กำหนดค่านโยบายการป้องกันการสูญหายของข้อมูลสำหรับเอเจนต์
ด้วย Copilot Studio คุณสามารถสร้างและเปิดตัวเอเจนต์ที่มีมูลค่าสูงสำหรับผู้ใช้ของคุณได้อย่างรวดเร็ว ซึ่งสามารถเชื่อมต่อกับแหล่งข้อมูลและบริการมากมาย แหล่งข้อมูลและบริการเหล่านี้บางส่วนอาจเป็นบริการภายนอกที่ไม่ใช่ของ Microsoft และอาจรวมถึงเครือข่ายสังคมควบคู่ไปกับการเชื่อมต่อกับข้อมูลองค์กรของคุณ
ข้อมูลขององค์กรเป็นสินทรัพย์ที่สำคัญที่สุดที่ผู้ดูแลระบบต้องรับผิดชอบในการปกป้อง ความสามารถในการใช้ข้อมูลนั้นในลักษณะที่ได้รับการปกป้องในขณะที่ยังคงเชื่อมต่อและโต้ตอบกับบริการและระบบอื่น ๆ เป็นรากฐานที่สำคัญของความปลอดภัยของข้อมูล
นโยบายการป้องกันการสูญหายของข้อมูล (DLP) ช่วยให้คุณสามารถควบคุมวิธีที่ตัวแทนเชื่อมต่อและโต้ตอบกับข้อมูลและบริการทั้งภายในและภายนอกองค์กรของคุณ ผู้ดูแลระบบสามารถกำหนดค่านโยบาย DLP สำหรับ Copilot Studio และ Power Platform ใน ศูนย์จัดการ Power Platform
สำคัญ
ในช่วงต้นปี 2025 การบังคับใช้นโยบาย DLP สำหรับผู้เช่าทั้งหมดจะตั้งค่าเป็น เปิดใช้งาน ตามค่าเริ่มต้น ตามที่ประกาศในการแจ้งเตือนของศูนย์ข้อความ MC973179: Copilot Studio - การอัปเดตการบังคับใช้นโยบายการป้องกันการสูญหายของข้อมูลที่กำลังจะมีขึ้น
ในเดือนมกราคม 2025:
- ตามค่าเริ่มต้น การบังคับใช้สำหรับเอเจนต์ในผู้เช่าทั้งหมด ตั้งค่าเป็น เปิดใช้งานแบบผ่อนปรน (ก่อนหน้านี้ การบังคับใช้ถูกปิดใช้งานโดยค่าเริ่มต้น):
- เอเจนต์ที่มีอยู่ซึ่งมีการตั้งค่าการบังคับใช้ DLP เป็น ปิดใช้งาน จะเปลี่ยนเป็น เปิดใช้งานแบบผ่อนปรน โดยอัตโนมัติ เอเจนต์ใหม่จะมีการตั้งค่าการบังคับใช้ DLP เป็น เปิดใช้งานแบบผ่อนปรน ตามค่าเริ่มต้นเมื่อสร้าง
- หาก ตัวแทน ที่เผยแพร่มีการละเมิดนโยบาย DLP ผู้ใช้ ตัวแทน สามารถโต้ตอบกับ ตัวแทน ต่อไปได้ แต่การอัปเดต ตัวแทน จะไม่สามารถเผยแพร่ได้ การละเมิดนโยบาย DLP ต้องได้รับการแก้ไขก่อนจึงจะสามารถเผยแพร่ ตัวแทน ได้
- การละเมิดนโยบาย DLP จะถูกบันทึกไว้สำหรับผู้ดูแลระบบ และผู้ใช้และผู้สร้างจะเห็นคำเตือนการละเมิด DLP ผู้ใช้จะไม่ถูกบล็อกจากการใช้ ตัวแทน
- ไม่สามารถใช้ cmdlet PowerShell เพื่อปิดการบังคับใช้อีกต่อไป
เริ่มในเดือนกุมภาพันธ์ 2025:
- ตามค่าเริ่มต้น การบังคับใช้สำหรับเอเจนต์ในผู้เช่าทั้งหมดจะตั้งค่าเป็น เปิดใช้งาน – เอเจนต์ที่เผยแพร่ทั้งหมดและการอัปเดตสำหรับเอเจนต์ที่มีอยู่จะอยู่ภายใต้นโยบาย DLP ที่ใช้ตามที่กำหนดไว้ในผู้เช่า
- ไม่สามารถใช้ cmdlet PowerShell เพื่อเปิดหรือปิดการบังคับใช้อีกต่อไป และจะไม่ได้รับการสนับสนุนหลังจากเดือนกุมภาพันธ์ 2025
เรียนรู้เกี่ยวกับ การยืนยันการบังคับใช้ในผู้เช่าของคุณ
ข้อกำหนดเบื้องต้น
- คุณควรทบทวนแนวคิดเกี่ยวกับ นโยบาย DLP
- คุณต้องมีบทบาทเป็น ผู้ดูแลระบบผู้เช่า หรือ บทบาทผู้ดูแลสภาพแวดล้อม
ตัวเชื่อมต่อ Copilot Studio
ตัวเชื่อมต่อ Copilot Studio สามารถจำแนกได้ภายในนโยบาย DLP ภายใต้กลุ่มข้อมูลต่อไปนี้ ซึ่งแสดงในศูนย์จัดการ Power Platform เมื่อตรวจสอบนโยบาย DLP:
- ธุรกิจ
- ไม่ใช่ทางธุรกิจ
- ถูกบล็อก
คุณสามารถใช้ตัวเชื่อมต่อในนโยบาย DLP เพื่อปกป้องข้อมูลขององค์กรของคุณจากการขโมยข้อมูลที่เป็นอันตรายหรือไม่ตั้งใจโดยผู้สร้างเอเจนต์ของคุณ
สำคัญ
Copilot Studio รองรับการบังคับใช้นโยบาย DLP แบบเรียลไทม์ ผู้สร้างและผู้ใช้ ตัวแทน เห็นข้อความแสดงข้อผิดพลาดสำหรับการละเมิดนโยบาย DLP
ในนโยบาย DLP ตัวเชื่อมต่อต้องอยู่ในกลุ่มข้อมูลเดียวกัน เนื่องจากไม่สามารถแชร์ข้อมูลระหว่างตัวเชื่อมต่อที่อยู่คนละกลุ่มได้
คุณสามารถกำหนดค่านโยบาย DLP ในศูนย์จัดการ Power Platform เพื่อบล็อกตัวเชื่อมต่อ Copilot Studio ใดๆ ต่อไปนี้
| ชื่อตัวเชื่อมต่อ | กรณีการใช้งาน |
|---|---|
| Application Insights ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์จาก การเชื่อมต่อเอเจนต์กับ Application Insights |
| การแชทโดยไม่มีการรับรองความถูกต้องรหัส Microsoft Entra ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์จากเอเจนต์การเผยแพร่ที่ไม่ได้กำหนดค่าสำหรับการรับรองความถูกต้อง ผู้ใช้เอเจนต์ต้องรับรองความถูกต้องตัวเอง เพื่อสนทนากับเอเจนต์ สำหรับข้อมูลเพิ่มเติม โปรดดู ตัวอย่างการป้องกันการสูญหายของข้อมูล - ต้องมีการรับรองความถูกต้องผู้ใช้ในเอเจนต์ |
| ช่องทาง Direct Line ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์ไม่ให้เปิดใช้งานหรือใช้ช่องทาง Direct Line ตัวอย่างเช่น เว็บไซต์สาธิต เว็บไซต์ที่กำหนดเอง แอปสำหรับอุปกรณ์เคลื่อนที่ และช่องทาง Direct Line อื่นๆ จะถูกบล็อก |
| ช่องทาง Facebook ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์ไม่ให้เปิดใช้งานหรือใช้ช่องทาง Facebook |
| แหล่งความรู้พร้อม SharePoint และ OneDrive ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์จากการเผยแพร่เอเจนต์ที่กำหนดค่า SharePoint เป็นแหล่งข้อมูล รองรับ การกรองตำแหน่งข้อมูลตัวเชื่อมต่อ DLP เพื่ออนุญาตหรือปฏิเสธตำแหน่งข้อมูล |
| แหล่งความรู้ที่มีเอกสารใน Copilot Studio | บล็อกผู้สร้างเอเจนต์จากการเผยแพร่เอเจนต์ที่กำหนดค่าเอกสารเป็นแหล่งข้อมูล |
| แหล่งความรู้พร้อมเว็บไซต์สาธารณะและข้อมูลใน Copilot Studio | บล็อกผู้สร้างเอเจนต์จากการเผยแพร่เอเจนต์ที่กำหนดค่าเว็บไซต์สาธารณะเป็นแหล่งความรู้ รองรับ การกรองตำแหน่งข้อมูลตัวเชื่อมต่อ DLP เพื่ออนุญาตหรือปฏิเสธตำแหน่งข้อมูล |
| Microsoft Copilot Studio | บล็อกผู้สร้างเอเจนต์จากการใช้ทริกเกอร์เหตุการณ์ในเอเจนต์ Copilot Studio สำหรับข้อมูลเพิ่มเติม โปรดดู ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกทริกเกอร์เหตุการณ์ในเอเจนต์ |
| ช่องทาง Microsoft Teams ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์ไม่ให้เปิดใช้หรือใช้งานช่องทาง Teams |
| ช่องทาง Omni ใน Copilot Studio | บล็อกผู้สร้างเอเจนต์ไม่ให้เปิดใช้หรือใช้งานช่องทาง Omni |
| ทักษะที่มีใน Copilot Studio | บล็อกผู้สร้างเอเจนต์ไม่ให้ใช้ทักษะในเอเจนต์ Copilot Studio สำหรับข้อมูลเพิ่มเติม โปรดดู ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกทักษะในเอเจนต์ และ ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกการร้องขอทาง HTTP ในเอเจนต์ |
ตัวอย่างการกำหนดค่านโยบาย DLP
ในการเริ่มต้นใช้งานการกำกับดูแลเอเจนต์ Copilot Studio ให้ตรวจสอบสถานการณ์ตัวอย่างต่อไปนี้:
- ตัวอย่างการป้องกันการสูญหายของข้อมูล - กำหนดให้มีการรับรองความถูกต้องของผู้ใช้ในตัวแทน
- ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกแหล่งความรู้ SharePoint ในเอเจนต์
- ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกตัวเชื่อมต่อ Power Platform ในเอเจนต์
- ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกการร้องขอทาง HTTP ในเอเจนต์
- ตัวอย่างการป้องกันการสูญหายของข้อมูล – บล็อกทักษะต่างๆ ในเอเจนต์
- ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกทริกเกอร์เหตุการณ์ในตัวแทน
- ตัวอย่างการป้องกันการสูญหายของข้อมูล - บล็อกช่องทางเพื่อปิดใช้งานการเผยแพร่เอเจนต์
ใช้ PowerShell เพื่อเปิดใช้งานและจัดการการบังคับใช้ DLP สำหรับเอเจนต์ในองค์กรของคุณ
คุณสามารถกำหนดค่าได้ว่าควรใช้นโยบาย DLP กับเอเจนต์ของคุณด้วย PowerAppDlpErrorSettings และ PowerVirtualAgentsDlpEnforcement PowerShell cmdlet หรือไม่
คุณสามารถ:
- ยืนยันว่ามีการบังคับใช้นโยบาย DLP สำหรับตัวแทนในผู้เช่าของคุณหรือไม่
- สลับการบังคับใช้นโยบาย DLP เป็นโหมดการตรวจสอบ (
-Mode SoftEnabled) เพื่อให้ผู้สร้างเอเจนต์เห็นข้อผิดพลาด แต่จะไม่ถูกขัดขวางจากการดำเนินการที่หน่วยงานบังคับใช้นโยบาย DLP จะบล็อก - เปิดหรือปิดการบังคับใช้ DLP เพื่อแสดงข้อผิดพลาดในการบังคับใช้ DLP และป้องกันไม่ให้ผู้สร้าง ตัวแทน เผยแพร่เอเจนต์ที่ได้รับผลกระทบ DLP หรือกำหนดการตั้งค่าที่เกี่ยวข้องกับ DLP
- เพิ่มและอัปเดตลิงก์อีเมลสำหรับเรียนรู้เพิ่มเติมและอีเมลติดต่อที่แสดงต่อผู้สร้างเอเจนต์เมื่อ Copilot Studio ทริกเกอร์การละเมิดนโยบาย DLP
สำคัญ
ก่อนที่จะใช้ PowerShell cmdlet หรือสคริปต์ตัวอย่างที่แสดงที่นี่ ตรวจสอบให้แน่ใจว่าคุณ ติดตั้งโมดูลต่อไปนี้โดยใช้ PowerShell
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
คุณจำเป็นต้อง ผู้ดูแลระบบผู้เช่า เพื่อใช้ cmdlet
โดยทั่วไป คุณจะใช้ cmdlet เหล่านี้ตามกระบวนการเริ่มใช้ DLP ซึ่งอาจประกอบด้วยขั้นตอนต่อไปนี้ ตามลำดับ:
เพิ่มหรืออัปเดตลิงก์อีเมลติดต่อสำหรับเรียนรู้เพิ่มเติมและผู้ดูแลระบบที่แสดงในข้อผิดพลาด DLP สำหรับผู้สร้างเอเจนต์
พิจารณาว่าเอเจนต์รายใด (ถ้ามี) ที่เปิดใช้งานการบังคับใช้นโยบาย DLP อยู่ในปัจจุบัน
ใช้โหมดการตรวจสอบเพื่อให้ผู้สร้างสามารถเห็นข้อผิดพลาด DLP ในเว็บ Copilot Studio และแอป Teams
ลดความเสี่ยงโดยติดต่อผู้สร้างและแจ้งให้พวกเขาทราบถึงแนวทางปฏิบัติที่ดีที่สุดสำหรับแอปหรือโฟลว์ของพวกเขา
เปิดการบังคับใช้นโยบาย DLP สำหรับเอเจนต์เพื่อป้องกันงานและคุณลักษณะที่ได้รับผลกระทบจากการป้องกัน DLP
สำคัญ
ตัวแทน ไม่รองรับการยกเว้นการบังคับใช้นโยบาย DLP อีกต่อไป เอเจนต์ที่เคยได้รับการยกเว้นจากการบังคับใช้ DLP จะถูกตั้งค่าการบังคับใช้เป็น เปิดใช้งานแบบผ่อนปรน ในเดือนมกราคม 2025 และตั้งค่าเป็น เปิดใช้งาน ในเดือนกุมภาพันธ์ 2025
เพิ่มและปรับปรุงลิงก์เรียนรู้เพิ่มเติมและอีเมลติดต่อผู้ดูแลระบบ
คุณสามารถใช้ Set-PowerAppDlpErrorSettings PowerShell cmdlet เพื่อเพิ่มที่อยู่อีเมลและลิงก์ "เรียนรู้เพิ่มเติม" ไปยังข้อความแสดงข้อผิดพลาด DLP
หากต้องการเพิ่มที่อยู่อีเมลและลิงก์เรียนรู้เพิ่มเติมเป็นครั้งแรก ให้เรียกใช้สคริปต์ PowerShell ต่อไปนี้ โดยแทนที่ค่าสำหรับพารามิเตอร์ <email>, <URL> และ <tenant ID> ด้วยค่าของคุณเอง
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
หากต้องการปรับปรุงการกำหนดค่าที่มีอยู่ ให้ใช้สคริปต์ PowerShell เดียวกันและแทนที่ New-PowerAppDlpErrorSettings ด้วย Set-PowerAppDlpErrorSettings
คำเตือน
การตั้งค่าเหล่านี้ใช้ได้กับแอป Power Platform ทั้งหมดภายในผู้เช่าที่ระบุ
กำหนดค่าการบังคับใช้ DLP สำหรับเอเจนต์
คุณสามารถเปิดใช้งาน ปิดใช้งาน กำหนดค่า และตรวจสอบการบังคับใช้ DLP ภายใน Copilot Studio ด้วย PowerVirtualAgentsDlpEnforcement cmdlet
ในตัวอย่างใดๆ ต่อไปนี้ ให้แทนที่ (หรือประกาศ) <tenant ID> ด้วยรหัสผู้เช่าของคุณ
คุณสามารถกำหนดขอบเขตไปยังตัวแทนที่สร้างหลังจากวันที่ที่กำหนดได้โดยการแทนที่ <date> ด้วยวันที่ในรูปแบบ MM-DD-YYYY ในการลบขอบเขต ให้ลบพารามิเตอร์ -OnlyForBotsCreatedAfter และค่าของพารามิเตอร์
ยืนยันการบังคับใช้นโยบาย DLP สำหรับเอเจนต์
ตามค่าเริ่มต้น การบังคับใช้นโยบาย DLP สำหรับตัวแทนจะถูกตั้งค่าเป็นโหมดการตรวจสอบหรือโหมด "ซอฟต์"
เรียกใช้ cmdlet PowerShell ต่อไปนี้เพื่อตรวจสอบสถานะการบังคับใช้นโยบาย DLP สำหรับผู้เช่า
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
หมายเหตุ
หากไม่ได้กำหนดค่า DLP สำหรับ Copilot Studio การตอบสนองจาก cmdlet จะว่างเปล่า
ใช้โหมดการตรวจสอบเพื่อดูข้อผิดพลาดของ DLP ใน Copilot Studio
เรียกใช้สคริปต์ PowerShell ต่อไปนี้เพื่อเปิดใช้งานนโยบาย DLP ในโหมดการตรวจสอบหรือ "ซอฟต์" เมื่อโหมดนี้ทำงาน ผู้สร้างเอเจนต์สามารถเห็นข้อความแสดงข้อผิดพลาดที่เกี่ยวข้องกับ DLP เมื่อกำหนดค่าเอเจนต์ Copilot Studio แต่ไม่ได้บล็อกไม่ให้ดำเนินการที่เกี่ยวข้องกับ DLP อย่างไรก็ตาม ผู้สร้างไม่สามารถเผยแพร่เอเจนต์ในขณะที่โหมดนี้ทำงานอยู่
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
หากต้องการค้นหาเอเจนต์ที่นโยบาย DLP ขององค์กรของคุณอาจส่งผลกระทบ คุณสามารถ:
ใช้แดชบอร์ด Power BI ของ ชุดเริ่มต้น Center of Excellence (CoE) เพื่อดูรายการเอเจนต์ในองค์กรของคุณ ไปที่หน้าภาพรวม Copilot Studio บนแดชบอร์ด CoE เพื่อดูชื่อเอเจนต์และสภาพแวดล้อมในองค์กรของคุณ
เรียกใช้แคมเปญกับผู้สร้างเอเจนต์ในองค์กรของคุณเพื่อแก้ไขข้อผิดพลาดของ DLP หรือนโยบาย DLP ที่อัปเดต คุณสามารถดาวน์โหลดข้อผิดพลาดของ DLP เอเจนต์ทั้งหมดได้โดยเลือก รายละเอียด ในแบนเนอร์การแจ้งเตือนข้อผิดพลาด และเลือก ดาวน์โหลด จากรายละเอียดข้อความแสดงข้อผิดพลาด
เปิดการบังคับใช้ DLP สำหรับตัวแทน
คำเตือน
ก่อนที่จะเปิดการบังคับใช้นโยบาย DLP ตรวจสอบให้แน่ใจว่าคุณทราบว่าตัวแทนรายใดมีแนวโน้มที่จะรายงานข้อผิดพลาดต่อผู้ใช้เนื่องจากการละเมิดนโยบาย DLP
คุณสามารถเรียกใช้คำสั่ง PowerShell ต่อไปนี้เพื่อบังคับใช้นโยบาย DLP ใน Copilot Studio ผู้สร้างเอเจนต์ถูกป้องกันไม่ให้ดำเนินการที่อาจละเมิดนโยบาย DLP และผู้ใช้จะเห็นข้อความแสดงข้อผิดพลาดสำหรับการละเมิดใดๆ
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>