Konfigurera dataförlustskydd policyer för agenter
Organisationsdata är den viktigaste tillgångsadministratören ansvarar för att skydda. Möjligheten att skapa automatisering för att använda dessa data utgör en stor del av företagets framgångar.
Du kan snabbt bygga och distribuera agenter av högt värde för användarna. Du kan koppla samman dina agenter med många datakällor och -tjänster. Vissa av dessa källor och tjänster kan vara externa tjänster som inte kommer från Microsoft och kan även innehålla sociala nätverk.
Det är lätt att förbise möjligheten till exponering. En sådan typ av förtjänst kan uppstå genom att data är försent och att det finns anslutningar till tjänster och målgrupper som inte bör ha tillgång till dessa data.
Administratörer kan styra agenter i organisationen med hjälp av policyer för att förhindra dataförlust (DLP) med befintliga och Copilot Studio anslutningsprogram. DLP-policyer skapas i administrationscentret för Power Platform. Om du vill skapa en DLP-policy måste du inne ha rollen som klientorganisationsadministratör eller Miljöadministratör.
Förutsättningar
- Granska begrepp om DLP-policyer
Copilot Studio-anslutningsprogram
Copilot Studio-anslutningar kan användas inom en DLP-policy under följande datagrupper, som visas i Power Platform administrationscenter när de granskar DLP-policyer:
- Företag
- Icke verksamhetsrelaterade
- Blockerade
Du kan använda anslutningsprogrammen i DLP-principer för att skydda organisationens data från skadlig eller oavsiktlig dataexfiltrering av dina agentutvecklare.
Viktigt
Som standard är DLP-tillämpning för agenter inaktiverad i alla klientorganisationer. Lär dig hur du aktiverar tvingande åtgärder.
Copilot Studio har stöd för DLP-tillämpning i realtid. Skapare och användare av agenter ser tillämpliga felmeddelanden om DLP-tillämpning så snart en DLP-policy aktiveras.
I en DLP-princip måste anslutningsprogram finnas i samma datagrupp eftersom data inte kan delas mellan kopplingar som finns i olika grupper.
Du kan konfigurera DLP-principer i Power Platform administrationscentret för att blockera någon av följande Copilot Studio anslutningsprogram.
| Namn på anslutningsprogrammet | Användningsfall |
|---|---|
| Application Insights i Copilot Studio | Blockera agent skapare från koppla agenter med Application Insights. |
| Chatta utan Microsoft Entra ID-autentisering i Copilot Studio | Blockera agentutvecklare från att publicera agenter som inte är konfigurerade för autentisering. Agentanvändare måste autentisera sig själva för att kunna chatta med agenten. Mer information finns i Exempel på dataförlustskydd – Kräv autentisering av användare i agenter. |
| Direct Line-kanaler i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Direct Line-kanal. Exempelvis blockeras demowebbplatsen, den anpassade webbplatsen, mobilappen och andra Direct Line-kanaler. |
| Facebook-kanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Facebook-kanal. |
| Kunskapskälla med SharePoint och OneDrive i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med SharePoint som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Kunskapskälla med dokument i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med dokument som kunskapskälla. |
| Kunskapskälla med offentliga webbplatser och data i Copilot Studio | Blockera agentutvecklare från att publicera agenter som konfigurerats med offentliga webbplatser som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Microsoft Copilot Studio | Blockera agentutvecklare från att använda agentutlösare i Copilot Studio-agenter. Mer information finns i Exempel på dataförlustskydd – Blockera händelseutlösare i agenter. |
| Microsoft Teams-kanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda Teams-kanal. |
| Flerkanal i Copilot Studio | Blockera agentutvecklare från att aktivera eller använda flerkanal. |
| Färdigheter med Copilot Studio | Blockera agentutvecklare från att använda färdigheter i Copilot Studio-agenter. Mer information finns i Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter och Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter. |
Exempel på konfigurationer av DLP-policy
Kom igång med Copilot Studio agentstyrning genom att granska följande exempelscenarier:
- Exempel på dataförlustskydd – Kräv autentisering av användare i agenter
- Exempel på förhindrande av data – Blockera en SharePoint- kunskapskälla i agenter
- Exempel på dataförlustskydd – Blockera Power Platform-anslutningsprogram i agenter
- Exempel på dataförlustskydd – Blockera HTTP-begäran i agenter
- Exempel på förebyggande av dataförlust – Blockera färdigheter i agenter
- Exempel på dataförlustskydd – Blockera händelseutlösare i agenter
- Exempel på dataförlustskydd – Blockera kanaler för att inaktivera publicering av agent
Använd PowerShell för att aktivera och administrera DLP-tillämpning för agent i din organisation
Du kan konfigurera om DLP-policyer ska tillämpas på dina agenter med PowerAppDlpErrorSettings och PowerVirtualAgentsDlpEnforcement PowerShell cmdlets.
Du kan:
- Bekräfta om DLP är aktiverat för agenter i din klientorganisation.
- Aktivera eller inaktivera DLP i ett granskningsläge (
-Mode SoftEnabled) så att agentutvecklare kan se fel, men inte hindras från att utföra åtgärder som skulle blockeras om DLP-tvingande var helt aktiverad. - Aktivera eller inaktivera DLP-tillämpning för att visa DLP-tillämpningsfel och förhindra agentutvecklare från att publicera DLP-påverkade robotar eller konfigurera DLP-relaterade inställningar.
- Undanta specifika agenter från DLP-tillämpning.
- Lägg till och uppdatera e-postlänkarna för mer information och kontakt som visas för agentutvecklare när de stöter på DLP i Copilot Studio webb och Teams-apparna.
Viktigt
Innan du använder PowerShell-cmdlets, eller exempelskripten som visas här, ser du till att du installerar följande moduler med hjälp av PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du måste vara en administratör för klientorganisation för att använda cmdlets.
Vanligtvis använder du dessa cmdlets enligt en DLP-lanseringsprocess, som kan bestå av följande steg, för att:
Lägg till eller uppdatera e-postlänkarna för läs mer och administratörskontakt som visas i DLP-fel för agent skapare.
Bestäm vilka (om några) agenter som för närvarande har aktiverats för att kontrollera DLP-policyn.
Använd revision eller ”mjukt” läge så att tillverkare kan se DLP-fel i Copilot Studio webb och Teams-appar.
Minska riskerna genom att kontakta beslutsfattare och informera dem om hur appen eller flödet fungerar bäst.
Aktivera DLP-ikraftträdande för agenter för att förhindra uppgifter och funktioner som påverkas av DLP.
Du kan också välja att undanta en eller flera agenter från DLP-policytillämpning, beroende på agentens användningsfall och krav.
Lägga till och uppdatera e-postlänkarna för mer information och administratörskontakt
Du kan använda Set-PowerAppDlpErrorSettings PowerShell cmdleten för att lägga till en e-postadress och länken "Läs mer" i DLP-felmeddelandena.
Om du vill lägga till e-postadressen och läs mer-länken för första gången kör du följande PowerShell skript och ersätter värdena för <email>, <URL> och <tenant ID> parametrarna med dina egna.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
För att uppdatera en befintlig konfiguration, använd samma PowerShell-skript och ersätt New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.
Varning
Dessa inställningar gäller för alla Power Platform appar i den angivna klientorganisationen.
Aktivera och konfigurera DLP-ikraftträdande för agenter
Du kan aktivera, inaktivera, konfigurera och granska DLP-tvingande åtgärder i Copilot Studio med PowerVirtualAgentsDlpEnforcement cmdlet.
I något av följande exempel, ersätt (eller deklarera) <tenant ID> med din klientorganisations ID.
Du kan använda agenter som skapats efter ett visst datum genom att ersätta <date> med datum i formatet MM-DD-YYYY. Ta bort omfattningen genom att ta bort -OnlyForBotsCreatedAfter parametern och dess värde.
Bekräfta DLP-ikraftträdande för agenter
Som standard är DLP-tillämpning för agenter inaktiverad i alla klientorganisationer.
Du kan köra följande PowerShell-cmdlet för att kontrollera om DLP för Copilot Studio är aktiverat för en klientorganisation.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Obs
Om DLP inte har konfigurerats för Copilot Studio är svaret från cmdleten tomt.
Använd granskningsläge för att se DLP-fel i Copilot Studio
Kör följande PowerShell skript för att aktivera DLP-principer i gransknings- eller "mjukt" läge. När det här läget är aktivt kan agentutvecklare se DLP-relaterade felmeddelanden när de konfigurerar agenter i Copilot Studio, men det hindrar dem inte från att utföra DLP-relaterade åtgärder. Utvecklare kan dock inte publicera agenter när det här läget är aktivt.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Om du vill hitta agenter som organisationens DLP-principer kan påverka kan du:
Använd Power BI-instrumentpanelen i startpaketet för Center of Excellence (CoE) för att hämta en lista över agenter i din organisation. Gå till Copilot Studio översiktssidan på CoE-instrumentpanelen för att se agenter och miljönamnen i din organisation.
Kör en kampanj med agentutvecklarna i din organisation för att åtgärda DLP-fel eller uppdaterade DLP-principer. Du kan ladda ner alla agent DLP-fel genom att välja Detaljer i felmeddelandebanderollen och välja Hämta från felmeddelandeinformationen.
Aktivera DLP-tvingande för agenter
Viktigt
Innan du aktiverar DLP-tillämpning bör du se till att du vet vilka agenter som sannolikt kommer att rapportera fel till användare på grund av DLP-principöverträdelser.
Om du stöter på problem kan du undanta en agent från DLP-principer eller inaktivera DLP-tvingande medan skaparna åtgärdar agenten för att följa DLP-principerna.
Du kan köra följande PowerShell-kommando för att tillämpa DLP-policyer i Copilot Studio. agent utvecklare hindras från att utföra DLP-påverkade åtgärder och användarna ser fel om de utlöses.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Inaktivera DLP-tvingande för agenter
Använd följande kommando för att inaktivera DLP-tillämpning i agenter.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled