Configurare la prevenzione della perdita dei dati per i copiloti
Importante
Le capacità e funzionalità di Power Virtual Agents ora fanno parte di Microsoft Copilot Studio a seguito di investimenti significativi nell'intelligenza artificiale generativa e integrazioni migliorate in Microsoft Copilot.
Alcuni articoli e schermate potrebbero fare riferimento a Power Virtual Agents durante l'aggiornamento della documentazione e dei contenuti per il training.
Attenzione
Il 21 maggio 2024 abbiamo rilasciato nuovi connettori integrati per i criteri di prevenzione della perdita di dati (DLP), con applicazione 30 giorni dopo il rilascio.
Gli autori di copiloti potrebbero visualizzare banner di errore DLP e potrebbero non essere in grado di pubblicare i copiloti che utilizzano risposte generative, a seconda di come è configurato DLP nella tua organizzazione.
Questi criteri DLP coprono i controlli per:
- Fonti di conoscenza con SharePoint e OneDrive in Copilot Studio
- Fonti di conoscenza con siti Web pubblici e dati in Copilot Studio
- Fonti di conoscenza con documenti in Copilot Studio
- Application Insights in Copilot Studio
Ciò non influisce sulle conversazioni dei tuoi clienti con i copiloti.
Cosa devo fare per prepararmi?
Gli amministratori possono modificare la modalità di gestione di questi nuovi connettori aggiornando i criteri DLP per includere il nuovo connettore nel gruppo di dati aziendali o non aziendali. Se il gruppo predefinito dei criteri è impostato su Bloccato, puoi consigliare agli autori del copilota di astenersi dall'utilizzare questi connettori o di trasferirli nel gruppo di dati appropriato.
I dati organizzativi sono la cosa più importante che gli amministratori delle risorse devono salvaguardare. La capacità di creare automazione per utilizzare tali dati è una parte importante del successo dell'azienda.
Puoi creare e implementare rapidamente i tuoi copiloti di alto valore per i tuoi utenti finali. Puoi connettere i tuoi copiloti con molte origini dati e servizi. Alcune di queste origini e servizi potrebbero essere servizi di terze parti esterni e includere anche alcuni social network.
È facile trascurare il potenziale per l'esposizione. Questo tipo di esposizione può derivare da una fuga di dati o da connessioni a servizi e gruppi di destinatari che non dovrebbero avere accesso ai dati.
Gli amministratori possono governare i copiloti nella tua organizzazione utilizzando i criteri di prevenzione della perdita di dati (DLP) con connettori esistenti e Copilot Studio. I criteri DLP vengono creati nell'interfaccia di amministrazione di Power Platform. Per creare un criterio DLP, devi essere un amministratore di tenant o avere il ruolo Amministratore di ambiente.
Prerequisiti
- Rivedere i concetti sui criteri DLP
Connettori Copilot Studio
I connettori Copilot Studio possono essere classificati all'interno di un criterio DLP nei seguenti gruppi di dati, presentati nell'interfaccia di amministrazione di Power Platform durante la revisione dei criteri DLP:
- Azienda
- Non aziendale
- Bloccato
Puoi utilizzare i connettori nei criteri DLP per proteggere i dati della tua organizzazione da qualsiasi esfiltrazione di dati dannosa o involontaria da parte dei creatori del copilota.
Importante
Per impostazione predefinita, l'applicazione DLP per i copiloti è disabilitata in tutti i tenant. Ulteriori informazioni sull'abilitazione dell'applicazione.
I connettori devono trovarsi in un unico gruppo di dati poiché i dati non possono essere condivisi tra connettori che si trovano in gruppi diversi.
I seguenti connettori Copilot Studio sono disponibili nell'interfaccia di amministrazione di Power Platform.
Questi connettori possono essere configurati per DLP come segue:
Nome del connettore | Descrzione |
---|---|
Application Insights in Copilot Studio | Impedisci agli autori di copilota di connettersi al copilota Application Insights. |
Chat senza autenticazione Microsoft Entra ID in Copilot Studio | Impedisci ai creatori di copiloti di pubblicare copiloti che non sono configurati per l'autenticazione. Gli utenti del copilota richiederanno l'autenticazione per chattare con il copilota. Vedi Esempio: richiesta dell'autenticazione dell'utente finale per i copiloti per ulteriori dettagli. |
Canali Direct Line in Copilot Studio | Impedisci agli autori di copiloti di abilitare o utilizzare il canale Direct Line. Ad esempio, il sito Web demo, il sito Web personalizzato, l'app per dispositivi mobili e altri canali Direct Line verrebbero bloccati. |
Canale Facebook in Copilot Studio | Impedisci ai creatori di copiloti di abilitare o utilizzare il canale Facebook. |
Origine Knowledge Base con SharePoint e OneDrive in Copilot Studio | Impedisci agli autori di copiloti di pubblicare copiloti configurati con SharePoint e OneDrive come fonte di conoscenza. Supporta il filtro dell'endpoint del connettore DLP per consentire o negare gli endpoint. |
Origine della Knowledge Base con dati e siti Web pubblici in Copilot Studio | Impedisci agli autori di copiloti di pubblicare copiloti configurati con siti Web pubblici come fonte di conoscenza. Supporta il filtro dell'endpoint del connettore DLP per consentire o negare gli endpoint. |
Fonte di conoscenza con documenti in Copilot Studio | Impedisci agli autori di copiloti di pubblicare copiloti configurati con documenti come fonte di conoscenza. |
Canale Microsoft Teams in Copilot Studio | Impedisci ai creatori di copiloti di abilitare o utilizzare il canale Teams. |
Multicanale in Copilot Studio | Impedisci ai creatori di copiloti di abilitare o utilizzare il canale Multicanale. |
Competenze con Copilot Studio | Impedisci ai creatori di copiloti di utilizzare le competenze nei copiloti Copilot Studio. Vedi Esempio: utilizzare i DLP per bloccare le competenze nei copiloti Copilot Studio ed Esempio: utilizzare i DLP per bloccare le richieste HTTP dai copiloti Copilot Studio per ulteriori dettagli. |
Esempio di configurazioni di criteri DLP
Per aiutarti a iniziare a con la governance del copilota Copilot Studio, abbiamo creato i seguenti esempi che descrivono in dettaglio diversi scenari:
- Esempio: utilizzare i criteri DLP per richiedere l'autenticazione dell'utente finale per i copiloti
- Esempio: utilizzare i criteri DLP per bloccare le fonti di conoscenza SharePoint e OneDrive nei copiloti
- Esempio: utilizzare i criteri DLP per bloccare i connettori Power Platform nei copiloti
- Esempio: utilizzare i criteri DLP per bloccare le richieste HTTP nei copiloti
- Esempio: utilizzare i criteri DLP per bloccare le capacità nei copiloti
- Esempio: utilizzare i criteri DLP per bloccare la pubblicazione del copilota nei canali
Utilizza PowerShell per abilitare e amministrare l'applicazione DLP per i copiloti nella tua organizzazione
Puoi configurare se i criteri DLP devono essere applicati ai tuoi copiloti con i cmdlet PowerShell PowerAppDlpErrorSettings
e PowerVirtualAgentsDlpEnforcement
.
È possibile:
- Conferma se i DLP sono abilitati per i copiloti nel tuo tenant.
- Abilita o disabilita i DLP in modalità di controllo (
-Mode SoftEnabled
) in modo che i creatori del copilota possano vedere gli errori, ma non gli venga impedito di eseguire azioni che verrebbero bloccate se l'applicazione dei DLP fosse completamente abilitata. - Abilita o disabilita l'applicazione dei DLP, che mostrerà gli errori di applicazione dei DLP e impedirà ai creatori di copilot di pubblicare bot interessati da DLP o configurare impostazioni relative a DLP.
- Esentare copiloti specifici dall'applicazione dei DLP.
- Aggiungi e aggiorna i collegamenti e-mail per ulteriori informazioni e contatti che vengono mostrati agli autori di copiloti quando incontrano DLP nelle app Copilot Studio Web e Teams.
Importante
Prima di utilizzare i cmdlet di PowerShell o gli script di esempio mostrati qui, assicurati di installare i seguenti moduli utilizzando PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Devi essere un amministratore del tenant per usare i cmdlet.
In genere, questi cmdlet vengono utilizzati in base a un processo di rollout DLP, che potrebbe consistere nei seguenti passaggi, nell'ordine:
Aggiungi o aggiorna i collegamenti e-mail per ulteriori informazioni e contatti dell'amministratore visualizzati negli errori DLP per i creatori di copiloti.
Determinare quali copiloti (se presenti) hanno attualmente abilitato l'applicazione dei criteri DLP.
Usa la modalità di controllo o "soft" in modo che i produttori possano vedere gli errori DLP nelle app Copilot Studio Web e Teams.
Riduci il rischio contattando i produttori e informandoli sulla migliore linea d'azione per la loro app o flusso.
Abilita l'applicazione DLP per i copiloti per impedire attività e funzionalità interessate da DLP.
Puoi anche decidere di esentare uno o più copiloti dall'applicazione dei criteri DLP, a seconda del caso d'uso e dei requisiti del copilota.
Aggiungere e aggiornare i collegamenti e-mail per ulteriori informazioni e per i contatti dell'amministratore
È possibile configurare un'e-mail e un collegamento per ulteriori informazioni utilizzando il cmdlet Set-PowerAppDlpErrorSettings
di PowerShell. I creatori del tuo copilota vedranno queste informazioni quando riscontrano errori DLP.
Per aggiungere l'e-mail e il collegamento per ulteriori informazioni per la prima volta, esegui il seguente script di PowerShell, sostituendo i valori per i parametri <email>
, <URL>
, e <tenant ID>
con i tuoi.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Per aggiornare una configurazione esistente, usa lo stesso script di PowerShell e sostituisci New-PowerAppDlpErrorSettings
con Set-PowerAppDlpErrorSettings
.
Attenzione
Queste impostazioni si applicano a tutte le app Power Platform all'interno del tenant specificato.
Abilita e configura l'applicazione DLP per i copiloti
È possibile abilitare, disabilitare, configurare e controllare l'applicazione dei DLP in Copilot Studio con i cmdlet PowerVirtualAgentsDlpEnforcement
.
In uno dei seguenti esempi, sostituisci (o dichiara) <tenant ID>
con l'ID del tuo tenant.
Puoi estendere l'ambito ai copiloti creati dopo una certa data sostituendo <date>
con una data nel formato MM-DD-YYYY
. Per rimuovere l'ambito, eliminare il parametro -OnlyForBotsCreatedAfter
e il suo valore.
Conferma l'applicazione dei DLP per i copiloti
Per impostazione predefinita, l'applicazione DLP per i copiloti è disabilitata in tutti i tenant.
È possibile eseguire il seguente cmdlet di PowerShell per verificare se i DLP per Copilot Studio sono abilitati per un tenant.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Se non hai configurato i DLP di Copilot Studio, i risultati del cmdlet saranno vuoti.
Usare la modalità di controllo o "soft" per vedere gli errori DLP nelle app Copilot Studio Web o Teams
Esegui lo script PowerShell seguente per abilitare i criteri DLP in modalità di controllo. Gli autori di copiloti vedranno errori relativi ai DLP durante la configurazione dei copiloti nelle app Copilot Studio Web e Teams, ma non verrà loro impedito di eseguire azioni relative ai DLP. Possono anche pubblicare copiloti come al solito.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Per trovare copiloti che potrebbero essere influenzati dai criteri DLP esistenti della tua organizzazione, puoi:
Utilizza lo Starter Kit del Centro di Eccellenza (CoE) per ottenere un elenco di copiloti nella tua organizzazione. Vai alla pagina Panoramica di Copilot Studio sulla dashboard CoE per vedere i nomi dei copiloti e degli ambienti nella tua organizzazione.
Esegui una campagna con i creatori dei copiloti della tua organizzazione per risolvere gli errori relativi ai DLP o aggiornare i criteri DLP. Puoi scaricare tutti gli errori DLP del copilota selezionando Dettagli nel banner di notifica dell'errore e selezionando Scarica dai dettagli del messaggio di errore.
Abilita l'applicazione dei DLP per i copiloti
Importante
Prima di abilitare l'applicazione dei DLP, assicurati di sapere quali copiloti mostreranno errori agli utenti del copilota a causa di violazioni delle norme sui DLP.
Se riscontri problemi, puoi esentare un copilota dai criteri DLP o disabilitare l'applicazione dei DLP mentre i tuoi autori correggono il copilota per renderlo conforme ai criteri DLP.
Puoi eseguire il comando PowerShell seguente per applicare i criteri DLP in Copilot Studio. Agli autori di copiloti verrà impedito di eseguire azioni interessate dal DLP e gli utenti finali vedranno errori se si attivano.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Escludere un bot dai criteri DLP
Se hai abilitato l'applicazione DLP per il tuo tenant, ma devi esentare un copilota dalla visualizzazione degli errori DLP ai creatori e agli utenti finali, puoi eseguire lo script PowerShell seguente.
Assicurati di sostituire <environment ID>
, <bot ID>
, <tenant ID>
e <policy ID>
con gli ID appropriati per il copilota che desideri esentare.
Suggerimento
Puoi trovare <environment ID>
e <bot ID>
dall'URL del copilota.
<policy ID>
è elencato insieme ai dettagli dell'errore nel file Scarica dettagli. Puoi scaricare il file selezionando Scarica i dettagli sul banner di notifica di errore in Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Disabilita l'applicazione dei DLP per i copiloti
Il comando seguente disabiliterà l'applicazione DLP nei copiloti.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per