Konfigurera dataförlustskydd policyer för agenter
Organisationsdata är den viktigaste tillgångsadministratören ansvarar för att skydda. Möjligheten att skapa automatisering för att använda dessa data utgör en stor del av företagets framgångar.
Du kan snabbt bygga och distribuera agenter av högt värde för användarna. Du kan koppla samman dina agenter med många datakällor och -tjänster. Vissa av dessa källor och tjänster kan vara externa tjänster som inte kommer från Microsoft och kan även innehålla sociala nätverk.
Det är lätt att förbise möjligheten till exponering. En sådan typ av förtjänst kan uppstå genom att data är försent och att det finns anslutningar till tjänster och målgrupper som inte bör ha tillgång till dessa data.
Administratörer kan styra agenter i organisationen med hjälp av policyer för att förhindra dataförlust (DLP) med befintliga och Copilot Studio anslutningsprogram. DLP-policyer skapas i administrationscentret för Power Platform. Om du vill skapa en DLP-policy måste du inne ha rollen som klientorganisationsadministratör eller Miljöadministratör.
Förutsättningar
- Granska begrepp om DLP-policyer
Copilot Studio-anslutningsprogram
Copilot Studio-anslutningar kan användas inom en DLP-policy under följande datagrupper, som visas i Power Platform administrationscenter när de granskar DLP-policyer:
- Företag
- Icke verksamhetsrelaterade
- Blockerade
Du kan använda anslutningsprogrammen i DLP-principer för att skydda organisationens data från skadlig eller oavsiktlig dataexfiltrering av dina agentutvecklare.
Viktigt
Som standard är DLP-tillämpning för agenter inaktiverad i alla klientorganisationer. Lär dig hur du aktiverar tvingande åtgärder.
När den väl är aktiverad, Copilot Studio stöder DLP-tvingande i realtid. Till exempel kommer både tillverkare och användare att se DLP-verkställighetsfel när en princip tillämpas.
Kopplingarna måste finnas i en enskild datagrupp eftersom data inte kan delas mellan kopplingar som finns i olika grupper.
Flera Copilot Studio-anslutningsprogram finns nu i Power Platform-administratörscenter. De här anslutningsprogrammen kan konfigureras för DLP enligt följande:
| Namn på anslutningsprogrammet | Description |
|---|---|
| Application Insights i Copilot Studio | Blockera agentutvecklare från att ansluta sig till en agent med Application Insights. |
| Chatta utan Microsoft Entra ID-autentisering i Copilot Studio | Blockera agentutvecklare från att publicera agenter som inte är konfigurerade för autentisering. agentanvändare måste autentisera sig själva för att kunna chatta med agenten. Mer information finns i Exempel på dataförlustskydd – Kräv autentisering av användare i agenter. |
| Direct Line-kanaler i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Direct Line-kanal. Exempelvis blockeras demowebbplatsen, den anpassade webbplatsen, mobilappen och andra Direct Line-kanaler. |
| Facebook-kanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Facebook-kanal. |
| Kunskapskälla med SharePoint och OneDrive i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med SharePoint som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Kunskapskälla med offentliga webbplatser och data i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med offentliga webbplatser som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Kunskapskälla med dokument i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med dokument som kunskapskälla. |
| Microsoft Teams-kanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Teams-kanal. |
| Flerkanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda flerkanal. |
| Färdigheter med Copilot Studio | Blockera agentutvecklare från att använda färdigheter i Copilot Studio-agenter. Mer information finns i Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter och Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter. |
| Händelseutlösare med Copilot Studio | Blockera agentutvecklare från att använda agentutlösare i Copilot Studio-agenter. Mer information finns i Exempel på dataförlustskydd – Blockera händelseutlösare i agenter. |
Exempel på konfigurationer av DLP-policy
För att hjälpa dig att komma igång med Copilot Studio agentstyrning har vi skapat följande exempel som beskriver olika scenarier:
- Exempel på dataförlustskydd – Kräv autentisering av användare i agenter
- Exempel på förhindrande av data – Blockera en SharePoint- kunskapskälla i agenter
- Exempel på dataförlustskydd – Blockera Power Platform-anslutningsprogram i agenter
- Exempel på dataförlustskydd – Blockera HTTP-begäran i agenter
- Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter
- Exempel på dataförlustskydd – Blockera händelseutlösare i agenter
- Exempel på dataförlustskydd – Blockera kanaler för att inaktivera publicering av agent
Använd PowerShell för att aktivera och administrera DLP-tillämpning för agent i din organisation
Du kan konfigurera om DLP-policyer ska tillämpas på dina agenter med PowerAppDlpErrorSettings och PowerVirtualAgentsDlpEnforcement PowerShell cmdlets.
Du kan:
- Bekräfta om DLP är aktiverat för agenter i din klientorganisation.
- Aktivera eller inaktivera DLP i ett granskningsläge (
-Mode SoftEnabled) så att agentutvecklare kan se fel, men inte hindras från att utföra åtgärder som skulle blockeras om DLP-tvingande var helt aktiverad. - Aktivera eller inaktivera DLP-tillämpning för att visa DLP-tillämpningsfel och förhindra agentutvecklare från att publicera DLP-påverkade robotar eller konfigurera DLP-relaterade inställningar.
- Undanta specifika agenter från DLP-tillämpning.
- Lägg till och uppdatera e-postlänkarna för mer information och kontakt som visas för agentutvecklare när de stöter på DLP i Copilot Studio webb och Teams-apparna.
Viktigt
Innan du använder PowerShell-cmdlets, eller exempelskripten som visas här, ser du till att du installerar följande moduler med hjälp av PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du måste vara en administratör för klientorganisation för att använda cmdlets.
Vanligtvis använder du dessa cmdlets enligt en DLP-lanseringsprocess, som kan bestå av följande steg, för att:
Lägg till eller uppdatera e-postlänkarna för läs mer och administratörskontakt som visas i DLP-fel för agent skapare.
Bestäm vilka (om några) agenter som för närvarande har aktiverats för att kontrollera DLP-policyn.
Använd revision eller ”mjukt” läge så att tillverkare kan se DLP-fel i Copilot Studio webb och Teams-appar.
Minska riskerna genom att kontakta beslutsfattare och informera dem om hur appen eller flödet fungerar bäst.
Aktivera DLP-ikraftträdande för agenter för att förhindra uppgifter och funktioner som påverkas av DLP.
Du kan också välja att undanta en eller flera agenter från DLP-policytillämpning, beroende på agentens användningsfall och krav.
Lägga till och uppdatera e-postlänkarna för mer information och administratörskontakt
Du kan konfigurera ett e-postmeddelande och en länk som lär dig mer med hjälp av Set-PowerAppDlpErrorSettings PowerShell cmdleten. Dina agentutvecklare ser den här informationen när de upplever DLP-fel.
För att lägga till länken för e-post och läs mer för första gången, kör följande PowerShell-skript och ersätt värdena för <email>, <URL> och <tenant ID> parametrarna med ditt eget.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
För att uppdatera en befintlig konfiguration, använd samma PowerShell-skript och ersätt New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.
Varning
Dessa inställningar gäller för alla Power Platform appar i den angivna klientorganisationen.
Aktivera och konfigurera DLP-ikraftträdande för agenter
Du kan aktivera, inaktivera, konfigurera och granska DLP-tvingande åtgärder i Copilot Studio med PowerVirtualAgentsDlpEnforcement cmdlet.
I något av följande exempel, ersätt (eller deklarera) <tenant ID> med din klientorganisations ID.
Du kan använda agenter som skapats efter ett visst datum genom att ersätta <date> med datum i formatet MM-DD-YYYY. Ta bort omfattningen genom att ta bort -OnlyForBotsCreatedAfter parametern och dess värde.
Bekräfta DLP-ikraftträdande för agenter
Som standard är DLP-tillämpning för agenter inaktiverad i alla klientorganisationer.
Du kan köra följande PowerShell-cmdlet för att kontrollera om DLP för Copilot Studio är aktiverat för en klientorganisation.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Kommentar
Om du inte har konfigurerat Copilot Studio DLP kommer resultatet från cmdlet att vara tomma.
Använd revision eller ”mjukt” läge för att se DLP-fel i Copilot Studio webb eller Teams-appar
Kör följande PowerShell-skript om du vill aktivera DLP-principer i granskningsläge. Agentutvecklare vill se DLP-relaterade fel när du konfigurerar agenter i Copilot Studio webb och Teams-appar, men de blockeras inte från att utföra DLP-relaterade åtgärder. Dessutom kan tillverkare inte publicera agenter när det mjuka läget är aktiverat.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Om du vill hitta agenter som kan påverkas av organisationens befintliga DLP-principer kan du:
Använd Startpaket för Center of Excellence (CoE) om du vill ha en lista över agenter i din organisation. Gå till Copilot Studio översiktssidan på CoE-instrumentpanelen för att se agenter och miljönamnen i din organisation.
Kör en kampanj med agentutvecklarna i din organisation för att åtgärda DLP-fel eller uppdaterade DLP-principer. Du kan ladda ner alla agent DLP-fel genom att välja Detaljer i felmeddelandebanderollen och välja Hämta från felmeddelandeinformationen.
Aktivera DLP-tvingande för agenter
Viktigt
Innan du aktiverar DLP-tvingande, se till att du vet vilka agenter som kommer att visa fel för dina agentanvändare på grund av DLP-policyöverträdelser.
Om du stöter på problem kan du undanta en agent från DLP-principer eller inaktivera DLP-tvingande medan skaparna åtgärdar agenten för att följa DLP-principerna.
Du kan köra följande PowerShell-kommando för att tillämpa DLP-policyer i Copilot Studio. agent utvecklare hindras från att utföra DLP-påverkade åtgärder och användarna ser fel om de utlöses.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Undanta en robot från DLP-policyer
Om du har aktiverat DLP-tvingande för din klientorganisation, men du behöver undanta en agent från att visa DLP-fel för tillverkare och användare, kan du köra följande PowerShell-skript.
Se till att ersätta <environment ID>, <bot ID>, <tenant ID> och <policy ID> med lämpliga ID:n för den agent som du vill undanta.
Tips!
Du kan hitta <environment ID> och <bot ID> från agentens URL.
<policy ID>visas tillsammans med felinformationen i filen med information om hämtningen. Du kan ladda ner den filen genom att välja Hämta information i meddelandefältet i Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Inaktivera DLP-tvingande för agenter
Följande kommando inaktiverar DLP-tillämpning i agenter.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled