コパイロットのデータ損失防止ポリシーを構成する
組織のデータは、管理者が責任をもって守るべき最も重要な資産です。 こうしたデータを活用するオートメーションを構築する機能は、会社の成功に大きく貢献します。
エンドユーザー向けに価値の高いコパイロットを迅速にビルドして展開できます。 コパイロットをさまざまなデータ ソースやサービスに接続できます。 これらソースとサービスの中には、外部の Microsoft 以外のサービスであったり、ソーシャル ネットワークを含む可能性があります。
曝露の可能性は見落としやすいものです。 この種の曝露は、データの漏えい、またはデータへのアクセスを許可されていないサービスやオーディエンスへの接続によって発生する可能性があります。
管理者は、既存のコネクタと Copilot Studio コネクタのデータ損失防止 (DLP) ポリシーを使用して、組織内のコパイロットを管理できます。 DLP ポリシーは、Power Platform 管理センター で作成されます。 DLP ポリシーを作成するには、テナント管理者 になるか、または 環境管理者の役割 を持っている必要があります。
前提条件
- DLP ポリシーについての概念を確認する
Copilot Studio コネクタ
Copilot Studio コネクタは、DLP ポリシー内で以下のデータ グループに分類され、DLP ポリシーを確認する際に Power Platform 管理センターで表示されます。
- 事業
- 非ビジネス
- ブロック済み
DLP ポリシーでコネクタを使用すると、コパイロット作成者による悪意のあるデータまたは意図しないデータ漏洩から組織のデータを保護できます。
重要
デフォルトでは、コパイロットの DLP 強制はすべてのテナントで無効になっています。 強制の有効化 について解説します。
異なるグループに属するコネクタ間でデータを共有することはできないため、コネクタは 1 つのデータグループに属する必要があります。
複数の Copilot Studio コネクタを Power Platform 管理センターで入手できます。 これらのコネクタは、次のように DLP 用に構成できます。
| コネクタ名 | プロパティ |
|---|---|
| Copilot StudioのApplication Insights | コパイロット メーカーがコパイロットと Application Insights が接続する のをブロックします。 |
| Copilot Studio で Microsoft Entra ID 認証なしでチャットする | コパイロット作成者が認証用に構成されていないコパイロットを公開できないようにします。 Copilot ユーザーは、コパイロットとチャットするために自分自身を認証する必要があります 。 詳細については、データ損失防止の事例 - コパイロットでのエンドユーザー認証の要求 を参照してください。 |
| Copilot Studio の Direct Line チャネル | コパイロット メーカーが Direct Line チャネルを有効にしたり使用したりすることをブロックします。 たとえば、デモ Web サイト、カスタム Web サイト、モバイル アプリ、その他の Direct Line チャネルはブロックされます。 |
| Copilot Studio の Facebook チャネル | コパイロット作成者が Facebook チャネルを有効にしたり使用したりできないようにブロックします。 |
| Copilot Studio の SharePoint と OneDrive を含むナレッジ ソース | コパイロット メーカーが、SharePoint ナレッジ ソースとして構成されたコパイロットを公開できないようにします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| 公開 Web サイトと Copilot Studio のデータを含むナレッジ ソース | コパイロット メーカーが、公開 Web サイトをナレッジ ソースとして構成されたコパイロットを公開することをブロックします。 エンドポイントを許可または拒否するための DLP コネクタ エンドポイント フィルタリング をサポートします。 |
| Copilot Studio のドキュメントでの知識源 | コパイロット メーカーが、ナレッジ ソースとしてドキュメントで構成されたコパイロットを公開することをブロックします。 |
| Copilot Studio の Microsoft Teams チャネル | コパイロット作成者が Teams チャネルを有効にしたり使用したりできないようにブロックします。 |
| Copilot Studio のオムニチャネル | コパイロット作成者が オムニチャネル チャネルを有効にしたり使用したりできないようにブロックします。 |
| Copilot Studio のスキル | コパイロット作成者が Copilot Studio コパイロットのスキルを使用することをブロックします。 詳細については、 「データ損失防止の例 - コパイロットでのスキルのブロック」 および 「データ損失防止の例 - コパイロットでの HTTP リクエストのブロック」を参照してください。 |
DLP ポリシー構成の例
Copilot Studio コパイロット ガバナンスを使い始められるように、さまざまなシナリオを想定した 4 つの例を作成しました。
- データ損失防止の例 - コパイロットにエンドユーザー認証を要求する
- データ損失防止の例 - コパイロットで SharePoint ナレッジソースをブロックする
- データ損失防止の例 - コパイロットで Power Platform コネクタをブロックする
- データ損失防止の例 - コパイロットで HTTP リクエストをブロックする
- データ損失防止の例 - コパイロットのスキルをブロックする
- データ損失防止の事例 - コパイロットの公開を無効にするためにチャネルをブロックする
PowerShell を使用して、組織内のコパイロットに対する DLP 強制を有効にして管理する
PowerAppDlpErrorSettings および PowerVirtualAgentsDlpEnforcement PowerShell cmdlets を使用して、DLP ポリシーをコパイロットに適用するかどうかを構成できます。
以下のことを行えます。
- テナント内のコパイロットに対して DLP が有効になっているかどうかを確認します。
- 監査モード (
-Mode SoftEnabled) で DLP を有効または無効にすると、コパイロット作成者はエラーを確認できますが、DLP 強制が完全に有効になっている場合にブロックされるアクションの実行は妨げられません。 - DLP 適用を有効または無効にして、DLP 適用エラーを表示し、コパイロットメーカーが DLP の影響を受けるボットを公開したり、DLP 関連の設定を構成したりできないようにします。
- 特定のコパイロットを DLP 強制から免除します。
- コパイロット作成者が Copilot Studio Web アプリや Teams アプリで DLP に遭遇したときに表示される詳細情報と連絡先メール リンクを追加して更新します。
重要
PowerShell コマンドレット、またはここに示すサンプル スクリプトを使用する前に、PowerShell を使用して次のモジュールがインストールされていることを確認してください。
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
コマンドレットを使用するには、テナント管理者である必要があります。
通常、これらのコマンドレットは、次の手順で構成される DLP のロールアウト プロセスに従って使用します。
コパイロット作成者の DLP エラーに表示される詳細情報と管理者の連絡先電子メール リンクを追加または更新します。
現在 DLP ポリシー強制が有効になっているコパイロット (存在する場合) を確認します。
監査または「ソフト」モードを使用することで、作成者は Copilot Studio web と Teams アプリの DLP エラーを確認することができます。
作成者に連絡し、アプリやフローに関する最適な対応を通知することでリスクを低減します。
DLP の影響を受けるタスクや機能を防ぐために、コパイロットの DLP 強制を有効にします。
また、コパイロットのユースケースと要件に応じて、1 つ以上のコパイロットを DLP ポリシーの適用から除外することもできます。
詳細情報と管理者の連絡先メール リンクを追加および更新する
Set-PowerAppDlpErrorSettings PowerShell コマンドレットを使用して、メールと詳細情報リンクを設定することができます。 コパイロット作成者は、DLP エラーが発生したときにこの情報を確認します。
電子メールと詳細情報のリンクを初めて追加する場合は、次の PowerShell スクリプトを実行し、<email>、<URL>、<tenant ID> パラメータの値を独自のものに置き換えます。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
既存の設定を更新する場合は、同じ PowerShell スクリプトを使用し、 New-PowerAppDlpErrorSettings を Set-PowerAppDlpErrorSettings に置き換えます。
注意
これらの設定は、指定したテナント内のすべての Power Platform アプリに適用されます。
コパイロットの DLP 強制を有効にして構成する
PowerVirtualAgentsDlpEnforcement コマンドレットを使用すると、Copilot Studio 内の DLP 実施の有効化、無効化、設定、監査が可能です。
以下の例のいずれにおいても、<tenant ID> をテナントの ID に置き換えて (または宣言) します。
<date> を MM-DD-YYYY 形式の日付に置き換えることにより、特定の日付以降に作成されたコパイロットに範囲を設定できます。 スコープを削除するには、-OnlyForBotsCreatedAfter パラメータとその値を削除します。
コパイロットに対する DLP 強制を確認する
デフォルトでは、コパイロットの DLP 強制はすべてのテナントで無効になっています。
以下の PowerShell コマンドレットを実行することで、あるテナントで Copilot Studio 用 DLP が有効になっているかどうかを確認できます。
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
Copilot Studio DLP を設定していない場合、コマンドレットからの結果は空白になります。
監査または「ソフト」モードを使用して、Copilot Studio の Web または Teams アプリで DLP エラーを確認する
以下の PowerShell スクリプトを実行し、監査モードで DLP ポリシーを有効にします。 コパイロット作成者は、Copilot Studio Web アプリや Teams アプリでコパイロットを構成するときに DLP 関連のエラーが表示されますが、DLP 関連のアクションの実行はブロックされません。 さらに、「ソフト」モードが有効になっている間は、作成者はコパイロットを公開できません。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
組織の既存の DLP ポリシーの影響を受ける可能性のあるコパイロットを見つけるには、次の方法があります。
Center of Excellence (CoE) スターター キット を使用して、組織内のコパイロットのリストを取得します。 Copilot Studio CoE ダッシュボードの概要ページでは、組織内のコパイロットと環境名を確認できます。
組織内のコパイロット作成者と協力してキャンペーンを実行し、DLP エラーや更新された DLP ポリシーに対処します。 エラー通知バナーで 詳細 を選択し、エラー メッセージの詳細から ダウンロード を選択すると、すべてのコパイロット DLP エラーをダウンロードできます。
コパイロットに対する DLP 施行を有効にする
重要
DLP 強制を有効にする前に、DLP ポリシー違反によりどのコパイロットがコパイロット ユーザーにエラーを表示するかを確認してください。
問題が発生した場合は、作成者が DLP ポリシーに準拠するようにコパイロットを修正している間、コパイロットを DLP ポリシーから除外するか、DLP 強制を無効にすることができます。
以下の PowerShell コマンドを実行することで、Copilot Studio に DLP ポリシーを適用することができます。 Copilot メーカーは DLP の影響を受けるアクションを実行できなくなり、トリガーされた場合はエンドユーザーにエラーが表示されます。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
DLP ポリシーからボットを除外する
テナントに対して DLP の適用を有効にしていますが、コパイロットがメーカーとユーザーに DLP エラーを表示しないようにする必要がある場合は、次の PowerShell スクリプトを実行できます。
<environment ID>、<bot ID>、<tenant ID>、そして <policy ID> を、免除するコパイロットの適切な ID を使用します。
チップ
コパイロットの URL に、<environment ID> と <bot ID> が表示されています。
<policy ID> は ダウンロードの詳細 ファイルにエラーの詳細と一緒に記載されています。 Copilot Studio のエラー通知バナーで ダウンロードの詳細 を選択すると、当該のファイルをダウンロードすることができます。
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
コパイロットに対する DLP 強制を有効にする
次のコマンドは、コパイロットでの DLP 強制を無効にします。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled