретить создателям агентов публиковать агенты, затронутые DLP, или настраивать параметры, связанные с DLP.
- Добавьте и обновите ссылки электронной почты для получения дополнительной информации и контактов, которые отображаются создателям агентов, когда Copilot Studio обнаруживает нарушение политики защиты от потери данных.
Внимание!
Прежде чем использовать командлеты PowerShell или показанные здесь примеры сценариев, убедитесь, что вы установили следующие модули с помощью PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Для использования командлетов вы должны быть администратором портала.
Обычно эти командлеты следует использовать в соответствии с процессом развертывания защиты от потери данных, который может состоять из следующих шагов (в указанном порядке):
Добавьте или обновите ссылки для получения дополнительной информации и контактной электронной почты администратора, которые отображаются в ошибках защиты от потери данных для создателей агентов.
Определите, на каких агентах (если таковые имеются) в настоящее время включено применение политики защиты от потери данных.
Используйте режим аудита, чтобы создатели могли видеть ошибки защиты от потери данных в веб-приложениях Copilot Studio и приложениях Teams.
Снижение рисков путем установления контакта с создателями и информирования их обо оптимальном порядке действий для разрабатываемого ими приложения или потока.
Включите строгое применение политики защиты от потери данных для агентов.
Внимание!
Исключение из политики защиты от потери данных агента больше не поддерживается. Для агентов, которые ранее были исключены из принудительного применения политики защиты от потери данных, в январе 2025 г. будет установлено мягкое включение, а в феврале 2025 г. — значение Включено.
Добавление или обновление ссылок "Подробнее" и ссылок для связи с администратором
С помощью командлета PowerShell Set-PowerAppDlpErrorSettings можно добавить адрес электронной почты и ссылку "Подробнее" в сообщения об ошибках защиты от потери данных.
Чтобы добавить адрес электронной почты и ссылку на дополнительные сведения в первый раз, запустите следующий сценарий PowerShell, заменив значения параметров <email>, <URL> и <tenant ID> своими собственными.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Чтобы обновить существующую конфигурацию, используйте этот же сценарий PowerShell, но заменитеNew-PowerAppDlpErrorSettings на Set-PowerAppDlpErrorSettings.
Предупреждение
Эти параметры применяются ко всем приложениям Power Platform в указанном арендаторе.
Настройка применения политики защиты от потери данных для агентов
Включать, отключать, настраивать и проверять применение защиты от потери данных в Copilot Studio можно с помощью командлета PowerVirtualAgentsDlpEnforcement.
В любом из следующих примеров замените (или объявите)<tenant ID> в соответствии с идентификатором своего арендатора.
Вы можете ограничить область агентами, созданными после определенной даты, заменив <date> на дату в формате MM-DD-YYYY. Чтобы удалить область действия, удалите параметр -OnlyForBotsCreatedAfter и его значение.
Подтверждение применения политики защиты от потери данных для агентов
По умолчанию для применения политики защиты от потери данных для агентов установлен режим аудита или "мягкий" режим.
Выполните следующий командлет PowerShell, чтобы проверить состояние применения политики защиты от потери данных для клиента.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Заметка
Если политика защиты от потери данных не настроена для Copilot Studio, ответ командлета будет пустым.
Использование режима аудита для просмотра ошибок защиты от потери данных в Copilot Studio
Выполните следующий сценарий PowerShell, чтобы включить политики защиты от потери данных в режиме аудита или в "мягком" режиме. Когда этот режим активен, создатели агентов могут видеть сообщения об ошибках, связанных с политикой защиты от потери данных, при настройке агентов Copilot Studio, но он не блокирует выполнение действий, связанных с политикой защиты от потери данных. Однако создатели агентов не могут публиковать агенты, пока этот режим активен.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Чтобы найти агенты, на которых могут повлиять политики защиты от потери данных вашей организации, вы можете:
Используйте панель мониторинга Power BI стартового набора центра передовых технологий (CoE), чтобы получить список агентов в вашей организации. Перейдите на страницу обзора Copilot Studio на панели мониторинга CoE, чтобы просмотреть имена агентов и сред в вашей организации.
Проведите кампанию с создателями агентов в вашей организации, чтобы устранить ошибки защиты от потери данных или обновить политики защиты от потери данных. Вы можете загрузить все ошибки политик DLP агента, выбрав Подробнее на баннере уведомления об ошибке и выбрав Загрузить в сведениях сообщения об ошибке.
Включение принудительного применения защиты от потери данных для агентов
Предупреждение
Прежде чем включать применение политик защиты от потери данных, убедитесь, что вы знаете, какие агенты могут сообщать пользователям об ошибках, связанных с нарушениями политики защиты от потери данных.
Вы можете запустить следующую команду PowerShell, чтобы применить политики защиты от потери данных в Copilot Studio. Создатели агентов не могут выполнять действия, которые могут нарушать политики защиты от потери данных, а пользователи видят сообщения об ошибках при любых нарушениях.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>