Konfigurer policyer for hindring av datatap for agenter
Organisasjonsdata er sannsynligvis den viktigste ressursen administratorer er ansvarlige for å beskytte. Muligheten til å bygge automatisering for å bruke disse dataene er en stor del av firmaets suksess.
Du kan raskt bygge og rulle ut dine verdifulle agenter for brukerne dine. Du kan koble agentene dine til mange datakilder og tjenester. Noen av disse kildene og tjenestene kan være eksterne, ikke-Microsoft-tjenester og til og med omfatte sosiale nettverk.
Det er lett å overse eksponeringspotensialet. Disse farene kan skyldes datalekkasje eller tilkoblinger til tjenester og målgrupper som ikke skal ha tilgang til dataene.
Administratorer kan styre agenter i organisasjonen ved hjelp av policyer for hindring av datatap med Copilot Studio-koblinger. DLP-policyer opprettes i Power Platform-administrasjonssenteret. Hvis du vil opprette en DLP-policy, må du være administrator for leier eller ha rollen som miljøadministrator.
Forutsetning
- Gå gjennom konsepter om Policyer for hindring av datatap
Copilot Studio-koblinger
Copilot Studio-koblinger kan klassifiseres i en policy for hindring av datatap under følgende datagrupper, som presenteres i administrasjonssenteret for Power Platform ved gjennomgang av policyer for hindring av datatap:
- Forretning
- Ikke-forretning
- Blokkert
Du kan bruke koblingene i policyer for hindring av tap av data til å beskytte organisasjonens data mot skadelig eller utilsiktet dataeksfiltrering utført av agent-opprettere.
Viktig!
Som standard er DLP-håndhevelse for agenter deaktivert i alle leiere. Lær om aktivering av håndhevelse.
Copilot Studio støtter DLP-håndhevelse i sanntid. Agentopprettere og -brukere ser gjeldende DLP-håndhevelsesfeilmeldinger så snart DLP-policyer blir aktive.
I en DLP-policy må koblingene være i samme datagruppe, fordi data ikke kan deles mellom koblinger som er i forskjellige grupper.
Du kan konfigurere DLP-policyer i Power Platform-administrasjonssenteret for å blokkere en av følgende Copilot Studio-koblinger.
Koblingsnavn | Brukstilfelle |
---|---|
Application Insights i Copilot Studio | Blokker agentopprettere fra å koble agenter med Application Insights. |
Nettprat uten Microsoft Entra ID-godkjenning i Copilot Studio | Blokker agentutviklere fra å publisere agenter som ikke er konfigurert for godkjenning. Agentbrukere må autentisere seg for å kunne chatte med agenten. Hvis du vil ha mer informasjon, kan du se Eksempel på hindring av datatap – Krev brukergodkjenning i agenter. |
Direct Line-kanaler i Copilot Studio | Blokker agentutviklere fra å aktivere eller bruke Direct Line-kanal. Dette gjør at for eksempel demonettstedet, det egendefinerte nettstedet, mobilapp og andre Direct Line-kanaler blir blokkert. |
Facebook-kanal i Copilot Studio | Blokker agentutviklere fra å aktivere eller bruke Facebook-kanalen. |
Kunnskapskilde med SharePoint og OneDrive i Copilot Studio | Blokker agentutviklere fra å publisere agenter konfigurert med SharePoint som en kunnskapskilde. Støtter endepunktfiltrering for kobling for hindring av datatap slik at endepunkter kan tillates eller avvises. |
Kunnskapskilde med dokumenter i Copilot Studio | Blokker agentutviklere fra å publisere agenter konfigurert med dokumenter som en kunnskapskilde. |
Kunnskapskilde med offentlige nettsteder og data i Copilot Studio | Blokker agentutviklere fra å publisere agenter konfigurert med offentlige nettsteder som en kunnskapskilde. Støtter endepunktfiltrering for kobling for hindring av datatap slik at endepunkter kan tillates eller avvises. |
Microsoft Copilot Studio | Blokker agentopprettere fra å bruke hendelsesutløsere i Copilot Studio-agenter. Hvis du vil ha mer informasjon, kan du se Eksempel på hindring av datatap – Blokker hendelsesutløsere i agenter. |
Microsoft Teams-kanal i Copilot Studio | Blokker agentutviklere fra å aktivere eller bruke Teams-kanalen. |
Omnikanal i Copilot Studio | Blokker agentutviklere fra å aktivere eller bruke omnikanal-kanalen. |
Ferdigheter med Copilot Studio | Blokker agentutviklere fra å bruke ferdigheter i Copilot Studio-agenter. Hvis du vil ha mer informasjon, kan du se Eksempel på hindring av datatap – Blokker ferdigheter i agenter og Eksempel på hindring av datatap – Blokker HTTP-forespørsler i agenter. |
Eksempel på konfigurasjoner for policy for hindring av datatap
Hvis du vil komme i gang med Copilot Studio-agentstyring, kan du gå gjennom følgende eksempelscenarier:
- Eksempel på hindring av datatap – Krev brukergodkjenning i agenter
- Eksempel på hindring av datatap – Blokker SharePoint-kunnskapskilde i agenter
- Eksempel på hindring av datatap – Blokker Power Platform-koblinger i agenter
- Eksempel på hindring av datatap – Blokker HTTP-forespørsler i agenter
- Eksempel på hindring av datatap – Blokker ferdigheter i agenter
- Eksempel på hindring av datatap – Blokker hendelsesutløsere i agenter
- Eksempel på hindring av datatap – blokker kanaler for å deaktivere publisering av agent
Bruk PowerShell til å aktivere og administrere DLP-håndhevelse for agenter i organisasjonen
Du kan konfigurere om policyer for hindring av datatap skal brukes på agentene med cmdletene PowerAppDlpErrorSettings
og PowerVirtualAgentsDlpEnforcement
PowerShell.
Du kan gjøre følgende:
- Bekreft om hindring av datatap er aktivert for agenter i leieren.
- Aktiver eller deaktiver hindring av datatap i overvåkingsmodus (
-Mode SoftEnabled
) slik at agentopprettere kan se feil, men ikke hindres i å utføre handlinger som ville blitt blokkert hvis DLP-håndhevelse var fullstendig aktivert. - Aktiver eller deaktiver DLP-håndhevelse for å vise DLP-håndhevelsesfeil og forhindre agentopprettere i å publisere DLP-berørte roboter eller konfigurere DLP-relaterte innstillinger.
- Unnta spesifikke agenter fra DLP-håndhevelse.
- Legg til og oppdater e-postkoblingene for Finn ut mer og kontakt som vises til agentopprettere når de støter på hindring av datatap i Copilot Studio-web- og Teams-appene.
Viktig!
Før du bruker PowerShell-cmdletene eller eksempelskriptene som vises her, må du kontrollere at du installerer følgende moduler ved hjelp av PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du må være en leieradministrator for å kunne bruke cmdletene.
Du bruker vanligvis disse cmdletene i samsvar med en utrullingsprosess for hindring av datatap, som kan bestå av følgende trinn i rekkefølge:
Legg til eller oppdater koblingene til mer informasjon og e-postadressen til administratoren som vises i feil ved hindring av datatap for agentutviklere.
Finn ut hvilke (hvis noen) agenter som for øyeblikket har aktivert håndhevelse av DLP-policy.
Bruk modus for sporing av endringer eller «myk» modus, slik at utviklere kan se feil ved hindring av datatap i Copilot Studio-nettapper og Teams-apper.
Reduser risikoen ved å kontakte utviklere og informere dem om de beste tiltakene for appen eller flyten deres.
Aktiver DLP-håndhevelse for agenter for å forhindre DLP-berørte oppgaver og funksjoner.
Du kan også bestemme deg for å unnta én eller flere agenter fra håndhevelse av policy for hindring av datatap, avhengig av agentens brukstilfelle og krav.
Legg til og oppdater koblingene for mer informasjon og kontakt-e-postadresse for administrator
Du kan bruke Set-PowerAppDlpErrorSettings
PowerShell-cmdleten til å legge til en e-postadresse og en "Finn ut mer"-kobling i DLP-feilmeldingene.
Hvis du vil legge til e-postadressen og Finn ut mer-koblingen for første gang, kjører du følgende PowerShell-skript og erstatter verdiene for parameterne <email>
, <URL>
og <tenant ID>
med dine egne.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Hvis du vil oppdatere en eksisterende konfigurasjon, bruker du samme PowerShell-skript og erstatter New-PowerAppDlpErrorSettings
med Set-PowerAppDlpErrorSettings
.
Forsiktig!
Disse innstillingene gjelder for alle Power Platform-apper i den angitte leieren.
Aktivere og konfigurere DLP-håndhevelse for agenter
Du kan aktivere, deaktivere, konfigurere og spore endringer i håndhevelse av hindring av datatap i Copilot Studio med cmdleten PowerVirtualAgentsDlpEnforcement
.
I følgende eksempler erstatter (eller erklærer) du <tenant ID>
med ID-en for leieren din.
Du kan begrense omfanget til agenter som er opprettet etter en bestemt dato, ved å erstatte <date>
med en dato i formatet MM-DD-YYYY
. Du kan fjerne omfanget ved å slette parameteren -OnlyForBotsCreatedAfter
og verdien for den.
Bekrefte DLP-håndhevelse for agenter
Som standard er DLP-håndhevelse for agenter deaktivert i alle leiere.
Du kan kjøre følgende PowerShell-cmdlet for å kontrollere om hindring av datatap for Copilot Studio er aktivert for en leier.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Notat
Hvis DLP ikke er konfigurert for Copilot Studio, er svaret fra cmdleten tomt.
Bruk overvåkingsmodus til å se DLP-feil i Copilot Studio
Kjør følgende PowerShell-skript for å aktivere policyer for hindring av datatap i overvåkings- eller mykmodus. Når denne modusen er aktiv, kan agentopprettere se DLP-relaterte feilmeldinger når de konfigurerer agenter i Copilot Studio, men den blokkerer dem ikke fra å utføre DLP-relaterte handlinger. Utviklere kan imidlertid ikke publisere agenter mens denne modusen er aktiv.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Hvis du vil finne agenter som organisasjonens policyer for hindring av datatap kan påvirke, kan du:
Bruk instrumentbordet for Power BI i startpakken for Center of Excellence til å få en liste over agenter i organisasjonen. Gå til oversiktssiden Copilot Studio på CoE-instrumentbordet for å se agent- og miljønavnene i organisasjonen.
Kjør en kampanje med agentutviklere i organisasjonen for å løse feil ved hindring av datatap eller oppdaterte policyer for hindring av datatap. Du kan laste ned alle agent DLP-feil ved å velge Detaljer i feilvarslingsbanneret og velge Last ned fra feilmeldingsdetaljene.
Aktiver DLP-håndhevelse for agenter
Viktig!
Før du aktiverer DLP-håndhevelse, må du sørge for at du vet hvilke agenter som sannsynligvis vil rapportere feil til brukerne på grunn av brudd på DLP-retningslinjene.
Hvis du får problemer, kan du unnta en agent fra DLP-policyer eller deaktivere DLP-håndhevelse mens oppretterne fikser agenten for å overholde DLP-policyer.
Du kan kjøre følgende PowerShell-kommando for å tvinge frem policyer for hindring av datatap i Copilot Studio. Agentutviklere forhindres fra å utføre handlinger som påvirker hindring av datatap, og brukerne får feilmeldinger hvis de utløses.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Utelat en robot fra policyer for hindring av datatap
Hvis du har aktivert DLP-håndhevelse for leieren, men du må frita en agent fra å vise DLP-feil til utviklere og brukere, kan du kjøre følgende PowerShell-skript.
Sørg for å erstatte <environment ID>
, <bot ID>
, <tenant ID>
og <policy ID>
med de riktige ID-ene for agenten du vil frita.
Tips
Du kan finne <environment ID>
og <bot ID>
i agentens nettadresse.
<policy ID>
er oppført sammen med feildetaljene i filen for Last ned detaljer. Du kan laste ned denne filen ved å velge Last ned detaljer i banneret for feilvarsel i Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Deaktivere DLP-håndhevelse for agenter
Bruke følgende kommando til å deaktiverer DLP-håndhevelse i agenter.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled