为助手配置数据丢失防护策略

组织数据是管理员负责保护的最重要的资产。 构建自动化以使用该数据的能力在公司的成功中占很大一部分。

您可以为最终用户快速构建并推出高价值助手。 您可以将助手与许多数据源和服务连接起来。 其中一些资源和服务可能是外部非 Microsoft 服务,甚至可能包括一些社交网络。

人们很容易忽视泄露的可能性。 这种暴露可能是由于数据泄漏或与不应访问数据的服务和访问群体的连接造成的。

管理员可以通过现有的和 Copilot Studio 连接器使用数据丢失防护 (DLP) 策略来管理您组织中的助手。 DLP 策略是在 Power Platform 管理中心创建的。 若要创建 DLP 策略,您必须是租户管理员或具有环境管理员角色

先决条件

Copilot Studio 连接器

Copilot Studio 连接器可以在 DLP 策略中归入到以下数据组中,在查看 DLP 策略时,这些数据组会显示在 Power Platform 管理中心中:

  • 企业
  • 非业务
  • 已屏蔽

您可以使用 DLP 策略中的连接器来保护您组织的数据免受助手制作者造成的任何恶意或无意的数据泄露。

重要提示

默认情况下,所有租户都禁用助手的 DLP 执行。 了解如何启用执行

连接器需要位于单个数据组中,因为无法在不同组中的连接器之间共享数据。

Power Platform 管理中心提供多个 Copilot Studio 连接器。 这些连接器可以按如下方式配置 DLP:

连接器名称 Description
Copilot Studio 中的 Application Insights 阻止助手制作者将助手与 Application Insights 连接
在 Copilot Studio 中无需 Microsoft Entra ID 身份验证即可聊天 阻止助手制作者发布未配置身份验证的助手。
Copilot 用户必须验证自己的身份以便与助手进行聊天。
有关更多信息,请参阅数据丢失预防示例 - 要求助手的最终用户身份验证
Copilot Studio 中的 Direct Line 渠道 阻止助手制作者启用或使用 Direct Line 渠道。
例如,演示网站、自定义网站和其他 Direct Line 渠道将被阻止。
Copilot Studio 中的 Facebook 渠道 阻止助手制作者启用或使用 Facebook 渠道。
Copilot Studio 中包含 SharePoint 和 OneDrive 的知识源 阻止助手制作者发布配置有 SharePoint 作为知识来源的助手。 支 持DLP 连接器端点筛选以允许或拒绝端点。
Copilot Studio 中包含公共网站和数据的知识源 阻止助手制作者发布配置有公共网站作为知识来源的助手。 支 持DLP 连接器端点筛选以允许或拒绝端点。
Copilot Studio 中的文档知识来源 阻止助手制作者发布配置有文档作为知识来源的助手。
Copilot Studio 中的 Microsoft Teams 渠道 阻止助手制作者启用或使用 Teams 渠道。
Copilot Studio 中的全渠道 阻止助手制作者启用或使用全渠道渠道。
Copilot Studio 技能 阻止助手制作者使用 Copilot Studio 助手技能。
请参阅数据丢失防护示例 - 阻止助手中的技能数据丢失防护示例 - 阻止助手的 HTTP 请求了解更多详情。

示例 DLP 策略配置

为了帮助您开始使用 Copilot Studio 助手治理,我们创建了以下详细描述不同场景的示例:

使用 PowerShell 为组织中的助手启用和管理 DLP 执行

您可以使用 PowerAppDlpErrorSettingsPowerVirtualAgentsDlpEnforcement PowerShell cmdlet 配置 DLP 策略是否应应用于助手。

您可以:

  • 确认您租户中的助手是否启用了 DLP。
  • 在审核模式 (-Mode SoftEnabled) 下启用或禁用 DLP,让助手制作者可以看到错误,但不会阻止他们执行在完全启用 DLP 执行时会被阻止的操作。
  • 启用或禁用 DLP 执行,将显示 DLP 执行错误,并阻止助手制作者发布受 DLP 影响的机器人或配置 DLP 相关设置。
  • 从 DLP 执行中免除特定助手。
  • 添加并更新了解更多信息和联系电子邮件链接,当助手制作者在 Copilot Studio Web 和 Teams 应用中遇到 DLP 时,这些链接会显示给助手制作者。

重要提示

在使用 PowerShell cmdlet 或此处所示的示例脚本之前,确保使用 PowerShell 安装以下模块

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

您需要是租户管理员才能使用 cmdlet。

通常,您将根据 DLP 推出流程使用这些 cmdlet,此流程可能包括以下步骤(按顺序):

  1. 添加或更新助手制作者的 DLP 错误中显示的了解更多信息和管理员联系电子邮件链接。

  2. 确定哪些(如果有)助手当前已启用 DLP 策略执行。

  3. 使用审核或“软”模式,让制作者可以在 Copilot Studio Web 和 Teams 应用中看到 DLP 错误。

  4. 联系制作者并告知他们有关其应用或流的最佳操作过程来缓解风险。

  5. 为助手启用 DLP 执行,以阻止受 DLP 影响的任务和功能。

您还可以根据助手的用例和要求,决定从 DLP 策略执行中免除一个或多个助手。

您可以使用 Set-PowerAppDlpErrorSettings PowerShell cmdlet 配置电子邮件和了解更多信息链接。 当您的助手制作者遇到 DLP 错误时,他们将看到此信息。

Copilot Studio Web 应用的屏幕截图,显示与 DLP 相关的错误,突出显示错误文本

如果是第一次添加电子邮件和了解更多信息链接,运行以下 PowerShell 脚本,将 <email><URL><tenant ID> 参数的值替换为您自己的值。

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

要更新现有配置,使用相同的 PowerShell 脚本,将 New-PowerAppDlpErrorSettings 替换为 Set-PowerAppDlpErrorSettings

注意

这些设置适用于指定租户内的所有 Power Platform 应用。

为助手启用和配置 DLP 执行

您可以使用 PowerVirtualAgentsDlpEnforcement cmdlet 在 Copilot Studio 中启用、禁用、配置和审核 DLP 执行。

在以下任意示例中,用您的租户的 ID 替换(或声明)<tenant ID>

您可以通过将 <date> 替换为格式为 MM-DD-YYYY 的日期来划定在特定日期之后创建的助手。 要删除划定的范围,删除 -OnlyForBotsCreatedAfter 参数及其值。

确认助手的 DLP 执行

默认情况下,所有租户都禁用助手的 DLP 执行。

您可以运行以下 PowerShell cmdlet 来检查是否为租户启用了 Copilot Studio 的 DLP。

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

备注

如果您尚未配置 Copilot Studio DLP,cmdlet 的结果将为空。

使用审核或“软”模式可以在 Copilot Studio Web 或 Teams 应用中查看 DLP 错误

在审核模式下运行以下 PowerShell 脚本启用 DLP 策略。 助手制作者在 Copilot Studio Web 和 Teams 应用中配置助手时会看到 DLP 相关错误,但不会阻止他们执行 DLP 相关操作。 此外,在“软”模式启用时,制作者不能发布 Copilot。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

要查找可能受组织现有 DLP 策略影响的助手,您可以:

  1. 使用卓越中心 (CoE) 初学者工具包获取组织中助手的列表。 转到 CoE 仪表板上的 Copilot Studio 概览页面,查看您组织中的助手和环境名称。

    打开到 Copilot Studio 概览的初学者工具包仪表板的屏幕截图。

  2. 与组织中的助手制作者一起执行市场活动,以解决 DLP 错误或处理更新的 DLP 策略。 您可以下载所有助手 DLP 错误,方法是选择错误通知横幅中的详细信息,并从错误消息详细信息中选择下载

为助手启用 DLP 执行

重要提示

在启用 DLP 执行之前,请确保您知道哪些助手会因违反 DLP 策略而向助手用户显示错误。

如果遇到问题,您可以在制作者修复助手以符合 DLP 策略时,从 DLP 策略中免除该助手或禁用 DLP 执行。

您可以运行以下 PowerShell 命令在 Copilot Studio 中执行 DLP 策略。 助手制作者将被禁止执行受 DLP 影响的操作,如果触发这些操作,最终用户将会看到错误。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

从 DLP 策略中免除机器人

如果您已为租户启用了 DLP 执行,但需要免除助手,使其不向制作者和用户显示 DLP 错误,您可以运行以下 PowerShell 脚本。

确保将 <environment ID><bot ID><tenant ID><policy ID> 替换为要免除的助手的相应 ID。

小费

您可以从助手的 URL 找到 <environment ID><bot ID>

<policy ID> 会与下载详细信息文件中的错误详细信息一起列出。 您可以通过在 Copilot Studio 中的错误通知横幅上选择下载详细信息来下载该文件。

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

为助手禁用 DLP 执行

以下命令将在助手中禁用 DLP 执行。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled