Configure o suporte da Rede Virtual para conexões de saída a partir de agentes

Ao usar o suporte à Rede Virtual em um ambiente de Power Platform, você pode se conectar e integrar com segurança os componentes da Power Platform e do Dataverse com serviços de nuvem ou serviços hospedados em sua rede corporativa privada, sem expô-los à Internet pública.

O Copilot Studio integra-se com as redes virtuais do Power Platform através de um ponto de final privado para estes cenários:

• Agentes que recuperam chaves do Cofre de Chaves do Azure por HTTP
• Agentes que enviam telemetria para uma instância privada ativada por ponto final do Application Insights
• Agentes que usam um conector com suporte de rede virtual (como o conector do SQL Server) para obter dados do SQL Server do Azure

Se configurar uma rede virtual para um ambiente Power Platform e permitir que o Copilot Studio capture telemetria com o Application Insights ou faça pedidos HTTP com o seu agente através da rede virtual, as chamadas do Power Platform para recursos Azure e Application Insights passam pela sua rede privada.

Pré-requisitos

• O seu ambiente deve ser um Ambiente Gerido na Power Platform.
• Você deve ter o suporte de Rede Virtual habilitado para seu ambiente de Plataforma de Energia. Consulte também Configurar o suporte de Rede Virtual para o Power Platform para criar redes virtuais e delegar sub-redes que podem ligar-se entre os recursos do Azure e o seu ambiente do Power Platform.
• Tens de ser administrador de tenant Power Platform ou ter a função de Administrador de Ambiente.

Habilite o suporte de rede virtual para seu ambiente

Para se ligar a serviços através de um endpoint privado, deve ter o suporte de rede virtual ativado para o Power Platform.

Pode ativar manualmente o suporte a redes virtuais seguindo as instruções em Configurar suporte de Rede Virtual para Power Platform para criar redes virtuais e delegar sub-redes que possam ligar os recursos Azure ao seu ambiente Power Platform.

Você também pode usar um modelo pré-criado do Azure Resource Manager (ARM) para configurar e conectar seu ambiente da Power Platform com o Azure e habilitar o suporte à rede virtual:

1. Baixe o modelo ARM do repositório de exemplos do Microsoft Copilot Studio no GitHub.

2. Abra o PowerShell, ligue-se à sua subscrição Azure e implemente o modelo com o comando [New-AzDeployment] (/powershell/module/az.resources/new-azdeployment#description) da seguinte forma:

   Connect-AzAccount -Subscription "<Azure subscription>"
   New-AzSubscriptionDeployment -Name "<name of deployment>" -TemplateFile "<template.json>" -Location "<Azure geo>"
   

   onde:

   • <A subscrição> do Azure é o seu ID de subscrição.
   • <Nome da implantação> é o nome que você deseja dar a essa implantação.
     O nome pode ser qualquer coisa que escolha, mas, por padrão, será utilizado o nome do arquivo do modelo se o deixar em branco.
   • < >template.json é o caminho e o nome do arquivo de modelo.
   • <Azure geo> é a região geográfica para onde você deseja que os arquivos de gerenciamento de implantação vão, como West US. A região não controla onde o modelo cria os recursos.

Para mais informações sobre a gestão de templates ARM, consulte Implementar recursos com templates ARM e Azure PowerShell.

Observação

Só precisa de configurar a sua rede virtual usando o modelo ARM ou manualmente. Você não precisa fazer as duas coisas.

Consulte a visão geral sobre o suporte de Rede Virtual para Power Platform. Depois, siga as instruções em Configurar o suporte de Rede Virtual para o Power Platform para criar redes virtuais e delegar sub-redes que possam ligar-se entre os recursos Azure e o seu ambiente Power Platform.

Recuperar chaves do Cofre de Chaves do Azure sobre HTTP

Quando configura uma rede virtual para o seu ambiente Power Platform, pode configurar os seus agentes do Copilot Studio para recuperar informação dos recursos Azure usando chamadas HTTP.

Primeiro, configure um link privado e um endpoint para o Azure Key Vault. Depois de validar que a ligação está a funcionar, adicione um nó HTTP Request a partir da tela de criação do agente no Copilot Studio para ligar ao Key Vault.

Configurar um link privado

Siga as instruções em Integrar Key Vault com o Azure Private Link para:

• Crie um novo cofre de chaves e estabeleça um link privado que defina o escopo do link para sua assinatura do Azure e o grupo de recursos onde seu Cofre de Chaves está localizado ou Estabeleça uma conexão de link privado para um cofre de chaves existente.
• Valide se o link privado para o Cofre da Chave está funcionando.

Tip

Se o seu ponto de extremidade não estiver correto, revise as instruções e os artigos relacionados para links privados e pontos de extremidade privados no artigo Diagnosticar problemas de configurações de links privados no Cofre de Chaves do Azure .

Usar nós de Pedido HTTP para se ligar através de uma rede privada

Depois de configurar a ligação privada para o Key Vault, adicione um nó HTTP Request a um agente no Copilot Studio para se ligar através da rede privada. Especifique os detalhes da ligação ao ponto final privado no nó. Quando o agente chega a esse nó na conversação, faz o pedido e obtém a informação.

1. No Copilot Studio, na barra de menu superior, selecione um ambiente onde o suporte à Rede Virtual esteja habilitado.

2. Crie ou abra um agente existente nesse ambiente. Se você criar um novo agente, poderá ignorar as etapas iniciais de configuração na tela de conversação.

3. Com o agente aberto, crie ou modifique um tópico na tela de criação.

4. Para adicionar um nó de pedido HTTP ao tópico, siga as instruções em Fazer pedidos HTTP.

5. Use as seguintes definições no nó de Pedido HTTP:

   • URL: Introduza o URL do seu ponto de extremidade privado do Cofre de Chaves do Azure, por exemplo, https://yourkeyvault.vault.azure.net/secrets?api-version=7.3. Substitua yourkeyvault pelo nome do seu Key Vault.

   • Método: Selecione GET para recuperar segredos do Cofre da Chave.

     • Cabeçalhos e corpo: Selecione Editar.

     

   • Em Propriedades de Solicitação HTTP, insira Authorization como a Chave e Bearer <access-token> como o Valor, onde <o token> de acesso é seu token de acesso do Azure.

     

6. Guarde o tópico e teste o funcionamento do nó ao acionar a conversação na tela de teste do agente.

Enviar telemetria para uma instância privada ativada por ponto final do Application Insights

Ao configurar uma rede virtual para o ambiente do Power Platform, pode configurar os agentes do Copilot Studio para enviar telemetria para uma instância privada ativada por ponto final do Application Insights. Ao fazer isto, pode monitorizar e analisar o desempenho e a utilização dos seus agentes sem expor os dados à internet pública.

Primeiro, configure um link privado e um endpoint para o Application Insights. Depois, após validar que a ligação está a funcionar, liga o Copilot Studio ao Application Insights e ele envia dados de telemetria através da ligação privada.

Configurar um link privado

Ao usar um Azure Private Link para o Azure Monitor, o Copilot Studio pode usar a sua rede virtual para enviar telemetria de agente para o Azure Monitor através de um endereço IP privado em vez de um endereço IP público.

O Azure Monitor é a plataforma de dados backend que recolhe e armazena dados de telemetria, incluindo dados do Application Insights.

Siga as instruções em Configurar o link privado para o Azure Monitor e:

• Crie um Escopo de Link Privado do Azure Monitor (AMPLS) para definir o escopo do link para sua assinatura do Azure e o grupo de recursos onde seus recursos do Azure Monitor estão localizados.
• Conecte os recursos do componente Application Insights ao AMPLS.
• Crie um ponto de extremidade privado para os recursos do Application Insights que você adicionou ao escopo ao qual o Copilot Studio pode se conectar em sua rede virtual e em sua sub-rede. Este endpoint envia dados de telemetria do agente para o AMPLS.
• Valide se o link privado para o Azure Monitor está funcionando.

Você também pode configurar quais redes podem se conectar a recursos em seu AMPLS, sem usar um escopo, na página Isolamento de rede para seu AMPLS. A configuração direta de redes é útil se você tiver várias redes virtuais e quiser restringir o acesso ao AMPLS apenas a determinadas redes ou sub-redes.

Tip

Se seu ponto de extremidade não estiver correto, revise as instruções e os artigos relacionados para links privados e pontos de extremidade privados no artigo Configurar link privado para o Azure Monitor .

Conectar o Copilot Studio ao Application Insights

Depois de configurar o link privado, pode ligar o Copilot Studio ao Application Insights. Utiliza a tua rede virtual para enviar dados de telemetria.

Siga as instruções em Capturar telemetria com o Application Insights.

Important

Certifique-se de que obtém a Cadeia de ligação correta para o Application Insights com suporte para ponto final privado.

Você pode validar que é o recurso correto verificando os valores em Grupo de recursos e Assinatura na seção Visão geral do Application Insights no portal do Azure.

A telemetria dos agentes do Copilot Studio aparece no recurso do Application Insights que você configurou. Você pode usar o Live Metrics Stream para ver dados de telemetria em tempo real ou usar a seção Logs para consultar e analisar os dados.

Usar conectores suportados pela rede virtual para obter dados

Ao configurar uma rede virtual para seu ambiente Power Platform, você pode configurar seus agentes do Copilot Studio para usar conectores suportados por rede virtual para se conectar a dados e serviços em sua rede privada.

Você pode usar qualquer conector que tenha suporte nativo para redes virtuais.

Ao usar ligações suportadas por rede virtual, pode ligar-se de forma segura às suas fontes de dados alojadas na cloud, como Azure SQL ou SQL Server, através de endpoints privados sem os expor à internet.

Para adicionar e configurar o conector que pretende usar num tópico ou ferramenta, siga as instruções em Usar conectores Power Platform no Copilot Studio.