Konfigurera dataförlustskydd för copilots
Viktigt
Power Virtual Agents-funktioner ingår nu i Microsoft Copilot Studio efter betydande investeringar i generativ AI och förbättrade integrationer mellan Microsoft Copilot.
Vissa artiklar och skärmbilder kan referera till Power Virtual Agents när vi uppdaterar dokumentation och utbildning.
Varning
Den 21 maj 2024 publicerade vi nya inbyggda anslutningsprogram för DLP-policy (dataförlustskydd) med ikraftträdande 30 dagar efter lanseringen.
Copilot-utvecklare kanske ser DLP-felbanderoller och kanske inte kan publicera copilots som använder generativa svar, beroende på hur DLP konfigureras i organisationen.
Dessa DLP-principer omfattar kontroller för:
- Kunskapskällor med SharePoint och OneDrive i Copilot Studio
- Kunskapskällor med offentliga webbplatser och data i Copilot Studio
- Kunskapskällor med dokument i Copilot Studio
- Application Insights i Copilot Studio
Detta påverkar inte kundens konversationer med copilots.
Vad behöver jag göra för att förbereda mig?
Administratörer kan ändra hur dessa nya anslutningsprogram styrs genom att uppdatera DLP-policyn för att inkludera det nya anslutningsprogrammet i antingen datagruppen Verksamhetsrelaterade eller Icke verksamhetsrelaterade. Om standardgruppen för policyn har angetts till Blockerad kan du be copilot-utvecklarna att antingen använda de här anslutningsprogrammen eller omplacera dem i rätt datagrupp.
Organisationsdata är den viktigaste tillgångsadministratören ansvarar för att skydda. Möjligheten att skapa automatisering för att använda dessa data utgör en stor del av företagets framgångar.
Du kan snabbt bygga och distribuera högt värde copilots för slutanvändarna. Du kan koppla samman dina copilots med många datakällor och -tjänster. Vissa av dessa källor och tjänster kan vara externa tjänster från tredje part och kan även innehålla sociala nätverk.
Det är lätt att förbise möjligheten till exponering. En sådan typ av förtjänst kan uppstå genom att data är försent och att det finns anslutningar till tjänster och målgrupper som inte bör ha tillgång till dessa data.
Administratörer kan styra copilots i organisationen med hjälp av policyer för att förhindra dataförlust (DLP) med befintliga och Copilot Studio anslutningsprogram. DLP-policyer skapas i administrationscentret för Power Platform. Om du vill skapa en DLP-policy måste du inne ha rollen som klientorganisationsadministratör eller Miljöadministratör.
Förutsättningar
- Granska begrepp om DLP-policyer
Copilot Studio-anslutningsprogram
Copilot Studio-anslutningar kan användas inom en DLP-policy under följande datagrupper, som visas i Power Platform administrationscenter när de granskar DLP-policyer:
- Företag
- Icke verksamhetsrelaterade
- Blockerade
Du kan använda anslutningsprogram i DLP-policyer för att skydda organisationens data från skadliga eller oavsiktliga datainfiltrering av dina copilot-skapare.
Viktigt
Som standard är DLP-ikraftträdande för copilots inaktiverade i alla innehavare. Lär dig hur du aktiverar tvingande åtgärder.
Kopplingarna måste finnas i en enskild datagrupp eftersom data inte kan delas mellan kopplingar som finns i olika grupper.
Följande Copilot Studio-anslutningsprogram är tillgängliga i Power Platform administratörscenter.
De här anslutningsprogrammen kan konfigureras för DLP enligt följande:
| Namn på anslutningsprogrammet | Description |
|---|---|
| Application Insights i Copilot Studio | Blockera copilot-utvecklare från att ansluta sig till en copilot med Application Insights. |
| Chatta utan Microsoft Entra ID-autentisering i Copilot Studio | Blockera copilot-fattare från att publicera copilots som inte är konfigurerade för autentisering. Copilot-användare måste ha autentisering för att få prata med copilot. Se Exempel: Begära autentisering av slutanvändare för copilots för mer information. |
| Direct Line-kanaler i Copilot Studio | Blockera copilot-utvecklare från att aktivera eller använda Direct Line-kanal. Exempelvis blockeras demowebbplatsen, den anpassade webbplatsen, mobilappen och andra Direct Line-kanaler. |
| Facebook-kanal i Copilot Studio | Blockera copilot-skapare från att aktivera eller använda Facebook kanalen. |
| Kunskapskälla med SharePoint och OneDrive i Copilot Studio | Blockera copilot-utvecklare från att publicera copilots som konfigurerats med SharePoint och OneDrive som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Kunskapskälla med offentliga webbplatser och data i Copilot Studio | Blockera copilot-utvecklare från att publicera copilots som konfigurerats med offentliga webbplatser som kunskapskälla. Stöder Filtrering av DLP-anslutningsslutpunkt för att tillåta eller neka slutpunkter. |
| Kunskapskälla med dokument i Copilot Studio | Blockera copilot-utvecklare från att publicera copilots som konfigurerats med dokument som kunskapskälla. |
| Microsoft Teams-kanal i Copilot Studio | Blockera copilot-skapare från att aktivera eller använda Teams-kanalen. |
| Flerkanal i Copilot Studio | Blockera copilot-skapare från att aktivera eller använda flerkanalskanalen. |
| Färdigheter med Copilot Studio | Blockera copilot-skapare från att använda färdigheter i Copilot Studio copilots. Se Exempel: Använd DLP för att blockera färdigheter i Copilot Studio copilots och Exempel: Använd DLP för att blockera HTTP-begäran från Copilot Studio copilots om du vill ha mer information. |
Exempel på konfigurationer av DLP-policy
För att hjälpa dig att komma igång med styrning av Copilot Studio copilot har vi skapat exempel som beskriver olika scenarier:
- Exempel: Använd DLP för att begära autentisering för slutanvändare för copilots
- Exempel: Använd DLP för att blockera SharePoint och OneDrive kunskapskälla i copilots
- Exempel: Använd DLP för att blockera Power Platform anslutningsprogram i copilots
- Exempel: Använd DLP för att blockera HTTP-begäranden i copilots
- Exempel: Använd DLP för att blockera färdigheter i copilots
- Exempel: Använd DLP för att blockera copilot-publicering i kanaler
Använd PowerShell för att aktivera och administrera DLP-ikraftträdande för copilots i din organisation
Du kan konfigurera om DLP-policyer ska tillämpas på dina copilots med PowerAppDlpErrorSettings och PowerVirtualAgentsDlpEnforcement PowerShell cmdlets.
Du kan:
- Bekräfta om DLP har aktiverats för copilots i din klientorganisation.
- Aktivera eller inaktivera DLP i ett granskningsläge (
-Mode SoftEnabled) så att copilot-skapare kan se fel, men inte hindras från att utföra åtgärder som skulle blockeras om DLP-ikraftträdande var helt aktiverad. - Aktivera eller inaktivera DLP-ikraftträdande, som visar DLP-ikraftträdande fel och förhindrar copilot-skapare från att publicera DLP-påverkade robotar eller konfigurera DLP-relaterade inställningar.
- Undanta specifika copilots från DLP-ikraftträdande.
- Lägg till och uppdatera länkarna för läs mer och kontakta e-post som visas för copilot-skapare när de stöter på DLP i Copilot Studio webb och Teams-appar.
Viktigt
Innan du använder PowerShell-cmdlets, eller exempelskripten som visas här, ser du till att du installerar följande moduler med hjälp av PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Du måste vara en administratör för klientorganisation för att använda cmdlets.
Vanligtvis använder du dessa cmdlets enligt en DLP-lanseringsprocess, som kan bestå av följande steg, för att:
Lägg till eller uppdatera e-postlänkarna för läs mer och administratörskontakt som visas i DLP-fel för copilot-skapare.
Bestäm vilka (om några) copilots som för närvarande har aktiverats för att kontrollera DLP-policyn.
Använd revision eller "mjukt" läge så att tillverkare kan se DLP-fel i Copilot Studio webb och Teams-appar.
Minska riskerna genom att kontakta beslutsfattare och informera dem om hur appen eller flödet fungerar bäst.
Aktivera DLP-ikraftträdande för copilots för att förhindra uppgifter och funktioner som påverkas av DLP.
Du kan också besluta att undanta en eller flera copilots från DLP-policyupprätthållandet, beroende på copilot användningsfall och krav.
Lägga till och uppdatera e-postlänkarna för mer information och administratörskontakt
Du kan konfigurera ett e-postmeddelande och en länk som lär dig mer med hjälp av Set-PowerAppDlpErrorSettings PowerShell cmdleten. Dina copilot-skapare ser den här informationen när de får DLP-fel.
För att lägga till länken för e-post och läs mer för första gången, kör följande PowerShell-skript och ersätt värdena för <email>, <URL> och <tenant ID> parametrarna med ditt eget.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
För att uppdatera en befintlig konfiguration, använd samma PowerShell-skript och ersätt New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.
Varning
Dessa inställningar gäller för alla Power Platform appar i den angivna klientorganisationen.
Aktivera och konfigurera DLP-ikraftträdande för copilots
Du kan aktivera, inaktivera, konfigurera och granska DLP-tvingande åtgärder i Copilot Studio med PowerVirtualAgentsDlpEnforcement cmdlet.
I något av följande exempel, ersätt (eller deklarera) <tenant ID> med din klientorganisations ID.
Du kan använda copilots som skapats efter ett visst datum genom att ersätta <date> med datum i formatet MM-DD-YYYY. Ta bort omfattningen genom att ta bort -OnlyForBotsCreatedAfter parametern och dess värde.
Bekräfta DLP-ikraftträdande för copilots
Som standard är DLP-ikraftträdande för copilots inaktiverade i alla innehavare.
Du kan köra följande PowerShell-cmdlet för att kontrollera om DLP för Copilot Studio är aktiverat för en klientorganisation.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Kommentar
Om du inte har konfigurerat Copilot Studio DLP kommer resultatet från cmdlet att vara tomma.
Använd revision eller "mjukt" läge för att se DLP-fel i Copilot Studio webb eller Teams-appar
Kör följande PowerShell-skript om du vill aktivera DLP-principer i granskningsläge. Copilot-skapare vill se DLP-relaterade fel när du konfigurerar copilots i Copilot Studio webb och Teams-appar, men de blockeras inte från att utföra DLP-relaterade åtgärder. De kan också publicera copilots som vanligt.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Om du vill hitta copilots som kan påverkas av organisationens befintliga DLP-policyer kan du:
Använd Startpaket för Center of Excellence (CoE) om du vill ha en lista över copilots i din organisation. Gå till Copilot Studio översiktssidan på CoE-instrumentpanelen för att se copilots och miljönamnen i din organisation.
Kör en kampanj med copilot-fattarna i organisationen för att åtgärda DLP-fel eller uppdaterade DLP-policyer. Du kan ladda ner alla copilot DLP-fel genom att välja Detaljer i felmeddelandebanderollen och välja Hämta från felmeddelandeinformationen.
Aktivera DLP-ikraftträdande för copilots
Viktigt
Innan du aktiverar DLP-tillämpning, se till att du vet vilka copilots som kommer att visa fel för dina copilot-användare på grund av DLP-policyöverträdelser.
Om du får problem kan du undanta en copilot från DLP-policyer eller inaktivera DLP-ikraftträdande medan dina beslutsfattare åtgärdar copilot så att den följer DLP-policyer.
Du kan köra följande PowerShell-kommando för att tillämpa DLP-policyer i Copilot Studio. Copilot-utvecklare förhindras att utföra DLP-påverkade åtgärder och slutanvändarna ser fel om de utlöser.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Undanta en robot från DLP-policyer
Om du har aktiverat DLP-ikraftträdande för din klientorganisationen men behöver undanta en copilot från att visa DLP-fel för skapare och slutanvändare, kan du köra följande PowerShell-skript.
Se till att du ersätter <environment ID>, <bot ID>, <tenant ID> och <policy ID> med lämpliga ID:n för den copilot du vill undanta.
Dricks
Du hittar <environment ID> och <bot ID> från copilot-URL.
<policy ID>visas tillsammans med felinformationen i filen med information om hämtningen. Du kan ladda ner den filen genom att välja Hämta information i meddelandefältet i Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Inaktivera DLP-ikraftträdande för copilots
Följande kommando inaktiverar DLP-ikraftträdande i copilots.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för