Configurare i criteri dati per gli agenti

Utilizzando Copilot Studio, puoi creare e distribuire rapidamente agenti di alto valore per i tuoi utenti che si collegano a molte fonti di dati e servizi. Alcune di queste fonti e servizi potrebbero essere servizi esterni non Microsoft. Potrebbero anche includere i social network, insieme a collegamenti ai dati della tua organizzazione.

I dati organizzativi sono il bene più importante che gli amministratori devono salvaguardare. La capacità di utilizzare tali dati in modo protetto, pur continuando a connettersi e interagire con altri servizi e sistemi, è una pietra miliare della sicurezza dei dati.

Le policy sui dati ti permettono di governare come gli agenti si collegano e interagiscono con dati e servizi, sia all'interno che all'esterno della tua organizzazione. Gli amministratori possono configurare i criteri dati di Copilot Studio e Power Platform nell'interfaccia di amministrazione di Power Platform.

Importante

Dall'inizio del 2025, l'applicazione della politica sui dati è in vignetta per tutti gli inquilini, come annunciato nell'allerta del centro messaggi MC973179: Copilot Studio - Aggiornamenti imminenti sull'applicazione della prevenzione della perdita di dati.

L'esenzione dall'imposizione dei criteri dati dell'agente non è più supportata. Gli agenti precedentemente esentati dall'applicazione delle politiche sui dati sono tutti soggetti a questa applicazione.

Scopri come risolvere problemi nell'applicazione delle politiche sui dati nel tuo inquilino.

Prerequisiti

• Rivedere i concetti sulle politiche sui dati.
• Sii un tenant admin o ricopri il ruolo di Environment Admin .

Connettori e gruppi di dati di Copilot Studio

Nel centro di amministrazione Power Platform, puoi classificare i connettori di Copilot Studio all'interno di una data policy nei seguenti gruppi dati:

• Azienda
• Non aziendale
• Bloccato

Usa questi connettori nelle policy dati per proteggere i dati della tua organizzazione da qualsiasi esfiltrazione di dati maliosa o non intenzionale da parte dei creatori degli agenti.

Il gruppo predefinito nei criteri dati è una categoria in cui i connettori vengono aggiunti automaticamente quando non viene definito alcun raggruppamento esplicito durante l'introduzione. I connettori introdotti dopo il 2019, come Chat senza autenticazione Microsoft Entra ID in Copilot Studio o i canali Direct Line in Copilot Studio, probabilmente faranno parte del gruppo predefinito "Non-business".

In molte organizzazioni, i connettori nel gruppo "Non-business" vengono bloccati automaticamente. Se una policy dati blocca un connettore nel tuo tenant di Copilot Studio, controlla in quale gruppo dati appartiene il connettore.

Gli amministratori possono configurare i gruppi predefiniti a livello di policy dati nel centro di amministrazione Power Platform.

Importante

Copilot Studio supporta l'applicazione dei criteri di dati in tempo reale. Gli autori di agenti e gli utenti visualizzano messaggi di errore per eventuali violazioni dei criteri dati.

Nei criteri di dati i connettori devono trovarsi nello stesso gruppo di dati perché i dati non possono essere condivisi tra connettori in gruppi diversi.

Casi d'uso comuni delle policy dati per gli agenti di Copilot Studio

Puoi utilizzare i connettori Copilot Studio nel centro di amministrazione Power Platform per configurare le policy dati per i seguenti casi d'uso comuni:

• Richiedere l'autenticazione dell'utente
• Blocca le fonti di conoscenza
• Blocco usando connettori Power Platform come strumenti
• Richieste HTTP di blocco
• Abilità di blocco
• Pubblicazione a blocchi su canali specifici
• Trigger di eventi di blocco

L'elenco dei connettori supportati nel centro di amministrazione Power Platform include alcuni altri casi d'uso.

Richiedere l'autenticazione dell'utente

Quando crei un nuovo agente, l'opzione Autentica con l'autenticazione Microsoft è attivata di default. L'agente utilizza automaticamente l'autenticazione Microsoft Entra ID senza richiedere alcuna configurazione manuale. Puoi chattare con il tuo agente solo su Microsoft Teams, SharePoint, Power Apps o Microsoft 365 Copilot. Tuttavia, i creatori di agenti nella tua organizzazione possono selezionare No autenticazione per permettere a chiunque abbia il link di chattare con il tuo agente.

Per impedire ai creatori di agenti di pubblicare agenti che non richiedono autenticazione, configura una policy dati che blocchi la chat del connettore senza l'autenticazione con Microsoft Entra ID in Copilot Studio.

Una volta impostata questa politica sui dati, i creatori degli agenti possono utilizzare solo Authenticate with Microsoft o Authenticate manualmente per configurare l'autenticazione degli utenti per gli agenti in Copilot Studio, e gli utenti degli agenti devono autenticarsi per chattare con l'agente.

Blocca le fonti di conoscenza

Usa le politiche dati per controllare quali fonti di conoscenza possono utilizzare gli autori degli agenti.

Per impedire ai creatori di agenti di pubblicare agenti che utilizzano tipi specifici di fonti di conoscenza, configura una policy dati che blocchi uno o più dei seguenti connettori:

• Origine delle conoscenze con SharePoint e OneDrive in Copilot Studio
• Origine delle conoscenze con siti Web e dati pubblici in Copilot Studio
• Fonte di conoscenza con documenti in Copilot Studio

In alternativa, se vuoi consentire o negare endpoint specifici per SharePoint o siti web pubblici che i produttori possono usare come fonti di conoscenza per i loro agenti di Copilot Studio, usa il filtraggio degli endpoint invece di bloccare il connettore selezionato.

Blocco usando connettori Power Platform come strumenti

Per impedire ai creatori degli agenti di usare i connettori Power Platform come strumenti negli agenti di Copilot Studio, configura una policy dati con i connettori che vuoi bloccare.

Richieste HTTP di blocco

I creatori di agenti nella tua organizzazione possono effettuare richieste HTTP utilizzando il nodo di richiesta HTTP .

Per impedire ai creatori di agenti di pubblicare agenti che effettuano richieste HTTP, configura una policy dati che blocchi il connettore HTTP .

In alternativa, se vuoi permettere o negare endpoint HTTP specifici invece di bloccare tutte le chiamate HTTP, puoi usare il filtraggio degli endpoint.

Abilità di blocco

Gli agenti maker nella tua organizzazione possono offrire competenze agli agenti. Le abilità possono essere un modo utile per estendere la funzionalità degli agenti. Tuttavia, per motivi di sicurezza, potresti voler configurare quali competenze possono usare gli agenti.

Per impedire ai creatori di agenti di pubblicare agenti che utilizzano Skills, configura una policy dati che blocchi il connettore Skills con Copilot Studio .

Pubblicazione a blocchi su canali specifici

Utilizzare le politiche dati per configurare i canali attraverso cui i produttori possono pubblicare agenti.

Per impedire ai creatori di agenti di pubblicare agenti su canali specifici, configura una policy dati che blocchi uno o più dei seguenti connettori:

• Microsoft Teams + canale M365 in Copilot Studio
• Canali Direct Line in Copilot Studio (applicabile al sito Demo, ai siti personalizzati, all'app mobile e ad altri canali Direct Line)
• Canale Facebook in Copilot Studio
• Omnicanale in Copilot Studio
• Canale SharePoint in Copilot Studio
• Canale WhatsApp in Copilot Studio

Annotazioni

Se i produttori non configurano i loro agenti per un canale che non è bloccato (i canali Direct Line sono consentiti di default), o se gli amministratori non permettono nessun canale, gli agenti non possono essere pubblicati.

Trigger di eventi di blocco

Gli autori degli agenti dell'organizzazione possono aggiungere trigger di eventi agli agenti. I trigger di eventi consentono agli agenti di reagire a eventi esterni senza l'intervento umano. Tuttavia, potresti voler limitarne l'uso per prevenire l'esfiltrazione di dati o il consumo indesiderato o l'uso di quote.

Per impedire ai creatori degli agenti di aggiungere trigger di eventi ai loro agenti o di eseguire valutazioni automatiche utilizzando un account autenticato, configura una policy dati che blocchi il connettore Microsoft Copilot Studio .

Nomi dei connettori nel centro di amministrazione Power Platform

La tabella seguente fornisce il nome dei connettori che puoi utilizzare nelle policy dati per gli agenti di Copilot Studio.

Per impedire ai produttori di agenti...	Nome del connettore nel centro di amministrazione Power Platform
Collegare gli agenti con le analisi applicative.	Approfondimenti applicativi in Copilot Studio
Agenti di pubblicazione non configurati per l'autenticazione.	Chat senza autenticazione Microsoft Entra ID in Copilot Studio
Agenti di pubblicazione che effettuano richieste HTTP.	Protocollo HTTP Supporta il filtraggio degli endpoint per consentire o negare gli endpoint.
Agenti di pubblicazione configurati con documenti come fonte di conoscenza.	Origine di conoscenza con documenti in Copilot Studio
Agenti editoriali configurati con siti web pubblici come fonte di conoscenza.	Origine di conoscenza con dati e siti Web pubblici in Copilot Studio Supporta il filtraggio degli endpoint per consentire o negare gli endpoint.
Agenti di pubblicazione configurati con SharePoint come fonte di conoscenza.	Origine della Knowledge Base con SharePoint e OneDrive in Copilot Studio Supporta il filtraggio degli endpoint per consentire o negare gli endpoint.
Pubblicazione sui canali Direct Line.	Canali Direct Line in Copilot Studio
Pubblicazione sul canale Customer Service di Dynamics 365.	Multicanale in Copilot Studio
Pubblicazione sul canale Facebook.	Canale Facebook in Copilot Studio
Pubblicazione sul canale SharePoint.	Canale SharePoint in Copilot Studio
Pubblicazione sul canale Teams e Microsoft 365 Copilot.	Microsoft Teams + canale M365 in Copilot Studio
Pubblicazione sul canale WhatsApp.	Canale WhatsApp in Copilot Studio
Utilizzare trigger di eventi negli agenti di Copilot Studio o eseguire valutazioni automatiche tramite account autenticati.	Microsoft Copilot Studio
Utilizzo di connettori Power Platform come strumenti negli agenti di Copilot Studio.	Molti connettori preassemblati e personalizzati
Utilizzo delle competenze negli agenti di Copilot Studio.	Competenze con Copilot Studio

Configura una policy dati nel centro di amministrazione Power Platform

1. Accedi all'interfaccia di amministrazione di Power Platform.

2. Nella barra laterale, seleziona Sicurezza, poi Dati e privacy. Verrà visualizzata la pagina Protezione dei dati e privacy .

3. Selezionare Criteri dati. Compare la lista delle politiche dati .

4. Creare un nuovo criterio dati o scegliere un criterio dati esistente da modificare:

   • Per creare una nuova politica dati, seleziona Nuova Politica, poi inserisci il nome che desideri.
   • Per modificare una policy dati esistente, seleziona la policy sui dati e seleziona Modifica politica.

5. Seleziona Avanti. Compare la pagina Aggiungi un ambiente .

   • Per aggiungere un ambiente alla tua policy dati, seleziona l'ambiente nella scheda Disponibili , poi seleziona Aggiungi alla policy.
   • Per rimuovere un ambiente dalla tua policy dati, passa alla scheda Aggiunto alla policy , seleziona l'ambiente, poi seleziona Remove from policy.

6. Seleziona Avanti. Compare la pagina Assegna connettori .

7. Usa la casella di ricerca per trovare il connettore che vuoi.

8. Seleziona i tre punti (⋮) accanto al connettore, poi:

   • Se vuoi impedire ai creatori di agenti di utilizzare le funzionalità associate al connettore, seleziona Blocca.

   • Se vuoi permettere o negare endpoint specifici per SharePoint o siti web pubblici configurati come sorgenti di conoscenza, o per richieste HTTP:

     1. Seleziona Configura connettore>Endpoint connettori.
     2. Aggiungi gli endpoint o i pattern che vuoi, poi seleziona Salva.

9. Seleziona Avanti.

10. Se sei un amministratore di tenant o di ambiente per più ambienti, si apre la pagina Definisci ambito .

    1. Seleziona l'opzione che desideri:

       • Aggiungi tutti gli ambienti: Aggiunge tutti gli ambienti all'interno di tutto il tuo tenant. Questa politica si applica automaticamente a qualsiasi nuovo ambiente creato nel tenant.
       • Aggiungere più ambienti: scegliere gli ambienti da includere in questo criterio.
       • Escludi determinati ambienti: scegliere gli ambienti da escludere da questo criterio.

       Annotazioni

       Le politiche con ambito di tenant si applicano a tutti gli agenti in tutti gli ambienti all'interno del tenant.

    2. Seleziona Avanti.

11. Esaminare i criteri, quindi selezionare Crea criterio se si sta creando un nuovo criterio o Aggiorna criterio se si sta modificando un criterio esistente.

12. Vai su Copilot Studio e verifica che faccia rispettare la tua politica sui dati come previsto per il tuo caso d'uso.

Confermare l'applicazione delle politiche sui dati in Copilot Studio

Puoi confermare che una data policy è in vigore aprendo un agente in Copilot Studio. Dopo aver tentato di eseguire un'operazione soggetta alla data policy, appare un banner di errore con un pulsante Dettagli . Per vedere i dettagli, nella pagina Canali , espandi il link di errore e seleziona Scarica. Nel file dettaglio, una riga descrive ogni violazione. Quando si verifica una violazione della politica sui dati, il pulsante Pubblica diventa non disponibile.

• Conferma che l'autenticazione utente è necessaria
• Conferma che le fonti di conoscenza sono bloccate
• Conferma che i connettori Power Platform non possono essere usati come strumenti
• Conferma che le richieste HTTP sono bloccate
• Conferma che le abilità sono bloccate
• Conferma che la pubblicazione su canali specifici è bloccata
• Conferma che i trigger degli eventi sono bloccati

Conferma che l'autenticazione utente è necessaria

Quando apri un agente che non è configurato per richiedere l'autenticazione degli utenti in un ambiente con una data policy che la richiede, appare un banner di errore con un pulsante Dettagli . Per vedere i dettagli, nella pagina Canali , espandi il link di errore e seleziona Scarica. Nel file dettaglio, una riga descrive ogni violazione.

Un agente maker può contattare i propri amministratori con i dettagli del foglio di calcolo per apportare aggiornamenti appropriati alla politica sui dati.

In alternativa, il creatore dell'agente può aggiornare le impostazioni di autenticazione dell'agente su Autentica con Microsoft o Autentica manualmente (Azure Active Directory o Azure Active Directory v2) nella pagina di configurazione Autenticazione . Vedi Configurare l'autenticazione dell'utente in Copilot Studio.

Nota che nessuna autenticazione e alcune opzioni di autenticazione manuale non sono disponibili per la selezione.

Conferma che le fonti di conoscenza sono bloccate

1. In Copilot Studio, apri un agente in un ambiente con una politica dati che impedisce ai creatori di aggiungere fonti specifiche di conoscenza.

2. Vai alla pagina Conoscenza , seleziona Aggiungi conoscenza e aggiungi una fonte di conoscenza che la tua policy dati blocca.

3. Prova a pubblicare l'agente. Se la politica viene applicata, appare un banner di errore con un pulsante Dettagli .

4. Nella pagina dei canali , espandi il link di errore e seleziona Scarica per vedere i dettagli. Nel file dettagli, se c'è una violazione della policy dati per una sorgente di conoscenza, appare una riga per la sorgente di conoscenza e per ogni nodo di risposte generative che utilizza quella sorgente di conoscenza.

Conferma che i connettori Power Platform non possono essere usati come strumenti

1. In Copilot Studio, apri un agente in un ambiente con una policy dati che impedisce ai produttori di configurare strumenti basati sui connettori Power Platform.

2. Crea un nuovo argomento e aggiungi un nodo Tool .

3. Nel pannello Aggiungi uno strumento , passa alla scheda Connettori e seleziona un connettore che la tua policy dati blocca. Se necessario, usare la casella di ricerca.

4. Salva l'argomento e prova a pubblicare l'agente. Se la politica viene applicata, appare un banner di errore con un pulsante Dettagli .

5. Nella pagina dei canali , espandi il link di errore e seleziona Scarica per vedere i dettagli.

Annotazioni

I chatbot classici non supportano i connettori Power Platform.

Conferma che le richieste HTTP sono bloccate

App Web

1. In Copilot Studio, si apre un agente in un ambiente con una policy dati che blocca le richieste HTTP.

2. Crea un nuovo argomento e aggiungi un nodo di richiesta HTTP . Al minimo, popolare la proprietà URL.

3. Salva l'argomento e prova a pubblicare l'agente. Se la politica viene applicata, appare un banner di errore con un pulsante Dettagli .

4. Nella pagina dei canali , espandi il link di errore e seleziona Scarica per vedere i dettagli. Nel file dei dettagli, appare una riga con una descrizione per ogni violazione. Una violazione si verifica se il connettore HTTP è bloccato, se il connettore HTTP si trova in un gruppo dati diverso rispetto agli altri connettori della tua data policy, o se il connettore HTTP non è bloccato ma un endpoint viene negato.

Classico

Apri il tuo chatbot classico nell'ambiente con la data policy. Vai all'area del contenuto e apri (o crea) un argomento che includa un trigger Bot Framework personalizzato che utilizza una richiesta HTTP.

Se la policy viene applicata, il pannello di controllo Topic segnala che le policy dati stanno bloccando le richieste HTTP per il nodo interessato. L'errore è intitolato "Richieste HTTP bloccate" e include un messaggio che ti consiglia di rimuovere la richiesta HTTP o di contattare un amministratore.

Conferma che le abilità sono bloccate

1. In Copilot Studio, apri un agente in un ambiente con una policy dati che impedisce ai creatori di configurare le competenze.

2. Cerca di aggiungere un'abilità all'agente. Se la policy sui dati viene applicata, il pannello Aggiungi una competenza segnala un errore e suggerisce di contattare un amministratore per aggiungere la competenza alla lista dei permessi.

Conferma che la pubblicazione su canali specifici è bloccata

1. In Copilot Studio, apri un agente in un ambiente con una politica dati che impedisce ai produttori di pubblicare su canali specifici.

2. Prova a configurare un canale che la data policy blocca. Se la politica sui dati viene applicata, non puoi pubblicare su quel canale.

Conferma che i trigger degli eventi sono bloccati

1. In Copilot Studio, apri un agente in un ambiente con una policy sui dati che impedisce ai creatori di aggiungere trigger di eventi.

2. Se la politica viene applicata, un messaggio di errore dettagliato appare nella sezione Triggers nella pagina Panoramica . Il messaggio menziona il nome della policy sui dati e suggerisce di contattare il tuo amministratore.

Identificare e risolvere l'impatto dei criteri dei dati

Per trovare gli agenti che potrebbero influire sui criteri dei dati dell'organizzazione, puoi:

• Usare il dashboard di Power BI del Center of Excellence (CoE) Starter Kit. La pagina di panoramica di Copilot Studio nel dashboard coe elenca gli agenti e gli ambienti dell'organizzazione.

  Annotazioni

  I chatbot classici creati utilizzando l'app legacy Microsoft Copilot Studio in Microsoft Teams non sono individuabili nel CoE Starter Kit. Per ottenere un elenco di tutti gli agenti e i chatbot classici in un ambiente, puoi creare un flusso cloud di Power Automate con un'azione Elenco righe dall'ambiente selezionato Dataverse.

• Esegui una campagna con gli agenti dell'organizzazione per risolvere gli errori dei criteri dei dati o i criteri dei dati aggiornati. Per scaricare tutti gli errori dei criteri dati dell'agente, selezionare Dettagli nel banner di notifica degli errori e selezionare Scarica nei dettagli del messaggio di errore.

Se le policy sui dati influiscono sulla funzionalità dei tuoi agenti, consulta Troubleshoot data policy enforcement per Copilot Studio.

Aggiungi e aggiorna i link email di contatto "Scopri di più" e per l'amministratore

Usa il Set-PowerAppDlpErrorSettings cmdlet PowerShell per aggiungere un indirizzo email e un link "Scopri di più" ai messaggi di errore della politica dati.

Per aggiungere l'indirizzo email e il link "Scopri di più", esegui il seguente script PowerShell. Sostituisci i valori dei <email>parametri , <URL>, e <tenant ID> con i tuoi.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Per aggiornare una configurazione esistente, usa lo stesso script PowerShell, ma sostituisci New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.

Avviso

Queste impostazioni si applicano a tutte le app Power Platform all'interno del tenant specificato.