Κοινή χρήση μέσω

Ρυθμίστε τις πολιτικές αποτροπής απώλειας δεδομένων για copilot

  • Άρθρο

Τα δεδομένα του οργανισμού σας είναι τα σημαντικότερα πάγια στοιχεία τα οποία έχουν την ευθύνη να διαφυλάξουν οι διαχειριστής. Η δυνατότητα δημιουργίας αυτοματισμού για τη χρήση αυτών των δεδομένων αποτελεί μεγάλο μέρος της επιτυχίας της εταιρείας τους.

Μπορείτε γρήγορα να δημιουργήσετε και να κυκλοφορήσετε copilot υψηλής αξίας για τους τελικούς χρήστες σας. Μπορείτε να συνδέσετε τα copilot σας με πολλές προελεύσεις δεδομένων και υπηρεσίες. Ορισμένες από αυτές τις προελεύσεις και υπηρεσίες μπορεί να είναι εξωτερικές, μη υπηρεσίες της Microsoft και ενδεχομένως να περιλαμβάνουν και ορισμένα κοινωνικά δίκτυα.

Είναι εύκολο να παραβλέψετε τις δυνατότητες για έκθεση. Αυτό το είδος της έκθεση μπορεί να προκύψει από τη διαρροή δεδομένων ή από συνδέσεις σε υπηρεσίες και κοινά που δεν θα έπρεπε να έχουν πρόσβαση στα δεδομένα.

Οι διαχειριστές μπορούν να διαχειρίζονται τα copilot στον οργανισμό σας χρησιμοποιώντας πολιτικές αποτροπής απώλειας δεδομένων (DLP) με συνδέσεις που υπάρχουν ήδη και με συνδέσεις του Copilot Studio. Οι πολιτικές DLP δημιουργούνται στο Κέντρο διαχείρισης Power Platform. Για να δημιουργήσετε μια πολιτική DLP, πρέπει να είστε διαχειριστής μισθωτών ή να έχετε ρόλο διαχειριστή περιβάλλοντος.

Προϋποθέσεις

Συνδέσεις Copilot Studio

Οι συνδέσεις Copilot Studio μπορούν να χρησιμοποιηθούν στο πλαίσιο μιας πολιτικής DLP στις παρακάτω ομάδες δεδομένων, οι οποίες παρουσιάζονται στο κέντρο διαχείρισης Power Platform κατά την αναθεώρηση των πολιτικών DLP:

  • Επιχειρηματική
  • Μη επιχειρηματικός
  • Αποκλεισμένη

Μπορείτε να χρησιμοποιήσετε τις συνδέσεις στις πολιτικές DLP για να προστατεύσετε τα δεδομένα του οργανισμού σας από κακόβουλες ή ακούσιες εξαγωγές δεδομένων από τους δημιουργούς copilot.

Σημαντικό

Από προεπιλογή, η εφαρμογή DLP για τα copilot είναι ανενεργή σε όλους τους μισθωτές. Ενημερωθείτε σχετικά με την ενεργοποίηση της εφαρμογής.

Οι συνδέσεις πρέπει να βρίσκονται σε μία ομάδα δεδομένων, καθώς δεν είναι δυνατό να γίνει κοινή χρήση των δεδομένων μεταξύ συνδέσεων που βρίσκονται σε διαφορετικές ομάδες.

Πολλές συνδέσεις Copilot Studio είναι διαθέσιμες στο κέντρο διαχείρισης Power Platform. Αυτές οι συνδέσεις μπορούν να ρυθμιστούν για DLP ως εξής:

Όνομα σύνδεσης Description
Application Insights στο Copilot Studio Αποκλείστε τους δημιουργούς copilot από τη σύνδεση copilot με Application Insights.
Συνομιλία χωρίς έλεγχο ταυτότητας Microsoft Entra ID στο Copilot Studio Αποκλεισμός των δημιουργών copilot από τη δημοσίευση copilot που δεν έχουν ρυθμιστεί για έλεγχο ταυτότητας.
Οι χρήστες Copilot πρέπει να πιστοποιήσουν την ταυτότητά τους για να συνομιλήσουν με το copilot.
Για περισσότερες πληροφορίες, ανατρέξτε στο Παράδειγμα για την αποτροπή απώλειας δεδομένων - Απαιτείται έλεγχος ταυτότητας τελικού χρήστη σε copilot.
Κανάλια Direct Line στο Copilot Studio Αποκλεισμός των δημιουργών copilot από την ενεργοποίηση ή τη χρήση Direct Line καναλιών.
Για παράδειγμα, θα αποκλειστεί η τοποθεσία Web επίδειξης, η προσαρμοσμένη τοποθεσία Web, η εφαρμογή Direct Line για κινητές συσκευές και άλλα κανάλια.
Κανάλι Facebook στο Copilot Studio Αποκλεισμός των δημιουργών copilot από την ενεργοποίηση ή τη χρήση του καναλιού Facebook.
Προέλευση γνώσης με το SharePoint και το OneDrive στο Copilot Studio Αποκλείστε τους δημιουργούς copilot από τη δημοσίευση copilot που έχουν ρυθμιστεί με SharePoint ως προέλευση γνώσεων. Υποστηρίζει φιλτράρισμα τελικού σημείου σύνδεσης DLP για να επιτρέπονται ή να μην επιτρέπονται τελικά σημεία.
Προέλευση γνώσης με δημόσιες τοποθεσίες web και δεδομένα στο Copilot Studio Αποκλείστε τους δημιουργούς copilot από τη δημοσίευση copilot που έχουν ρυθμιστεί με δημόσιες τοποθεσίες web και ως προέλευση γνώσεων. Υποστηρίζει φιλτράρισμα τελικού σημείου σύνδεσης DLP για να επιτρέπονται ή να μην επιτρέπονται τελικά σημεία.
Πηγή γνώσης με έγγραφα στο Copilot Studio Αποκλείστε τους δημιουργούς copilot από τη δημοσίευση copilot που έχουν ρυθμιστεί με έγγραφα ως προέλευση γνώσεων.
Κανάλι Microsoft Teams στο Copilot Studio Αποκλεισμός των δημιουργών copilot από την ενεργοποίηση ή τη χρήση του καναλιού Teams.
Πανκαναλικό στο Copilot Studio Αποκλεισμός των δημιουργών copilot από την ενεργοποίηση ή τη χρήση του καναλιού Omnichannel.
Δυνατότητες με Copilot Studio Εμποδίστε τους δημιουργούς copilot να χρησιμοποιούν δεξιότητες σε copilot του Copilot Studio.
Για περισσότερες πληροφορίες, δείτε Παράδειγμα για την αποτροπή απώλειας δεδομένων - Αποκλεισμός δεξιοτήτων σε copilot και Παράδειγμα για την αποτροπή απώλειας δεδομένων - Αποκλεισμός αιτήσεων HTTP σε copilot.

Παράδειγμα ρυθμίσεων πολιτικής DLP

Για να σας βοηθήσουμε να ξεκινήσετε τη διαχείριση του copilot Copilot Studio, δημιουργήσαμε τα παρακάτω παραδείγματα που αναλύουν διαφορετικά σενάρια:

Χρησιμοποιήστε το PowerShell για να ενεργοποιήσετε και να διαχειριστείτε την εφαρμογή DLP για copilot στον οργανισμό σας

Μπορείτε να ρυθμίσετε εάν οι πολιτικές DLP θα πρέπει να εφαρμόζονται στα copilot σας με τα cmdlet PowerShell PowerAppDlpErrorSettings και PowerVirtualAgentsDlpEnforcement.

Μπορείτε να κάνετε τα εξής:

  • Βεβαιωθείτε ότι το DLP είναι ενεργοποιημένο για copilot στον μισθωτή σας.
  • Ενεργοποιήστε ή απενεργοποιήστε το DLP σε μια λειτουργία ελέγχου (-Mode SoftEnabled) για να μπορούν οι δημιουργοί copilot να δουν σφάλματα, αλλά δεν θα αποτρέψετε την εκτέλεση ενεργειών που θα ήταν αποκλεισμένες εάν η εφαρμογή DLP ήταν πλήρως ενεργοποιημένη.
  • Ενεργοποιήστε ή απενεργοποιήστε την επιβολή DLP, για να εμφανίσετε σφάλματα επιβολής DLP και να αποτρέψετε τους κατασκευαστές copilot από τη δημοσίευση bot που επηρεάζονται από το DLP ή τη διαμόρφωση ρυθμίσεων που σχετίζονται με το DLP.
  • Εξαιρούνται συγκεκριμένα copilot από την εφαρμογή DLP.
  • Προσθέστε και ενημερώστε τις συνδέσεις ηλεκτρονικού ταχυδρομείου "μάθετε περισσότερα" και "email επικοινωνίας" που εμφανίζονται στους δημιουργούς copilot όταν χειρίζονται το DLP στις εφαρμογές Web Copilot Studio και Teams.

Σημαντικό

Πριν χρησιμοποιήσετε τα cmdlet PowerShell ή τα παραδείγματα δεσμών ενεργειών που εμφανίζονται εδώ, βεβαιωθείτε ότι έχετε εγκαταστήσει τις παρακάτω μονάδες χρησιμοποιώντας το PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Θα πρέπει να είστε διαχειριστής μισθωτών για να χρησιμοποιήσετε τα cmdlet.

Κατά κανόνα, θα χρησιμοποιήσετε αυτά τα cmdlet σύμφωνα με μια διαδικασία κυκλοφορίας DLP, η οποία μπορεί να αποτελείται από τα παρακάτω βήματα, με τη σειρά:

  1. Προσθέστε ή ενημερώστε τις συνδέσεις ηλεκτρονικού ταχυδρομείου "μάθετε περισσότερα" και "επικοινωνία με διαχειριστές" που εμφανίζονται στα σφάλματα DLP για δημιουργούς copilot.

  2. Καθορίστε ποια (αν υπάρχουν) copilot έχουν ενεργοποιημένη την εφαρμογή πολιτικής DLP τη δεδομένη στιγμή.

  3. Χρησιμοποιήστε τη λειτουργία ελέγχου ή "προσωρινή" ώστε οι δημιουργοί να μπορούν να δουν σφάλματα DLP στις εφαρμογές web και Teams του Copilot Studio.

  4. Μετριάστε τον κίνδυνο επικοινωνώντας με τους δημιουργούς και ενημερώνοντάς τους σχετικά με την καλύτερη δυνατή πορεία των ενεργειών για την εφαρμογή ή τη ροή τους.

  5. Ενεργοποιήστε την εφαρμογή DLP για τα copilot για να αποτρέψετε εργασίες και δυνατότητες που επηρεάζονται από DLP.

Μπορεί επίσης να αποφασίσετε να εξαιρέσετε έναν ή περισσότερους copilot από την επιβολή πολιτικής DLP, ανάλογα με την περίπτωση χρήσης και τις απαιτήσεις του copilot.

Μπορείτε να ρυθμίσετε τις παραμέτρους μιας σύνδεσης ηλεκτρονικού ταχυδρομείου και να μάθετε περισσότερα χρησιμοποιώντας το cmdlet PowerShell Set-PowerAppDlpErrorSettings. Οι δημιουργοί copilot θα δουν αυτές τις πληροφορίες όταν δουν σφάλματα DLP.

Στιγμιότυπο οθόνης της εφαρμογής web του Copilot Studio που δείχνει ένα σφάλμα που σχετίζεται με το DLP με επισημασμένο το κείμενο σφάλματος.

Για να προσθέσετε τη σύνδεση ηλεκτρονικού ταχυδρομείου και για να μάθετε περισσότερα για πρώτη φορά, εκτελέστε την παρακάτω δέσμη ενεργειών PowerShell, αντικαθιστώντας τις τιμές για τις παραμέτρους <email>, <URL> και <tenant ID> με τις δικές σας.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Για να ενημερώσετε μια υπάρχουσα ρύθμιση παραμέτρων, χρησιμοποιήστε την ίδια δέσμη ενεργειών PowerShell και αντικαταστήστε το New-PowerAppDlpErrorSettings με το Set-PowerAppDlpErrorSettings.

Προσοχή

Αυτές οι ρυθμίσεις ισχύουν για όλες τις εφαρμογές Power Platform εντός του καθορισμένου μισθωτή.

Ενεργοποίηση και ρύθμιση παραμέτρων εφαρμογής του DLP για copilot

Μπορείτε να ενεργοποιήσετε, να απενεργοποιήσετε, να ρυθμίσετε τις παραμέτρους και να ελέγξετε την εφαρμογή DLP εντός του Copilot Studio με το cmdlet του PowerVirtualAgentsDlpEnforcement.

Σε οποιοδήποτε από τα παρακάτω παραδείγματα, αντικαταστήστε (ή δηλώστε) <tenant ID> με το αναγνωριστικό μισθωτή σας.

Μπορείτε να επιλέξετε copilot που δημιουργήθηκαν μετά από μια συγκεκριμένη ημερομηνία, αντικαθιστώντας το <date> με μια ημερομηνία στη μορφή MM-DD-YYYY. Για να καταργήσετε το πεδίο, διαγράψτε την παράμετρο -OnlyForBotsCreatedAfter και την τιμή της.

Επιβεβαίωση εφαρμογής DLP για copilot

Από προεπιλογή, η εφαρμογή DLP για τα copilot είναι ανενεργή σε όλους τους μισθωτές.

Μπορείτε να εκτελέσετε το παρακάτω cmdlet PowerShell για να ελέγξετε εάν έχει ενεργοποιηθεί το DLP για Copilot Studio για έναν μισθωτή.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Σημείωμα

Εάν δεν έχετε ρυθμίσει τις παραμέτρους του DLP του Copilot Studio, τα αποτελέσματα από το cmdlet θα είναι κενά.

Χρησιμοποιήστε τη λειτουργία ελέγχου ή "προσωρινή" για να δείτε σφάλματα DLP στις εφαρμογές web ή Teams του Copilot Studio

Εκτελέστε την παρακάτω δέσμη ενεργειών PowerShell για να ενεργοποιήσετε τις πολιτικές DLP σε λειτουργία ελέγχου. Οι δημιουργοί copilot θα δουν σφάλματα που σχετίζονται με το DLP κατά τη ρύθμιση παραμέτρων των copilot στις εφαρμογές Web Copilot Studio και Teams, αλλά δεν θα αποκλειστεί η εκτέλεση ενεργειών που σχετίζονται με το DLP. Επιπλέον, οι δημιουργοί δεν μπορούν να δημοσιεύσουν copilot ενώ είναι ενεργοποιημένη η "μαλακή" λειτουργία.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Για να βρείτε copilot που θα μπορούσαν να επηρεάσουν τις υπάρχουσες πολιτικές DLP του οργανισμού σας, μπορείτε:

  1. Να χρησιμοποιήσετε το Κιτ εκκίνησης του Κέντρου αριστείας (CoE) για να λάβετε μια λίστα με copilot στον οργανισμό σας. Μεταβείτε στη σελίδα επισκόπηση Copilot Studio στον πίνακα εργαλείων του CoE για να δείτε τα ονόματα των copilot και των περιβαλλόντων στον οργανισμό σας.

    Στιγμιότυπο οθόνης του πίνακα εργαλείων κιτ εκκίνησης του CoE που έχει ανοίξει στην επισκόπηση του Copilot Studio.

  2. Εκτελέστε μια εκστρατεία με τους δημιουργούς copilot στον οργανισμό σας για να αντιμετωπίσει τα σφάλματα DLP ή τις ενημερωμένες πολιτικές DLP. Μπορείτε να κάνετε λήψη όλων των σφαλμάτων copilot DLP επιλέγοντας Λεπτομέρειες στο διαφημιστικό πλαίσιο ειδοποίησης σφάλματος και επιλέγοντας Λήψη από τις λεπτομέρειες του μηνύματος σφάλματος.

Ενεργοποίηση εφαρμογής DLP για copilot

Σημαντικό

Πριν ενεργοποιήσετε την εφαρμογή DLP, βεβαιωθείτε ότι γνωρίζετε ποια copilot θα δείξουν σφάλματα στους χρήστες copilot λόγω παραβιάσεων της πολιτικής DLP.

Εάν αντιμετωπίσετε προβλήματα, μπορείτε να εξαιρέσετε ένα copilot από τις πολιτικές DLP ή να απενεργοποιήσετε την εφαρμογή DLP ενώ οι δημιουργοί διορθώνουν το copilot για να συμμορφωθεί με τις πολιτικές DLP.

Μπορείτε να εκτελέσετε την παρακάτω εντολή PowerShell για να επιβάλλετε πολιτικές DLP στο Copilot Studio. Οι δημιουργοί copilot θα εμποδίσουν την εκτέλεση ενεργειών που επηρεάζουν το DLP και οι τελικοί χρήστες θα δουν σφάλματα εάν ενεργοποιήσουν.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Εξαίρεση bot από πολιτικές DLP

Εάν έχετε ενεργοποιήσει την επιβολή DLP για τον μισθωτή σας, αλλά πρέπει να εξαιρέσετε ένα copilot από την εμφάνιση σφαλμάτων DLP σε δημιουργούς και χρήστες, μπορείτε να εκτελέσετε την ακόλουθη δέσμη ενεργειών PowerShell.

Βεβαιωθείτε ότι έχετε αντικαταστήσει τα <environment ID>, <bot ID>, <tenant ID> και <policy ID> με τα κατάλληλα αναγνωριστικά για το copilot που θέλετε να εξαιρέσετε.

Φιλοδώρημα

Μπορείτε να βρείτε τα <environment ID> και <bot ID> από τη διεύθυνση URL του copilot.

Το <policy ID> εμφανίζεται μαζί με τις λεπτομέρειες του σφάλματος στο αρχείο Λήψη λεπτομερειών. Μπορείτε να κατεβάσετε αυτό το αρχείο επιλέγοντας Λήψη λεπτομερειών στο διαφημιστικό πλαίσιο ειδοποίησης σφάλματος στο Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Απενεργοποίηση εφαρμογής DLP για copilot

Η παρακάτω εντολή θα απενεργοποιήσει την εφαρμογή DLP σε copilot.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled