Delen via

Beleid ter preventie van gegevensverlies configureren voor copilots

  • Artikel

Organisatiegegevens vormen de belangrijkste activa die beheerders moeten beschermen. Het succes van hun bedrijf wordt voor een groot deel bepaald door hun vermogen om zelf automatisering op te zetten om gebruik te kunnen maken van die gegevens.

U kunt snel uw hoogwaardige copilots bouwen en uitrollen voor uw eindgebruikers. U kunt uw copilots verbinden met vele gegevensbronnen en services. Sommige van deze bronnen en services zijn mogelijk externe services van derden en kunnen zelfs sociale netwerken omvatten.

Het is gemakkelijk om mogelijke blootstelling over het hoofd te zien. Dit soort blootstelling kan het gevolg zijn van gegevenslekken of verbindingen met services en doelgroepen die geen toegang tot de gegevens zouden moeten hebben.

Beheerders kunnen copilots in uw organisatie beheren met behulp van DLP-beleid (Data Loss Prevention) met bestaande en Copilot Studio-connectors. DLP-beleid wordt gemaakt in het Power Platform-beheercentrum. Om een DLP-beleid te maken, moet u een tenantbeheerder zijn of de rol van Omgevingsbeheerder hebben.

Vereisten

  • Concepten bekijken met betrekking tot DLP-beleid

Copilot Studio-connectors

Copilot Studio-connectors kunnen worden geclassificeerd binnen een DLP-beleid onder de volgende gegevensgroepen, die worden weergegeven in het Power Platform-beheercentrum bij het bekijken van DLP-beleid:

  • Onderneming
  • Niet-zakelijk
  • Geblokkeerd

U kunt de connectoren in DLP-beleid gebruiken om de gegevens van uw organisatie te beschermen tegen kwaadwillige of onbedoelde gegevensonderschepping door uw copilot-makers.

Belangrijk

Standaard is DLP-handhaving voor copilots uitgeschakeld in alle tenants. Meer informatie over het inschakelen van handhaving.

De connectors moeten zich in één gegevensgroep bevinden, omdat gegevens niet kunnen worden gedeeld tussen connectors die zich in verschillende groepen bevinden.

De volgende Copilot Studio-connectors zijn beschikbaar in het Power Platform-beheercentrum.

Schermopname van een lijst met connectors die beschikbaar zijn voor Copilot Studio

Deze connectors kunnen als volgt voor DLP worden geconfigureerd:

Naam van connector Omschrijving
Application Insights in Copilot Studio Voorkom dat copilot-makers copilot verbinden met Application Insights.
Chatten zonder Microsoft Entra ID-verificatie in Copilot Studio Cpilot-makers blokkeren om copilots te publiceren die niet zijn geconfigureerd voor verificatie.
Copilot-gebruikers hebben verificatie nodig om met de copilot te kunnen chatten.
Zie Voorbeeld van preventie van gegevensverlies - Vereist verificatie van eindgebruikers in copilots voor meer informatie.
Direct Line-kanalen in Copilot Studio Voorkom dat copilot-makers Direct Line-kanalen kunnen inschakelen of gebruiken.
In dat geval worden bijvoorbeeld de demowebsite, aangepaste website, mobiele app en andere Direct Line-kanalen geblokkeerd.
Facebook-kanaal-in Copilot Studio Copilot-makers blokkeren van het inschakelen of gebruikmaken van het Facebook-kanaal.
Kennisbron met SharePoint en OneDrive in Copilot Studio Voorkom dat copilot-makers copilots publiceren die zijn geconfigureerd met SharePoint en OneDrive als kennisbron. Ondersteunt eindpuntfilters voor DLP-connectors om eindpunten toe te staan ​​of te weigeren.
Kennisbron met openbare websites en gegevens in Copilot Studio Voorkom dat copilot-makers copilots publiceren die zijn geconfigureerd met openbare websites als kennisbron. Ondersteunt eindpuntfilters voor DLP-connectors om eindpunten toe te staan ​​of te weigeren.
Kennisbron met documenten in Copilot Studio Voorkom dat copilot-makers copilots publiceren die zijn geconfigureerd met documenten als kennisbron.
Microsoft Teams-kanaal-in Copilot Studio Copilot-makers blokkeren van het inschakelen of gebruikmaken van het Teams-kanaal.
Omnichannel in Copilot Studio Copilot-makers blokkeren van het inschakelen of gebruikmaken van het Omnichannel-kanaal.
Vaardigheden met Copilot Studio Blokkeer het gebruik van vaardigheden in Copilot Studio-copilots voor copilot-makers.
Zie Voorbeeld van preventie van gegevensverlies: blokkeer vaardigheden in copilots en Voorbeeld van preventie van gegevensverlies: blokkeer HTTP-verzoeken in copilots voor meer informatie.

Voorbeeld van DLP-beleidsconfiguraties

Om u te helpen aan de slag te gaan met Copilot Studio- copilot-governance, hebben we de volgende voorbeelden gemaakt waarin verschillende scenario's worden beschreven:

PowerShell gebruiken om DLP-handhaving voor copilots in uw organisatie in te schakelen en te beheren

Met de PowerAppDlpErrorSettings en PowerVirtualAgentsDlpEnforcement PowerShell-cmdlets kunt u configureren of DLP-beleid moet worden toegepast op uw copilots.

U kunt:

  • Controleer of DLP is ingeschakeld voor copilots in uw tenant.
  • Schakel DLP in of uit in een auditmodus (-Mode SoftEnabled), zodat makers van copilots fouten kunnen zien, maar niet worden verhinderd acties uit te voeren die zouden worden geblokkeerd als DLP-handhaving volledig was ingeschakeld.
  • Schakel DLP-handhaving in of uit, waardoor DLP-handhavingsfouten worden weergegeven en wordt voorkomen dat copilot-makers door DLP getroffen bots publiceren of DLP-gerelateerde instellingen configureren.
  • Specifieke copilots vrijstellen van DLP-handhaving.
  • Voeg de koppelingen voor meer informatie en contactmail toe die aan copilot-makers worden getoond en update deze wanneer ze DLP tegenkomen in de Copilot Studio web- en Teams-apps.

Belangrijk

Voordat u de PowerShell-cmdlets of de hier weergegeven voorbeeldscripts gebruikt, moet u ervoor zorgen dat u de volgende modules met PowerShell installeert.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

U moet een tenantbeheerder zijn om de cmdlets te kunnen gebruiken.

Doorgaans gebruikt u deze cmdlets in overeenstemming met een DLP-implementatieproces, dat in volgorde uit de volgende stappen kan bestaan:

  1. Voeg de e-mailkoppelingen voor meer informatie en beheerderscontactpersonen toe die worden weergegeven in DLP-fouten voor makers van copilots of werk deze bij.

  2. Bepaal voor welke copilots momenteel DLP-beleidshandhaving is ingeschakeld (indien aanwezig).

  3. Gebruik de controle- of "zachte" modus zodat makers DLP-fouten kunnen zien in de Copilot Studio web- en Teams-apps.

  4. Beperk risico's door contact op te nemen met makers en hen te informeren over de beste manier van handelen voor hun app of stroom.

  5. Schakel DLP-handhaving in voor copilots om door DLP beïnvloede taken en functies te voorkomen.

U kunt er ook voor kiezen om een ​​of meer copilots vrij te stellen van de handhaving van het DLP-beleid, afhankelijk van het gebruik en de vereisten van de copilot.

U kunt een e-mailkoppeling en koppeling voor meer informatie configureren met behulp van de PowerShell-cmdlet Set-PowerAppDlpErrorSettings. Uw copilot-makers zullen deze informatie zien wanneer zij DLP-fouten tegenkomen.

Schermopname van de Copilot Studio-web-app met een DLP-gerelateerde fout en gemarkeerde fouttekst.

Voer het volgende PowerShell-script uit om de e-mailkoppeling en koppeling voor meer informatie voor het eerst toe te voegen, waarbij u de waarden voor de parameters <email>, <URL> en <tenant ID> vervangt door uw eigen waarden.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

U kunt een bestaande configuratie bijwerken door hetzelfde PowerShell-script te gebruiken en New-PowerAppDlpErrorSettings te vervangen door Set-PowerAppDlpErrorSettings.

Let op

Deze instellingen gelden voor alle Power Platform-apps binnen de opgegeven tenant.

DLP-handhaving voor copilots inschakelen en configureren

U kunt DLP-handhaving inschakelen, uitschakelen, configureren en controleren binnen Copilot Studio met de cmdlet PowerVirtualAgentsDlpEnforcement.

Vervang (of declareer) in elk van de volgende voorbeelden <tenant ID> door de id van uw tenant.

U kunt zich richten op copilots die na een bepaalde datum zijn gemaakt door <date> te vervangen door een datum in de indeling MM-DD-YYYY. U kunt het bereik verwijderen door de parameter -OnlyForBotsCreatedAfter en de bijbehorende waarde te verwijderen.

DLP-handhaving voor copilots bevestigen

Standaard is DLP-handhaving voor copilots uitgeschakeld in alle tenants.

U kunt de volgende PowerShell-cmdlet uitvoeren om te controleren of DLP voor Copilot Studio is ingeschakeld voor een tenant.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Notitie

Als u Copilot Studio DLP niet hebt geconfigureerd, zijn de resultaten van de cmdlet leeg.

De controle- of "zachte" modus gebruiken om DLP-fouten te kunnen zien in de Copilot Studio web- of Teams-apps

Voer het volgende PowerShell-script uit om DLP-beleid in de controlemodus in te schakelen. Copilot-makers zullen DLP-gerelateerde fouten zien bij het configureren van copilots in de Copilot Studio-web- en Teams-apps, maar ze worden niet geblokkeerd voor het uitvoeren van DLP-gerelateerde acties. Ze kunnen ook zoals gebruikelijk copilots publiceren.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Als u copilots wilt vinden die mogelijk worden beïnvloed door het bestaande DLP-beleid van uw organisatie, kunt u:

  1. Gebruik de Center of Excellence (CoE) Starter Kit voor een lijst met copilots in uw organisatie. Ga naar de overzichtspagina van Copilot Studio op het CoE Dashboard om de copilots en omgevingsnamen in uw organisatie te bekijken.

    Schermopname van het CoE Starter Kit-dashboard waarop het Copilot Studio-overzicht wordt weergegeven.

  2. Voer een campagne uit met de copilot-makers in uw organisatie om DLP-fouten aan te pakken of het DLP-beleid te updaten. U kunt alle DLP-fouten van de copilot downloaden door Details te selecteren in de foutmeldingsbanner en Downloaden te selecteren in de foutberichtdetails.

    Schermopname van de banner voor foutmeldingen met de optie om details van de fout te downloaden.

DLP-handhaving voor copilots inschakelen

Belangrijk

Voordat u DLP-handhaving inschakelt, moet u ervoor zorgen dat u weet welke copilots fouten zullen weergeven aan uw copilot-gebruikers als gevolg van schendingen van het DLP-beleid.

Als u problemen tegenkomt, kunt u een copilot vrijstellen van het DLP-beleid of de DLP-handhaving uitschakelen, terwijl uw makers de copilot repareren zodat deze voldoet aan het DLP-beleid.

U kunt de volgende PowerShell-opdracht uitvoeren om DLP-beleid af te dwingen in Copilot Studio. Copilot-makers kunnen geen acties kunnen uitvoeren die door DLP worden beïnvloed en eindgebruikers krijgen fouten te zien als deze worden geactiveerd.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Een bot vrijstellen van DLP-beleid

Als u DLP-handhaving voor uw tenant hebt ingeschakeld, maar u een copilot moet vrijstellen van het weergeven van DLP-fouten aan makers en eindgebruikers, kunt u het volgende PowerShell-script uitvoeren.

Zorg ervoor dat u <environment ID>, <bot ID>, <tenant ID> en <policy ID> vervangt met de juiste id's voor de copilot die u wilt vrijstellen.

Tip

U kunt de <environment ID> en <bot ID> van de URL van de copilot vinden.

De <policy ID> wordt vermeld naast de foutdetails in het bestand Gegevens downloaden. U kunt dat bestand downloaden door Gegevens downloaden te selecteren op de banner voor foutmeldingen in Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

DLP-handhaving voor copilots uitschakelen

Met de volgende opdracht wordt DLP-handhaving in copilots uitgeschakeld.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled