Configurar directivas de prevención de pérdida de datos para copilotos
Los datos de la organización son los activos más importantes que los administradores tienen la responsabilidad de proteger. La capacidad de crear automatización para usar esos datos constituye gran parte del éxito de su empresa.
Puede crear e implementar rápidamente copilotos de alto valor para sus usuarios finales. Puede conectar a sus copilotos con muchas fuentes de datos y servicios. Algunos de estas fuentes y servicios pueden ser servicios externos, servicios no de Microsoft y también pueden incluir redes sociales.
Es fácil pasar por alto el potencial de exposición. Este tipo de exposición puede ser resultado de la fuga de datos o conexiones a servicios y audiencias que no deberían tener acceso a los datos.
Los administradores pueden gobernar a los copilotos en su organización mediante políticas de prevención de pérdida de datos (DLP) con conectores existentes y Copilot Studio . Las directivas de DLP se crean en el centro de administración Power Platform. Para crear una directiva DLP, debe ser administrador de inquilinos o tener el rol Administrador de entorno.
Requisitos previos
- Revisar conceptos sobre directivas de DLP
Conectores de Copilot Studio
Los conectores de Copilot Studio se pueden clasificar dentro de una directiva DLP en los siguientes grupos de datos, que se presentan en el centro de administración de Power Platform al revisar las directivas de DLP:
- Negocio
- No empresariales
- Bloqueado
Puede utilizar los conectores en las políticas DLP para proteger los datos de su organización de cualquier filtración de datos maliciosa o involuntaria por parte de los creadores de copilotos.
Importante
De forma predeterminada, la aplicación de DLP para copilotos está deshabilitada en todos los inquilinos. Obtenga más información sobre habilitar el cumplimiento.
Los conectores deben estar en un solo grupo de datos, ya que los datos no se pueden compartir entre conectores que están en diferentes grupos.
Hay varios Copilot Studio conectores disponibles en el Power Platform centro de administración. Estos conectores se pueden configurar para DLP de la siguiente manera:
| Nombre del conector | Description |
|---|---|
| Application Insights en Copilot Studio | Bloquear a los creadores de copilotos para que no conecten el copiloto con Application Insights. |
| Chat sin autenticación de Microsoft Entra ID en Copilot Studio | Bloquee a los creadores de copilotos para que no publiquen copilotos que no estén configurados para la autenticación. Los usuarios de Copilot deben autenticarse para chatear con el copiloto. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: requerir autenticación del usuario final en copilotos. |
| Canales Direct Line de Copilot Studio | Bloquear a los creadores de copilotos para que no habiliten o utilicen el canal Direct Line. Por ejemplo, se bloquearían el sitio web de demostración, el sitio web personalizado, la aplicación móvil y otros canales de Direct Line. |
| Canal de Facebook en Copilot Studio | Bloquear a los creadores de copilotos para que no habiliten o utilicen el canal de Facebook. |
| Origen de conocimiento con SharePoint y OneDrive en Copilot Studio | Bloquear a los creadores de copilotos para que no publiquen copilotos configurados con SharePoint como fuente de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Origen de conocimiento con datos y sitios web públicos en Copilot Studio | Bloquear a los creadores de copilotos para que no publiquen copilotos configurados con sitios públicos como fuente de conocimiento. Admite el filtrado del punto de conexión del conector DLP para permitir o denegar puntos de conexión. |
| Fuente de conocimiento con documentos en Copilot Studio | Bloquear a los creadores de copilotos para que no publiquen copilotos configurados con documentos como fuente de conocimiento. |
| Canal de Microsoft Teams en Copilot Studio | Bloquear a los creadores de copilotos para que no habiliten o utilicen el canal de Teams. |
| Omnicanal en Copilot Studio | Bloquear a los creadores de copilotos para que no habiliten o utilicen el canal de Omnicanal. |
| Aptitudes con Copilot Studio | Bloquear a los creadores de copilotos para que no utilicen capacidades en copilotos de Copilot Studio. Para obtener más información, consulte Ejemplo de prevención de pérdida de datos: bloquear capacidades en copilotos y Ejemplo de prevención de pérdida de datos: bloquear solicitudes HTTP en copilotos. |
Configuraciones de directiva DLP de ejemplo
Para ayudarlo a comenzar a usar la gestión de copilotos de Copilot Studio, hemos creado los siguientes ejemplos que detallan diferentes escenarios:
- Ejemplo de prevención de pérdida de datos: requerir autenticación del usuario final en copilotos
- Ejemplo de prevención de pérdida de datos: bloquear fuente de conocimientos de SharePoint en copilotos
- Ejemplo de prevención de pérdida de datos: Bloquear conectores de Power Platform en copilotos
- Ejemplo de prevención de pérdida de datos: Bloquear solicitudes HTTP en copilotos
- Ejemplo de prevención de pérdida de datos: Bloquear capacidades en los copilotos
- Ejemplo de prevención de pérdida de datos: bloquear canales para deshabilitar la publicación del copiloto
Utilice PowerShell para habilitar y administrar la aplicación de DLP para los copilotos de su organización
Puede configurar si las políticas DLP se deben aplicar a sus copilotos con los cmdlets de PowerAppDlpErrorSettings y PowerVirtualAgentsDlpEnforcement PowerShell.
Usted puede:
- Confirme si DLP está habilitado para copilotos en su inquilino.
- Habilite o deshabilite DLP en modo de auditoría (
-Mode SoftEnabled) para que los creadores de copilotos puedan ver los errores, pero no se les impida realizar acciones que se bloquearían si la aplicación de DLP estuviera completamente habilitada. - Habilite o deshabilite la aplicación de DLP para mostrar errores de aplicación de DLP y evitar que los creadores de copilotos publiquen bots afectados por DLP o configuren ajustes relacionados con DLP.
- Eximir a copilotos específicos de la aplicación de DLP.
- Agregue y actualice los enlaces de correo electrónico de contacto y de información adicional que se muestran a los creadores de copilotos cuando encuentran DLP en las aplicaciones Teams y web de Copilot Studio.
Importante
Antes de utilizar los cmdlets de PowerShell o los scripts de ejemplo que se muestran aquí, asegúrese de instalar los siguientes módulos mediante PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Necesita ser un administrador de inquilinos para usar cmdlets.
Por lo general, usaría estos cmdlets de acuerdo con un proceso de implementación de DLP, que podría constar de los siguientes pasos, en orden:
Agregue o actualice los enlaces de correo electrónico de contacto del administrador y de información adicional que se muestran en Errores de DLP para los creadores de copilotos.
Determine qué copilotos (si los hay) tienen actualmente habilitada la aplicación de políticas DLP.
Utilizar el modo de auditoría o "soft" para que los creadores puedan ver los errores de DLP en la web de Copilot Studio y las aplicaciones de Teams.
Mitigar el riesgo poniéndose en contacto con los creadores e informándoles sobre la mejor línea de actuación para su aplicación o flujo.
Habilite la aplicación de DLP para los copilotos para evitar tareas y funciones afectadas por DLP.
También puede decidir eximir a uno o varios copilotos de la aplicación de directivas DLP, en función del caso de uso y los requisitos del copiloto.
Agregar y actualizar los vínculos de correo electrónico de contacto de administrador y obtener más información
Puede configurar un correo electrónico y un vínculo para obtener más información mediante el cmdlet Set-PowerAppDlpErrorSettings de PowerShell. Los creadores de sus copilotos verán esta información cuando experimenten errores de DLP.
Para agregar el correo electrónico y el vínculo para obtener más información por primera vez, ejecute el siguiente script de PowerShell, reemplazando los valores para los parámetros <email>, <URL> y <tenant ID> con los suyos propios.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Para actualizar una configuración existente, use el mismo script de PowerShell y reemplace New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.
Precaución
Esta configuración se aplica a todas las aplicaciones de Power Platform dentro del inquilino especificado.
Habilite y configure la aplicación de DLP para copilotos
Puede habilitar, deshabilitar, configurar y auditar la aplicación de DLP dentro de Copilot Studio con el cmdlet PowerVirtualAgentsDlpEnforcement.
En cualquiera de los siguientes ejemplos, reemplace (o declare) <tenant ID> con su id. de inquilino.
Puede abarcar los copilotos creados después de una fecha determinada reemplazando <date> con una fecha en el formato MM-DD-YYYY. Para eliminar el ámbito, elimine el parámetro -OnlyForBotsCreatedAfter y su valor.
Confirmar la aplicación de DLP para copilotos
De forma predeterminada, la aplicación de DLP para copilotos está deshabilitada en todos los inquilinos.
Puede ejecutar el siguiente cmdlet de PowerShell para verificar si DLP para Copilot Studio está habilitado para un inquilino.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Si no ha configurado el DLP de Copilot Studio, los resultados del cmdlet estarán vacíos.
Utilizar el modo de auditoría o "soft" para ver los errores de DLP en la web de Copilot Studio o las aplicaciones de Teams
Ejecute el siguiente script de PowerShell para habilitar las directivas DLP en el modo de auditoría. Los creadores de copilotos verán errores relacionados con DLP al configurar copilotos en las aplicaciones web y Teams de Copilot Studio, pero no se les impedirá realizar acciones relacionadas con DLP. Además, los creadores no pueden publicar copilotos mientras el modo "blando" esté habilitado.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Para encontrar copilotos que podrían verse afectados por las políticas DLP existentes de su organización, puede:
Utilice el Kit de inicio del Centro de Excelencia (CoE) para obtener una lista de copilotos en su organización. Vaya a la página Descripción general de Copilot Studio en el panel de CoE para ver los copilotos y los nombres de los entornos de su organización.
Ejecute una campaña con los creadores de copilotos de su organización para abordar los errores de DLP o las políticas de DLP actualizadas. Puede descargar todos los errores de DLP del copiloto seleccionando Detalles en el banner de notificación de error y seleccionando Descargar en los detalles del mensaje de error.
Habilitar la aplicación de DLP para copilotos
Importante
Antes de habilitar la aplicación de DLP, asegúrese de saber qué copilotos mostrarán errores a sus usuarios de copilotos debido a infracciones de la directiva DLP.
Si tiene problemas, puede eximir a un copiloto de las políticas de DLP o desactivar la aplicación de DLP mientras sus creadores arreglan el copiloto para que cumpla con las políticas de DLP.
Puede ejecutar el siguiente comando de PowerShell para hacer cumplir las directivas DLP en Copilot Studio. Se impedirá que los creadores de copilotos realicen acciones afectadas por DLP y los usuarios finales verán errores si se activan.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Eximir a un bot de las directivas DLP
Si ha habilitado la aplicación de DLP para su inquilino, pero necesita eximir a un copiloto de mostrar errores de DLP a creadores y usuarios, puede ejecutar el siguiente script de PowerShell.
Asegúrese de reemplazar <environment ID>, <bot ID>, <tenant ID> y <policy ID> con los ID apropiados para el copiloto que desea eximir.
Propina
Puede encontrar <environment ID> y <bot ID> en la URL del copiloto.
<policy ID> aparece junto a los detalles del error en el archivo Descargar detalles. Puede descargar ese archivo seleccionando Descargar detalles en la imagen de notificación de error en Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Deshabilitar la aplicación de DLP para copilotos
El siguiente comando deshabilitará la aplicación de DLP en los copilotos.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled