Configurar directivas de datos para agentes

Al usar Copilot Studio, puedes crear y desplegar rápidamente agentes de alto valor para tus usuarios que se conectan a muchas fuentes de datos y servicios. Algunas de estas fuentes y servicios podrían ser servicios externos que no sean de Microsoft. Incluso pueden incluir redes sociales, junto con conexiones a los datos de tu organización.

Los datos organizativos son el activo más importante que los administradores deben proteger. La capacidad de utilizar esos datos de forma protegida, sin dejar de conectarse e interactuar con otros servicios y sistemas, es una piedra angular de la seguridad de los datos.

Las políticas de datos te permiten gobernar cómo los agentes se conectan e interactúan con datos y servicios, tanto dentro como fuera de tu organización. Los administradores pueden configurar directivas de datos de Copilot Studio y Power Platform en el Centro de administración de Power Platform.

Importante

Desde principios de 2025, la aplicación de la política de datos está en vigor para todos los inquilinos, tal y como se anuncia en la alerta del centro de mensajes MC973179: Copilot Studio - Próximas actualizaciones sobre la aplicación de la prevención de pérdida de datos.

Ya no se admite la exención de aplicación de directivas de datos del agente. Los agentes que previamente estaban exentos de la aplicación de la política de datos están todos sujetos a la aplicación.

Infórmate sobre la aplicación de la política de datos para solucionar problemas en tu inquilino.

Requisitos previos

• Revisa conceptos sobre políticas de datos.
• Sé administrador de inquilinos o ocupa el rol de Administrador de Medio Ambiente .

Conectores y grupos de datos de Copilot Studio

En el centro de administración de Power Platform, puedes clasificar los conectores de Copilot Studio dentro de una política de datos bajo los siguientes grupos de datos:

• Negocio
• No empresariales
• Bloqueado

Utiliza estos conectores en las políticas de datos para proteger los datos de tu organización de cualquier exfiltración maliciosa o no intencionada de datos por parte de tus agentes creadores.

El grupo predeterminado en las directivas de datos es una categoría en la que los conectores se agregan automáticamente cuando no se define ninguna agrupación explícita durante su introducción. Los conectores introducidos después de 2019, como Chat sin autenticación de Microsoft Entra ID en Copilot Studio o canales de Línea Directa en Copilot Studio, probablemente formarán parte del grupo predeterminado "No empresarial".

En muchas organizaciones, los conectores del grupo "No empresarial" se bloquean automáticamente. Si una política de datos bloquea un conector en tu tenant de Copilot Studio, revisa en qué grupo de datos pertenece el conector.

Los administradores pueden configurar grupos por defecto a nivel de política de datos en el centro de administración de Power Platform.

Importante

Copilot Studio admite la aplicación de directivas de datos en tiempo real. Los creadores de agentes y los usuarios ven mensajes de error para cualquier infracción de directiva de datos.

En una directiva de datos, los conectores deben estar en el mismo grupo de datos porque los datos no se pueden compartir entre conectores que se encuentran en grupos diferentes.

Casos de uso comunes de políticas de datos para agentes de Copilot Studio

Puedes usar los conectores de Copilot Studio en el centro de administración de Power Platform para configurar políticas de datos para los siguientes casos de uso comunes:

• Requerir autenticación por parte del usuario
• Bloquear fuentes de conocimiento
• Bloquear usando conectores Power Platform como herramientas
• Bloquear solicitudes HTTP
• Habilidades de bloqueo
• Publicación por bloques en canales específicos
• Activadores de eventos de bloqueo

La lista de conectores compatibles en el centro de administración de Power Platform incluye algunos casos de uso más.

Requerir autenticación por parte del usuario

Cuando creas un nuevo agente, la opción Autenticar con autenticación de Microsoft está activada por defecto. El agente utiliza automáticamente la autenticación Microsoft Entra ID sin necesidad de configuración manual. Solo puedes chatear con tu agente en Microsoft Teams, SharePoint, Power Apps o Microsoft 365 Copilot. Sin embargo, los creadores de agentes en tu organización pueden seleccionar No autenticación para permitir que cualquiera con el enlace pueda hablar con tu agente.

Para evitar que los creadores de agentes publiquen agentes que no requieren autenticación, configura una política de datos que bloquee el chat del conector sin autenticación con ID de Microsoft Entra en Copilot Studio.

Una vez configurada esta política de datos, los creadores de agentes solo pueden usar Autenticar con Microsoft o Autenticar manualmente para configurar la autenticación de los agentes en Copilot Studio, y los usuarios de los agentes deben autenticarse para chatear con el agente.

Bloquear fuentes de conocimiento

Utiliza políticas de datos para controlar qué fuentes de conocimiento pueden usar los autores de agentes.

Para evitar que los creadores de agentes publiquen agentes que utilicen tipos específicos de fuentes de conocimiento, configura una política de datos que bloquee uno o más de los siguientes conectores:

• Origen de conocimiento con SharePoint y OneDrive en Copilot Studio
• Origen de conocimiento con sitios web públicos y datos en Copilot Studio
• Origen de conocimiento con documentos en Copilot Studio

Alternativamente, si quieres permitir o denegar endpoints específicos para SharePoint o sitios web públicos que los fabricantes puedan usar como fuentes de conocimiento para sus agentes de Copilot Studio, usa el filtrado de endpoint en lugar de bloquear el conector seleccionado.

Bloquear usando conectores Power Platform como herramientas

Para evitar que los creadores de agentes usen conectores Power Platform como herramientas en los agentes de Copilot Studio, configura una política de datos con los conectores que quieres bloquear.

Bloquear solicitudes HTTP

Los creadores de agentes en tu organización pueden hacer solicitudes HTTP usando el nodo de petición HTTP .

Para evitar que los creadores de agentes publiquen agentes que realicen peticiones HTTP, configura una política de datos que bloquee el conector HTTP .

Alternativamente, si quieres permitir o denegar endpoints HTTP específicos en lugar de bloquear todas las llamadas HTTP, puedes usar el filtrado de endpoints.

Habilidades de bloqueo

Los agentes formadores de tu organización pueden ampliar a los agentes con habilidades. Las habilidades pueden ser una forma útil de ampliar la funcionalidad de los agentes. Sin embargo, por motivos de seguridad, quizá quieras configurar qué habilidades pueden usar los agentes.

Para evitar que los creadores de agentes publiquen agentes que usan habilidades, configura una política de datos que bloquee el conector Skills con Copilot Studio .

Publicación por bloques en canales específicos

Utiliza políticas de datos para configurar los canales a través de los cuales los creadores pueden publicar agentes.

Para evitar que los creadores de agentes publiquen agentes en canales específicos, configura una política de datos que bloquee uno o más de los siguientes conectores:

• Canal de Microsoft Teams + M365 en Copilot Studio
• Canales de Direct Line en Copilot Studio (aplicable a la web de demostración, sitios personalizados, aplicación móvil y otros canales de Direct Line)
• Canal de Facebook en Copilot Studio
• Omnicanal en Copilot Studio
• Canal de SharePoint en Copilot Studio
• Canal de WhatsApp en Copilot Studio

Nota:

Si los creadores no configuran sus agentes para un canal que no está bloqueado (los canales de línea directa están permitidos por defecto), o si los administradores no permiten ningún canal, los agentes no pueden publicarse.

Activadores de eventos de bloqueo

Los creadores de su organización pueden agregar desencadenadores de eventos a los agentes. Los desencadenadores de eventos permiten a los agentes reaccionar a eventos externos sin que nadie se lo pida. Sin embargo, quizá quieras restringir su uso para evitar la exfiltración de datos o el consumo o cuota no deseado.

Para evitar que los creadores de agentes añadan desencadenantes de eventos a sus agentes o realicen evaluaciones automáticas usando una cuenta autenticada, configura una política de datos que bloquee el conector Microsoft Copilot Studio .

Nombres de conectores en el centro de administración de Power Platform

La siguiente tabla proporciona el nombre de los conectores que puedes usar en las políticas de datos para agentes de Copilot Studio.

Para evitar que los agentes que lo hagan...	Nombre del conector en el centro de administración de Power Platform
Conectar agentes con Insights de Aplicaciones.	Application Insights en Copilot Studio
Agentes de publicación que no están configurados para autenticación.	Chat sin autenticación de Microsoft Entra ID en Copilot Studio
Agentes de publicación que hacen peticiones HTTP.	HTTP Soporta filtrado de endpoints para permitir o denegar endpoints.
Agentes de publicación configurados con documentos como fuente de conocimiento.	Origen de conocimiento con documentos en Copilot Studio
Agentes editoriales configurados con sitios web públicos como fuente de conocimiento.	Origen de conocimiento con datos y sitios web públicos en Copilot Studio Soporta filtrado de endpoints para permitir o denegar endpoints.
Agentes de publicación configurados con SharePoint como fuente de conocimiento.	Origen de conocimiento con SharePoint y OneDrive en Copilot Studio Soporta filtrado de endpoints para permitir o denegar endpoints.
Publicando en canales de Direct Line.	Canales Direct Line de Copilot Studio
Publicando en el canal de Atención al Cliente de Dynamics 365.	Omnichannel en Copilot Studio
Publicando en el canal de Facebook.	Canal de Facebook en Copilot Studio
Publicar en el canal de SharePoint.	Canal de SharePoint en Copilot Studio
Publicando en el canal Teams y Microsoft 365 Copilot.	Microsoft Teams + canal M365 en Copilot Studio
Publicando en el canal de WhatsApp.	Canal de WhatsApp en Copilot Studio
Usar activadores de eventos en agentes de Copilot Studio o ejecutar evaluaciones automáticas usando cuentas autenticadas.	Microsoft Copilot Studio
Utilizando conectores Power Platform como herramientas en los agentes de Copilot Studio.	Muchos conectores preconstruidos y personalizados
Usando habilidades en agentes de Copilot Studio.	Capacidades con Copilot Studio

Configura una política de datos en el centro de administración de Power Platform

1. Inicie sesión en el Centro de administración de Power Platform.

2. En la barra lateral, selecciona Seguridad y luego Datos y privacidad. Se abre la página Protección de datos y privacidad .

3. Seleccione Directiva de datos. Aparece la lista de políticas de datos .

4. Cree una nueva directiva de datos o elija una directiva de datos existente para editar:

   • Para crear una nueva política de datos, selecciona Nueva Política y luego introduce el nombre que quieras.
   • Para editar una política de datos existente, selecciona la política de datos y selecciona Editar política.

5. Seleccione Siguiente. Aparece la página Añadir un entorno .

   • Para añadir un entorno a tu política de datos, selecciona el entorno en la pestaña Disponible y luego selecciona Añadir a la política.
   • Para eliminar un entorno de tu política de datos, cambia a la pestaña Añadido a política , selecciona el entorno y luego selecciona Eliminar de la política.

6. Seleccione Siguiente. Aparece la página Asignar conectores .

7. Usa el cuadro de búsqueda para encontrar el conector que quieres.

8. Selecciona los tres puntos (⋮) junto al conector y luego:

   • Si quieres evitar que los agentes usen las funciones asociadas al conector, selecciona Bloquear.

   • Si quieres permitir o denegar endpoints específicos para SharePoint o sitios web públicos configurados como fuentes de conocimiento, o para peticiones HTTP:

     1. Selecciona Configurar conector>Puntos finales del conector.
     2. Añade los endpoints o patrones que quieras y luego selecciona Guardar.

9. Seleccione Siguiente.

10. Si eres administrador de tenants o administrador de entornos para varios entornos, se abre la página Definir alcance .

    1. Selecciona la opción que quieras:

       • Añadir todos los entornos: Añade todos los entornos en todo tu tenant. Esta política se aplica automáticamente a cualquier nuevo entorno creado en el inquilino.
       • Agregar varios entornos: elija los entornos que se incluirán en esta directiva.
       • Excluir determinados entornos: elija los entornos que se excluirán de esta directiva.

       Nota:

       Las políticas con alcance de inquilino se aplican a todos los agentes en todos los entornos dentro del inquilino.

    2. Seleccione Siguiente.

11. Revise la directiva y, a continuación, seleccione Crear directiva si va a crear una nueva directiva o Actualizar directiva si está editando una directiva existente.

12. Ve a Copilot Studio y verifica que cumple tu política de datos como se espera para tu caso de uso.

Confirmación de la aplicación de directivas de datos en Copilot Studio

Puedes confirmar que existe una política de datos abriendo un agente en Copilot Studio. Después de intentar realizar una operación sujeta a la política de datos, aparece un banner de error con un botón Detalles . Para ver detalles, en la página de Canales , amplíe el enlace de error y selecciona Descargar. En el archivo de detalles, una fila describe cada infracción. Cuando se produce una violación de la política de datos, el botón Publicar deja de estar disponible.

• Confirma que se requiere autenticación por parte del usuario
• Confirma que las fuentes de conocimiento están bloqueadas
• Confirma que los conectores de Power Platform no pueden usarse como herramientas
• Confirmar que las solicitudes HTTP están bloqueadas
• Confirma que las habilidades están bloqueadas
• Confirma que la publicación en canales específicos está bloqueada
• Confirma que los desencadenantes de eventos están bloqueados

Confirma que se requiere autenticación por parte del usuario

Cuando abres un agente que no está configurado para requerir autenticación de usuario en un entorno con una política de datos que la requiere, aparece un banner de error con un botón de Detalles . Para ver detalles, en la página de Canales , amplíe el enlace de error y selecciona Descargar. En el archivo de detalles, una fila describe cada infracción.

Un agente maker puede contactar con sus administradores con los detalles de la hoja de cálculo para hacer las actualizaciones adecuadas a la política de datos.

Alternativamente, el creador del agente puede actualizar la configuración de autenticación del agente para Autenticar con Microsoft o Autenticarse manualmente (Azure Active Directory o Azure Active Directory v2) en la página de configuración de Autenticación . Consulte Configurar la autenticación de usuario en Copilot Studio.

Fíjate que no hay autenticación ni algunas opciones manuales de selección disponibles.

Confirma que las fuentes de conocimiento están bloqueadas

1. En Copilot Studio, abre un agente en un entorno con una política de datos que impide a los creadores añadir fuentes de conocimiento específicas.

2. Ve a la página de Conocimiento , selecciona Añadir conocimiento y añade una fuente de conocimiento que bloquee tu política de datos.

3. Prueba a publicar el agente. Si se aplica la política, aparece un banner de error con un botón de Detalles .

4. En la página de Canales , amplía el enlace de error y selecciona Descargar para ver los detalles. En el archivo de detalles, si hay una violación de la política de datos de una fuente de conocimiento, aparece una fila para la fuente de conocimiento y para cada nodo de respuestas generativas que utiliza esa fuente de conocimiento.

Confirma que los conectores de Power Platform no pueden usarse como herramientas

1. En Copilot Studio, abre un agente en un entorno con una política de datos que impide a los creadores configurar herramientas basadas en conectores de Power Platform.

2. Crea un nuevo tema y añade un nodo Herramienta .

3. En el panel Añadir una herramienta , cambia a la pestaña Conectores y selecciona un conector que bloquee tu política de datos. Use el cuadro de búsqueda si es necesario.

4. Guarda el tema y prueba a publicar al agente. Si se aplica la política, aparece un banner de error con un botón de Detalles .

5. En la página de Canales , amplía el enlace de error y selecciona Descargar para ver los detalles.

Nota:

Los bots de chat clásicos no admiten conectores de Power Platform.

Confirmar que las solicitudes HTTP están bloqueadas

Aplicación web

1. En Copilot Studio, abre un agente en un entorno con una política de datos que bloquea las solicitudes HTTP.

2. Crea un nuevo tema y añade un nodo de solicitud HTTP . Como mínimo, llena la propiedad de URL.

3. Guarda el tema y prueba a publicar al agente. Si se aplica la política, aparece un banner de error con un botón de Detalles .

4. En la página de Canales , amplía el enlace de error y selecciona Descargar para ver los detalles. En el archivo de detalles, aparece una fila con una descripción de cada infracción. Se produce una violación si el conector HTTP está bloqueado, si el conector HTTP está en un grupo de datos diferente al de otros conectores de tu política de datos, o si el conector HTTP no está bloqueado pero se niega un endpoint.

Clásico

Abre tu chatbot clásico en el entorno con la política de datos. Vaya al lienzo de creación y abra (o cree) un tema que incluya un Bot Framework Trigger personalizado que utiliza una solicitud HTTP.

Si se aplica la política, el panel de comprobación de temas informa que las políticas de datos bloquean las solicitudes HTTP para el nodo afectado. El error se titula "Solicitudes HTTP bloqueadas" e incluye un mensaje que le aconseja eliminar la solicitud HTTP o ponerse en contacto con un administrador.

Confirma que las habilidades están bloqueadas

1. En Copilot Studio, abre un agente en un entorno con una política de datos que impide a los creadores configurar habilidades.

2. Intenta añadir una habilidad al agente. Si se aplica la política de datos, el panel de Añadir una habilidad informa de un error y sugiere que contactes con un administrador para añadir la habilidad a la lista de permisos.

Confirma que la publicación en canales específicos está bloqueada

1. En Copilot Studio, abre un agente en un entorno con una política de datos que impide a los creadores publicar en canales específicos.

2. Prueba a configurar un canal que bloquee la política de datos. Si la política de datos se aplica, no puedes publicar en ese canal.

Confirma que los desencadenantes de eventos están bloqueados

1. En Copilot Studio, abre un agente en un entorno con una política de datos que impide a los creadores añadir desencadenantes de eventos.

2. Si se aplica la política, aparece un mensaje de error detallado en la sección de Desencadenantes de la página de Resumen . El mensaje menciona el nombre de la política de datos y sugiere que contactes con tu administrador.

Identificar y solucionar problemas del impacto de las directivas de datos

Para buscar agentes que podrían afectar las directivas de datos de la organización, puede hacer lo siguiente:

• Utiliza el panel de Power BI del Kit de inicio del Centro de Excelencia (CoE). En la página de información general de Copilot Studio del Panel de CoE se enumeran los agentes y entornos de su organización.

  Nota:

  Los chatbots clásicos creados usando la antigua aplicación Microsoft Copilot Studio en Microsoft Teams no se pueden encontrar en el Kit de Inicio de CoE. Para obtener una lista de todos los agentes y bots de chat clásicos en un entorno, puede crear un flujo en la nube de Power Automate con una acción Dataverse Listar filas del entorno seleccionado.

• Para solucionar errores de directiva de datos o directivas de datos actualizadas, realice una campaña con los creadores de agentes de su organización. Para descargar todos los errores de directiva de datos del agente, seleccione Detalles en el banner de notificación de error y seleccione Descargar en los detalles del mensaje de error.

Si las políticas de datos afectan a la funcionalidad de tus agentes, consulta Solución de problemas para la aplicación de políticas de datos para Copilot Studio.

Añade y actualiza los enlaces de correo electrónico de "Más información" y de contacto de administrador

Utiliza el Set-PowerAppDlpErrorSettings cmdlet de PowerShell para añadir una dirección de correo electrónico y un enlace de "Saber más" a los mensajes de error de la política de datos.

Para añadir la dirección de correo electrónico y el enlace "Saber más", ejecuta el siguiente script de PowerShell. Sustituye los valores de los <email>parámetros , <URL>, y <tenant ID> por los tuyos propios.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Para actualizar una configuración existente, usa el mismo script de PowerShell, pero sustituye New-PowerAppDlpErrorSettings por Set-PowerAppDlpErrorSettings.

Advertencia

Esta configuración se aplica a todas las aplicaciones de Power Platform dentro del inquilino especificado.