Настройка политик защиты от потери данных для помощников
Данные организации — один из наиболее важных активов, за обеспечение безопасности которых отвечает администратор. Возможность создавать средства автоматизации для использования этих данных — существенная составляющая успеха вашей омпании.
Вы можете быстро создавать и развертывать ценные дополнительные помощники для конечных пользователей. Вы можете подключить своих помощников ко многим источникам данных и сервисам. Некоторые из этих источников и служб могут быть службами сторонних производителей и могут даже включать социальные сети.
Можно легко недооценить потенциальную опасность утечки данных. Такого рода угрозы могут быть связаны с утечками данных или с подключениями к службам и аудиториям, у которых не должно быть доступа к этим данным.
Администраторы могут управлять помощниками в вашей организации, используя политики защиты от потери данных (DLP) с существующими соединителями Copilot Studio. Политики DLP создаются в центре администрирования Power Platform. Чтобы создать политику DLP, вы должны быть администратором арендатора или у вас должна быть роль администратора среды.
Предварительные условия
- Ознакомьтесь с понятиями, связанными с политиками защиты от потери данных
Соединители Copilot Studio
Соединители Copilot Studio в рамках политики защиты от потери данных можно классифицировать на следующие группы данных, которые присутствуют в центре администрирования Power Platform при просмотре политик защиты от потери данных:
- Бизнес
- Отличные от бизнес
- Заблокировано
Вы можете использовать соединители в политиках DLP, чтобы защитить данные вашей организации от любой вредоносной или непреднамеренной утечки данных со стороны создателей помощников.
Важно
По умолчанию применение политики DLP для помощников отключено во всех клиентах. Узнайте о включении принудительного применения.
Соединители должны находиться в одной группе данных, так как данные не могут использоваться совместно соединителями, которые находятся в разных группах.
В центре администрирования Power Platform доступны следующие соединители Copilot Studio.
Эти соединители можно настроить для DLP следующим образом:
Имя соединителя | Description |
---|---|
Application Insights в Copilot Studio | Запретить создателям помощника возможность подключать помощник к Application Insights. |
Чат без проверки подлинности Microsoft Entra ID в Copilot Studio | Заблокируйте создателям помощников публикацию помощников, для которых не настроена аутентификация.
Пользователям помощника потребуется аутентификация для общения с помощником. Подробнее см. в разделе Пример предотвращения потери данных — требование аутентификации конечного пользователя в помощниках. |
Каналы Direct Line в Copilot Studio | Запретите создателям помощника включать или использовать канал Direct Line.
Например, демонстрационный веб-сайт, пользовательский веб-сайт, мобильное приложение и другие каналы Direct Line будут заблокированы. |
Канал Facebook в Copilot Studio | Запретите создателям помощников включать или использовать канал Facebook. |
Источник знаний с SharePoint и OneDrive в Copilot Studio | Запретите создателям помощника публикацию помощников, настроенных с использованием SharePoint и OneDrive в качестве источника знаний. Поддерживает фильтрацию конечных точек соединителя DLP, чтобы разрешить или запретить конечные точки. |
Источник знаний с общедоступными веб-сайтами и данными в Copilot Studio | Запретите создателям помощника публикацию помощников, настроенных с использованием общедоступных веб-сайтов в качестве источника знаний. Поддерживает фильтрацию конечных точек соединителя DLP, чтобы разрешить или запретить конечные точки. |
Источник знаний с документами в Copilot Studio | Запретите создателям помощника публикацию помощников, настроенных с использованием документов в качестве источника знаний. |
Канал Microsoft Teams в Copilot Studio | Запретите создателям помощников включать или использовать канал Teams. |
Многоканальное взаимодействие в Copilot Studio | Запретите создателям помощников включать или использовать канал многоканального взаимодействия. |
Навыки в Copilot Studio | Запретите создателям помощников использовать навыки в помощниках Copilot Studio.
Подробнее см. в разделах Пример защиты от потери данных —блокировка навыков в помощниках и Пример предотвращения потери данных — блокировка запросов HTTP в помощниках. |
Пример конфигураций политик защиты от потери данных
Чтобы помочь вам начать работу с управлением помощником Copilot Studio, мы создали следующие примеры, подробно описывающие различные сценарии:
- Пример предотвращения потери данных — требование аутентификации конечного пользователя в помощниках
- Пример защиты от потери данных — блокировка источника знаний SharePoint и OneDrive в помощниках
- Пример предотвращения потери данных — блокировка соединителей Power Platform в помощниках
- Пример предотвращения потери данных — блокировка запросов HTTP в помощниках
- Пример защиты от потери данных — блокировка навыков в помощниках
- Пример предотвращения потери данных — блокировка каналов для отключения публикации помощника
Использование PowerShell для включения и управления применением DLP для помощников в вашей организации
Вы можете настроить, следует ли применять политики DLP к вашим помощникам, с помощью командлетов PowerShell PowerAppDlpErrorSettings
и PowerVirtualAgentsDlpEnforcement
.
Вы можете:
- Проверьте, включена ли защита от потери данных для помощников в вашем клиенте.
- Включить или отключить политику DLP в режиме аудита (
-Mode SoftEnabled
), чтобы создатели помощника могли видеть ошибки, но им не запрещалось выполнять действия, которые были бы заблокированы, если бы принудительное применение DLP было полностью включено. - Включить или отключить принудительное применение DLP, при этом будут отображаться ошибки принудительного применения DLP, а также запретить разработчикам помощника публиковать помощники, затронутые политикой DLP, или настраивать параметры, связанные с политикой DLP.
- Освободить определенные помощники от применения политики DLP.
- Добавление и обновление ссылок на дополнительные сведения и контактные адреса электронной почты, которые отображаются создателям помощника, когда они сталкиваются с политикой защитой от потери данных в веб-приложениях Copilot Studio и Teams.
Важно
Прежде чем использовать командлеты PowerShell или показанные здесь примеры сценариев, убедитесь, что вы установили следующие модули с помощью PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Для использования командлетов вы должны быть администратором портала.
Обычно эти командлеты следует использовать в соответствии с процессом развертывания защиты от потери данных, который может состоять из следующих шагов (в указанном порядке):
Добавьте или обновите ссылки на электронную почту «Узнать больше» и «Контактный адрес администратора», которые отображаются в ошибках политики DLP для создателей помощников.
Определите, на каких помощниках (если таковые имеются) в настоящее время включено применение политики DLP.
Использование режима аудита, или "мягкого" режима, чтобы создатели могли видеть ошибки DLP в веб-приложении Copilot Studio и приложении Teams.
Снижение рисков путем установления контакта с создателями и информирования их обо оптимальном порядке действий для разрабатываемого ими приложения или потока.
Включите принудительное применение политики DLP для помощников, чтобы предотвратить выполнение задач и функций, затрагиваемых DLP.
Вы также можете решить освободить один или несколько помощников от применения политики DLP, в зависимости от варианта использования и требований помощника.
Добавление или обновление ссылок "Подробнее" и ссылок для связи с администратором
Настроить ссылки "Подробнее" и ссылки для связи с администратором можно с помощью командлета PowerShell Set-PowerAppDlpErrorSettings
. Создатели помощника увидят эту информацию, когда у них возникнут ошибки политики DLP.
Чтобы добавить ссылку "Подробнее" и ссылку для связи с администратором в первый раз, выполните следующий скрипт PowerShell, заменив значения <email>
, <URL>
и <tenant ID>
своими собственными параметрами.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Чтобы обновить существующую конфигурацию, используйте этот же сценарий PowerShell, но заменитеNew-PowerAppDlpErrorSettings
на Set-PowerAppDlpErrorSettings
.
Внимание
Эти параметры применяются ко всем приложениям Power Platform в указанном арендаторе.
Включение и настройка применения политики DLP для помощников
Включать, отключать, настраивать и проверять применение защиты от потери данных в Copilot Studio можно с помощью командлета PowerVirtualAgentsDlpEnforcement
.
В любом из следующих примеров замените (или объявите)<tenant ID>
в соответствии с идентификатором своего арендатора.
Вы можете указать помощников, созданных после определенной даты, заменив <date>
датой в формате MM-DD-YYYY
. Чтобы удалить область действия, удалите параметр -OnlyForBotsCreatedAfter
и его значение.
Проверка применения политики DLP для помощников
По умолчанию применение политики DLP для помощников отключено во всех клиентах.
Вы можете запустить следующий командлет PowerShell, чтобы проверить, включена ли DLP для Copilot Studio в данном арендаторе.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Заметка
Если вы не настроили DLP для Copilot Studio, результаты командлета будут пустыми.
Использование режима аудита, или "мягкого" режима для отображения ошибок DLP в веб-приложении Copilot Studio и приложении Teams
Запустите следующий сценарий PowerShell, чтобы включить политики защиты от потери данных в режиме аудита. Создатели помощников увидят ошибки, связанные с DLP, при настройке помощников в веб-приложениях Copilot Studio и приложениях Teams, но им не будет запрещено выполнять действия, связанные с DLP. Они также могут публиковать помощники, как обычно.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Чтобы найти помощники, на которых могут повлиять существующие политики DLP вашей организации, вы можете:
Используйте стартовый комплект Центра передовых технологий (CoE), чтобы получить список помощников в вашей организации. Перейдите на страницу обзора Copilot Studio на панели мониторинга CoE, чтобы просмотреть имена помощников и сред в вашей организации.
Запустите кампанию вместе с создателями помощников в вашей организации, чтобы устранить ошибки политики DLP или обновить политики DLP. Вы можете загрузить все ошибки DLP помощника, выбрав Подробнее на баннере уведомления об ошибке и выбрав Загрузить в сведениях сообщения об ошибке.
Включение применения политики DLP для помощников
Важно
Прежде чем включать принудительное применение политики DLP, убедитесь, что вы знаете, какие помощники будут показывать ошибки пользователям ваших помощников из-за нарушений политики DLP.
Если у вас возникнут проблемы, вы можете освободить помощник от политик DLP или отключить принудительное применение политики DLP, пока ваши создатели исправляют помощник, чтобы он соответствовал политикам DLP.
Вы можете запустить следующую команду PowerShell, чтобы применить политики защиты от потери данных в Copilot Studio. Создатели помощника не смогут выполнять действия, затрагиваемые DLP, а конечные пользователи увидят ошибки, если они сработают.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Исключение бота из политик DLP
Если вы включили принудительное применение политики DLP для своего клиента, но вам необходимо освободить помощник от показа ошибок политики DLP создателям и конечным пользователям, вы можете запустить следующий сценарий PowerShell.
Обязательно замените <environment ID>
, <bot ID>
, <tenant ID>
и <policy ID>
соответствующими идентификаторами помощника, которого вы хотите освободить.
Совет
Вы можете определить <environment ID>
и <bot ID>
из URL-адреса помощника.
Значение <policy ID>
указано рядом со сведениями об ошибке в файле Загрузить сведения. Вы можете загрузить этот файл, выбрав Загрузить сведения на баннере уведомления об ошибке в Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Отключение применения политики DLP для помощников
Следующая команда отключит применение политики DLP в помощниках.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled