Richtlinien zur Verhinderung von Datenverlust für Copiloten konfigurieren
Organisationsdaten sind die wichtigsten Ressourcen, für deren Sicherung Administratoren zuständig sind. Durch die Fähigkeit, auf der Basis dieser Daten Automatisierungen zu entwickeln, ist ein großer Teil des Erfolgs ihres Unternehmens.
Sie können Ihre hochwertigen Copiloten für Ihre Endbenutzenden schnell erstellen und bereitstellen. Sie können Ihre Copiloten mit vielen Datenquellen und Diensten verbinden. Einige dieser Quellen und Dienste können externe Microsoft-fremde Dienste sein und sogar soziale Netzwerke umfassen.
Es ist leicht, das Potenzial der Exposition zu übersehen. Diese Art der Offenlegung kann durch Datenlecks oder Verbindungen mit Diensten und Zielgruppen entstehen, die keinen Zugriff auf die Daten haben sollten.
Administrierende können Copiloten in Ihrer Organisation mithilfe von Richtlinien zur Verhinderung von Datenverlust (DLP) mit vorhandenen und Copilot Studio-Konnektoren steuern. DLP-Richtlinien werden im Power Platform Admin Center erstellt. Um eine DLP-Richtlinie zu erstellen, müssen Sie ein Mandantenadministrator sein oder die Rolle des Umgebungsadministrators haben.
Anforderungen
- Überprüfen Sie Konzepte über DLP-Richtlinien
Copilot Studio-Connectors
Copilot Studio-Konnektoren können innerhalb einer DLP-Richtlinie unter den folgenden Datengruppen klassifiziert werden, die in Power Platform Admin Center beim Überprüfen von DLP-Richtlinien dargestellt werden:
- Unternehmen
- Nicht geschäftlich
- Blockiert
Sie können die Konnektoren in DLP-Richtlinien verwenden, um die Daten Ihrer Organisation vor böswilliger oder unbeabsichtigter Datenexfiltration durch Ihre Copilot-Erstellenden zu schützen.
Wichtig
Die DLP-Durchsetzung ist standardmäßig in allen Mandanten für Copiloten deaktiviert. Weitere Informationen über die Aktivierung der Durchsetzung.
Die Konnektoren müssen sich in einer einzigen Datengruppe befinden, da Daten nicht von Konnektoren gemeinsam genutzt werden können, die sich in verschiedenen Gruppen befinden.
Im Copilot Studio Admin Center sind mehrere Power Platform Konnektoren verfügbar. Diese Connectors können wie folgt für DLP konfiguriert werden:
| Konnektorname | Beschreibung |
|---|---|
| Application Insights in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Copiloten mit Application Insights zu verbinden. |
| Chatten ohne Microsoft Entra ID-Authentifizierung in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die nicht für die Authentifizierung konfiguriert sind. Copilot-Benutzer müssen sich authentifizieren , um mit dem Copilot chatten zu können. Weitere Informationen finden Sie unter Beispiel zur Verhinderung von Datenverlust: Endbenutzerauthentifizierung in Copiloten erforderlich machen. |
| Direct Line-Kanäle in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Direct Line-Kanal zu aktivieren oder zu verwenden. Dabei würden zum Beispiel die Demowebsite, die benutzerdefinierte Website, die mobile App und andere Direct Line-Kanäle blockiert. |
| Facebook-Kanal in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Facebook-Kanal zu aktivieren oder zu verwenden. |
| Wissensquelle mit SharePoint und OneDrive in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copilot-Agents zu veröffentlichen, die mit SharePoint als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die mit öffentlichen Websites als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit Dokumenten in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die mit Dokumenten als Wissensquelle konfiguriert sind. |
| Microsoft Teams-Kanal in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Teams-Kanal zu aktivieren oder zu verwenden. |
| Omnichannel in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Omnichannel-Kanal zu aktivieren oder zu verwenden. |
| Qualifikationen mit Copilot Studio | Verhindern Sie, dass Copiloten-Erstellende die Fähigkeiten von Copilot Studio-Copiloten nutzen. Weitere Einzelheiten finden Sie unter Beispiel zur Verhinderung von Datenverlusten – Fertigkeiten in Copiloten blockieren und Beispiel zur Verhinderung von Datenverlust: HTTP-Anforderungen in Copiloten blockieren. |
Beispielhafte DLP-Richtlinienkonfigurationen
Um Ihnen die Ersten Schritte mit der Copilot Studio-Copilot-Governance zu erleichtern, haben wir die folgenden Beispiele erstellt, die verschiedene Szenarien beschreiben:
- Beispiel zur Verhinderung von Datenverlust: Endbenutzerauthentifizierung in Copiloten erforderlich machen
- Beispiel zur Verhinderung von Datenverlust: SharePoint-Wissensquelle in Copiloten blockieren
- Beispiel zur Verhinderung von Datenverlust: Power Platform-Connectors in Copiloten blockieren
- Beispiel zur Verhinderung von Datenverlust: HTTP-Anforderungen in Copiloten blockieren
- Beispiel zur Verhinderung von Datenverlusten – Fertigkeiten in Copiloten blockieren
- Beispiel zur Verhinderung von Datenverlust: Kanäle blockieren, um die Copilot-Veröffentlichung zu deaktivieren
PowerShell verwenden, um die DLP-Durchsetzung für Copiloten in Ihrer Organisation zu aktivieren und zu verwalten
Sie können mit den PowerShell-Cmdlets PowerAppDlpErrorSettings und PowerVirtualAgentsDlpEnforcement konfigurieren, ob DLP-Richtlinien auf Ihre Copiloten angewendet werden sollen.
Sie können Folgendes ausführen:
- Bestätigen Sie, ob die DLP für Copiloten in Ihrem Mandanten aktiviert ist.
- Die DLP in einem Überwachungsmodus (
-Mode SoftEnabled) aktivieren und deaktivieren, damit Copilot-Erstellende Fehler sehen können, aber nicht daran gehindert werden, Aktionen auszuführen, die blockiert würden, wenn die DLP-Durchsetzung vollständig aktiviert wäre. - Aktivieren oder deaktivieren Sie die DLP-Erzwingung, um DLP-Erzwingungsfehler anzuzeigen und zu verhindern, dass Copilot-Entwickler DLP-betroffene Bots veröffentlichen oder DLP-bezogene Einstellungen konfigurieren.
- Bestimmte Copiloten von der DLP-Durchsetzung ausnehmen.
- Die Links zu weiteren Informationen und E-Mail-Adressen von Ansprechpartnern hinzufügen und aktualisieren, die Copilot-Erstellenden angezeigt werden, wenn sie in der Copilot Studio-Web und in Teams-Apps auf die DLP stoßen.
Wichtig
Bevor Sie die PowerShell-Cmdlets oder die hier gezeigten Beispielskripts verwenden, installieren Sie unbedingt die folgenden Module mit PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Sie müssen ein Mandantenadministrator sein, um die cmdlets zu verwenden.
In der Regel würden Sie diese Cmdlets gemäß einem DLP-Rollout-Prozess verwenden, der aus den folgenden Schritten in dieser Reihenfolge bestehen könnte:
Die Links für weitere Informationen und Administrator-E-Mail-Adressen hinzufügen oder aktualisieren, die in DLP-Fehlern für Copilot-Erstellende angezeigt werden.
Ermitteln, für welche Copiloten (falls vorhanden) derzeit die DLP-Richtliniendurchsetzung aktiviert ist.
Verwenden Sie den Auditing- oder „Soft“-Modus, damit Ersteller DLP-Fehler in den Copilot Studio Web- und Teams-Apps sehen können.
Kontaktieren Sie Hersteller und informieren Sie sie über die beste Vorgehensweise für ihre App oder ihren Flow, um das Risiko zu minimieren.
Die DLP-Durchsetzung für Copiloten aktivieren, um von DLP betroffene Aufgaben und Funktionen zu verhindern.
Sie können auch einen oder mehrere Copiloten von der Durchsetzung der DLP-Richtlinien ausschließen, je nach Anwendungsfall und Anforderungen des Copiloten.
Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu und aktualisieren Sie sie
Sie können eine E-Mail und einen Link für weitere Informationen konfigurieren, indem Sie das Set-PowerAppDlpErrorSettings PowerShell-Cmdlet verwenden. Ihre Copilot-Erstellenden sehen diese Informationen, wenn bei ihnen DLP-Fehler auftreten.
Um die E-Mail und den Link „Weitere Informationen“ zum ersten Mal hinzuzufügen, führen Sie das folgende PowerShell-Skript aus und ersetzen dabei die Werte der <email>, <URL> und <tenant ID>-Parameter durch Ihre eigenen.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Um eine vorhandene Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, und ersetzen Sie New-PowerAppDlpErrorSettings durch Set-PowerAppDlpErrorSettings.
Achtung
Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.
Die DLP-Durchsetzung für Copiloten aktivieren und konfigurieren
Sie können die DLP-Erzwingung in Copilot Studio mit dem PowerVirtualAgentsDlpEnforcement-Cmdlet aktivieren, deaktivieren, konfigurieren und prüfen.
Ersetzen (oder deklarieren) Sie in einem der folgenden Beispiele <tenant ID> durch Ihre Mandanten-ID.
Sie können den Bereich auf Copiloten beschränken, die nach einem bestimmten Datum erstellt wurden, indem Sie <date> durch ein Datum im MM-DD-YYYY-Format ersetzen. Um den Bereich zu entfernen, löschen Sie den -OnlyForBotsCreatedAfter-Parameter und seinen Wert.
Die DLP-Durchsetzung für Copiloten bestätigen
Die DLP-Durchsetzung ist standardmäßig in allen Mandanten für Copiloten deaktiviert.
Sie können das folgende PowerShell-Cmdlet ausführen, um zu überprüfen, ob DLP für Copilot Studio für einen Mandanten aktiviert ist.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Notiz
Wenn Sie Copilot Studio DLP nicht konfiguriert haben, sind die Ergebnisse des Cmdlets leer.
Den Auditing- oder „Soft“-Modus verwenden, um DLP-Fehler in den Copilot Studio Web- oder Teams-Apps anzuzeigen
Führen Sie das folgende PowerShell-Skript aus, um DLP-Richtlinien im Überwachungsmodus zu aktivieren. Copilot-Erstellende sehen mit der DLP zusammenhängende Fehler, wenn sie Copiloten in den Copilot Studio-Web- und den Teams-Apps konfigurieren. Sie werden jedoch nicht daran gehindert, mit der DLP zusammenhängende Aktionen auszuführen. Darüber hinaus können Entwickelnde keine Copilot-Agents veröffentlichen, wenn der „Soft“-Modus aktiviert ist.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Um Copiloten zu finden, die von den bestehenden DLP-Richtlinien Ihrer Organisation betroffen sein könnten, können Sie:
Das Starter Kit für das Center of Excellence (CoE) verwenden, um eine Liste der Copiloten in Ihrer Organisation abzurufen. Gehen Sie zur Copilot Studio-Übersichtsseite im CoE-Dashboard, um die Copiloten und Umgebungsnamen in Ihrer Organisation anzuzeigen.
Führen Sie eine Kampagne mit den Copilot-Erstellenden in Ihrer Organisation durch, um DLP-Fehler zu beheben oder DLP-Richtlinien zu aktualisieren. Sie können alle Copilot-DLP-Fehler herunterladen, indem Sie im Fehlerbenachrichtigungsbanner Details auswählen und in den Fehlermeldungsdetails Herunterladen auswählen.
Die DLP-Durchsetzung für Copiloten aktivieren
Wichtig
Stellen Sie vor dem Aktivieren der DLP-Erzwingung sicher, dass Sie wissen, welche Copiloten Ihren Copilot-Benutzenden aufgrund von Verstößen gegen die DLP-Richtlinie Fehler anzeigen.
Wenn Sie auf Probleme stoßen, können Sie einen Copiloten von den DLP-Richtlinien ausnehmen oder die DLP-Durchsetzung deaktivieren, während Ihre Erstellenden den Copiloten korrigieren, sodass er den DLP-Richtlinien entspricht.
Sie können den folgenden PowerShell-Befehl ausführen, um Copilot Studio DLP-Richtlinien zu erzwingen. Copilot-Erstellende werden daran gehindert, von der DLP beeinflusste Aktionen auszuführen, und Endbenutzende erhalten Fehlermeldungen, wenn sie ausgelöst werden.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Einen Bot von DLP-Richtlinien ausnehmen
Wenn Sie die DLP-Durchsetzung für Ihren Mandanten aktiviert haben, aber einen Copilot von der Anzeige von DLP-Fehlern für Entwickler und Benutzer ausschließen müssen, können Sie das folgende PowerShell-Skript ausführen.
Tauschen Sie unbedingt <environment ID>, <bot ID>, <tenant ID> und <policy ID> gegen die entsprechenden IDs für den Copiloten aus, für den eine Ausnahme bestehen soll.
Tipp
Sie können die <environment ID> und die <bot ID> der URL des Copiloten entnehmen.
Die <policy ID> wird neben den Fehlerdetails in der Einzelheiten herunterladen-Datei aufgeführt. Sie können diese Datei herunterladen, indem Sie Einzelheiten herunterladen auf dem Fehlerbenachrichtigungsbanner in Copilot Studio auswählen.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Die DLP-Durchsetzung für Copiloten deaktivieren
Der folgende Befehl deaktiviert die DLP-Durchsetzung bei Copiloten.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled