Configurer des stratégies de données pour les assistants

En utilisant Copilot Studio, vous pouvez rapidement créer et déployer des agents à forte valeur ajoutée pour vos utilisateurs, qui se connectent à de nombreuses sources de données et services. Certaines de ces sources et services pourraient être des services externes, non Microsoft. Ils peuvent même inclure des réseaux sociaux, ainsi que des connexions à vos données organisationnelles.

Les données organisationnelles sont l’atout le plus important que les administrateurs doivent protéger. La possibilité d’utiliser ces données de manière protégée, tout en continuant à se connecter et à interagir avec d’autres services et systèmes, est la pierre angulaire de la sécurité des données.

Les politiques de données vous permettent de régir la manière dont les agents se connectent et interagissent avec les données et services, à la fois au sein et à l’extérieur de votre organisation. Les administrateurs peuvent configurer des stratégies de données pour Copilot Studio et Power Platform dans le centre d’administration Power Platform.

Important

Depuis début 2025, l’application de la politique de données est en vigueur pour tous les locataires, comme annoncé dans l’alerte du centre de messages MC973179 : Copilot Studio - Mises à jour à venir de la prévention des pertes de données.

L’exemption d’application de la stratégie de données de l’assistant n’est plus prise en charge. Les agents précédemment exemptés de l’application des politiques de données sont tous soumis à l’application.

Renseignez-vous sur le dépannage de l’application des politiques de données dans votre locataire.

Conditions préalables

• Passez en revue les concepts concernant les politiques de données.
• Soyez administrateur locataire ou ayez le rôle d’administrateur environnement .

Connecteurs et groupes de données Copilot Studio

Dans le centre d’administration Power Platform, vous pouvez classer les connecteurs Copilot Studio au sein d’une politique de données sous les groupes de données suivants :

• Métier
• Hors métier
• Blocage

Utilisez ces connecteurs dans les politiques de données pour protéger les données de votre organisation contre toute exfiltration de données malveillante ou involontaire par vos agents makers.

Le groupe par défaut dans les stratégies de données est une catégorie dans laquelle les connecteurs sont automatiquement ajoutés lorsqu’aucun regroupement explicite n’est défini lors de leur introduction. Les connecteurs introduits après 2019, tels que Chat sans authentification Microsoft Entra ID dans Copilot Studio ou les canaux Direct Line dans Copilot Studio, devraient faire partie du groupe par défaut « Non-business ».

Dans de nombreuses organisations, les connecteurs du groupe « Non-business » sont automatiquement bloqués. Si une politique de données bloque un connecteur dans votre locataire Copilot Studio, vérifiez dans quel groupe de données appartient le connecteur.

Les administrateurs peuvent configurer les groupes par défaut au niveau de la politique de données dans le centre d’administration Power Platform.

Important

Copilot Studio prend en charge l’application de la stratégie de données en temps réel. Les créateurs et les utilisateurs d’assistants voient des messages d’erreur pour toute violation de la stratégie de données.

Dans une stratégie de données, les connecteurs doivent se trouver dans le même groupe de données, car les données ne peuvent pas être partagées entre des connecteurs appartenant à des groupes différents.

Cas d’utilisation courants de politiques de données pour les agents de Copilot Studio

Vous pouvez utiliser les connecteurs Copilot Studio dans le centre d’administration Power Platform pour configurer les politiques de données pour les cas d’usage courants suivants :

• Exiger l’authentification utilisateur
• Bloquer les sources de connaissances
• Bloc en utilisant des connecteurs Power Platform comme outils
• Requêtes HTTP de blocage
• Compétences de blocage
• Publication en bloc sur des canaux spécifiques
• Déclencheurs d’événements de blocage

La liste des connecteurs pris en charge dans le centre d’administration Power Platform comprend quelques autres cas d’usage.

Exiger l’authentification utilisateur

Lorsque vous créez un nouvel agent, l’option Authentifier avec l’authentification Microsoft est activée par défaut. L’agent utilise automatiquement l’authentification Microsoft Entra ID sans nécessiter de configuration manuelle. Vous ne pouvez discuter avec votre agent que sur Microsoft Teams, SharePoint, Power Apps ou Microsoft 365 Copilot. Cependant, les agents makers de votre organisation peuvent sélectionner Pas d’authentification pour permettre à toute personne disposant du lien de discuter avec votre agent.

Pour empêcher les créateurs d’agents de publier des agents ne nécessitant pas d’authentification, configurez une politique de données qui bloque le chat du connecteur sans authentification Microsoft Entra ID dans Copilot Studio.

Une fois cette politique de données mise en place, les créateurs d’agents ne peuvent utiliser Authenticate with Microsoft ou Authenticate manuellement que pour configurer l’authentification utilisateur des agents dans Copilot Studio, et les utilisateurs d’agents doivent s’authentifier eux-mêmes pour discuter avec l’agent.

Bloquer les sources de connaissances

Utilisez les politiques de données pour contrôler quelles sources de connaissances les auteurs d’agents peuvent utiliser.

Pour empêcher les agents makers de publier des agents utilisant des types spécifiques de sources de connaissances, configurez une politique de données qui bloque un ou plusieurs des connecteurs suivants :

• Source de connaissances avec SharePoint et OneDrive dans Copilot Studio
• Source de connaissances avec des sites web publics et des données dans Copilot Studio
• Source de connaissances avec des documents dans Copilot Studio

Sinon, si vous souhaitez autoriser ou refuser des points de terminaison spécifiques pour SharePoint ou des sites publics que les fabricants peuvent utiliser comme sources de connaissances pour leurs agents Copilot Studio, utilisez le filtrage des terminaux au lieu de bloquer le connecteur sélectionné.

Bloc en utilisant des connecteurs Power Platform comme outils

Pour empêcher les agents makers d’utiliser les connecteurs Power Platform comme outils dans les agents de Copilot Studio, configurez une politique de données avec les connecteurs que vous souhaitez bloquer.

Requêtes HTTP de blocage

Les créateurs d’agents dans votre organisation peuvent effectuer des requêtes HTTP en utilisant le nœud requête HTTP .

Pour empêcher les créateurs d’agents de publier des agents effectuant des requêtes HTTP, configurez une politique de données qui bloque le connecteur HTTP .

Sinon, si vous souhaitez autoriser ou refuser des points de terminaison HTTP spécifiques au lieu de bloquer tous les appels HTTP, vous pouvez utiliser le filtrage des points de terminaison.

Compétences de blocage

Les agents makers dans votre organisation peuvent étendre les agents ayant des compétences. Les compétences peuvent être un moyen utile d’étendre la fonctionnalité des agents. Cependant, pour des raisons de sécurité, vous pouvez configurer quelles compétences les agents peuvent utiliser.

Pour empêcher les agents makers de publier des agents utilisant des compétences, configurez une politique de données qui bloque le connecteur Skills avec Copilot Studio .

Publication en bloc sur des canaux spécifiques

Utilisez des politiques de données pour configurer les canaux par lesquels les fabricants peuvent publier des agents.

Pour empêcher les créateurs d’agents de publier des agents sur des canaux spécifiques, configurez une politique de données qui bloque un ou plusieurs des connecteurs suivants :

• Canal Microsoft Teams + M365 dans Copilot Studio
• Les chaînes Direct Line dans Copilot Studio (s’appliquent au site de démonstration, aux sites personnalisés, à l’application mobile et aux autres chaînes Direct Line)
• Canal Facebook dans Copilot Studio
• Omnichannel dans Copilot Studio
• Canal SharePoint dans Copilot Studio
• Canal WhatsApp dans Copilot Studio

Note

Si les créateurs ne configurent pas leurs agents pour un canal qui n’est pas bloqué (les canaux Direct Line sont autorisés par défaut), ou si les administrateurs n’autorisent aucun canal, les agents ne peuvent pas être publiés.

Déclencheurs d’événements de blocage

Les créateurs d’agents dans votre organisation peuvent ajouter des déclencheurs d’événements aux agents. Les déclencheurs d’événements permettent à vos agents de réagir à des événements externes sans intervention humaine. Cependant, vous pourriez vouloir restreindre leur utilisation pour éviter l’exfiltration de données ou une consommation indésirable ou une utilisation par quota.

Pour empêcher les créateurs d’agents d’ajouter des déclencheurs d’événements à leurs agents ou d’exécuter des évaluations automatisées en utilisant un compte authentifié, configurez une politique de données qui bloque le connecteur Microsoft Copilot Studio .

Noms des connecteurs dans le centre d’administration Power Platform

Le tableau suivant fournit le nom des connecteurs que vous pouvez utiliser dans les politiques de données pour les agents Copilot Studio.

Pour empêcher les fabricants d’agents...	Nom du connecteur dans le centre d’administration Power Platform
Connecter les agents avec les Insights applicatifs.	Application Insights dans Copilot Studio
Des agents d’édition qui ne sont pas configurés pour l’authentification.	Conversation sans authentification Microsoft Entra ID dans Copilot Studio
Des agents de publication qui effectuent des requêtes HTTP.	HTTP Prend en charge le filtrage des points de terminaison pour permettre ou refuser les points de terminaison.
Des agents de publication configurés avec des documents comme source de connaissances.	Source de connaissances avec des documents dans Copilot Studio
Des agents d’édition configurés avec des sites web publics comme source de connaissances.	Source de connaissances avec les sites web publics et les données dans Copilot Studio Prend en charge le filtrage des points de terminaison pour permettre ou refuser les points de terminaison.
Des agents de publication configurés avec SharePoint comme source de connaissances.	Source de connaissances avec SharePoint et OneDrive dans Copilot Studio Prend en charge le filtrage des points de terminaison pour permettre ou refuser les points de terminaison.
Publication sur les canaux Direct Line.	Canaux Direct Line dans Copilot Studio
Publication sur le canal Service Client Dynamics 365.	Omnicanal dans Copilot Studio
Publication sur la chaîne Facebook.	Canal Facebook dans Copilot Studio
Publication sur le canal SharePoint.	Canal SharePoint dans Copilot Studio
Publication sur le canal Teams et Microsoft 365 Copilot.	Microsoft Teams + chaîne M365 dans Copilot Studio
Publication sur le canal WhatsApp.	Chaîne WhatsApp dans Copilot Studio
Utiliser des déclencheurs d’événements dans les agents de Copilot Studio ou exécuter des évaluations automatisées via des comptes authentifiés.	Microsoft Copilot Studio
Utilisation des connecteurs Power Platform comme outils dans les agents de Copilot Studio.	De nombreux connecteurs préassemblés et personnalisés
Utiliser les compétences des agents de Copilot Studio.	Compétences avec Copilot Studio

Configurez une politique de données dans le centre d’administration Power Platform

1. Connectez-vous au Centre d’administration Power Platform.

2. Dans la barre latérale, sélectionnez Sécurité, puis Données et confidentialité. La page protection des données et confidentialité s’ouvre.

3. Sélectionnez Stratégie de données. La liste des politiques de données apparaît.

4. Créez une stratégie de données ou choisissez une stratégie de données existante à modifier :

   • Pour créer une nouvelle politique de données, sélectionnez Nouvelle politique, puis saisissez le nom souhaité.
   • Pour modifier une politique de données existante, sélectionnez la politique de données et sélectionnez Modifier la politique.

5. Cliquez sur Suivant. La page Ajouter un environnement apparaît.

   • Pour ajouter un environnement à votre politique de données, sélectionnez l’environnement dans l’onglet Disponible , puis sélectionnez Ajouter à la politique.
   • Pour supprimer un environnement de votre politique de données, passez à l’onglet Ajouté à la politique , sélectionnez l’environnement, puis sélectionnez Supprimer de la politique.

6. Cliquez sur Suivant. La page Assigner les connecteurs apparaît.

7. Utilisez la barre de recherche pour trouver le connecteur que vous souhaitez.

8. Sélectionnez les trois points (⋮) à côté du connecteur, puis :

   • Si vous souhaitez empêcher les agents makers d’utiliser les fonctionnalités associées au connecteur, sélectionnez Blocage.

   • Si vous souhaitez autoriser ou refuser des points de terminaison spécifiques pour SharePoint ou des sites web publics configurés comme sources de connaissances, ou pour une requête HTTP :

     1. Sélectionnez Configurer connecteur>Points d’extrémité du connecteur.
     2. Ajoutez les points de terminaison ou motifs que vous souhaitez, puis sélectionnez Enregistrer.

9. Cliquez sur Suivant.

10. Si vous êtes administrateur locataire ou administrateur d’environnement pour plusieurs environnements, la page Définir le champ de vision s’ouvre.

    1. Sélectionnez l’option que vous souhaitez :

       • Ajouter tous les environnements : Ajoute tous les environnements dans l’ensemble de votre locataire. Cette politique s’applique automatiquement à tout nouvel environnement créé dans le locataire.
       • Ajoutez plusieurs environnements : choisissez les environnements à inclure dans cette stratégie.
       • Exclure certains environnements : choisissez les environnements à exclure de cette stratégie.

       Note

       Les politiques avec un champ d’application locataire s’appliquent à tous les agents dans tous les environnements du locataire.

    2. Cliquez sur Suivant.

11. Passez en revue votre stratégie, puis sélectionnez Créer une stratégie si vous créez une stratégie ou Mettez à jour une stratégie si vous modifiez une stratégie existante.

12. Allez sur Copilot Studio et vérifiez qu’il applique votre politique de données comme prévu pour votre cas d’usage.

Confirmer l’application de la stratégie de données dans Copilot Studio

Vous pouvez confirmer qu’une politique de données est en vigueur en ouvrant un agent dans Copilot Studio. Après avoir tenté d’effectuer une opération soumise à la politique de données, une bannière d’erreur apparaît avec un bouton Détails . Pour voir les détails, sur la page Canaux , développez le lien d’erreur et sélectionnez Télécharger. Dans le fichier de détails, une ligne décrit chaque infraction. Lorsqu’une violation de la politique de données survient, le bouton Publier devient indisponible.

• Confirmez que l’authentification utilisateur est requise
• Confirmez que les sources de connaissances sont bloquées
• Confirmez que les connecteurs Power Platform ne peuvent pas être utilisés comme outils
• Confirmer que les requêtes HTTP sont bloquées
• Confirmez que les compétences sont bloquées
• Confirmez que la publication sur des canaux spécifiques est bloquée
• Confirmez que les déclencheurs d’événements sont bloqués

Confirmez que l’authentification utilisateur est requise

Lorsque vous ouvrez un agent qui n’est pas configuré pour exiger l’authentification utilisateur dans un environnement avec une politique de données qui l’exige, une bannière d’erreur apparaît avec un bouton Détails . Pour voir les détails, sur la page Canaux , développez le lien d’erreur et sélectionnez Télécharger. Dans le fichier de détails, une ligne décrit chaque infraction.

Un agent maker peut contacter ses administrateurs avec les détails du tableur pour effectuer les mises à jour appropriées de la politique de données.

Sinon, le créateur de l’agent peut mettre à jour les paramètres d’authentification de l’agent pour qu’il s’authentifie avec Microsoft ou s’authentifie manuellement (Azure Active Directory ou Azure Active Directory v2) dans la page de configuration de l’authentification . Consultez Configurer l’authentification utilisateur dans Copilot Studio.

Remarquez que l’absence d’authentification et certaines options d’authentification manuelles ne sont pas disponibles pour la sélection.

Confirmez que les sources de connaissances sont bloquées

1. Dans Copilot Studio, ouvrez un agent dans un environnement avec une politique de données qui empêche les créateurs d’ajouter des sources de connaissances spécifiques.

2. Allez sur la page Connaissances , sélectionnez Ajouter des connaissances, et ajoutez une source de connaissances que votre politique de données bloque.

3. Essaie de publier l’agent. Si la politique est appliquée, une bannière d’erreur apparaît avec un bouton Détails .

4. Sur la page des Chaînes , développez le lien d’erreur et sélectionnez Télécharger pour voir les détails. Dans le fichier de détails, s’il y a une violation de la politique de données pour une source de connaissances, une ligne apparaît pour la source de connaissances et pour chaque nœud de réponses génératives qui utilise cette source de connaissances.

Confirmez que les connecteurs Power Platform ne peuvent pas être utilisés comme outils

1. Dans Copilot Studio, ouvrez un agent dans un environnement avec une politique de données qui empêche les créateurs de configurer des outils basés sur des connecteurs Power Platform.

2. Créez un nouveau sujet et ajoutez un nœud Outil .

3. Dans le panneau Ajouter un outil , basculez dans l’onglet Connecteurs et sélectionnez un connecteur que votre politique de données bloque. Utilisez la zone de recherche si nécessaire.

4. Garde le sujet et essaie de publier l’agent. Si la politique est appliquée, une bannière d’erreur apparaît avec un bouton Détails .

5. Sur la page des Chaînes , développez le lien d’erreur et sélectionnez Télécharger pour voir les détails.

Note

Les chatbots classiques ne prennent pas en charge les connecteurs Power Platform.

Confirmer que les requêtes HTTP sont bloquées

Application web

1. Dans Copilot Studio, ouvrez un agent dans un environnement avec une politique de données qui bloque les requêtes HTTP.

2. Créez un nouveau sujet et ajoutez un nœud de requête HTTP . Au minimum, remplissez la propriété URL.

3. Garde le sujet et essaie de publier l’agent. Si la politique est appliquée, une bannière d’erreur apparaît avec un bouton Détails .

4. Sur la page des Chaînes , développez le lien d’erreur et sélectionnez Télécharger pour voir les détails. Dans le fichier des détails, une ligne apparaît avec une description pour chaque infraction. Une violation survient si le connecteur HTTP est bloqué, si le connecteur HTTP appartient à un groupe de données différent des autres connecteurs de votre politique de données, ou si le connecteur HTTP n’est pas bloqué mais qu’un point d’accès est refusé.

Classique

Ouvrez votre chatbot classique dans l’environnement avec la politique de données. Accédez au canevas de création et ouvrez (ou créez) une rubrique qui inclut un déclencheur Bot Framework qui utilise une requête HTTP.

Si la politique est appliquée, le panneau de vérification de sujet signale que les politiques de données bloquent les requêtes HTTP pour le nœud concerné. L’erreur est intitulée « Requêtes HTTP bloquées » et comprend un message vous conseillant de supprimer la requête HTTP ou de contacter un administrateur.

Confirmez que les compétences sont bloquées

1. Dans Copilot Studio, ouvrez un agent dans un environnement avec une politique de données qui empêche les créateurs de configurer leurs compétences.

2. Essayez d’ajouter une compétence à l’agent. Si la politique de données est appliquée, le panneau Ajouter une compétence signale une erreur et suggère de contacter un administrateur pour ajouter la compétence à la liste des autorisations.

Confirmez que la publication sur des canaux spécifiques est bloquée

1. Dans Copilot Studio, ouvrez un agent dans un environnement avec une politique de données qui empêche les créateurs de publier sur des canaux spécifiques.

2. Essayez de configurer un canal que la politique de données bloque. Si la politique de données est appliquée, vous ne pouvez pas publier sur ce canal.

Confirmez que les déclencheurs d’événements sont bloqués

1. Dans Copilot Studio, ouvrez un agent dans un environnement avec une politique de données qui empêche les créateurs d’ajouter des déclencheurs d’événements.

2. Si la politique est appliquée, un message d’erreur détaillé apparaît dans la section Déclencheurs de la page Aperçu . Le message mentionne le nom de la politique de données et suggère de contacter votre administrateur.

Identifier et dépanner l’impact des stratégies de données

Pour rechercher les assistants susceptibles d’être affectés par les stratégies de données de votre organisation, vous pouvez :

• Utilisez le tableau de bord Power BI du Kit de démarrage Centre d’excellence (CoE). La page de présentation de Copilot Studio dans le tableau de bord CoE répertorie les agents et les environnements de votre organisation.

  Note

  Les chatbots classiques créés en utilisant l’application Microsoft Copilot Studio ancienne dans Microsoft Teams ne sont pas détectables dans le CoE Starter Kit. Pour obtenir la liste de tous les agents et chatbots classiques dans un environnement, vous pouvez créer un flux Power Automate dans le cloud avec une action Dataverse lister les lignes de l'environnement sélectionné.

• Pour résoudre les erreurs de politique de données ou les politiques de données mises à jour, menez une campagne avec les concepteurs d'agents de votre organisation. Pour télécharger toutes les erreurs de stratégie de données de l’agent, sélectionnez Détails dans la bannière de notification d’erreur, puis sélectionnez Télécharger dans les détails du message d’erreur.

Si les politiques de données affectent le fonctionnement de vos agents, voir Troubleshooting data policy enforcement for Copilot Studio.

Ajoutez et mettez à jour les liens « En savoir plus » et les liens email de contact administrateur

Utilisez le Set-PowerAppDlpErrorSettings cmdlet PowerShell pour ajouter une adresse e-mail et un lien « En savoir plus » vers les messages d’erreur de la politique de données.

Pour ajouter l’adresse e-mail et le lien « En savoir plus », exécutez le script PowerShell suivant. Remplacez les valeurs des <email>paramètres , <URL>, et <tenant ID> par les vôtres.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Pour mettre à jour une configuration existante, utilisez le même script PowerShell, mais remplacez New-PowerAppDlpErrorSettings par Set-PowerAppDlpErrorSettings.

Avertissement 

Ces paramètres s’appliquent à toutes les applications Power Platform au sein du client spécifié.