为代理配置数据丢失防护策略
通过 Copilot Studio,您可以为用户快速构建和推出高价值代理,这些代理可以连接许多数据源和服务。 其中一些源和服务可能是外部的非 Microsoft 服务,甚至可能包括社交网络以及与组织数据的连接。
组织数据是管理员负责保护的最重要的资产。 以受保护的方式使用该数据的能力,同时仍与其他服务和系统连接和交互,是数据安全的基石。
数据丢失防护(DLP)策略允许您管理代理在组织内部和外部连接数据和服务的方式以及与数据和服务交互的方式。 管理员可以在 Power Platform 管理中心配置 Copilot Studio 和 Power Platform DLP 策略。
重要提示
2025 年初,所有租户的 DLP 策略执行默认设置为已启用,正如消息中心警报 MC973179:Copilot Studio- 数据丢失防护策略执行的即将更新中所宣布的那样。
2025 年 1 月:
- 默认情况下,所有租户中代理的强制执行将设置为软启用(以前,默认情况下禁用强制执行):
- 将 DLP 强制设置为已禁用的现有代理将自动更改为软启用。 新代理在创建时,DLP 强制执行默认设置为软启用。
- 如果已发布的代理违反了 DLP 策略,则代理的用户可以继续与代理交互,但无法发布对代理的更新。 在发布代理之前,必须先解决 DLP 策略违规问题。
- 系统会为管理员记录 DLP 策略违规行为,并且用户和制作者会看到 DLP 违规警告。 不会阻止用户使用代理。
- PowerShell cmdlet 不能再用于关闭强制执行。
从 2025 年 2 月开始:
- 默认情况下,所有租户中代理的强制执行都将设置为已启用 - 所有已发布的代理和现有代理的更新都必须遵守租户中定义的 DLP 策略。
- PowerShell cmdlet 不能再用于打开或关闭强制,并且在 2025 年 2 月之后将不再受支持。
了解在租户中确认执行。
先决条件
Copilot Studio 连接器
Copilot Studio 连接器可以在 DLP 策略中归入到以下数据组中,在查看 DLP 策略时,这些数据组会显示在 Power Platform 管理中心中:
- 企业
- 非业务
- 已屏蔽
可以使用 DLP 策略中的连接器来保护组织的数据免受代理制造商的任何恶意或无意数据泄露。
重要提示
Copilot Studio 支持实时执行 DLP 策略。 代理制作者和用户会看到任何违反 DLP 策略的错误信息。
在 DLP 策略中,连接器必须位于同一数据组中,因为数据不能在不同组中的连接器之间共享。
您可以在 Power Platform 管理中心配置 DLP 策略,以阻止以下任何 Copilot Studio 连接器。
| 连接器名称 | 用例 |
|---|---|
| Copilot Studio 中的 Application Insights | 阻止代理制作者 连接 Application Insights 代理。 |
| 在 Copilot Studio 中无需 Microsoft Entra ID 身份验证即可聊天 | 阻止代理制作者发布未配置为身份验证的代理。 代理用户必须验证自己的身份以便与代理进行聊天。 有关详细信息,请参阅数据丢失防护示例 - 要求在代理中进行用户身份验证。 |
| Copilot Studio 中的 Direct Line 渠道 | 阻止代理制作者启用或使用 Direct Line 渠道。 例如,演示网站、自定义网站和其他 Direct Line 渠道将被阻止。 |
| Copilot Studio 中的 Facebook 渠道 | 阻止代理制作者启用或使用该 Facebook 渠道。 |
| Copilot Studio 中包含 SharePoint 和 OneDrive 的知识源 | 阻止代理制作者发布配置 SharePoint 为知识源的代理。 支 持DLP 连接器端点筛选以允许或拒绝端点。 |
| Copilot Studio 中的文档知识来源 | 阻止代理制作者发布配置了文档作为知识源的代理。 |
| Copilot Studio 中包含公共网站和数据的知识源 | 阻止代理制作者发布配置了公共网站作为知识源的代理。 支 持DLP 连接器端点筛选以允许或拒绝端点。 |
| Microsoft Copilot Studio | 阻止代理制作者在代理中使用 Copilot Studio 事件触发器。 如需了解更多信息,请参阅数据丢失防护示例 - 在代理中阻止事件触发器。 |
| Copilot Studio 中的 Microsoft Teams 渠道 | 阻止代理制作者启用或使用 Teams 频道。 |
| Copilot Studio 中的全渠道 | 阻止代理制作者启用或使用全渠道渠道。 |
| Copilot Studio 技能 | 阻止代理制作者在 Copilot Studio 代理中使用技能。 请参阅数据丢失防护示例 - 阻止代理中的技能和数据丢失防护示例 - 阻止代理的 HTTP 请求了解更多详情。 |
示例 DLP 策略配置
要开始使用 Copilot Studio 代理管理,请查看以下示例方案:
- 数据丢失防护示例 - 要求在代理中进行用户身份验证
- 数据丢失防护示例 - 阻止代理中的 SharePoint 知识来源
- 数据丢失防护示例 - 阻止代理中的 Power Platform 连接器
- 数据丢失防护示例 - 阻止代理中的 HTTP 请求
- 数据丢失防护示例 - 阻止代理中的技能
- 数据丢失防护示例 - 在代理中阻止事件触发器
- 数据丢失防护示例 - 阻止频道以禁用代理发布
使用 PowerShell 为组织中的代理启用和管理 DLP 实施
您可以使用 PowerAppDlpErrorSettings 和 PowerVirtualAgentsDlpEnforcement PowerShell cmdlet 配置 DLP 策略是否应应用于代理。
您可以:
- 确认是否对租户中的代理强制实施 DLP 策略。
- 将 DLP 策略执行切换为审核模式(
-Mode SoftEnabled),这样代理制作者就能看到错误,但不会阻止执行 DLP 策略执行会阻止的操作。 - 打开或关闭 DLP 强制执行,以显示 DLP 强制执行错误,并阻止代理制作者发布受 DLP 影响的代理或配置 DLP 相关设置。
- 添加和更新当 Copilot Studio 触发 DLP 策略违规时向代理制作者显示的“了解更多”和“联系人电子邮件”链接。
重要提示
在使用 PowerShell cmdlet 或此处所示的示例脚本之前,确保使用 PowerShell 安装以下模块。
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
您需要是租户管理员才能使用 cmdlet。
通常,您将根据 DLP 推出流程使用这些 cmdlet,此流程可能包括以下步骤(按顺序):
添加或更新代理制造商的 DLP 错误中显示的“了解更多”和“管理员联系人电子邮件”链接。
确定哪些(如有)代理当前启用了 DLP 策略实施。
使用审计模式,以便制作者可以查看 Copilot Studio Web 和 Teams 应用程序中的 DLP 错误。
联系制作者并告知他们有关其应用或流的最佳操作过程来缓解风险。
为代理启用严格的 DLP 策略实施。
重要提示
不再支持代理 DLP 策略实施豁免。 以前免于 DLP 强制执行的代理将在 2025 年 1 月被设置为软启用,并在 2025 年 2 月被设置为已启用。
添加并更新了解更多信息和管理员联系电子邮件链接
您可以使用 Set-PowerAppDlpErrorSettings PowerShell cmdlet 在 DLP 错误消息中添加电子邮件地址和“了解更多信息”链接。
如果是第一次添加电子邮件地址和了解更多信息链接,运行以下 PowerShell 脚本,将 <email>、<URL> 和 <tenant ID> 参数的值替换为您自己的值。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
要更新现有配置,使用相同的 PowerShell 脚本,将 New-PowerAppDlpErrorSettings 替换为 Set-PowerAppDlpErrorSettings。
警告
这些设置适用于指定租户内的所有 Power Platform 应用。
配置代理的 DLP 强制执行
您可以使用 PowerVirtualAgentsDlpEnforcement cmdlet 在 Copilot Studio 中启用、禁用、配置和审核 DLP 执行。
在以下任意示例中,用您的租户的 ID 替换(或声明)<tenant ID>。
您可以通过将 <date> 替换为格式为 MM-DD-YYYY 的日期来划定在特定日期之后创建的代理。 要删除划定的范围,删除 -OnlyForBotsCreatedAfter 参数及其值。
确认代理的 DLP 策略执行
默认情况下,代理的 DLP 策略实施设置为审核或“软”模式。
运行以下 PowerShell cmdlet 以检查租户的 DLP 策略实施状态。
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
备注
如果未为 Copilot Studio 配置 DLP,则 cmdlet 的响应为空。
使用审核模式查看 Copilot Studio 中的 DLP 错误
运行以下 PowerShell 脚本以在审核或“软”模式下启用 DLP 策略。 激活该模式后,代理制作者在 Copilot Studio 中配置代理时可以看到 DLP 相关的错误信息,但不会阻止他们执行 DLP 相关操作。 但是,在此模式处于活动状态时,制作者无法发布代理。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
若要查找组织的 DLP 策略可能影响的代理,可以:
使用卓越中心 (CoE) 初学者工具包的 Power BI 仪表板获取组织中代理的列表。 转到 Copilot Studio CoE 仪表板上的概述页,查看组织中的代理和环境名称。
与组织中的代理制作者一起开展活动,以解决 DLP 错误或更新的 DLP 策略。 您可以下载所有代理 DLP 错误,方法是选择错误通知横幅中的详细信息,并从错误消息详细信息中选择下载。
为代理启用 DLP 强制
警告
在启用 DLP 策略实施之前,请确保您知道哪些代理可能会因违反 DLP 策略而向用户报告错误。
您可以运行以下 PowerShell 命令在 Copilot Studio 中执行 DLP 策略。 防止代理制作者执行违反 DLP 策略的操作,用户会看到任何违反策略的错误信息。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>