Поделиться через

Настройка политик защиты от потери данных для агентов

  • Статья

Данные организации — один из наиболее важных активов, за обеспечение безопасности которых отвечает администратор. Возможность создавать средства автоматизации для использования этих данных — существенная составляющая успеха вашей омпании.

Вы можете быстро создавать и развертывать ценные агенты для своих пользователей. Вы можете подключить своих агентов ко многим источникам данных и службам. Некоторые из этих источников и служб могут быть службами сторонних разработчиков (не Microsoft) и могут даже включать социальные сети.

Можно легко недооценить потенциальную опасность утечки данных. Такого рода угрозы могут быть связаны с утечками данных или с подключениями к службам и аудиториям, у которых не должно быть доступа к этим данным.

Администраторы могут управлять агентами в организации с помощью политик защиты от потери данных (DLP) с существующими соединителями и соединителями Copilot Studio. Политики DLP создаются в центре администрирования Power Platform. Чтобы создать политику DLP, вы должны быть администратором арендатора или у вас должна быть роль администратора среды.

Предварительные условия

Соединители Copilot Studio

Соединители Copilot Studio в рамках политики защиты от потери данных можно классифицировать на следующие группы данных, которые присутствуют в центре администрирования Power Platform при просмотре политик защиты от потери данных:

  • Бизнес
  • Отличные от бизнес
  • Заблокировано

Соединители в политиках защиты от потери данных можно использовать для защиты данных организации от любой злонамеренной или непреднамеренной кражи данных создателями ваших агентов.

Внимание!

По умолчанию принудительное применение защиты от потери данных для агентов отключено во всех клиентах. Узнайте о включении принудительного применения.

После включения Copilot Studio поддерживает принудительное применение DLP в режиме реального времени. Например, и создатели, и пользователи увидят ошибки применения защиты от потери данных при применении политики.

Соединители должны находиться в одной группе данных, так как данные не могут использоваться совместно соединителями, которые находятся в разных группах.

В центре администрирования Power Platform доступно несколько соединителей Copilot Studio. Эти соединители можно настроить для DLP следующим образом:

Имя соединителя Description
Application Insights в Copilot Studio Запретите создателям агентов возможность подключать агент к Application Insights.
Чат без проверки подлинности Microsoft Entra ID в Copilot Studio Заблокируйте создателей агентов публикацию агентов, которые не настроены для аутентификации.
Пользователи агентов должны аутентифицироваться для общения с агентом.
Дополнительные сведения см. в разделе Пример защиты от потери данных — требование проверки подлинности пользователей в агентах.
Каналы Direct Line в Copilot Studio Запретите создателям агентов включать или использовать канал Direct Line.
Например, демонстрационный веб-сайт, пользовательский веб-сайт, мобильное приложение и другие каналы Direct Line будут заблокированы.
Канал Facebook в Copilot Studio Запретите создателям агентов включать или использовать канал Facebook.
Источник знаний с SharePoint и OneDrive в Copilot Studio Запретите создателям агентов публикацию агентов, настроенных с использованием SharePoint в качестве источника знаний. Поддерживает фильтрацию конечных точек соединителя DLP, чтобы разрешить или запретить конечные точки.
Источник знаний с общедоступными веб-сайтами и данными в Copilot Studio Запретите создателям агентов публикацию агентов, настроенных с использованием общедоступных веб-сайтов в качестве источника знаний. Поддерживает фильтрацию конечных точек соединителя DLP, чтобы разрешить или запретить конечные точки.
Источник знаний с документами в Copilot Studio Запретите создателям агентов публикацию агентов, настроенных с использованием документов в качестве источника знаний.
Канал Microsoft Teams в Copilot Studio Запретите создателям агентов включать или использовать канал Teams.
Многоканальное взаимодействие в Copilot Studio Запретите создателям агентов включать или использовать канал многоканального взаимодействия.
Навыки в Copilot Studio Запретите создателям агентов использовать навыки в агентах Copilot Studio.
Дополнительные сведения см. в разделах Защита от потери данных — Блокировка навыков в агентах и Защита от потери данных — Блокировка HTTP-запросов в агентах.
Триггеры событий с Copilot Studio Запретите создателям агент использовать триггеры событий в Copilot Studio агентах.
Дополнительные сведения см. в разделе Защита от потери данных — блокировка триггеров событий в агентах.

Пример конфигураций политик защиты от потери данных

Чтобы помочь вам начать работу с управлением агентами Copilot Studio, мы создали следующие примеры, в которых подробно описаны различные сценарии:

Используйте PowerShell для включения и администрирования принудительного применения защиты от потери данных для агентов в организации

Вы можете настроить, следует ли применять политики защиты от потери данных к агентам, с помощью командлетов PowerAppDlpErrorSettings and PowerVirtualAgentsDlpEnforcement PowerShell.

Вы можете:

  • Проверьте, включена ли защита от потери данных для агентов в вашем клиенте.
  • Включите или отключите политику DLP в режиме аудита (-Mode SoftEnabled), чтобы создатели агентов могли видеть ошибки, но не были лишены возможности выполнять действия, которые были бы заблокированы, если бы принудительное применение защиты от потери данных было полностью включено.
  • Включите или отключите принудительное применение защиты от потери данных, чтобы отображать ошибки применения защиты от потери данных и не позволять создателям агентов публиковать боты, затронутые политикой защиты от потери данных, или настраивать параметры, связанные с политикой защиты от потери данных.
  • Исключите определенные агенты из принудительного применения политик DLP.
  • Добавьте и обновите ссылки для получения дополнительной информации и контактной электронной почты, которые отображаются создателям агент, когда они сталкиваются с DLP в Copilot Studio веб-приложениях и приложениях Teams.

Внимание!

Прежде чем использовать командлеты PowerShell или показанные здесь примеры сценариев, убедитесь, что вы установили следующие модули с помощью PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Для использования командлетов вы должны быть администратором портала.

Обычно эти командлеты следует использовать в соответствии с процессом развертывания защиты от потери данных, который может состоять из следующих шагов (в указанном порядке):

  1. Добавьте или обновите ссылки для получения дополнительной информации и контактных лиц администратора, которые отображаются в разделе Ошибки защиты от потери данных для создателей агент.

  2. Определите, на каких агентах (если таковые имеются) в настоящее время включено применение политики защиты от потери данных.

  3. Использование режима аудита, или "мягкого" режима, чтобы создатели могли видеть ошибки DLP в веб-приложении Copilot Studio и приложении Teams.

  4. Снижение рисков путем установления контакта с создателями и информирования их обо оптимальном порядке действий для разрабатываемого ими приложения или потока.

  5. Включите принудительное применение защиты от потери данных для агентов, чтобы предотвратить задачи и функции, затронутые DLP.

Вы также можете исключить одного или нескольких агентов из политики защиты от потери данных в зависимости от варианта использования и требований агент.

Настроить ссылки "Подробнее" и ссылки для связи с администратором можно с помощью командлета PowerShell Set-PowerAppDlpErrorSettings. Создатели агентов увидят эту информацию, когда столкнутся с ошибками защиты от потери данных.

Снимок экрана веб-приложения Copilot Studio со связанной с DLP ошибкой с выделенным текстом ошибки.

Чтобы добавить ссылку "Подробнее" и ссылку для связи с администратором в первый раз, выполните следующий скрипт PowerShell, заменив значения <email>, <URL> и <tenant ID> своими собственными параметрами.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Чтобы обновить существующую конфигурацию, используйте этот же сценарий PowerShell, но заменитеNew-PowerAppDlpErrorSettings на Set-PowerAppDlpErrorSettings.

Внимание

Эти параметры применяются ко всем приложениям Power Platform в указанном арендаторе.

Включение и настройка принудительного применения защиты от потери данных для агентов

Включать, отключать, настраивать и проверять применение защиты от потери данных в Copilot Studio можно с помощью командлета PowerVirtualAgentsDlpEnforcement.

В любом из следующих примеров замените (или объявите)<tenant ID> в соответствии с идентификатором своего арендатора.

Вы можете ограничить область агентами, созданными после определенной даты, заменив <date> ее на дату в формате MM-DD-YYYY. Чтобы удалить область действия, удалите параметр -OnlyForBotsCreatedAfter и его значение.

Подтверждение применения защиты от потери данных для агентов

По умолчанию принудительное применение защиты от потери данных для агентов отключено во всех клиентах.

Вы можете запустить следующий командлет PowerShell, чтобы проверить, включена ли DLP для Copilot Studio в данном арендаторе.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Заметка

Если вы не настроили DLP для Copilot Studio, результаты командлета будут пустыми.

Использование режима аудита, или "мягкого" режима для отображения ошибок DLP в веб-приложении Copilot Studio и приложении Teams

Запустите следующий сценарий PowerShell, чтобы включить политики защиты от потери данных в режиме аудита. Создатели агентов будут видеть ошибки, связанные с политикой DLP, при настройке агентов в веб-приложениях Copilot Studio и приложениях Teams, но им не будет заблокировано выполнение действий, связанных с политикой DLP. Кроме того, создатели не могут публиковать агентов, пока включен мягкий режим.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Чтобы найти агентов, на которых могут повлиять существующие политики защиты от потери данных в вашей организации, вы можете:

  1. Используйте Начальный набор центра передовых технологий (CoE), чтобы получить список агентов в вашей организации. Перейдите на страницу обзора Copilot Studio на панели мониторинга CoE, чтобы просмотреть имена агентов и сред в вашей организации.

    Снимок экрана панели мониторинга начального набора CoE, на которой открыт обзор Copilot Studio.

  2. Проведите кампанию с разработчиками агент в вашей организации, чтобы устранить ошибки защиты от потери данных или обновить политики защиты от потери данных. Вы можете загрузить все ошибки политик DLP агента, выбрав Подробнее на баннере уведомления об ошибке и выбрав Загрузить в сведениях сообщения об ошибке.

Включение принудительного применения защиты от потери данных для агентов

Внимание!

Прежде чем включать принудительное применение политики DLP, убедитесь, что вы знаете, какие агенты будут показывать ошибки пользователям ваших агентов из-за нарушений политики DLP.

Если у вас возникнут проблемы, вы можете исключить агент из политик защиты от потери данных или отключить принудительное применение защиты от потери данных, пока ваши создатели исправят агент в соответствии с политиками защиты от потери данных.

Вы можете запустить следующую команду PowerShell, чтобы применить политики защиты от потери данных в Copilot Studio. Создатели агента не смогут выполнять действия, затрагиваемые политикой DLP, а пользователи увидят ошибки, если они сработают.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Исключение бота из политик DLP

Если вы включили принудительное применение защиты от потери данных для своего клиента, но вам нужно освободить агент от отображения ошибок защиты от потери данных создателям и пользователям, вы можете запустить следующий сценарий PowerShell.

Убедитесь, что вы заменили <environment ID>, <bot ID>, <tenant ID> и <policy ID> соответствующими идентификаторами для агента, который хотите исключить.

Совет

Вы можете найти <environment ID> и <bot ID> в URL-адресе агента.

Значение <policy ID> указано рядом со сведениями об ошибке в файле Загрузить сведения. Вы можете загрузить этот файл, выбрав Загрузить сведения на баннере уведомления об ошибке в Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Отключение принудительного применения защиты от потери данных для агентов

Следующая команда отключит принудительное применение защиты от потери данных в агентах.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled