Configurer la protection contre la perte de données pour les copilotes
Important
Les capacités et les fonctionnalités de Power Virtual Agents font maintenant partie de Microsoft Copilot Studio, suite à des investissements significatifs dans l’IA générative et des intégrations améliorées dans Microsoft Copilot.
Certains articles et captures d’écran peuvent faire référence à Power Virtual Agents pendant que nous mettons à jour la documentation et le contenu de la formation.
Les données organisationnelles sont l’une des ressources les plus importantes qu’il incombe aux administrateurs de protéger. Le fait de pouvoir créer des automatisations pour utiliser ces données contribue largement aux performances d’une société.
Vous pouvez rapidement créer et déployer vos copilotes à grande valeur ajoutée pour vos utilisateurs finaux. Vous pouvez connecter vos copilotes à de nombreuses sources de données et à de nombreux services. Certaines de ces sources et certains de ces services peuvent être des services tiers externes et peuvent même inclure les réseaux sociaux.
Il est facile de négliger le potentiel d’exposition. Ce type d’exposition peut aboutir à des fuites de données ou des connexions à des services et à des audiences qui ne devraient pas avoir accès aux données.
Les administrateurs peuvent régir les copilotes dans votre organisation en utilisant des stratégies de protection contre la perte de données (DLP) avec des connecteurs existants et Copilot Studio. Les stratégies DLP sont créées dans le Centre d’administration Power Platform. Pour créer une stratégie DLP, vous devez être un administrateur de client ou avoir le Rôle d’administrateur d’environnement.
Conditions préalables
- Réviser les concepts sur les stratégies DLP
Connecteurs Copilot Studio
Les connecteurs Copilot Studio peuvent être classés au sein d’une stratégie DLP dans les groupes de données suivants, qui sont présentés dans le centre d’administration Power Platform lors de l’examen des stratégies DLP :
- Entreprise
- Non professionnel
- Blocage
Vous pouvez utiliser les connecteurs dans les stratégies DLP pour protéger les données de votre organisation contre toute exfiltration de données malveillante ou involontaire par les créateurs de votre copilote.
Important
Par défaut, l’application de la DLP pour les copilotes est désactivée dans tous les locataires. En savoir plus sur l’activation de l’application.
Les connecteurs doivent se trouver dans un seul groupe de données, car les données ne peuvent pas être partagées entre les connecteurs qui se trouvent dans des groupes différents.
Les connecteurs Copilot Studio suivants sont disponibles dans le centre d’administration Power Platform.
Nom du connecteur | Description |
---|---|
Conversation sans authentification de Microsoft Entra ID dans Copilot Studio | Empêchez les créateurs de copilotes de publier des copilotes qui ne sont pas configurés pour l’authentification. Les utilisateurs du copilote devront s’authentifier pour discuter avec le copilote. Voir Exemple : Exiger l’authentification de l’utilisateur final pour les copilotes pour plus de détails. |
Canaux Direct Line dans Copilot Studio | Bloquer n’importe quel canal Direct Line. Par exemple, les canaux du site Web de démonstration, du site Web personnalisé et de l’application mobile seraient bloqués. |
Canal Facebook dans Copilot Studio | Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Facebook. |
Canal Microsoft Teams dans Copilot Studio | Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Teams. |
Omnicanal dans Copilot Studio | Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Omnicanal. |
Compétences avec Copilot Studio | Empêcher les créateurs de copilotes d’utiliser leurs compétences dans les copilotes Copilot Studio. Voir Exemple : Utiliser la DLP pour bloquer les compétences dans les copilotes Copilot Studio et Exemple : Utiliser la DLP pour bloquer les requêtes HTTP des copilotes Copilot Studio pour obtenir plus de détails. |
Exemple de configurations de stratégie DLP
Pour vous aider à commencer à utiliser la gouvernance du copilote Copilot Studio, nous avons créé les exemples suivants qui détaillent différents scénarios :
- Exemple : Utiliser la DLP pour exiger l’authentification de l’utilisateur final pour les copilotes Copilot Studio
- Exemple : Utiliser DLP pour bloquer des connecteurs Power Platform
- Exemple : Utiliser la DLP pour bloquer les requêtes HTTP des copilotes Copilot Studio
- Exemple : Utiliser la DLP pour bloquer les compétences dans les copilotes Copilot Studio
Utiliser PowerShell pour activer et administrer l’application de la DLP pour les copilotes dans votre organisation
Vous pouvez configurer si les stratégies DLP doivent être appliquées à vos copilotes avec les applets de commande PowerShell PowerAppDlpErrorSettings
et PowerVirtualAgentsDlpEnforcement
.
Vous pouvez :
- Confirmez si la DLP est activée pour les copilotes dans votre locataire.
- Activer ou désactiver la DLP en mode d’audit (
-Mode SoftEnabled
) afin que les créateurs de copilotes puissent voir les erreurs, mais ne soient pas empêchés d’effectuer des actions qui seraient bloquées si l’application de la DLP était entièrement activée. - Activer ou désactiver l’application de la DLP, ce qui affichera les erreurs d’application de la DLP et empêchera les créateurs de copilotes de publier les bots affectés par la DLP ou de configurer les paramètres liés à la DLP.
- Exempter certains copilotes de l’application de la DLP.
- Ajouter et mettre à jour les liens d’informations supplémentaires et d’e-mail du contact qui sont affichés aux créateurs de copilotes lorsqu’ils rencontrent la DLP dans les applications Web et Teams de Copilot Studio.
Important
Avant d’utiliser les applets de commande PowerShell ou les exemples de scripts présentés ici, veillez à Installer tous les modules nécessaires à l’aide de PowerShell.
Vous devez être administrateur client pour utiliser les applets de commande.
En règle générale, vous utiliserez ces applets de commande conformément à un processus de déploiement DLP, qui peut comprendre les étapes suivantes, dans l’ordre :
Ajoutez ou mettez à jour les liens d’informations supplémentaires et d’e-mail du contact de l’administrateur qui sont affichés dans les erreurs DLP pour les créateurs de copilotes.
Déterminez quels copilotes (le cas échéant) ont actuellement l’application de la stratégie DLP activée.
Utiliser le mode audit ou « soft » pour que les créateurs puissent voir les erreurs DLP dans les applications Web et Teams Copilot Studio.
Atténuer le risque en contactant les créateurs et en les informant de la meilleure marche à suivre pour leur application ou leur flux.
Activez l’application de la DLP pour les copilotes afin d’empêcher les tâches et fonctionnalités affectées par la DLP.
Vous pouvez également décider d’exempter un ou plusieurs copilotes de l’application de la stratégie DLP, en fonction du cas d’utilisation et des exigences du copilote.
Ajouter et mettre à jour les liens Pour en savoir plus et les liens Adresse e-mail de contact de l’administrateur
Vous pouvez configurer un lien Pour en savoir plus et un lien Adresse e-mail à l’aide de l’applet de commande PowerShell Set-PowerAppDlpErrorSettings
. Les créateurs de votre copilote verront ces informations lorsqu’ils rencontreront des erreurs DLP.
Pour ajouter le lien Pour en savoir plus et le lien Adresse e-mail pour la première fois, exécutez le script PowerShell suivant, en remplaçant les valeurs des paramètres <email>
, <URL>
, et <tenant ID>
par les vôtres.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Pour mettre à jour une configuration existante, utilisez le même script PowerShell et remplacez New-PowerAppDlpErrorSettings
par Set-PowerAppDlpErrorSettings
.
Avertissement
Ces paramètres s’appliquent à toutes les applications Power Platform au sein du client spécifié.
Activer et configurer l’application de la DLP pour les copilotes
Vous pouvez activer, désactiver, configurer et auditer l’application de la DLP dans Copilot Studio avec l’applet de commande PowerVirtualAgentsDlpEnforcement
.
Dans l’un des exemples suivants, remplacez (ou déclarez) <tenant ID>
avec l’ID de votre client.
Vous pouvez cibler les copilotes créés après une certaine date en remplaçant <date>
par une date au format MM-DD-YYYY
. Pour supprimer l’étendue, supprimez le paramètre -OnlyForBotsCreatedAfter
et sa valeur.
Confirmer l’application de la DLP pour les copilotes
Par défaut, l’application de la DLP pour les copilotes est désactivée dans tous les locataires.
Vous pouvez exécuter l’applet de commande PowerShell suivante pour vérifier si la DLP pour Copilot Studio est activée pour un client.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
Si vous n’avez pas configuré la DLP Copilot Studio, les résultats de l’applet de commande seront vides.
Utiliser le mode audit ou « soft » pour voir les erreurs DLP dans les applications Web ou Teams Copilot Studio
Exécutez le script PowerShell suivant pour activer les stratégies DLP en mode audit. Les créateurs de copilotes verront les erreurs liées à la DLP lors de la configuration des copilotes dans les applications Web et Teams de Copilot Studio, mais ils ne seront pas empêchés d’effectuer des actions liées à la DLP. Ils peuvent également publier des copilotes comme d’habitude.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Pour trouver les copilotes qui pourraient être affectés par les stratégies DLP existantes de votre organisation, vous pouvez :
Utiliser le Starter Kit du Centre d’excellence (CoE) pour obtenir une liste des copilotes dans votre organisation. Accédez à la vue d’ensemble de Copilot Studio dans le tableau de bord CoE pour voir les copilotes et les noms d’environnement dans votre organisation.
Lancez une campagne avec les créateurs de copilotes dans votre organisation pour corriger les erreurs DLP ou les stratégies DLP mises à jour. Vous pouvez télécharger toutes les erreurs DLP générées par un copilote en sélectionnant Télécharger les détails dans la bannière de notification d’erreur dans Copilot Studio.
Activer l’application de la DLP pour les copilotes
Important
Avant d’activer l’application de la DLP, assurez-vous de savoir quels copilotes afficheront des erreurs à vos utilisateurs copilotes en raison de violations de la stratégie DLP.
Si vous rencontrez des problèmes, vous pouvez exempter un copilote des stratégies DLP ou désactiver l’application de la DLP pendant que vos créateurs corrigent le copilote pour le rendre conforme aux stratégies DLP.
Vous pouvez exécuter la commande PowerShell suivante pour appliquer les stratégies DLP dans Copilot Studio. Les créateurs de copilotes seront bloqués ou empêchés d’effectuer des actions affectées par la DLP, et les utilisateurs finaux verront des erreurs s’ils tentent d’interagir avec les fonctionnalités affectées par la DLP dans un copilote.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Exempter un bot des stratégies DLP
Si vous avez activé l’application de la DLP pour votre locataire, mais que vous devez exempter un copilote d’afficher les erreurs DLP aux créateurs et aux utilisateurs finaux, vous pouvez exécuter le script PowerShell suivant.
Assurez-vous de remplacer <environment ID>
, <bot ID>
, <tenant ID>
et <policy ID>
par les ID appropriés pour le copilote que vous souhaitez exempter.
Astuce
Vous pouvez trouver <environment ID>
et <bot ID>
à partir de l’URL du copilote.
L’<policy ID>
est répertorié à côté des détails de l’erreur dans le fichier Télécharger les détails. Vous pouvez télécharger ce fichier en sélectionnant Télécharger les détails sur la bannière de notification d’erreur dans Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Désactiver l’application de la DLP pour les copilotes
La commande suivante désactivera l’application de la DLP dans les copilotes.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour