Konfigurera dataförlustskydd policyer för agenter
Med Copilot Studio kan du snabbt skapa och distribuera värdefulla agenter för dina användare som kan ansluta till många datakällor och tjänster. Vissa av dessa källor och tjänster kan vara externa tjänster som inte kommer från Microsoft och kan till och med omfatta sociala nätverk, tillsammans med anslutningar till organisationens data.
Organisationsdata är den viktigaste tillgångsadministratören ansvarar för att skydda. Möjligheten att använda dessa data på ett skyddat sätt, samtidigt som man ansluter och interagerar med andra tjänster och system, är en hörnsten i datasäkerheten.
Med principer för dataförlustskydd (DLP) kan du styra hur agenter ansluter och interagerar med data och tjänster, inom och utanför organisationen. Administratörer kan konfigurera Copilot Studio och Power Platform DLP-principer i Power Platform administrationscentret.
Viktigt
I början av 2025 är DLP-policyefterlevnaden för alla klientorganisationer inställd på Aktiverad som standard, vilket meddelas i meddelandecentrets avisering MC973179: Copilot Studio – Kommande uppdateringar i tillämpning av policy om förebyggande av dataförlust.
I januari 2025:
- Som standard är tillämpningen för handläggare i alla klientorganisationer inställd på mjuk aktivering (tidigare var tillämpning inaktiverat som standard):
- Befintliga handläggare som hade DLP-tillämpningen inställd på Inaktiverad ändras automatiskt till mjukaktivering. Nya handläggare har DLP-tillämpning inställd på mjukaktiverad som standard när den skapas.
- Om en publicerad agent har en DLP-principöverträdelse kan användare av agent fortsätta att interagera med agent, men uppdateringar av agent kan inte publiceras. DLP-principöverträdelserna måste lösas innan agent kan publiceras.
- Överträdelser av DLP-principer registreras för administratörer och användare och tillverkare ser varningar om DLP-överträdelser. Användarna blockeras inte från att använda agent.
- Cmdleten PowerShell kan inte längre användas för att stänga av verkställandet.
Från och med februari 2025:
- Som standard anges tillämpning för agenter i alla klienter till Aktiverad – alla publicerade agenter och uppdateringar av befintliga agenter omfattas av DLP-principer som gäller enligt definitionen i klientorganisationen.
- Cmdleten PowerShell kan inte längre användas för att aktivera eller inaktivera tillämpning och stöds inte efter februari 2025.
Lär dig mer om att bekräfta tillämpning i din klientorganisation.
Förutsättningar
- Du bör granska begrepp om DLP-principer
- Du måste vara administratör för klientorganisation eller ha -rollen miljöadministratör
Copilot Studio-anslutningsprogram
Copilot Studio-anslutningar kan användas inom en DLP-policy under följande datagrupper, som visas i Power Platform administrationscenter när de granskar DLP-policyer:
- Företag
- Icke verksamhetsrelaterade
- Blockerade
Du kan använda anslutningsprogrammen i DLP-principer för att skydda organisationens data från skadlig eller oavsiktlig dataexfiltrering av dina agentutvecklare.
Viktigt
Copilot Studio har stöd för DLP-principtillämpning i realtid. Agentutvecklare och användare ser felmeddelanden för överträdelser av DLP-principer.
I en DLP-princip måste anslutningsprogram finnas i samma datagrupp eftersom data inte kan delas mellan kopplingar som finns i olika grupper.
Du kan konfigurera DLP-principer i Power Platform administrationscentret för att blockera någon av följande Copilot Studio anslutningsprogram.
| Namn på anslutningsprogrammet | Användningsfall |
|---|---|
| Application Insights i Copilot Studio | Blockera agent skapare från koppla agenter med Application Insights. |
| Chatta utan Microsoft Entra ID-autentisering i Copilot Studio | Blockera agentutvecklare från att publicera agenter som inte är konfigurerade för autentisering. Agentanvändare måste autentisera sig själva för att kunna chatta med agenten. Mer information finns i Exempel på dataförlustskydd – Kräv autentisering av användare i agenter. |
| Direct Line-kanaler i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Direct Line-kanal. Exempelvis blockeras demowebbplatsen, den anpassade webbplatsen, mobilappen och andra Direct Line-kanaler. |
| Facebook-kanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Facebook-kanal. |
| Kunskapskälla med SharePoint och OneDrive i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med SharePoint som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Kunskapskälla med dokument i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med dokument som kunskapskälla. |
| Kunskapskälla med offentliga webbplatser och data i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med offentliga webbplatser som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Microsoft Copilot Studio | Blockera agentutvecklare från att använda agentutlösare i Copilot Studio-agenter. Mer information finns i Exempel på dataförlustskydd – Blockera händelseutlösare i agenter. |
| Microsoft Teams-kanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Teams-kanal. |
| Flerkanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda flerkanal. |
| Färdigheter med Copilot Studio | Blockera agentutvecklare från att använda färdigheter i Copilot Studio-agenter. Mer information finns i Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter och Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter. |
Exempel på konfigurationer av DLP-policy
Kom igång med Copilot Studio agentstyrning genom att granska följande exempelscenarier:
- Exempel på dataförlustskydd – Kräv autentisering av användare i agenter
- Exempel på förhindrande av data – Blockera en SharePoint- kunskapskälla i agenter
- Exempel på dataförlustskydd – Blockera Power Platform-anslutningsprogram i agenter
- Exempel på dataförlustskydd – Blockera HTTP-begäran i agenter
- Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter
- Exempel på dataförlustskydd – Blockera händelseutlösare i agenter
- Exempel på dataförlustskydd – Blockera kanaler för att inaktivera publicering av agent
Använd PowerShell för att aktivera och administrera DLP-tillämpning för agent i din organisation
Du kan konfigurera om DLP-policyer ska tillämpas på dina agenter med PowerAppDlpErrorSettings och PowerVirtualAgentsDlpEnforcement PowerShell cmdlets.
Du kan:
- Bekräfta om DLP-principer tillämpas för agenter i din klientorganisation.
- Växla DLP-principtillämpning till granskningsläge (
-Mode SoftEnabled) så att agentutvecklare kan se fel, men inte hindras från att utföra åtgärder som DLP-principtillämpning skulle blockera. - Aktivera eller inaktivera DLP-tillämpning för att visa DLP-tillämpningsfel och förhindra agentutvecklare från att publicera DLP-påverkade agenter eller konfigurera DLP-relaterade inställningar.
- Lägg till och uppdatera e-postlänkarna för mer information och kontakt som visas för agent skapare när Copilot Studio-utlösare av DLP-principen utlöses.
Viktigt
Innan du använder PowerShell-cmdlets, eller exempelskripten som visas här, ser du till att du installerar följande moduler med hjälp av PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du måste vara en administratör för klientorganisation för att använda cmdlets.
Vanligtvis använder du dessa cmdlets enligt en DLP-lanseringsprocess, som kan bestå av följande steg, för att:
Lägg till eller uppdatera e-postlänkarna för läs mer och administratörskontakt som visas i DLP-fel för agent skapare.
Bestäm vilka (om några) agenter som för närvarande har aktiverats för att kontrollera DLP-policyn.
Använd granskningsläget så att tillverkare kan se DLP-fel i Copilot Studio webb- och Teams-apparna.
Minska riskerna genom att kontakta beslutsfattare och informera dem om hur appen eller flödet fungerar bäst.
Aktivera strikt tillämpning av DLP-principer för agenter.
Viktigt
Undantag för tillämpning av DLP-princip för agenter stöds inte längre. Agenter som tidigare var undantagna från DLP-tillämpning kommer att få sin tillämpning inställd på mjukaktiverad i januari 2025 och inställd på aktiverad i februari 2025.
Lägga till och uppdatera e-postlänkarna för mer information och administratörskontakt
Du kan använda Set-PowerAppDlpErrorSettings PowerShell cmdleten för att lägga till en e-postadress och länken ”Läs mer” i DLP-felmeddelandena.
Om du vill lägga till e-postadressen och läs mer-länken för första gången kör du följande PowerShell skript och ersätter värdena för <email>, <URL> och <tenant ID> parametrarna med dina egna.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
För att uppdatera en befintlig konfiguration, använd samma PowerShell-skript och ersätt New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.
Varning
Dessa inställningar gäller för alla Power Platform appar i den angivna klientorganisationen.
Konfigurera DLP-tillämpning för handläggare
Du kan aktivera, inaktivera, konfigurera och granska DLP-tvingande åtgärder i Copilot Studio med PowerVirtualAgentsDlpEnforcement cmdlet.
I något av följande exempel, ersätt (eller deklarera) <tenant ID> med din klientorganisations ID.
Du kan använda agenter som skapats efter ett visst datum genom att ersätta <date> med datum i formatet MM-DD-YYYY. Ta bort omfattningen genom att ta bort -OnlyForBotsCreatedAfter parametern och dess värde.
Bekräfta tillämpning av DLP-princip för agenter
Som standard är DLP-principtillämpning för agenter inställd på granskning eller ”mjukt” läge.
Kör följande PowerShell cmdlet för att kontrollera DLP-principens tvingande status för en klientorganisation.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Obs
Om DLP inte har konfigurerats för Copilot Studio är svaret från cmdleten tomt.
Använd granskningsläge för att se DLP-fel i Copilot Studio
Kör följande PowerShell skript för att aktivera DLP-principer i gransknings- eller ”mjukt” läge. När det här läget är aktivt kan agentutvecklare se DLP-relaterade felmeddelanden när de konfigurerar agenter i Copilot Studio, men det hindrar dem inte från att utföra DLP-relaterade åtgärder. Utvecklare kan dock inte publicera agenter när det här läget är aktivt.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Om du vill hitta agenter som organisationens DLP-principer kan påverka kan du:
Använd Power BI-instrumentpanelen i startpaketet för Center of Excellence (CoE) för att hämta en lista över agenter i din organisation. Gå till Copilot Studio översiktssidan på CoE-instrumentpanelen för att se agenter och miljönamnen i din organisation.
Kör en kampanj med agentutvecklarna i din organisation för att åtgärda DLP-fel eller uppdaterade DLP-principer. Du kan ladda ner alla agent DLP-fel genom att välja Detaljer i felmeddelandebanderollen och välja Hämta från felmeddelandeinformationen.
Aktivera DLP-tillämpning för handläggare
Varning
Innan du aktiverar tillämpning av DLP-principer bör du se till att du vet vilka agenter som sannolikt kommer att rapportera fel till användare på grund av överträdelser av DLP-principer.
Du kan köra följande PowerShell-kommando för att tillämpa DLP-policyer i Copilot Studio. Agentutvecklare hindras från att utföra åtgärder som skulle bryta mot DLP-principer och användarna ser felmeddelanden för eventuella överträdelser.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>