Konfigurowanie ochrony przed utratą danych dla pomocników
Ważne
Możliwości i funkcje Power Virtual Agents są teraz częścią Microsoft Copilot Studio w wyniku znacznych inwestycji w generatywną AI i poprawioną integracje z Microsoft Copilot.
Niektóre artykuły i zrzuty ekranów mogą odwoływać się do Power Virtual Agents podczas aktualizowania dokumentacji i zawartości szkoleniowej.
Dane organizacyjne są najprawdopodobniej jednym z najważniejszych składników aktywów, za których bezpieczeństwo jest odpowiedzialny administrator. Możliwość tworzenia automatyzacji w celu wykorzystania tych danych to duża część sukcesu firmy.
Użytkownik może szybko tworzyć i rozszerzać współpracowników o wysokiej wartości dla użytkowników końcowych. Pomocników można łączyć z wieloma źródłami danych i usługami. Niektóre z tych źródeł i usług mogą być zewnętrzne, usługi innych firm, a nawet mogą obejmować sieci społecznościowe.
Z łatwością można pominąć ewentualne przechyłki. Taki rodzaj narażenia może wynikać z wycieku danych lub połączeń do usług i odbiorców, którzy nie powinni mieć dostępu do danych.
Administratorzy mogą określać konta pomocników w organizacji, korzystając z zasad ochrony przed utratą danych (DLP) za pomocą istniejących łączników Copilot Studio. Zasady DLP są tworzone w centrum administracyjnym Power Platform. Aby utworzyć zasadę DLP, musisz być administratorem dzierżawy lub mieć rolę administratora środowiska.
Wymagania wstępne
- Przegląd pojęć dotyczących zasad DLP
Łączniki usługi Copilot Studio
Łączniki Copilot Studio można przejrzeć w ramach zasad DLP w następujących grupach danych, które są prezentowane w Centrum administracyjnym platformy Power Platform podczas przeglądania zasad DLP:
- Służbowy
- Niebiznesowe
- Zablokowano
Łączniki w zasadach DLP mogą zapewniać ochronę danych organizacji przed złośliwymi lub przypadkowymi danymi, które są na przykład przez twórców pomocnika.
Ważne
Domyślnie wymuszanie DLP dla pomocników jest wyłączone we wszystkich dzierżawach. Dowiedz się więcej włączanie egzekwowania przepisów.
Łączniki muszą się znaleźć w jednej grupie danych jako dane, ponieważ nie można ich udostępniać danych między łącznikami należącymi do różnych grup.
Poniższe łączniki Copilot Studio są dostępne standardowo w centrum administracyjnym platformy Power Platform.
| Nazwa łącznika | Podpis |
|---|---|
| Czat bez uwierzytelniania usługi Tożsamości Microsoft Entra w aplikacji Copilot Studio | Blokowanie twórców pomocników przed publikowaniem pomocników, których nie skonfigurowano do uwierzytelniania. Użytkownicy pomocnika będą wymagać uwierzytelnienia w celu czatowania z pomocnikiem. Zobacz przykład: żądaj uwierzytelniania użytkownika końcowego, aby dowiedzieć się więcej. |
| Kanały interfejsu Direct Line w aplikacji Copilot Studio | Blokuj dowolny kanał Direct Line. Na przykład demonstracyjna witryna internetowa, niestandardowa witryna sieci Web i kanały aplikacji mobilnej zostaną zablokowane. |
| Kanał aplikacji Facebook w aplikacji Copilot Studio | Blokowanie twórców pomocnika od włączania i używania tego kanału Facebook. |
| Kanał aplikacji Microsoft Teams w aplikacji Copilot Studio | Blokowanie twórców pomocnika od włączania i używania tego kanału Teams. |
| Kanał aplikacji Obsługa wielokanałowa w aplikacji Copilot Studio | Blokowanie twórców pomocnika od włączania i używania tego kanału obsługi wielokanałowej. |
| Umiejętności w aplikacji Copilot Studio | Blokowanie twórców filmów z użyciem umiejętności w pomocnikach Copilot Studio. Zobacz Przykład: używanie DLP do blokowania umiejętności w pomocnikach Copilot Studio i Przykład: używanie DLP do blokowania żądań HTTP z pomocników Copilot Studio, aby uzyskać więcej szczegółowych informacji. |
Przykładowe konfiguracje zasad DLP
Aby pomóc Ci zacząć korzystać z zarządzania pomocnikiem Copilot Studio, stworzyliśmy następujące przykłady, które szczegółowo opisują różne scenariusze:
- Przykład: używanie DLP do wymagania uwierzytelniania użytkownika końcowego dla pomocników Copilot Studio
- Przykład: korzystanie z zasad DLP do blokowania łączników Power Platform
- Przykład: korzystanie z DLP do blokowania żądań HTTP w pomocnikach Copilot Studio
- Przykład: używanie DLP do blokowania umiejętności w pomocnikach Copilot Studio
Program PowerShell umożliwia włączanie i administrowanie wykonywaniem usług DLP dla pomocników w organizacji
Można określić, czy do zasad DLP mają być stosowane zasady pomocników przy użyciu PowerAppDlpErrorSettings i PowerVirtualAgentsDlpEnforcement poleceń cmdlets PowerShell.
Masz następujące możliwości:
- Potwierdzanie, czy w aplikacji DLP włączono obsługę pomocników w dzierżawie.
- Włącz lub wyłącz usługę DLP w trybie inspekcji (
-Mode SoftEnabled), aby umożliwić twórcom pomocników wyświetlanie błędów, ale nie należy blokować wykonywania akcji, które miały być blokowane, jeśli włączono w pełni wymuszanie DLP. - Włącz lub wyłącz wymuszanie DLP, które będą wyświetlać błędy wymuszania DLP i uniemożliwią twórcom pomocnika, która ma wpływ na publikowanie plików DLP lub skonfigurowanie ustawień powiązanych z programem DLP.
- Zwalnianie określonych pomocników z wymuszania DLP.
- Dodaj i zaktualizuj dodatkowe łącza do wiadomości e-mail oraz kontaktów, które są pokazywane innym twórcom pomocnika DLP w aplikacjach sieci Web Copilot Studio i Teams.
Ważne
Przed użyciem cmdlets PowerShell lub przykładowych skryptów pokazanych tutaj upewnij się, że zostały Zainstalowane wszystkie wymagane moduły przy użyciu programu PowerShell.
Aby używać poleceń cmldlets, należy być administratorem dzierżawy.
Zazwyczaj należy użyć tych poleceń cmdlets zgodnie z procesem wdrażania DLP, który może składać się z następujących kroków w następującej kolejności:
Dodaj lub zaktualizuj dodatkowe łącza do poczty e-mail kontaktu z administratorem, które są wyświetlane w błędach DLP dla twórców pomocnika.
Określ, które (jeśli włączyć) pomocnicy obecnie wymuszają zasady DLP.
Użycie trybu inspekcji lub „lekkiego” umożliwia twórcom wyświetlanie błędów DLP w aplikacjach sieci Web Copilot Studio i Teams.
Minimalizowanie ryzyka przez skontaktowanie się z twórcami i poinformowanie ich o najlepszym toku działania w ramach ich aplikacji lub przepływu.
Włącz wykonywanie DLP przez pomocników, by zapobiec zadaniom i funkcjom, na które ma wpływ DLP.
Można również zdecydować o wyłączeniu jednego lub większej liczby pomocników z funkcji wymuszania zasad DLP, w zależności od zastosowania sprawy i wymagań pomocnika.
Dodawanie i aktualizowanie kolejnych łączy informacji i do poczty e-mail kontaktu z administratorem
Przy użyciu polecenia cmdlet PowerShell Set-PowerAppDlpErrorSettings można skonfigurować wiadomość e-mail i łącze do informacji. Twoi twórcy pomocnika będą widzieć te informacje, gdy wystąpią błędy DLP.
Aby dodać wiadomość e-mail i łącze informacji, uruchom następujący skrypt programu PowerShell, zastępując wartości parametrów <email>, <URL> i <tenant ID> własnymi.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Aby zaktualizować istniejącą konfigurację, należy użyć tego samego skryptu programu PowerShell i zastąpić New-PowerAppDlpErrorSettings używając Set-PowerAppDlpErrorSettings.
Uwaga
Te ustawienia dotyczą wszystkich aplikacji Power Platform w ramach określonego dzierżawcy.
Włączanie i konfigurowanie wymuszania DLP dla pomocników
Za pomocą polecenia cmdlet PowerVirtualAgentsDlpEnforcement można włączyć, wyłączyć, skonfigurować i przeprowadzić inspekcję wymuszania DLP w Copilot Studio.
W każdym z poniższych przykładów zastąp (lub zadeklaruj) <tenant ID> swoim identyfikatorem dzierżawcy.
Zakres można utworzyć po określonej dacie, zastępując datę <date> w formacie MM-DD-YYYY. Aby usunąć zakres, należy usunąć parametr -OnlyForBotsCreatedAfter i jego wartość.
Potwierdzenie wykonywania na platformie DLP dla pomocników
Domyślnie wymuszanie DLP dla pomocników jest wyłączone we wszystkich dzierżawach.
Można uruchomić następujące polecenie cmdlet programu PowerShell, aby sprawdzić, czy włączono DLP dla Copilot Studio w dzierżawcy.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Uwaga
Jeśli nie skonfigurowano aplikacji DLP Copilot Studio, wyniki z polecenia cmdlet będą puste.
Użycie trybu inspekcji lub „lekkiego” umożliwia wyświetlanie błędów DLP w aplikacjach sieci Web Copilot Studio lub Teams
Uruchom następujący skrypt programu PowerShell, aby włączyć zasady DLP w trybie inspekcji. Podczas konfigurowania składników pomocnika w aplikacjach sieci Web Copilot Studio i Teams będą widzieć błędy związane z usługą DLP, ale nie będą one blokowane przez wykonywanie akcji powiązanych z programem DLP. Można także opublikować pomocnika w normalny sposób.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Aby znaleźć pomocników, na których mogą mieć wpływ istniejące zasady DLP w organizacji, można:
Aby uzyskać listę pomocników w organizacji, należy użyć zestawu startowego Centrum doskonalenia (CoE). Wejdź na stronę przegląd Copilot Studio na pulpicie nawigacyjnym programu CoE, aby zobaczyć nazwy pomocników i środowisk w organizacji.
Uruchom kampanię z twórcami pomocnika w organizacji, aby rozwiązać błędy DLP lub zaktualizować zasady DLP. Możesz pobrać wszystkie błędy DLP zgłoszonych przez pomocnika, wybierając szczegóły pobierania na bannerze powiadomienia o błędach w Copilot Studio.
Włączanie wykonywania na platformie DLP dla pomocników
Ważne
Przed włączeniem wymuszania DLP należy się upewnić, że wiadomo, którzy pomocnicy będą wyświetlać błędy użytkownikom pomocnika z powodu naruszenia zasad DLP.
Jeśli użytkownik natrafi na problemy, może wyłączyć pomocnika z zasad DLP lub wyłączyć wymuszanie DLP, a osoby pełniące funkcję zabezpieczeń naprawienia błędu w celu zapewnienia zgodności z zasadami DLP.
Można uruchomić następujące polecenie programu PowerShell w celu wymuszania zasad DLP w programie Copilot Studio. Twórcy pomocnika będą blokowani przed wykonywaniem akcji, na które wpływ mają DLP, a użytkownicy końcowi będą widzieć błędy w przypadku próby interakcji z funkcjami, na które wpływ ma wpływ na program DLP.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Wykluczanie bota z zasad DLP
Jeśli dla dzierżawcy włączono funkcję wymuszania DLP, ale musisz zwolnić kod pomocnika z poziomu wyświetlania błędów DLP twórcom i użytkownikom końcowych, możesz uruchomić następujący skrypt programu PowerShell.
Pamiętaj, aby zastąpić <environment ID> oraz <bot ID>, <tenant ID> i <policy ID> przy użyciu odpowiednich identyfikatorów dla pomocnika, który ma być wyłączony.
Porada
Można znaleźć <environment ID> i <bot ID> w adresie URL pomocnika.
Identyfikator <policy ID> jest wyświetlany wraz ze szczegółami w pliku Pobierz szczegóły. Możesz pobrać ten plik, wybierając Pobierz szczegóły na bannerze powiadomienia o błędach w oknie Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Wyłączanie wykonywania na platformie DLP dla pomocników
Poniższe polecenie spowoduje wyłączenie wykonywania usług DLP w następujących urządzeniach.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla