Freigeben über

Datenrichtlinien für Agents konfigurieren

Mit Copilot Studio können Sie schnell hochwertige Agenten für Ihre Nutzer erstellen und bereitstellen, die mit vielen Datenquellen und Diensten verbunden sind. Einige dieser Quellen und Dienste könnten externe, nicht-Microsoft-Dienste sein. Sie können sogar soziale Netzwerke umfassen, neben Verbindungen zu Ihren Unternehmensdaten.

Organisationsdaten sind das wichtigste Gut, für das Administratoren verantwortlich sind. Die Möglichkeit, diese Daten auf geschützte Weise zu verwenden und gleichzeitig eine Verbindung zu anderen Diensten und Systemen herzustellen und mit ihnen zu interagieren, ist ein Eckpfeiler der Datensicherheit.

Datenrichtlinien ermöglichen es Ihnen, zu steuern, wie Agenten Daten und Dienste sowohl innerhalb als auch außerhalb Ihrer Organisation verbinden und mit ihnen interagieren. Administratoren können Copilot Studio- und Power Platform-Datenrichtlinien im Power Platform Admin Center konfigurieren.

Wichtig

Seit Anfang 2025 gilt die Durchsetzung von Datenrichtlinien für alle Mieter, wie im Nachrichtenzentrum-Alarm MC973179 bekanntgegeben : Copilot Studio – Kommende Updates zur Durchsetzung der Datenverlustprävention.

Die Ausnahmen zur Erzwingung von Agent-Datenrichtlinien werden nicht mehr unterstützt. Agenten, die zuvor von der Durchsetzung von Datenrichtlinien ausgenommen waren, unterliegen alle der Durchsetzung.

Erfahren Sie mehr über die Fehlersuche bei der Durchsetzung von Datenrichtlinien bei Ihrem Mieter.

Anforderungen

Copilot Studio Anschlüsse und Datengruppen

Im Power Platform Admin Center können Sie Copilot Studio Connectors innerhalb einer Datenrichtlinie unter den folgenden Datengruppen klassifizieren:

  • Unternehmen
  • Nicht geschäftlich
  • Blockiert

Nutzen Sie diese Connectoren in Datenrichtlinien, um die Daten Ihrer Organisation vor bösartigen oder unbeabsichtigten Datenexfiltrationen durch Ihre Agent-Entwickler zu schützen.

Die Standardgruppe in Datenrichtlinien ist eine Kategorie, in der Konnektors automatisch hinzugefügt werden, wenn während der Einführung keine explizite Gruppierung definiert wird. Nach 2019 eingeführte Connectors, wie Chat ohne Microsoft Entra-ID-Authentifizierung in Copilot Studio oder Direct Line-Kanäle in Copilot Studio, gehören wahrscheinlich zur Standardgruppe "Non-business".

In vielen Organisationen werden Konnektoren in der Gruppe "Nicht-Geschäftsbereich" automatisch blockiert. Wenn eine Datenrichtlinie einen Connector in Ihrem Copilot Studio-Tenant blockiert, überprüfen Sie, in welcher Datengruppe sich der Connector befindet.

Administratoren können Standardgruppen auf Datenrichtlinienebene im Power Platform Verwaltungszentrum konfigurieren.

Wichtig

Copilot Studio unterstützt die Erzwingung von Datenrichtlinien in Echtzeit. Agent-Ersteller und -Benutzer sehen Fehlermeldungen für Verstöße gegen Datenrichtlinien.

In einer Datenrichtlinie müssen sich die Konnektoren in derselben Datengruppe befinden, da Daten nicht für Konnektoren freigegeben werden können, die sich in verschiedenen Gruppen befinden.

Häufige Anwendungsfälle für Datenrichtlinien für Copilot Studio-Agenten

Sie können Copilot Studio Connectors im Power Platform Admin Center verwenden, um Datenrichtlinien für die folgenden gängigen Anwendungsfälle zu konfigurieren:

Die Liste der unterstützten Connectoren im Power Platform Admin Center enthält noch einige weitere Anwendungsfälle.

Benutzerauthentifizierung erforderlich

Wenn Sie einen neuen Agenten erstellen, ist standardmäßig die Option Authentifizieren mit Microsoft-Authentifizierung aktiviert. Der Agent verwendet automatisch die Microsoft Entra-ID-Authentifizierung, ohne dass eine manuelle Einrichtung erforderlich ist. Sie können nur mit Ihrem Agenten in Microsoft Teams, SharePoint, Power Apps oder Microsoft 365 Copilot chatten. Allerdings können die Agentenentwickler in Ihrer Organisation keine Authentifizierung auswählen, sodass jeder mit dem Link mit Ihrem Agenten chatten kann.

Screenshot des Authentifizierungs-Konfigurationspanels mit der Option 'Mit Microsoft authentifizieren' ausgewählt.

Um zu verhindern, dass Agent-Hersteller Agenten veröffentlichen, die keine Authentifizierung benötigen, konfigurieren Sie eine Datenrichtlinie , die den Connector-Chat ohne Microsoft Entra ID-Authentifizierung in Copilot Studio blockiert.

Sobald du diese Datenrichtlinie eingerichtet hast, können Agentenhersteller nur noch Authenticate with Microsoft oder Authenticate manuell verwenden, um die Benutzerauthentifizierung für Agenten in Copilot Studio zu konfigurieren, und Agentenbenutzer müssen sich authentifizieren, um mit dem Agenten zu chatten.

Block-Wissensquellen

Verwenden Sie Datenrichtlinien, um zu steuern, welche Wissensquellen Agentenautoren nutzen können.

Um zu verhindern, dass Agent-Hersteller Agenten veröffentlichen, die bestimmte Arten von Wissensquellen verwenden, konfigurieren Sie eine Datenrichtlinie , die einen oder mehrere der folgenden Connectors blockiert:

  • Wissensquelle mit SharePoint und OneDrive in Copilot Studio
  • Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio
  • Wissensquelle mit Dokumenten in Copilot Studio

Alternativ, wenn Sie bestimmte Endpunkte für SharePoint oder öffentliche Webseiten erlauben oder ablehnen möchten, die Hersteller als Wissensquellen für ihre Copilot Studio-Agenten nutzen können, verwenden Sie Endpoint-Filterung anstelle des ausgewählten Connectors.

Block mit Power Platform-Steckern als Werkzeuge

Um zu verhindern, dass Agent-Hersteller Power Platform-Connectors als Werkzeuge in Copilot Studio Agents verwenden, konfigurieren Sie eine Datenrichtlinie mit den Connectors, die Sie blockieren möchten.

HTTP-Anfragen blockieren

Agent-Entwickler in Ihrer Organisation können HTTP-Anfragen über den HTTP-Anforderungsknoten stellen.

Um zu verhindern, dass Agent-Hersteller Agenten veröffentlichen, die HTTP-Anfragen stellen, konfigurieren Sie eine Datenrichtlinie , die den HTTP-Connector blockiert.

Alternativ, wenn Sie bestimmte HTTP-Endpunkte erlauben oder ablehnen möchten, anstatt alle HTTP-Aufrufe zu blockieren, können Sie Endpunktfilterung verwenden.

Blockfähigkeiten

Maklermacher in Ihrem Unternehmen können Makler mit Fähigkeiten ausbilden. Fähigkeiten können eine nützliche Möglichkeit sein, die Funktionalität von Agenten zu erweitern. Aus Sicherheitsgründen solltest du jedoch konfigurieren, welche Fähigkeiten Agenten nutzen können.

Um zu verhindern, dass Agent-Maker Agenten veröffentlichen, die Skills verwenden, konfigurieren Sie eine Datenrichtlinie , die den Skills with Copilot Studio Connector blockiert.

Blockveröffentlichung auf bestimmte Kanäle

Verwenden Sie Datenrichtlinien, um die Kanäle zu konfigurieren, über die Hersteller Agenten veröffentlichen können.

Um zu verhindern, dass Agent-Hersteller Agenten auf bestimmte Kanäle veröffentlichen, konfigurieren Sie eine Datenrichtlinie , die einen oder mehrere der folgenden Connectors blockiert:

  • Microsoft Teams + M365-Kanal in Copilot Studio
  • Direct Line-Kanäle in Copilot Studio (gilt für die Demo-Website, benutzerdefinierte Webseiten, mobile App und andere Direct Line-Kanäle)
  • Facebook-Kanal in Copilot Studio
  • Omnichannel im Copilot-Studio
  • SharePoint-Kanal in Copilot Studio
  • WhatsApp-Kanal in Copilot Studio

Hinweis

Wenn die Hersteller ihre Agenten nicht für einen nicht blockierten Kanal konfigurieren (Direct-Line-Kanäle sind standardmäßig erlaubt), oder wenn die Administratoren keinen Kanal erlauben, können Agenten nicht veröffentlicht werden.

Blockereignis-Auslöser

Agent-Ersteller in Ihrer Organisation können Agenten Ereignisauslöser hinzufügen. Mithilfe von Ereignisauslösern können Ihre Agenten ohne menschliche Aufforderung auf externe Ereignisse reagieren. Allerdings sollten Sie ihre Nutzung einschränken, um Datenexfiltration oder unerwünschten Konsum oder Quotennutzung zu verhindern.

Um zu verhindern, dass Agent-Hersteller Ereignisauslöser zu ihren Agenten hinzufügen oder automatisierte Bewertungen mit einem authentifizierten Konto durchführen, konfigurieren Sie eine Datenrichtlinie , die den Microsoft Copilot Studio Connector blockiert.

Connector-Namen im Power Platform Verwaltungszentrum

Die folgende Tabelle zeigt die Namen der Connectors, die Sie in Datenrichtlinien für Copilot Studio-Agenten verwenden können.

Um zu verhindern, dass Agentenhersteller... Steckername im Power Platform Verwaltungszentrum
Agenten mit Application Insights verbinden. Anwendungs-Einblicke in Copilot Studio
Publing-Agenten, die nicht für Authentifizierung konfiguriert sind. Chatten ohne Microsoft Entra ID-Authentifizierung in Copilot Studio
Publishing-Agenten, die HTTP-Anfragen stellen. HTTP
Unterstützt Endpunktfilterung, um Endpunkte zuzulassen oder abzulehnen.
Verlagsagenten, die mit Dokumenten als Wissensquelle konfiguriert sind. Wissensquelle mit Dokumenten in Copilot Studio
Verlagsagenten, die mit öffentlichen Webseiten als Wissensquelle konfiguriert sind. Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio
Unterstützt Endpunktfilterung, um Endpunkte zuzulassen oder abzulehnen.
Publishing-Agenten konfiguriert mit SharePoint als Wissensbase. Wissensquelle mit SharePoint und OneDrive in Copilot Studio
Unterstützt Endpunktfilterung, um Endpunkte zuzulassen oder abzulehnen.
Veröffentlichung auf Direct Line Channels. Direct Line-Kanäle in Copilot Studio
Veröffentlichen im Dynamics 365 Kundenservice-Kanal. Omnichannel im Copilot-Studio
Veröffentlichen auf dem Facebook-Kanal. Facebook-Kanal in Copilot Studio
Veröffentlichen im SharePoint-Kanal. SharePoint-Kanal im Copilot Studio
Veröffentlichung auf Teams und Microsoft 365 Copilot-Kanal. Microsoft Teams + M365-Kanal im Copilot Studio
Veröffentlichen auf dem WhatsApp-Kanal. WhatsApp-Kanal im Copilot Studio
Verwendung von Ereignisauslösern in Copilot Studio-Agenten oder automatisierte Bewertungen mit authentifizierten Konten. Microsoft Copilot Studio
Nutzung von Power Platform-Connectoren als Werkzeuge in Copilot Studio Agenten. Viele vorgefertigte und maßgefertigte Steckverbinder
Die Fähigkeiten von Copilot Studio-Agenten nutzen. Fertigkeiten mit Copilot Studio

Konfigurieren Sie eine Datenrichtlinie im Power Platform Admin Center

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. In der Seitenleiste wählen Sie Sicherheit und dann Daten und Privatsphäre. Die Seite Datenschutz und Privatsphäre wird geöffnet.

  3. Wählen Sie "Datenrichtlinie" aus. Die Liste der Datenrichtlinien erscheint.

  4. Erstellen Sie eine neue Datenrichtlinie, oder wählen Sie eine vorhandene Datenrichtlinie aus, die bearbeitet werden soll:

  5. Wählen Sie Weiteraus. Die Seite "Eine Umgebung hinzufügen " erscheint.

    • Um eine Umgebung zu Ihrer Datenrichtlinie hinzuzufügen, wählen Sie die Umgebung im Reiter Verfügbar aus und wählen Sie dann zur Richtlinie hinzufügen.
    • Um eine Umgebung aus Ihrer Datenrichtlinie zu entfernen, wechseln Sie zum Reiter Hinzugefügte Richtlinie , wählen Sie die Umgebung aus und wählen Sie dann Aus Richtlinie entfernen.

  6. Wählen Sie Weiteraus. Die Seite "Assign connectors" erscheint.

  7. Nutze das Suchfeld, um den gewünschten Stecker zu finden.

  8. Wählen Sie die drei Punkte () neben dem Stecker aus und dann:

    • Wenn Sie verhindern möchten, dass Agentenhersteller die mit dem Connector verbundenen Funktionen nutzen, wählen Sie Blockieren.

    • Wenn Sie bestimmte Endpunkte für SharePoint oder öffentliche Websites, die als Wissensquellen konfiguriert sind, oder für HTTP-Anfragen erlauben oder ablehnen möchten:

      1. Wählen Sie Connector>Connector-Endpunkte konfigurieren.
      2. Füge die gewünschten Endpunkte oder Muster hinzu und wähle dann Speichern.

  9. Wählen Sie Weiteraus.

  10. Wenn Sie Mieteradministrator oder Umgebungsadministrator für mehrere Umgebungen sind, öffnet sich die Seite "Umfang definieren ".

    1. Wählen Sie die gewünschte Option:

      • Fügen Sie alle Umgebungen hinzu: Fügen Sie alle Umgebungen Ihres gesamten Mieters hinzu. Diese Richtlinie gilt automatisch für jede neue Umgebung, die im Mieter erstellt wird.
      • Fügen Sie mehrere Umgebungen hinzu: Wählen Sie die Umgebungen aus, die in diese Richtlinie eingeschlossen werden sollen.
      • Schließen Sie bestimmte Umgebungen aus: Wählen Sie die Umgebungen aus, die von dieser Richtlinie ausgeschlossen werden sollen.

      Hinweis

      Richtlinien mit Mieterbereich gelten für alle Agenten in allen Umgebungen des Mieters.

    2. Wählen Sie Weiteraus.

  11. Überprüfen Sie Ihre Richtlinie, und wählen Sie dann "Richtlinie erstellen " aus, wenn Sie eine neue Richtlinie oder Eine Aktualisierungsrichtlinie erstellen, wenn Sie eine vorhandene Richtlinie bearbeiten.

  12. Geh zu Copilot Studio und überprüfe, dass deine Datenrichtlinie wie erwartet für deinen Anwendungsfall durchgesetzt wird.

Bestätigen Sie die Durchsetzung von Datenrichtlinien in Copilot Studio

Sie können bestätigen, dass eine Datenrichtlinie gilt, indem Sie einen Agenten in Copilot Studio eröffnen. Nachdem Sie versuchen, eine Operation durchzuführen, die der Datenrichtlinie unterliegt, erscheint ein Fehlerbanner mit einem Details-Button . Um Details zu sehen, erweitern Sie auf der Seite Kanäle den Fehlerlink und wählen Sie Herunterladen. In der Details-Datei beschreibt eine Zeile jeden Verstoß. Wenn ein Datenrichtlinienverstoß auftritt, wird der Veröffentlichen-Button nicht mehr verfügbar.

Bestätigen Sie, dass eine Benutzerauthentifizierung erforderlich ist

Wenn du einen Agenten öffnest, der in einer Umgebung mit einer Datenrichtlinie nicht so konfiguriert ist, dass eine Benutzerauthentifizierung erforderlich ist, erscheint ein Fehlerbanner mit einem Details-Button . Um Details zu sehen, erweitern Sie auf der Seite Kanäle den Fehlerlink und wählen Sie Herunterladen. In der Details-Datei beschreibt eine Zeile jeden Verstoß.

Ein Agent-Maker kann seine Administratoren mit den Angaben der Tabelle kontaktieren, um gegebenenfalls Änderungen an der Datenrichtlinie vorzunehmen.

Alternativ kann der Agentenhersteller die Authentifizierungseinstellungen des Agenten auf Authentifizieren mit Microsoft oder Authentifizieren manuell (Azure Active Directory oder Azure Active Directory v2) auf der Authentifizierungskonfigurationsseite aktualisieren. Weitere Informationen finden Sie unter Benutzer-Authentifizierung in Copilot Studio konfigurieren.

Beachten Sie, dass keine Authentifizierung und einige manuelle Authentifizierungsoptionen nicht zur Auswahl stehen.

Bestätigen Sie, dass Wissensquellen blockiert sind

  1. In Copilot Studio öffnet man einen Agenten in einer Umgebung mit einer Datenrichtlinie, die Herstellern daran hindert, bestimmte Wissensquellen hinzuzufügen.

  2. Gehe zur Wissensseite , wähle Wissen hinzufügen und füge eine Wissensquelle hinzu, die deine Datenrichtlinie blockiert.

  3. Versuche, den Agenten zu veröffentlichen. Wenn die Richtlinie durchgesetzt wird, erscheint ein Fehlerbanner mit einem Details-Button .

  4. Auf der Seite Kanäle erweitern Sie den Fehlerlink und wählen Sie Herunterladen , um Details zu sehen. In der Details-Datei erscheint bei einem Verstoß gegen die Datenrichtlinien für eine Wissensquelle eine Zeile für die Wissensquelle und für jeden generativen Antworten-Knoten, der diese Wissensquelle verwendet.

Bestätigen Sie, dass Power Platform-Stecker nicht als Werkzeuge verwendet werden dürfen

  1. In Copilot Studio eröffnet man einen Agenten in einer Umgebung mit einer Datenrichtlinie, die verhindert, dass Hersteller Werkzeuge basierend auf Power Platform-Connectors konfigurieren.

  2. Erstelle ein neues Thema und füge einen Tool-Knoten hinzu.

  3. Im Tool-Panel "Hinzufügen" wechseln Sie zum Reiter "Connectors" und wählen Sie einen Connector aus, den Ihre Datenrichtlinie blockiert. Verwenden Sie bei Bedarf das Suchfeld.

  4. Speichere das Thema und versuche, den Agenten zu veröffentlichen. Wenn die Richtlinie durchgesetzt wird, erscheint ein Fehlerbanner mit einem Details-Button .

  5. Auf der Seite Kanäle erweitern Sie den Fehlerlink und wählen Sie Herunterladen , um Details zu sehen.

Hinweis

Klassische Chatbots unterstützen keine Power Platform-Konnektoren.

Bestätigen Sie, dass HTTP-Anfragen blockiert sind

  1. In Copilot Studio eröffnet man einen Agenten in einer Umgebung mit einer Datenrichtlinie, die HTTP-Anfragen blockiert.

  2. Erstelle ein neues Thema und füge einen HTTP-Anforderungsknoten hinzu. Mindestens solltest du die URL-Eigenschaft ausfüllen.

  3. Speichere das Thema und versuche, den Agenten zu veröffentlichen. Wenn die Richtlinie durchgesetzt wird, erscheint ein Fehlerbanner mit einem Details-Button .

  4. Auf der Seite Kanäle erweitern Sie den Fehlerlink und wählen Sie Herunterladen , um Details zu sehen. In der Details-Datei erscheint eine Zeile mit einer Beschreibung für jeden Verstoß. Ein Verstoß liegt vor, wenn der HTTP-Connector blockiert ist, wenn der HTTP-Connector in einer anderen Datengruppe als andere Connectors in Ihrer Datenrichtlinie ist oder wenn der HTTP-Connector nicht blockiert wird, aber ein Endpunkt abgelehnt wird.

Bestätigen Sie, dass die Fähigkeiten blockiert sind

  1. In Copilot Studio öffnet man einen Agenten in einer Umgebung mit einer Datenrichtlinie, die Entwickler daran hindert, Skills zu konfigurieren.

  2. Versuche, dem Agenten eine Fähigkeit hinzuzufügen . Wenn die Datenrichtlinie durchgesetzt wird, meldet das Panel "Skill hinzufügen " einen Fehler und empfiehlt dir, einen Admin zu kontaktieren, um die Fähigkeit zur Erlaubnisliste hinzuzufügen.

Bestätigen Sie, dass die Veröffentlichung auf bestimmten Kanälen blockiert ist

  1. In Copilot Studio eröffnet man einen Agenten in einer Umgebung mit einer Datenrichtlinie, die Herstellern daran hindert, auf bestimmte Kanäle zu veröffentlichen.

  2. Versuche, einen Kanal zu konfigurieren, den die Datenrichtlinie blockiert. Wenn die Datenrichtlinie durchgesetzt wird, kannst du nicht auf diesem Kanal veröffentlichen.

Bestätigen Sie, dass Ereignisauslöser blockiert sind

  1. In Copilot Studio öffnet man einen Agenten in einer Umgebung mit einer Datenrichtlinie, die verhindert, dass Entwickler Ereignistrigger hinzufügen.

  2. Wenn die Richtlinie durchgesetzt wird, erscheint eine detaillierte Fehlermeldung im Bereich Triggers auf der Übersichtsseite . In der Nachricht steht der Name der Datenrichtlinie und Sie empfehlen, Ihren Administrator zu kontaktieren.

Identifizieren und Beheben der Auswirkungen von Datenrichtlinien

Um Agents zu finden, die sich auf die Datenrichtlinien Ihrer Organisation auswirken könnten, können Sie folgende Aktionen ausführen:

  • Verwenden Sie das Power BI-Dashboard des Center of Excellence (CoE) Starter Kit. Auf der Übersichtsseite von Copilot Studio im CoE-Dashboard sind die Agents und Umgebungen in Ihrer Organisation aufgeführt.

    Hinweis

    Klassische Chatbots, die mit der alten Microsoft Copilot Studio App in Microsoft Teams erstellt wurden, sind im CoE Starter Kit nicht auffindbar. Um eine Liste aller Agents und klassischen Chatbots in einer Umgebung zu erhalten, können Sie einen Power Automate-Cloudfluss mit einer Dataverse-Aktion Listenzeile aus der ausgewählten Umgebung erstellen.

  • Um Datenrichtlinienfehler oder aktualisierte Datenrichtlinien zu beheben, führen Sie eine Kampagne mit den Agent-Makern in Ihrer Organisation aus. Um alle Agent-Datenrichtlinienfehler herunterzuladen, wählen Sie im Banner der Fehlerbenachrichtigung Details aus, und wählen Sie "Herunterladen " aus den Fehlermeldungsdetails aus.

Wenn Datenrichtlinien die Funktionalität Ihrer Agenten beeinflussen, siehe Fehlerbehebung der Datenrichtliniendurchsetzung für Copilot Studio.

Verwenden Sie das Set-PowerAppDlpErrorSettings PowerShell-CMDLET, um eine E-Mail-Adresse und einen "Mehr erfahren"-Link zu den Fehlermeldungen der Datenrichtlinien hinzuzufügen.

Screenshot einer datenbezogenen Fehlermeldung in Copilot Studio, mit einer E-Mail-Adresse und dem Link 'Mehr erfahren' hervorgehoben.

Um die E-Mail-Adresse und den Link "Mehr erfahren" hinzuzufügen, führen Sie das folgende PowerShell-Skript aus. Ersetzen Sie die Werte für die <email>, <URL>, und <tenant ID> Parameter durch Ihre eigenen.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Um eine bestehende Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, ersetzen New-PowerAppDlpErrorSettings Sie aber durch Set-PowerAppDlpErrorSettings.

Warnung

Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.

  • Last updated on