Konfigurace ochrany před únikem informací pro kopiloty
Důležité
Schopnosti a funkce Power Virtual Agents jsou nyní součástí Microsoft Copilot Studio po významných investicích do generativní umělé inteligence a vylepšených integracích napříč Microsoft Copilot.
Některé články a snímky obrazovky mohou odkazovat na Power Virtual Agents, zatímco aktualizujeme dokumentaci a obsah školení.
Upozornění
Dne 21. května 2024 jsme vydali nové integrované konektory zásad prevence ztráty dat (DLP) s vynucováním 30 dní po vydání.
Tvůrci kopilotů mohou vidět bannery chyb DLP a nemusí být schopni publikovat kopiloty, kteří používají generativní odpovědi, v závislosti na tom, jak je DLP ve vaší organizaci nakonfigurováno.
Tyto zásady DLP pokrývají ovládací prvky pro:
- Zdroje znalostí s SharePoint a OneDrive v Copilot Studio
- Zdroje znalostí s veřejnými weby a daty v Copilot Studio
- Zdroje znalostí s dokumenty v Copilot Studio
- Application Insights v aplikaci Copilot Studio
To neovlivní konverzace vašich zákazníků s kopiloty.
Co musíme udělat pro přípravu?
Správci mohou změnit způsob, jakým jsou tyto nové konektory řízeny, aktualizací zásad ochrany před únikem informací (DLP) tak, aby zahrnovaly nový konektor buď do skupiny obchodních, nebo neobchodních dat. Pokud je výchozí skupina zásad nastavena na Blokováno, můžete tvůrcům kopilota doporučit, aby se zdrželi používání těchto konektorů, nebo je přemístili do příslušné datové skupiny.
Data organizace jsou nejdůležitějším majetkem, za jehož ochranu správci odpovídají. Schopnost vytvářet aplikace a automatizovat použití je velkou částí úspěchu vaší společnosti.
Můžete rychle vytvářet a zavádět své vysoce hodnotné kopiloty pro koncové uživatele. Své kopiloty můžete propojit s mnoha datovými zdroji a službami. Některé z těchto zdrojů a služeb mohou být externími službami třetích stran a mohou dokonce zahrnovat sociální sítě.
Je snadné přehlédnout potenciál pro expozici. Tento druh expozice může být důsledkem úniku dat nebo připojení ke službám a publiku, které by nemělo mít k datům přístup.
Administrátoři mohou řídit kopiloty ve vaší organizaci pomocí zásad prevence ztráty dat (DLP) se stávajícími konektory Copilot Studio. Zásady ochrany před únikem informací jsou vytvářeny v centru pro správu Power Platform. Chcete-li vytvořit zásady ochrany před únikem informací, musíte být správcem klienta nebo mít roli Správce prostředí.
Předpoklady
- Přezkoumání konceptů o Zásadách DLP
Konektory Copilot Studio
Konektory Copilot Studio lze v rámci zásad DLP klasifikovat do následujících datových skupin, které jsou uvedeny v centru Power Platform pro správu při kontrole zásad DLP:
- Obchodní
- Neobchodní
- Blokováno
Konektory v zásadách DLP můžete použít k ochraně dat vaší organizace před jakýmkoli škodlivým nebo neúmyslným únikem dat tvůrci vašeho kopilota.
Důležité
Ve výchozím nastavení je vynucení DLP pro kopiloty zakázáno u všech klientů. Přečtěte si, jak povolit vynucení.
Konektory musí být v jedné datové skupině, protože data nelze sdílet mezi konektory, které jsou v různých skupinách.
Následující konektory Copilot Studio jsou dostupné v centru pro správu Power Platform.
Tyto konektory lze pro DLP nakonfigurovat následovně:
Název konektoru | Description |
---|---|
Application Insights v aplikaci Copilot Studio | Zablokovat tvůrcům kopilota připojení kopilota s Application Insights. |
Chat bez ověřování službou Microsoft Entra ID ve službě Copilot Studio | Zablokujte tvůrcům kopilotů publikování kopilotů, které nejsou nakonfigurováni pro ověřování. Uživatelé kopilota budou pro chatování s kopilotem vyžadovat ověření . Další podrobnosti viz Příklad: Vyžadování ověření koncového uživatele pro kopiloty. |
Kanály Direct Line ve službě Copilot Studio | Zablokovat tvůrcům kopilotů zapnutí nebo používání kanálu Direct Line. Zablokován bude například ukázkový web, vlastní web, mobilní aplikace a další kanály Direct Line. |
Kanál Facebook ve službě Copilot Studio | Zablokujte tvůrcům kopilotů povolení nebo používání kanálu Facebook. |
Zdroj znalostí se službami SharePoint a OneDrive v nástroji Copilot Studio | Zablokovat tvůrcům kopilotů publikování kopilotů nakonfigurovaných s SharePoint a OneDrive jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů. |
Zdroj znalostí s veřejnými weby a daty v nástroji Copilot Studio | Zablokovat tvůrcům kopilotů publikování kopilotů nakonfigurovaných s veřejnými weby jako zdrojem znalostí. Podporuje filtrování koncového bodu konektoru DLP pro povolení nebo zakázání koncových bodů. |
Zdroj znalostí s dokumenty v Copilot Studio | Zablokovat tvůrcům kopilotů publikování kopilotů nakonfigurovaných s dokumenty jako zdrojem znalostí. |
Kanál Microsoft Teams ve službě Copilot Studio | Zablokujte tvůrcům kopilotů povolení nebo používání kanálu Teams. |
Omnikanál ve službě Copilot Studio | Zablokujte tvůrcům kopilotů povolení nebo používání kanálu Omnikanálu. |
Dovednosti se službou Copilot Studio | Zablokujte tvůrcům kopilotů používání dovedností v kopilotech Copilot Studio. Podrobnější informace viz Příklad: Použití DLP k blokování dovedností v kopilotech Copilot Studio a Příklad: Použití DLP k blokování požadavků HTTP z kopilotů Copilot Studio. |
Příklady konfigurací zásad DLP
Abychom vám pomohli začít se zásadami správného řízení kopilota Copilot Studio, vytvořili jsme následující příklady, které podrobně popisují různé scénáře:
- Příklad: Použití DLP k požadování ověření koncového uživatele pro kopiloty
- Příklad: Použití DLP k blokování zdroje znalostí SharePoint a OneDrive v kopilotech
- Příklad: Použití DLP k blokování konektorů Power Platform v kopilotech
- Příklad: Použití DLP k blokování požadavků HTTP v kopilotech
- Příklad: Použití DLP k blokování dovedností v kopilotech
- Příklad: Použití DLP k blokování publikování kopilota do kanálů
Použijte PowerShell k povolení a správě vynucení DLP pro kopiloty ve vaší organizaci
Pomocí rutin PowerShell PowerAppDlpErrorSettings
a PowerVirtualAgentsDlpEnforcement
můžete nakonfigurovat, zda mají být zásady DLP aplikovány na vaše kopiloty.
Můžete provádět následující akce:
- Potvrďte, zda je ve vašem klientovi povolena DLP pro kopiloty.
- Povolte nebo zakažte DLP v režimu auditování (
-Mode SoftEnabled
), aby tvůrci kopilotů viděli chyby, ale nebylo jim zabráněno v provádění akcí, které by byly zablokovány, pokud by bylo vynucení DLP plně povoleno. - Povolte nebo zakažte vynucení DLP, které zobrazí chyby vynucení DLP, a zabrání tvůrcům kopilotů publikovat roboty ovlivněné DLP nebo konfigurovat nastavení související s DLP.
- Vyjmout konkrétní kopiloty z prosazování DLP.
- Přidejte a aktualizujte odkazy na další informace a kontaktní e-maily, které se zobrazí tvůrcům kopilotů, když narazí na DLP na webu Copilot Studio a aplikacích Teams.
Důležité
Abyste mohli používat rutiny PowerShell nebo zde uvedené ukázkové skripty, musíte pomocí PowerShell nainstalovat následující moduly.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Pokud chcete používat rutiny, musíte být správce klienta.
Tyto rutiny byste obvykle používali v souladu s procesem zavádění DLP, který se může skládat z následujících kroků v uvedeném pořadí:
Přidejte nebo aktualizujte e-mailové odkazy na další informace a kontakt na správce, které se zobrazují v chybách DLP pro tvůrce kopilotů.
Zjistěte, kteří (pokud vůbec nějací) kopiloti mají aktuálně povoleno vynucování zásad DLP.
Použijte auditování nebo "měkký" režim, aby tvůrci viděli chyby DLP na webu Copilot Studio a v aplikaci Teams.
Snižte riziko tím, že budete kontaktovat výrobce a informovat je o nejlepším postupu pro jejich aplikaci nebo tok.
Povolte vynucení DLP pro kopiloty, abyste zabránili úlohám a funkcím ovlivněným DLP.
Můžete se také rozhodnout vyjmout jednoho nebo více kopilotů z prosazování zásad DLP, v závislosti na případu použití a požadavcích kopilota.
Přidejte a aktualizujte e-mailové odkazy na další informace a kontakt na správce
Můžete nakonfigurovat e-mail a odkaz na další informace pomocí rutiny prostředí PowerShell Set-PowerAppDlpErrorSettings
. Tvůrci kopilota uvidí tyto informace, když zaznamenají chyby DLP.
Chcete-li poprvé přidat e-mail a odkaz na další informace, spusťte následující skript prostředí PowerShell a nahraďte parametry <email>
, <URL>
a <tenant ID>
vlastními.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Chcete-li aktualizovat existující konfiguraci, použijte stejný skript PowerShell a nahraďte jej New-PowerAppDlpErrorSettings
s Set-PowerAppDlpErrorSettings
.
Upozornění
Tato nastavení platí pro všechny aplikace Power Platform v rámci zadaného klienta.
Povolte a nakonfigurujte vynucení DLP pro kopiloty
Můžete povolit, zakázat, nakonfigurovat a auditovat vynucení DLP v rámci Copilot Studio s rutinou PowerVirtualAgentsDlpEnforcement
.
V kterémkoli z následujících příkladů nahraďte (nebo deklarujte) <tenant ID>
s ID klienta.
Můžete rozšířit rozsah na kopiloty vytvořené po určitém datu nahrazením <date>
datem ve formátu MM-DD-YYYY
. Chcete-li odebrat rozsah, odstraňte parametr -OnlyForBotsCreatedAfter
a jeho hodnotu.
Potvrďte vynucení DLP pro kopiloty
Ve výchozím nastavení je vynucení DLP pro kopiloty zakázáno u všech klientů.
Můžete spustit následující rutinu PowerShell a zkontrolovat, zda je DLP pro Copilot Studio povoleno pro klienta.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Poznámka:
Pokud jste nenakonfigurovali DLP pro Copilot Studio, výsledky z rutiny budou prázdné.
Použití auditování nebo "měkkého" režimu, abyste viděli chyby DLP na webu Copilot Studio nebo v aplikaci Teams
Spuštěním následujícího skriptu PowerShell povolíte zásady DLP v režimu auditování. Tvůrci kopilotů uvidí chyby související s DLP při konfiguraci kopilotů na webu Copilot Studio a v aplikacích Teams, ale nebude jim zablokováno provádění akcí souvisejících s DLP. Mohou také publikovat kopiloty jako obvykle.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Chcete-li najít kopiloty, které by mohly ovlivnit stávající zásady ochrany před únikem informací (DLP) vaší organizace, můžete:
Použít Startovací sadu Center of Excellence (CoE). a získat seznam kopilotů ve vaší organizaci. Přejít na stránku s přehledem Copilot Studio na řídicím panelu CoE, kde uvidíte kopiloty a názvy prostředí ve vaší organizaci.
Spusťte kampaň s tvůrci kopilotů ve vaší organizaci a vyřešte chyby DLP nebo aktualizované zásady DLP. Všechny chyby DLP kopilota si můžete stáhnout výběrem Podrobné údaje v oznamovacím pruhu chyb a výběrem Stáhnout z údajů chybové zprávy.
Povolte vynucení DLP pro kopiloty
Důležité
Než povolíte vynucení DLP, ujistěte se, že víte, kteří kopiloti budou zobrazovat chyby uživatelům vašeho kopilota kvůli porušení zásad DLP.
Pokud narazíte na problémy, můžete kopilota osvobodit od zásad DLP nebo deaktivovat vynucování DLP, zatímco tvůrci opraví kopilota, aby dodržoval zásady DLP.
Chcete-li vynutit zásady DLP, můžete spustit následující příkaz PowerShell Copilot Studio. Tvůrcům kopilotů bude zabráněno v provádění akcí ovlivněných DLP a koncoví uživatelé uvidí chyby, pokud se spustí.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Osvobození robota od zásad DLP
Pokud jste pro svého klienta povolili vynucení ochrany před únikem informací (DLP), ale potřebujete kopilota osvobodit od zobrazování chyb ochrany před únikem informací (DLP) tvůrcům a koncovým uživatelům, můžete spustit následující skript prostředí PowerShell.
Nezapomeňte vyměnit <environment ID>
, <bot ID>
, <tenant ID>
a <policy ID>
za příslušné ID pro kopilota, kterého chcete vyjmout.
Tip
Můžete najít <environment ID>
a <bot ID>
z adresy URL kopilota.
<policy ID>
je uvedeno vedle podrobností o chybě v souboru Stáhnout podrobnosti. Tento soubor si můžete stáhnout výběrem Stáhnout podrobnosti na banneru s upozorněním na chybu v Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Zakažte vynucení DLP pro kopiloty
Následující příkaz zakáže vynucení DLP v kopilotech.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro