Konfigurer policyer for hindring av datatap for kopiloter
Organisasjonsdata er sannsynligvis den viktigste ressursen administratorer er ansvarlige for å beskytte. Muligheten til å bygge automatisering for å bruke disse dataene er en stor del av firmaets suksess.
Du kan raskt bygge og rulle ut de verdifulle kopilotene dine til sluttbrukerne. Du kan koble kopilotene til mange datakilder og tjenester. Noen av disse kildene og tjenestene kan være eksterne, ikke-Microsoft-tjenester og til og med omfatte sosiale nettverk.
Det er lett å overse eksponeringspotensialet. Disse farene kan skyldes datalekkasje eller tilkoblinger til tjenester og målgrupper som ikke skal ha tilgang til dataene.
Administratorer kan styre kopiloter i organisasjonen ved hjelp av policyer for hindring av datatap med eksisterende og Copilot Studio-koblinger. DLP-policyer opprettes i Power Platform-administrasjonssenteret. Hvis du vil opprette en DLP-policy, må du være administrator for leier eller ha rollen som miljøadministrator.
Forutsetning
- Gå gjennom konsepter om Policyer for hindring av datatap
Copilot Studio-koblinger
Copilot Studio-koblinger kan klassifiseres i en policy for hindring av datatap under følgende datagrupper, som presenteres i administrasjonssenteret for Power Platform ved gjennomgang av policyer for hindring av datatap:
- Forretning
- Ikke-forretning
- Blokkert
Du kan bruke koblingene i policyer for hindring av datatap til å beskytte organisasjonens data mot skadelig eller utilsiktet dataeksfiltrasjon av kopilotutviklerne.
Viktig!
Håndhevelse av hindring av datatap for kopiloter deaktivert i alle leiere. Lær om aktivering av håndhevelse.
Koblingene må være i én datagruppe siden data ikke kan deles mellom koblinger som er i forskjellige grupper.
Flere Copilot Studio-koblinger er tilgjengelige i administrasjonssenteret for Power Platform. Disse koblingene kan konfigureres for hindring av datatap på følgende måte:
| Koblingsnavn | Beskrivelse |
|---|---|
| Application Insights i Copilot Studio | Blokker kopilotutviklere fra å koble kopiloten til Application Insights. |
| Nettprat uten Microsoft Entra ID-godkjenning i Copilot Studio | Blokker kopilotutviklere fra å publisere kopiloter som ikke er konfigurert for godkjenning. Kopilot-brukere må autentisere seg for å chatte med kopiloten. Hvis du vil ha mer informasjon, kan du se Eksempel på hindring av datatap – krav om sluttbrukergodkjenning i kopiloter. |
| Direct Line-kanaler i Copilot Studio | Blokker kopilotutviklere fra å aktivere eller bruke Direct Line-kanal. Dette gjør at for eksempel demonettstedet, det egendefinerte nettstedet, mobilapp og andre Direct Line-kanaler blir blokkert. |
| Facebook-kanal i Copilot Studio | Blokker kopilotutviklere fra å aktivere eller bruke Facebook-kanalen. |
| Kunnskapskilde med SharePoint og OneDrive i Copilot Studio | Blokker kopilotutviklere fra å publisere kopiloter konfigurert med SharePoint som en kunnskapskilde. Støtter endepunktfiltrering for kobling for hindring av datatap slik at endepunkter kan tillates eller avvises. |
| Kunnskapskilde med offentlige nettsteder og data i Copilot Studio | Blokker kopilotutviklere fra å publisere kopiloter konfigurert med offentlige nettsteder som en kunnskapskilde. Støtter endepunktfiltrering for kobling for hindring av datatap slik at endepunkter kan tillates eller avvises. |
| Kunnskapskilde med dokumenter i Copilot Studio | Blokker kopilotutviklere fra å publisere kopiloter konfigurert med dokumenter som en kunnskapskilde. |
| Microsoft Teams-kanal i Copilot Studio | Blokker kopilotutviklere fra å aktivere eller bruke Teams-kanalen. |
| Omnikanal i Copilot Studio | Blokker kopilotutviklere fra å aktivere eller bruke Omnikanal-kanalen. |
| Ferdigheter med Copilot Studio | Blokker kopilotutviklere fra å bruke ferdigheter i Copilot Studio-kopiloter. For mer informasjon, se Eksempel på hindring av datatap – blokker ferdigheter i kopiloter og Eksempel på hindring av datatap – blokker HTTP-forespørsler i kopiloter. |
Eksempel på konfigurasjoner for policy for hindring av datatap
Vi har laget følgende eksempler som gir detaljert informasjon om ulike scenarier for å hjelpe deg med å komme i gang med styring av Copilot Studio-kopiloter:
- Eksempel på hindring av datatap – krav om sluttbrukergodkjenning i kopiloter
- Eksempel på hindring av datatap – blokkering av SharePoint-kunnskapskilde i kopiloter
- Eksempel på hindring av datatap – blokker Power Platform-koblinger i kopiloter
- Eksempel på hindring av datatap – blokker HTTP-forespørsler i kopiloter
- Eksempel på hindring av datatap – Blokker ferdigheter i kopiloter
- Eksempel på hindring av datatap – blokker kanaler for å deaktivere publisering av kopilot
Bruk PowerShell til å aktivere og administrere håndhevelse av hindring av datatap for kopiloter i organisasjonen
Du kan konfigurere hvorvidt policyer for hindring av datatap skal brukes på kopilotene med PowerShell-cmdletene PowerAppDlpErrorSettings og PowerVirtualAgentsDlpEnforcement.
Du kan gjøre følgende:
- Bekreft om hindring av datatap er aktivert for kopiloter i leieren.
- Aktiver eller deaktiver hindring av datatap i en modus for sporing av endringer (
-Mode SoftEnabled), slik at kopilotutviklere kan se feil, men ikke forhindres fra å utføre handlinger som hadde blitt blokkert hvis håndhevelse av hindring av datatap hadde vært fullstendig aktivert. - Aktiver eller deaktiver DLP-håndhevelse for å vise DLP-håndhevelsesfeil og forhindre at kopilotopprettere publiserer DLP-berørte roboter eller konfigurerer DLP-relaterte innstillinger.
- Utelat bestemte kopiloter fra håndhevelse av hindring av datatap.
- Legg til og oppdater e-postkoblingene til mer informasjon og kontakter som vises for kopilotutviklere når de støter på hindring av datatap i nettapper og Teams-apper for Copilot Studio.
Viktig!
Før du bruker PowerShell-cmdletene eller eksempelskriptene som vises her, må du kontrollere at du installerer følgende moduler ved hjelp av PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du må være en leieradministrator for å kunne bruke cmdletene.
Du bruker vanligvis disse cmdletene i samsvar med en utrullingsprosess for hindring av datatap, som kan bestå av følgende trinn i rekkefølge:
Legg til eller oppdater e-postkoblingene til mer informasjon eller administratorkontakt som vises i feil ved hindring av datatap for kopilotutviklere.
Finn ut eventuelt hvilke kopiloter håndhevelse av policy for hindring av datatap er aktivert for.
Bruk modus for sporing av endringer eller «myk» modus, slik at utviklere kan se feil ved hindring av datatap i Copilot Studio-nettapper og Teams-apper.
Reduser risikoen ved å kontakte utviklere og informere dem om de beste tiltakene for appen eller flyten deres.
Aktiver håndhevelse av hindring av datatap for kopiloter for å forhindre oppgaver og funksjoner som påvirkes av hindring av datatap.
Du kan også bestemme deg for å unnta én eller flere kopiloter fra håndhevelse av DLP-retningslinjer, avhengig av kopilotens brukstilfelle og krav.
Legg til og oppdater koblingene for mer informasjon og kontakt-e-postadresse for administrator
Du kan konfigurere en e-postkobling og en kobling for mer informasjon ved hjelp av PowerShell-cmdleten Set-PowerAppDlpErrorSettings. Kopilotutviklerne ser denne informasjonen når de får feil ved hindring av datatap.
Når du legger til e-postkoblingen og koblingen for mer informasjon for første gang, kjører du følgende PowerShell-skript og erstatter verdiene for parameterne <email>, <URL> og <tenant ID> med dine egne.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Hvis du vil oppdatere en eksisterende konfigurasjon, bruker du samme PowerShell-skript og erstatter New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.
Forsiktig!
Disse innstillingene gjelder for alle Power Platform-apper i den angitte leieren.
Aktiver og konfigurer håndhevelse av hindring av datatap for kopiloter
Du kan aktivere, deaktivere, konfigurere og spore endringer i håndhevelse av hindring av datatap i Copilot Studio med cmdleten PowerVirtualAgentsDlpEnforcement.
I følgende eksempler erstatter (eller erklærer) du <tenant ID> med ID-en for leieren din.
Du kan begrense omfanget til kopiloter som er opprettet etter en bestemt dato, ved å erstatte <date> med en dato i formatet MM-DD-YYYY. Du kan fjerne omfanget ved å slette parameteren -OnlyForBotsCreatedAfter og verdien for den.
Bekreft håndhevelse av hindring av datatap for kopiloter
Håndhevelse av hindring av datatap for kopiloter deaktivert i alle leiere.
Du kan kjøre følgende PowerShell-cmdlet for å kontrollere om hindring av datatap for Copilot Studio er aktivert for en leier.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Merk
Hvis du ikke har konfigurert hindring av datatap for Copilot Studio, blir resultatene fra cmdleten tomme.
Bruk modus for sporing av endringer eller «myk» modus til å vise feil ved hindring av datatap i Copilot Studio-nettapper eller Teams-apper
Kjør PowerShell-skriptet nedenfor for å aktivere policyer for hindring av datatap i modus for sporing av endringer. Kopilotutviklere ser feil knyttet til hindring av datatap når de konfigurerer kopiloter i nettapper og Teams-apper for Copilot Studio, men de blir ikke blokkert fra å utføre handlinger relatert til hindring av datatap. I tillegg kan ikke utviklere publisere kopiloter mens den "myke" modusen er aktivert.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Du kan finne kopiloter som kan påvirkes av organisasjonens eksisterende policyer for hindring av datatap, ved å gjøre følgende:
Bruk Startpakke for Center of Excellence (CoE) til å hente en liste over kopiloter i organisasjonen. Gå til oversiktssiden for Copilot Studio på instrumentbordet for CoE for å se kopilotene og miljønavnene i organisasjonen.
Kjør en kampanje med kopilotutviklerne i organisasjonen for å håndtere feil ved hindring av datatap eller oppdaterte policyer for hindring av datatap. Du kan laste ned alle feil ved hindring av datatap for kopilot ved å velge Detaljer i banneret for feilvarsling og deretter velge Last ned fra feilmeldingsdetaljene.
Aktiver håndhevelse av hindring av datatap for kopiloter
Viktig!
Før du aktiverer håndhevelse av hindring av datatap, må du sørge for at du vet hvilke kopiloter som skal vise kopilotbrukerne feil på grunn av brudd på policyer for hindring av datatap.
Hvis det oppstår problemer, kan du utelate en kopilot fra policyer for hindring av datatap eller deaktivere håndhevelse av hindring av datatap mens utviklerne retter kopiloten slik at den er i samsvar med policyer for hindring av datatap.
Du kan kjøre følgende PowerShell-kommando for å tvinge frem policyer for hindring av datatap i Copilot Studio. Kopilotutviklere forhindres fra å utføre handlinger som påvirker hindring av datatap, og sluttbrukerne får feilmeldinger hvis de utløses.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Utelat en robot fra policyer for hindring av datatap
Hvis du har aktivert DLP-håndhevelse for leieren, men du må frita en kopilot fra å vise DLP-feil til utviklere og brukere, kan du kjøre følgende PowerShell-skript.
Pass på at du erstatter <environment ID>, <bot ID>, <tenant ID> og <policy ID> med de riktige ID-ene for kopiloten du vil utelate.
Tips
Du kan finne <environment ID> og <bot ID> i kopilotens nettadresse.
<policy ID> er oppført sammen med feildetaljene i filen for Last ned detaljer. Du kan laste ned denne filen ved å velge Last ned detaljer i banneret for feilvarsel i Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Deaktiver håndhevelse av hindring av datatap for kopiloter
Følgende kommando deaktiverer håndhevelse av hindring av datatap i kopiloter:
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled