Dela via

Konfigurera policyer för dataförlustskydd för copiloter

  • Artikel

Organisationsdata är den viktigaste tillgångsadministratören ansvarar för att skydda. Möjligheten att skapa automatisering för att använda dessa data utgör en stor del av företagets framgångar.

Du kan snabbt bygga och distribuera copiloter av högt värde för slutanvändarna. Du kan koppla samman dina copiloter med många datakällor och -tjänster. Vissa av dessa källor och tjänster kan vara externa tjänster som inte kommer från Microsoft och kan även innehålla sociala nätverk.

Det är lätt att förbise möjligheten till exponering. En sådan typ av förtjänst kan uppstå genom att data är försent och att det finns anslutningar till tjänster och målgrupper som inte bör ha tillgång till dessa data.

Administratörer kan styra copiloter i organisationen med hjälp av policyer för att förhindra dataförlust (DLP) med befintliga och Copilot Studio anslutningsprogram. DLP-policyer skapas i administrationscentret för Power Platform. Om du vill skapa en DLP-policy måste du inne ha rollen som klientorganisationsadministratör eller Miljöadministratör.

Förutsättningar

Copilot Studio-anslutningsprogram

Copilot Studio-anslutningar kan användas inom en DLP-policy under följande datagrupper, som visas i Power Platform administrationscenter när de granskar DLP-policyer:

  • Företag
  • Icke verksamhetsrelaterade
  • Blockerade

Du kan använda anslutningsprogram i DLP-policyer för att skydda organisationens data från skadliga eller oavsiktliga datainfiltrering av dina copilot-skapare.

Viktigt

Som standard är DLP-ikraftträdande för copiloter inaktiverade i alla innehavare. Lär dig hur du aktiverar tvingande åtgärder.

Kopplingarna måste finnas i en enskild datagrupp eftersom data inte kan delas mellan kopplingar som finns i olika grupper.

Flera Copilot Studio-anslutningsprogram finns nu i Power Platform-administratörscenter. De här anslutningsprogrammen kan konfigureras för DLP enligt följande:

Namn på anslutningsprogrammet Description
Application Insights i Copilot Studio Blockera copilot-utvecklare från att ansluta sig till en copilot med Application Insights.
Chatta utan Microsoft Entra ID-autentisering i Copilot Studio Blockera copilot-fattare från att publicera copiloter som inte är konfigurerade för autentisering.
Copilot-användare måste autentisera sig själva för att kunna chatta med copiloten.
Mer information finns i Exempel på dataförlustskydd – Kräv autentisering av slutanvändare i copiloter.
Direct Line-kanaler i Copilot Studio Blockera copilot-utvecklare från att aktivera eller använda Direct Line-kanal.
Exempelvis blockeras demowebbplatsen, den anpassade webbplatsen, mobilappen och andra Direct Line-kanaler.
Facebook-kanal i Copilot Studio Blockera copilot-skapare från att aktivera eller använda Facebook kanalen.
Kunskapskälla med SharePoint och OneDrive i Copilot Studio Blockera copilot-utvecklare från att publicera copiloter som konfigurerats med SharePoint som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter.
Kunskapskälla med offentliga webbplatser och data i Copilot Studio Blockera copilot-utvecklare från att publicera copiloter som konfigurerats med offentliga webbplatser som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter.
Kunskapskälla med dokument i Copilot Studio Blockera copilot-utvecklare från att publicera copiloter som konfigurerats med dokument som kunskapskälla.
Microsoft Teams-kanal i Copilot Studio Blockera copilot-skapare från att aktivera eller använda Teams-kanalen.
Flerkanal i Copilot Studio Blockera copilot-skapare från att aktivera eller använda flerkanalskanalen.
Färdigheter med Copilot Studio Blockera copilot-skapare från att använda färdigheter i Copilot Studio-copiloter.
Mer information finns i Exempel på förebyggande av dataförlust – Blockera färdigheter i copiloter och Exempel på förebyggande av dataförlust – Blockera färdigheter i copiloter.

Exempel på konfigurationer av DLP-policy

För att hjälpa dig att komma igång med styrning av Copilot Studio copilot har vi skapat exempel som beskriver olika scenarier:

Använd PowerShell för att aktivera och administrera DLP-ikraftträdande för copiloter i din organisation

Du kan konfigurera om DLP-policyer ska tillämpas på dina copiloter med PowerAppDlpErrorSettings och PowerVirtualAgentsDlpEnforcement PowerShell cmdlets.

Du kan:

  • Bekräfta om DLP har aktiverats för copiloter i din klientorganisation.
  • Aktivera eller inaktivera DLP i ett granskningsläge (-Mode SoftEnabled) så att copilot-skapare kan se fel, men inte hindras från att utföra åtgärder som skulle blockeras om DLP-ikraftträdande var helt aktiverad.
  • Aktivera eller inaktivera DLP-tillämpning för att visa DLP-tillämpningsfel och förhindra copilot-tillverkare från att publicera DLP-påverkade robotar eller konfigurera DLP-relaterade inställningar.
  • Undanta specifika copiloter från DLP-ikraftträdande.
  • Lägg till och uppdatera länkarna för läs mer och kontakta e-post som visas för copilot-skapare när de stöter på DLP i Copilot Studio webb och Teams-appar.

Viktigt

Innan du använder PowerShell-cmdlets, eller exempelskripten som visas här, ser du till att du installerar följande moduler med hjälp av PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Du måste vara en administratör för klientorganisation för att använda cmdlets.

Vanligtvis använder du dessa cmdlets enligt en DLP-lanseringsprocess, som kan bestå av följande steg, för att:

  1. Lägg till eller uppdatera e-postlänkarna för läs mer och administratörskontakt som visas i DLP-fel för copilot-skapare.

  2. Bestäm vilka (om några) copiloter som för närvarande har aktiverats för att kontrollera DLP-policyn.

  3. Använd revision eller ”mjukt” läge så att tillverkare kan se DLP-fel i Copilot Studio webb och Teams-appar.

  4. Minska riskerna genom att kontakta beslutsfattare och informera dem om hur appen eller flödet fungerar bäst.

  5. Aktivera DLP-ikraftträdande för copiloter för att förhindra uppgifter och funktioner som påverkas av DLP.

Du kan också välja att undanta en eller flera copiloter från DLP-policytillämpning, beroende på copilotens användningsfall och krav.

Du kan konfigurera ett e-postmeddelande och en länk som lär dig mer med hjälp av Set-PowerAppDlpErrorSettings PowerShell cmdleten. Dina copilot-skapare ser den här informationen när de får DLP-fel.

Skärmbild av Copilot Studio webbapp visar ett DLP-relaterat fel med feltext markerad.

För att lägga till länken för e-post och läs mer för första gången, kör följande PowerShell-skript och ersätt värdena för <email>, <URL> och <tenant ID> parametrarna med ditt eget.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

För att uppdatera en befintlig konfiguration, använd samma PowerShell-skript och ersätt New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.

Varning

Dessa inställningar gäller för alla Power Platform appar i den angivna klientorganisationen.

Aktivera och konfigurera DLP-ikraftträdande för copiloter

Du kan aktivera, inaktivera, konfigurera och granska DLP-tvingande åtgärder i Copilot Studio med PowerVirtualAgentsDlpEnforcement cmdlet.

I något av följande exempel, ersätt (eller deklarera) <tenant ID> med din klientorganisations ID.

Du kan använda copiloter som skapats efter ett visst datum genom att ersätta <date> med datum i formatet MM-DD-YYYY. Ta bort omfattningen genom att ta bort -OnlyForBotsCreatedAfter parametern och dess värde.

Bekräfta DLP-ikraftträdande för copiloter

Som standard är DLP-ikraftträdande för copiloter inaktiverade i alla innehavare.

Du kan köra följande PowerShell-cmdlet för att kontrollera om DLP för Copilot Studio är aktiverat för en klientorganisation.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Kommentar

Om du inte har konfigurerat Copilot Studio DLP kommer resultatet från cmdlet att vara tomma.

Använd revision eller ”mjukt” läge för att se DLP-fel i Copilot Studio webb eller Teams-appar

Kör följande PowerShell-skript om du vill aktivera DLP-principer i granskningsläge. Copilot-skapare vill se DLP-relaterade fel när du konfigurerar copiloter i Copilot Studio webb och Teams-appar, men de blockeras inte från att utföra DLP-relaterade åtgärder. Dessutom kan tillverkare inte publicera copiloter när det ”mjuka” läget är aktiverat.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Om du vill hitta copiloter som kan påverkas av organisationens befintliga DLP-policyer kan du:

  1. Använd Startpaket för Center of Excellence (CoE) om du vill ha en lista över copiloter i din organisation. Gå till Copilot Studio översiktssidan på CoE-instrumentpanelen för att se copiloter och miljönamnen i din organisation.

    Skärmbild av instrumentpanelen CoE startpaket som öppnas för en Copilot Studio översikt.

  2. Kör en kampanj med copilot-fattarna i organisationen för att åtgärda DLP-fel eller uppdaterade DLP-policyer. Du kan ladda ner alla copilot DLP-fel genom att välja Detaljer i felmeddelandebanderollen och välja Hämta från felmeddelandeinformationen.

Aktivera DLP-ikraftträdande för copiloter

Viktigt

Innan du aktiverar DLP-tillämpning, se till att du vet vilka copiloter som kommer att visa fel för dina copilot-användare på grund av DLP-policyöverträdelser.

Om du får problem kan du undanta en copilot från DLP-policyer eller inaktivera DLP-ikraftträdande medan dina beslutsfattare åtgärdar copilot så att den följer DLP-policyer.

Du kan köra följande PowerShell-kommando för att tillämpa DLP-policyer i Copilot Studio. Copilot-utvecklare förhindras att utföra DLP-påverkade åtgärder och slutanvändarna ser fel om de utlöser.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Undanta en robot från DLP-policyer

Om du har aktiverat DLP-tillämpning för din klientorganisation, men du behöver undanta en copilot från att visa DLP-fel för tillverkare och användare, kan du köra följande PowerShell-skript.

Se till att du ersätter <environment ID>, <bot ID>, <tenant ID> och <policy ID> med lämpliga ID:n för den copilot du vill undanta.

Dricks

Du hittar <environment ID> och <bot ID> från copilot-URL.

<policy ID>visas tillsammans med felinformationen i filen med information om hämtningen. Du kan ladda ner den filen genom att välja Hämta information i meddelandefältet i Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Inaktivera DLP-ikraftträdande för copiloter

Följande kommando inaktiverar DLP-ikraftträdande i copiloter.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled