為代理程式設定資料外洩防護原則
組織資料是資產管理員負責保護的最重要資料。 建構自動化以使用這些資料的能力是他們公司成功的很大原因。
您可以為您的使用者快速建立和推出高價值代理程式。 您可以將代理程式與許多資料來源和服務連接起來。 其中一部分來源和服務可能是外部非 Microsoft 服務,甚至可能包括社交網路。
人們很容易忽略暴露的可能性。 這種暴露狀況可能是由於資料洩漏或與不應存取資料的服務和受眾的連接造成的。
管理員可以使用現有的資料外洩防護 (DLP) 原則和 Copilot Studio 連接器來管理組織中的代理程式。 DLP 原則是在Power Platform 管理中心 中建立。 若要建立 DLP 原則,您必須是 租戶管理員 或具有 環境系統管理員角色 。
先決條件
- 回顧 DLP 原則的相關概念
Copilot Studio 連接器
Copilot Studio 連接器可以分類於下列資料群組下的 DLP 原則,這些資料群組會在審核 DLP 原則時出現在 Power Platform 管理中心。
- 業務
- 非商務
- 已封鎖
您可以使用 DLP 原則中的連接器來保護組織的資料免於代理程式製作者的任何惡意或無意的資料外洩。
重要
預設情況下,在所有租用戶中停用代理程式的 DLP 強制執行。 瞭解如何啟用強制執行。
Copilot Studio 支援即時 DLP 強制執行。 一旦 DLP 原則生效,代理程式制定者和使用者就會看到適用的 DLP 強制執行錯誤訊息。
在 DLP 原則中,連接器必須位於同一個資料組中,因為不同群組中的連接器之間無法共用資料。
您可以在 Power Platform 系統管理中心設定 DLP 原則,封鎖下列任何 Copilot Studio 連接器。
| 連接器名稱 | 使用案例 |
|---|---|
| Copilot Studio 中的 Application Insights | 禁止代理程式將代理程式與 Application Insights 連接。 |
| Copilot Studio 中的聊天沒有 Microsoft Entra ID 驗證 | 禁止代理程式建立者發佈未設定驗證的代理程式。 代理程式使用者必須驗證自己的身分才能與代理程式聊天。 有關詳細資訊,請參閱資料外洩防護範例 - 需要在代理程式中進行使用者驗證。 |
| Copilot Studio 中的 Direct Line 管道 | 禁止代理程式製作者啟用或使用 Direct Line 管道。 例如,示範網站、自訂網站、行動應用程式和其他 Direct Line 管道將被封鎖。 |
| Copilot Studio 中的 Facebook 管道 | 禁止代理程式製作者啟用或使用 Facebook 管道。 |
| Copilot Studio 中包含 SharePoint 和 OneDrive 的知識來源 | 禁止代理程式製作者發佈設定了 SharePoint 做為知識來源的代理程式。 支援 DLP 連接器端點篩選,以允許或拒絕端點。 |
| Copilot Studio 中包含文件的知識來源 | 禁止代理程式建立者發佈設定有文件作為知識來源的代理程式。 |
| Copilot Studio 中包含公開網站和資料的知識來源 | 禁止代理程式建立者將公共網站設定為知識來源的發佈代理程式。 支援 DLP 連接器端點篩選,以允許或拒絕端點。 |
| Microsoft Copilot Studio | 禁止代理程式建立者在 Copilot Studio 代理程式中使用事件觸發程序。 有關更多資訊,請參閱資料外洩防護範例 - 禁止代理程式中的事件觸發程序。 |
| Copilot Studio 中的 Microsoft Teams 管道 | 禁止代理程式建立者啟用或使用 Teams 頻道。 |
| Copilot Studio 中的全通路 | 禁止代理程式製作者啟用或使用全通路。 |
| Copilot Studio 的技能 | 禁止代理程式製作者使用 Copilot Studio 代理程式中的技能。 有關更多資訊,請參閱資料外洩防護範例 - 在代理程式中封鎖技能和資料外洩防護範例 - 在代理程式中封鎖 HTTP 請求。 |
DLP 原則設定
若要開始使用 Copilot Studio 代理程式治理,請查看以下範例情境:
- 資料外洩防護範例 - 需要在代理程式中進行使用者驗證
- 資料外洩防護範例 - 禁止代理程式中的 SharePoint 知識來源
- 資料外洩防護範例 - 禁止代理程式中的 Power Platform 連接器
- 資料外洩防護範例 - 禁止代理程式中的 HTTP 請求
- 資料遺失防護範例 - 禁止代理程式中的技能
- 資料外洩防護範例 - 禁止代理程式中的事件觸發程序
- 資料外洩防護範例 - 禁止管道以停用代理程式發佈
使用 PowerShell 為組織中的代理程式啟用和管理 DLP 實施
您可以使用 PowerAppDlpErrorSettings 和 PowerVirtualAgentsDlpEnforcement PowerShell cmdlet 設定是否應將 DLP 原則套用至您的代理程式。
您可以:
- 確認是否為租用戶中的代理程式啟用了 DLP。
- 在審核模式 (
-Mode SoftEnabled) 中啟用或停用 DLP,以便代理程式建立者可以看到錯誤,但不會禁止執行在完全啟用 DLP 實作時會被禁止的動作。 - 啟用或停用 DLP 實施,以顯示 DLP 實施錯誤,並防止代理程式製作者發佈受 DLP 影響的機器人或設定 DLP 相關設定。
- 免除特定代理程式的 DLP 執行。
- 新增和更新當代理程式建立者在 Copilot Studio Web 和 Teams 應用程式中遇到 DLP 時向他們顯示的了解更多資訊和聯絡電子郵件連結。
重要
在使用 PowerShell Cmdlet 或此處顯示的範例指令碼之前,請確認您已使用 PowerShell 安裝以下模組。
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
您必須是租用戶系統管理員,才能使用 Cmdlet。
通常,您會依照 DLP 推出程序 (依下列步驟所示) 使用這些 Cmdlet:
新增或更新代理程式製作者的 DLP 錯誤中顯示的了解更多資訊和管理員聯絡電子郵件連結。
確定哪些 (如果有) 代理程式目前啟用了 DLP 原則實施。
使用稽核或「軟」模式,讓製作者可以看到 Web 與 Teams 應用程式中的 Copilot Studio DLP 錯誤。
與製作者聯絡並通知他們關於其應用程式或流程的最佳動作,以減輕風險。
為代理程式啟用 DLP 強制執行,以防止受 DLP 影響的工作和功能。
您也可以決定免除一名或多名代理程式的 DLP 原則強制執行,具體取決於代理程式的使用案例和要求。
新增及更新學習 - 詳細與管理連絡人電子郵件連結
您可以使用 Set-PowerAppDlpErrorSettings PowerShell cmdlet 為 DLP 錯誤訊息新增電子郵件地址和「了解更多」連結。
首次新增電子郵件地址和了解更多連結時,請執行以下 PowerShell 指令碼,並將 <email>、<URL> 和 <tenant ID> 參數的值替換為您自己的值。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
若要更新現有的設定,請使用相同的 PowerShell 指令碼,然後替換 New-PowerAppDlpErrorSettings 為 Set-PowerAppDlpErrorSettings。
注意
這些設定會套用至指定租用戶中的所有 Power Platform 應用程式。
為代理程式啟用和設定 DLP 強制實施
您可以使用 PowerVirtualAgentsDlpEnforcement Cmdlet 在 Copilot Studio 中啟用、停用 、設定和審核 DLP 強制。
在下列任一範例中,以您的租用戶 ID 取代 (或宣告) <tenant ID>。
將 <date> 替換為 MM-DD-YYYY 格式的日期,您可以將範圍限定在特定日期之後所建立的代理程式。 若要移除範圍,請刪除 -OnlyForBotsCreatedAfter 參數及其值。
確認代理程式的 DLP 實施
預設情況下,在所有租用戶中停用代理程式的 DLP 強制執行。
您可以執行下列 PowerShell Cmdlet 來檢查是否已為租用戶啟用 Copilot Studio 的 DLP。
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
注意
如果沒有為 Copilot Studio 設定 DLP,則該 cmdlet 的回應為空。
使用稽核模式檢視 Copilot Studio 中的 DLP 錯誤
執行以下 PowerShell 指令碼以在稽核或「軟」模式下啟用 DLP 原則。 當此模式處於活動狀態時,代理程式製作者在 Copilot Studio 中設定代理程式時可以看到與 DLP 相關的錯誤訊息,但不會阻止他們執行與 DLP 相關的動作。 然而,當此模式處於活動狀態時,製作者無法發佈代理程式。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
要查詢您的組織的 DLP 原則可能影響的代理程式,您可以:
使用卓越中心 (CoE) 入門套件的 Power BI 儀表板來取得您組織中的代理程式清單。 前往 CoE 儀表板上的 Copilot Studio 概觀頁面,查看組織中的代理程式和環境名稱。
與組織中的代理程式製作者一起進行活動,以解決 DLP 錯誤或更新 DLP 原則。 您可以透過選擇錯誤通知橫幅中的詳細資料,然後從錯誤訊息詳細資料中選擇下載來下載所有代理程式 DLP 錯誤。
為代理程式啟用 DLP 強制執行
重要
在啟用 DLP 強制執行之前,請確保您知道哪些代理程式可能會因 DLP 原則違規而向使用者報告錯誤。
如果您遇到問題,您可以使代理程式免受 DLP 原則的約束或停用 DLP 強制執行,同時您的製作者修復代理程式以符合 DLP 原則。
您可以執行下列 PowerShell 命令,在 Copilot Studio 中強制執行 DLP 原則。 代理程式建立者將無法執行受 DLP 影響的動作,並且如果觸發,使用者將看到錯誤。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
停用代理程式的 DLP 強制執行
使用以下命令停用代理程式中的 DLP 強制執行。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled