Mengonfigurasi kebijakan pencegahan kehilangan data untuk kopilot
Data organisasi adalah aset terpenting yang bertanggung jawab untuk dijaga oleh administrator. Kemampuan untuk membangun otomatisasi untuk menggunakan data tersebut adalah bagian besar dari kesuksesan perusahaan mereka.
Anda dapat dengan cepat membangun dan meluncurkan copilot bernilai tinggi untuk pengguna akhir Anda. Anda dapat menghubungkan kopilot Anda dengan banyak sumber data dan layanan. Beberapa sumber dan layanan ini mungkin eksternal, layanan pihak ketiga, dan bahkan mungkin termasuk jejaring sosial.
Sangat mudah untuk mengabaikan potensi paparan. Eksposur semacam ini dapat diakibatkan oleh kebocoran data atau koneksi ke layanan dan audiens yang seharusnya tidak memiliki akses ke data.
Administrator dapat mengatur copilot di organisasi Anda menggunakan kebijakan pencegahan kehilangan data (DLP) dengan konektor yang Copilot Studio ada. Kebijakan DLP dibuat di Pusat admin Power Platform. Untuk membuat kebijakan DLP, Anda harus menjadi admin penyewa atau memiliki peran Admin lingkungan.
Prasyarat
- Tinjau konsep tentang kebijakan DLP
Copilot Studio Konektor
Copilot Studio konektor dapat diklasifikasikan dalam kebijakan DLP di bawah grup data berikut, yang disajikan di Power Platform pusat admin saat meninjau kebijakan DLP:
- Bisnis
- Non-bisnis
- Terblokir
Anda dapat menggunakan konektor dalam kebijakan DLP untuk melindungi data organisasi Anda dari eksfiltrasi data yang berbahaya atau tidak disengaja oleh pembuat copilot Anda.
Penting
Secara default, penerapan DLP untuk kopilot dinonaktifkan di semua penyewa. Pelajari cara mengaktifkan penegakan.
Konektor harus berada dalam satu grup data karena data tidak dapat dibagikan di antara konektor yang berada dalam grup yang berbeda.
Konektor berikut Copilot Studio tersedia di Power Platform pusat admin.
Konektor ini dapat dikonfigurasi untuk DLP sebagai berikut:
| Nama konektor | Description |
|---|---|
| Application Insights dalam Copilot Studio | Blokir pembuat kopilot untuk menghubungkan kopilot dengan Application Insights. |
| Obrolan tanpa autentikasi Microsoft Entra ID di Copilot Studio | Blokir pembuat copilot agar tidak menerbitkan copilot yang tidak dikonfigurasi untuk autentikasi.
Pengguna copilot akan memerlukan autentikasi untuk mengobrol dengan copilot. Lihat Contoh pencegahan kehilangan data - Mewajibkan autentikasi pengguna akhir di kopilot untuk detail selengkapnya. |
| Saluran Direct Line di Copilot Studio | Memblokir pembuat copilot agar tidak mengaktifkan atau menggunakan Direct Line saluran.
Misalnya, situs web Demo, Situs web khusus, Aplikasi seluler, dan saluran lainnya Direct Line akan diblokir. |
| Saluran Facebook di Copilot Studio | Memblokir pembuat kopilot agar tidak mengaktifkan atau menggunakan Facebook saluran. |
| Sumber pengetahuan dengan SharePoint dan OneDrive di Copilot Studio | Memblokir pembuat kopilot untuk menerbitkan kopilot yang dikonfigurasi dengan SharePoint dan sebagai OneDrive sumber pengetahuan. Mendukung pemfilteran titik akhir konektor DLP untuk mengizinkan atau menolak titik akhir. |
| Sumber pengetahuan dengan situs web publik dan data di Copilot Studio | Blokir pembuat kopilot agar tidak menerbitkan kopilot yang dikonfigurasi dengan situs web publik sebagai sumber pengetahuan. Mendukung pemfilteran titik akhir konektor DLP untuk mengizinkan atau menolak titik akhir. |
| Sumber pengetahuan dengan dokumen di Copilot Studio | Memblokir pembuat kopilot agar tidak menerbitkan kopilot yang dikonfigurasi dengan dokumen sebagai sumber pengetahuan. |
| Saluran Microsoft Teams di Copilot Studio | Memblokir pembuat kopilot agar tidak mengaktifkan atau menggunakan saluran Teams. |
| Multisaluran di Copilot Studio | Memblokir pembuat kopilot agar tidak mengaktifkan atau menggunakan saluran Multisaluran. |
| Keterampilan dengan Copilot Studio | Blokir pembuat kopilot agar tidak menggunakan keterampilan pada Copilot Studio kopilot.
Lihat Contoh pencegahan kehilangan data - Memblokir keterampilan di kopilot dan Contoh pencegahan kehilangan data - Memblokir permintaan HTTP di kopilot untuk detail selengkapnya. |
Contoh konfigurasi kebijakan DLP
Untuk membantu Anda memulai tata Copilot Studio kelola copilot, kami membuat contoh berikut yang merinci skenario yang berbeda:
- Contoh pencegahan kehilangan data - Mewajibkan autentikasi pengguna akhir di kopilot
- Contoh pencegahan kehilangan data - Blok SharePoint dan OneDrive sumber pengetahuan di kopilot
- Contoh pencegahan kehilangan data - Konektor Blok Power Platform di kopilot
- Contoh pencegahan kehilangan data - Blokir permintaan HTTP di copilot
- Contoh pencegahan kehilangan data - Memblokir keterampilan dalam kopilot
- Contoh pencegahan kehilangan data - Memblokir saluran untuk menonaktifkan publikasi copilot
Gunakan PowerShell untuk mengaktifkan dan mengelola penerapan DLP untuk copilot di organisasi Anda
Anda dapat mengonfigurasi apakah kebijakan DLP harus diterapkan ke copilot Anda dengan cmdlet dan PowerAppDlpErrorSettings PowerShell PowerVirtualAgentsDlpEnforcement .
Anda bisa:
- Konfirmasikan apakah DLP diaktifkan untuk copilot di penyewa Anda.
- Mengaktifkan atau menonaktifkan DLP dalam mode audit (
-Mode SoftEnabled) sehingga pembuat copilot dapat melihat kesalahan, tetapi tidak dicegah untuk melakukan tindakan yang akan diblokir jika penerapan DLP diaktifkan sepenuhnya. - Mengaktifkan atau menonaktifkan penerapan DLP, yang akan menampilkan kesalahan penerapan DLP, dan mencegah pembuat copilot menerbitkan bot yang terpengaruh DLP atau mengonfigurasi pengaturan terkait DLP.
- Membebaskan kopilot tertentu dari penegakan DLP.
- Tambahkan dan perbarui tautan email pelajari selengkapnya dan kontak yang ditampilkan kepada pembuat copilot saat mereka menemukan DLP di Copilot Studio web dan aplikasi Teams.
Penting
Sebelum menggunakan cmdlet PowerShell, atau contoh skrip yang diperlihatkan di sini, pastikan Anda menginstal modul berikut menggunakan PowerShell.
- Microsoft.PowerApps. Administrasi.PowerShell
- Microsoft.PowerApps. PowerShell -AllowClobber
Anda harus menjadi admin penyewa untuk menggunakan cmdlet.
Biasanya, Anda akan menggunakan cmdlet ini sesuai dengan proses peluncuran DLP, yang mungkin terdiri dari langkah-langkah berikut, secara berurutan:
Tambahkan atau perbarui tautan email kontak admin dan pelajari selengkapnya yang ditampilkan dalam kesalahan DLP untuk pembuat copilot.
Tentukan copilot mana (jika ada) yang saat ini mengaktifkan penerapan kebijakan DLP.
Gunakan mode audit atau "lunak" sehingga pembuat dapat melihat kesalahan DLP di Copilot Studio web dan aplikasi Teams.
Kurangi risiko dengan menghubungi pembuat dan memberi tahu mereka tentang tindakan terbaik untuk aplikasi atau alur mereka.
Aktifkan penerapan DLP untuk kopilot untuk mencegah tugas dan fitur yang terpengaruh DLP.
Anda juga dapat memutuskan untuk membebaskan satu atau beberapa kopilot dari penegakan kebijakan DLP, tergantung pada kasus penggunaan dan persyaratan kopilot.
Tambahkan dan perbarui tautan email kontak pelajari selengkapnya dan admin
Anda dapat mengonfigurasi tautkan email dan pelajari lebih lanjut menggunakan Set-PowerAppDlpErrorSettings cmdlet PowerShell. Pembuat kopilot Anda akan melihat informasi ini saat mereka mengalami error DLP.
Untuk menambahkan tautkan email dan pelajari lebih lanjut untuk pertama kalinya, jalankan skrip PowerShell berikut, ganti nilai untuk parameter <email>, <URL>, dan <tenant ID> dengan parameter Anda sendiri.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Untuk memperbarui konfigurasi yang ada, gunakan skrip PowerShell yang sama, dan ganti New-PowerAppDlpErrorSettings dengan Set-PowerAppDlpErrorSettings.
Perhatian
Pengaturan ini berlaku untuk semua Power Platform aplikasi dalam penyewa yang ditentukan.
Mengaktifkan dan mengonfigurasi penerapan DLP untuk copilot
Anda dapat mengaktifkan, menonaktifkan, mengonfigurasi, dan mengaudit penerapan DLP di dalam cmdlet Copilot Studio PowerVirtualAgentsDlpEnforcement .
Dalam salah satu contoh berikut, ganti (atau deklarasikan) <tenant ID> dengan ID penyewa Anda.
Anda dapat mencakup kopilot yang dibuat setelah tanggal tertentu dengan menggantinya <date> dengan tanggal dalam format MM-DD-YYYY. Untuk menghapus cakupan, hapus -OnlyForBotsCreatedAfter parameter dan nilainya.
Mengonfirmasi penerapan DLP untuk kopilot
Secara default, penerapan DLP untuk kopilot dinonaktifkan di semua penyewa.
Anda dapat menjalankan cmdlet PowerShell berikut untuk memeriksa apakah DLP untuk Copilot Studio diaktifkan untuk penyewa.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Catatan
Jika Anda belum mengonfigurasi Copilot Studio DLP, hasil dari cmdlet akan kosong.
Gunakan audit atau mode "lunak" untuk melihat kesalahan DLP di Copilot Studio web atau aplikasi Teams
Jalankan skrip PowerShell berikut untuk mengaktifkan kebijakan DLP dalam mode audit. Pembuat copilot akan melihat kesalahan terkait DLP saat mengonfigurasi copilot di Copilot Studio web dan aplikasi Teams, tetapi mereka tidak akan diblokir untuk melakukan tindakan terkait DLP. Mereka juga dapat menerbitkan kopilot seperti biasa.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Untuk menemukan kopilot yang dapat terpengaruh oleh kebijakan DLP organisasi yang ada, Anda dapat:
Gunakan Kit Pemula Center of Excellence (CoE) untuk mendapatkan daftar kopilot di organisasi Anda. Buka Copilot Studio halaman gambaran umum di Dasbor CoE untuk melihat kopilot dan nama lingkungan di organisasi Anda.
Jalankan kampanye dengan pembuat copilot di organisasi Anda untuk mengatasi error DLP atau kebijakan DLP yang diperbarui. Anda dapat mendownload semua error DLP copilot dengan memilih Detail di banner notifikasi error dan memilih Download dari detail pesan error.
Mengaktifkan penerapan DLP untuk kopilot
Penting
Sebelum mengaktifkan penerapan DLP, pastikan Anda mengetahui copilot mana yang akan menampilkan error kepada pengguna copilot Anda karena pelanggaran kebijakan DLP.
Jika mengalami masalah, Anda dapat mengecualikan copilot dari kebijakan DLP atau menonaktifkan penerapan DLP saat pembuat memperbaiki copilot untuk mematuhi kebijakan DLP.
Anda dapat menjalankan perintah PowerShell berikut untuk menerapkan kebijakan DLP Copilot Studio. Pembuat copilot akan dicegah melakukan tindakan yang terpengaruh DLP, dan pengguna akhir akan melihat kesalahan jika dipicu.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Mengecualikan bot dari kebijakan DLP
Jika Anda telah mengaktifkan penegakan DLP untuk penyewa Anda, tetapi Anda perlu mengecualikan copilot dari menampilkan kesalahan DLP kepada pembuat dan pengguna akhir, Anda dapat menjalankan skrip PowerShell berikut.
Pastikan untuk menggantinya <environment ID>,, <bot ID>, <tenant ID> dan <policy ID> dengan ID yang sesuai untuk kopilot yang ingin Anda kecualikan.
Tip
Anda dapat menemukan dan <environment ID> <bot ID> dari URL kopilot.
Daftar tersebut <policy ID> tercantum di samping detail kesalahan di file Detail Unduhan . Anda dapat mengunduh file tersebut dengan memilih Unduh detail pada spanduk pemberitahuan kesalahan di. Copilot Studio
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Menonaktifkan penerapan DLP untuk kopilot
Perintah berikut akan menonaktifkan penegakan DLP di kopilot.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled