Yardımcı pilotlar için veri kaybı önleme politikalarını yapılandırma
Kuruluş verileri, yöneticilerin korumakla sorumlu olduğu en önemli varlıklardır. Bu verileri kullanmak için otomasyon oluşturma yeteneği, şirket başarısının büyük bir parçasıdır.
Son kullanıcılarınız için yüksek değerli yardımcı pilotlarınızı hızlı bir şekilde oluşturup kullanmaya başlayabilirsiniz. Yardımcı pilotlarınızı birçok veri kaynağı ve hizmetine bağlayabilirsiniz. Bu kaynak ve hizmetlerden bazıları Microsoft dışı harici hizmetler olabilir ve sosyal ağları bile içerebilir.
İhlal olasılığı kolayca gözden kaçırılabilir. Bu tür bir açığa çıkma, veri sızıntısı veya verilere erişmemesi gereken hizmetlere ve hedef kitlelere bağlantı nedeniyle gerçekleşebilir.
Yöneticiler mevcut Copilot Studio bağlayıcılarıyla veri kaybını önleme (DLP) ilkelerini kullanarak kuruluşunuzdaki yardımcı pilotları yönetebilir. DLP ilkeleri, Power Platform Yönetim Merkezi 'nde oluşturulur. Bir DLP İlkesi oluşturmak için, bir kiracı yöneticisi olmanız veya Ortam Yöneticisi rolüne sahip olmanız gerekir.
Önkoşullar
- DLP ilkeleri ile ilgili kavramları gözden geçirin
Copilot Studio bağlayıcıları
Copilot Studio bağlayıcıları, DLP ilkelerini gözden geçirirken Power Platform Yönetim merkezinde sunulan aşağıdaki veri grupları altında bir DLP İlkesi içinde sınıflandırılabilir:
- İşletme
- İşletme dışı
- Engellendi
Kuruluşunuzun verilerini, yardımcı pilot oluşturucuları tarafından yapılan kötü niyetli veya kasıtsız veri sızdırmalara karşı korumak için DLP ilkelerindeki bağlayıcıları kullanabilirsiniz.
Önemli
Varsayılan olarak, yardımcı pilotlar için DLP uygulaması tüm kiracılarda devre dışıdır. Etkinleştirmeye zorlama hakkında bilgi edinin.
Veriler farklı gruplardaki bağlayıcılar arasında paylaşılamayacağı için bağlayıcıların tek bir veri grubunda olması gerekir.
Power Platform yönetim merkezinde çeşitli Copilot Studio bağlayıcıları sunulur. Bu konektörler DLP için aşağıdaki şekilde yapılandırılabilir:
| Bağlayıcı adı | Description |
|---|---|
| Copilot Studio'teki Application Insights | Yardımcı pilot yapımcılarının yardımcı pilotu Application Insights ile bağlamasını engelleyin. |
| Copilot Studio'ta Microsoft Entra ID doğrulaması olmadan sohbet | Yardımcı pilot oluşturucularının, kimlik doğrulaması için yapılandırılmamış yardımcı pilotları yayımlamasını engelleyin. Copilot kullanıcıların yardımcı pilotla sohbet etmek için kimliklerini doğrulamaları gerekir. Daha fazla ayrıntı için bkz. Veri kaybını önleme örneği - Yardımcı pilotlarda son kullanıcı kimlik doğrulaması isteme. |
| Copilot Studio'daki Direct Line kanalları | Yardımcı pilotların Direct Line kanalı etkinleştirmesini veya kullanmasını engelleyin. Örneğin, Demo web sitesi, Özel web sitesi, Mobil uygulama ve diğer Direct Line kanallar engellenirdi. |
| Copilot Studio'ta Facebook kanalı | Yardımcı pilot oluşturucularının, Facebook kanalını etkinleştirmesini veya kullanmasını engelleyin. |
| Copilot Studio'da SharePoint ve OneDrive ile bilgi bankası kaynağı | Yardımcı pilotların, bilgi kaynağı olarak SharePoint ile yapılandırılmış yardımcı pilotları yayımlamasını engelleyin. Bitiş noktalarını izin vermek veya reddetmek için DLP konektörü uç nokta filtrelemeyi destekler. |
| Herkese açık web siteleri ve Copilot Studio'daki verilerle bilgi bankası kaynağı | Yardımcı pilotların, bilgi kaynağı olarak herkese açık web siteleri ile yapılandırılmış yardımcı pilotları yayımlamasını engelleyin. Bitiş noktalarını izin vermek veya reddetmek için DLP konektörü uç nokta filtrelemeyi destekler. |
| Copilot Studio içindeki belgeli bilgi kaynağı | Yardımcı pilotların, bilgi kaynağı olarak belgeler ile yapılandırılmış yardımcı pilotları yayımlamasını engelleyin. |
| Copilot Studio'ta Microsoft Teams kanalı | Yardımcı pilot oluşturucularının, Teams kanalını etkinleştirmesini veya kullanmasını engelleyin. |
| Copilot Studio'ta çok yönlü kanal | Yardımcı pilot oluşturucularının, Çok Yönlü Kanal kanalını etkinleştirmesini veya kullanmasını engelleyin. |
| Copilot Studio ile beceriler | Yardımcı pilot oluşturucuların Copilot Studio yardımcı pilotlarındaki becerileri kullanmasını engelleyin. Daha fazla ayrıntı için bkz. Veri kaybı önleme örneği - Yardımcı pilotlarda becerileri engelleme ve Veri kaybı önleme örneği - Yardımcı pilotlarda HTTP isteklerini engelleme. |
Örnek DLP ilkesi yapılandırmaları
Copilot Studio yardımcı pilot idaresini kullanmaya başlamanıza yardımcı olmak için farklı senaryoları ayrıntılı olarak açıklayan aşağıdaki örnekleri oluşturduk:
- Veri kaybını önleme örneği - Yardımcı pilotlarda son kullanıcı kimlik doğrulaması iste
- Veri kaybını önleme örneği - Yardımcı pilotlarda SharePoint bilgi kaynağını engelleme
- Veri kaybını önleme örneği - Yardımcı pilotlarda Power Platform Bağlayıcılarını engelleme
- Veri kaybını önleme örneği - Yardımcı pilotlarda HTTP isteklerini engelleme
- Veri kaybını önleme örneği - Yardımcı pilotlarında becerileri engelleme
- Veri kaybını önleme örneği - Yardımcı pilot yayınlamayı devre dışı bırakmak için Kanalları Engelleme
Kuruluşunuzdaki yardımcı pilotlar için DLP uygulamasını etkinleştirmek ve yönetmek üzere PowerShell'i kullanma
PowerAppDlpErrorSettings ve PowerVirtualAgentsDlpEnforcement PowerShell cmdlet'leri ile yardımcı pilotlarınıza DLP ilkelerinin uygulanması gerekip gerekmediğini yapılandırabilirsiniz.
Şunları yapabilirsiniz:
- Kiracınızda yardımcı pilotlar için DLP'nin etkin olup olmadığını doğrulayın.
- Denetim modunda (
-Mode SoftEnabled) DLP'yi etkinleştirin veya devre dışı bırakın, böylece yardımcı pilot oluşturucuları hataları görebilir ancak DLP uygulaması tamamen etkinleştirildiyse engellenecek eylemleri gerçekleştirmeleri engellenmez. - DLP zorlama hatalarını göstermek ve yardımcı pilot oluşturucuların DLP'den etkilenen botları yayımlamasını veya DLP ile ilgili ayarları yapılandırmasını önlemek için DLP zorlamayı etkinleştirin veya devre dışı bırakın.
- DLP uygulamasından belirli yardımcı pilotları hariç tutun.
- Copilot Studio web ve Teams uygulamalarında DLP ile karşılaştıklarında yardımcı pilot oluşturucularına gösterilen daha fazla bilgi ve iletişim e-postası bağlantılarını ekleyin ve güncelleştirin.
Önemli
PowerShell cmdlet'lerini veya burada gösterilen örnek betikleri kullanmadan önce, PowerShell kullanarak aşağıdaki modülleri yüklediğinizden emin olun.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Cmdlet'leri kullanmak için kiracı yöneticisi olmanız gerekir.
Tipik olarak, bu cmdlet'leri aşağıdaki adımlardan oluşabilecek DLP dağıtma işlemine uygun şekilde şu amaçlarla kullanırsınız:
Yardımcı pilot oluşturucuları için DLP hatalarında gösterilen daha fazla bilgi ve yönetici iletişim e-postası bağlantılarını ekleyin veya güncelleştirin.
Şu anda hangi yardımcı pilotlarda (varsa) DLP ilkesi uygulamasının etkin olduğunu belirleyin.
Oluşturucuların Copilot Studio web ve Teams uygulamarında DLP hatalarını görebilmesi için denetim veya "yazılım" modunu kullanma.
Oluşturuculara başvurarak ve onları uygulamaları veya akışları için en iyi eylemler hakkında bilgilendirerek riski en aza indirmek.
DLP'den etkilenen görevleri ve özellikleri engellemek üzere yardımcı pilotlar için DLP uygulamasını etkinleştirin.
Yardımcı pilotun kullanım örneğine ve gereksinimlerine bağlı olarak bir veya daha fazla yardımcı pilotu DLP ilkesi uygulamasından muaf tutmaya da karar verebilirsiniz.
Daha fazla bilgi ve yönetici iletişim e-postası bağlantıları ekleme ve güncelleştirme
Set-PowerAppDlpErrorSettings PowerShell cmdlet'ini kullanarak e-posta veya daha fazla bilgi bağlantısı oluşturabilirsiniz. Yardımcı pilot oluşturucularınız DLP hatalarıyla karşılaştıklarında bu bilgileri görür.
İlk kez e-posta ve daha fazla bilgi bağlantısı eklemek için aşağıdaki PowerShell betiğini kullanın. <email>, <URL> ve <tenant ID> parametrelerinin değerlerini kendi değerlerinizle değiştirin.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Varolan bir yapılandırmayı güncelleştirmek için aynı PowerShell betiğini kullanın ve New-PowerAppDlpErrorSettings öğesini Set-PowerAppDlpErrorSettings ile değiştirin.
Dikkat
Bu ayarlar belirtilen kiracı içindeki tüm Power Platform uygulamaları için uygulanır.
Yardımcı pilotlar için DLP uygulamasını etkinleştirme ve yapılandırma
PowerVirtualAgentsDlpEnforcement cmdlet ile Copilot Studio içinde DLP zorunlu kılmayı etkinleştirebilir, devre dışı bırakabilir, yapılandırabilir ve denetleyebilirsiniz.
Aşağıdaki örneklerden herhangi birinde, kiracınızın kimliğini <tenant ID> ile değiştirin (veya bildirin).
<date> tarihini MM-DD-YYYY biçimindeki bir tarihle değiştirerek belirli bir tarihten sonra oluşturulan yardımcı pilotlar için ölçeklendirme yapabilirsiniz. Kapsamı kaldırmak için -OnlyForBotsCreatedAfter parametresini ve değerini silin.
Yardımcı pilotlar için DLP uygulamasını onaylama
Varsayılan olarak, yardımcı pilotlar için DLP uygulaması tüm kiracılarda devre dışıdır.
Copilot Studio için DLP'nin bir kiracı için etkin olup olmadığını kontrol etmek amacıyla aşağıdaki PowerShell cmdlet'ini çalıştırabilirsiniz.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Not
Copilot Studio DLP'yi yapılandırmadıysanız, cmdlet'teki sonuçlar boş olur.
Copilot Studio web veya Teams uygulamarında DLP hatalarını görmek için denetim veya "yazılım" modunu kullanma
Denetleme modunda DLP ilkelerini etkinleştirmek için aşağıdaki PowerShell betiğini çalıştırın. Yardımcı pilot oluşturucuları, Copilot Studio web ve Teams uygulamalarında yardımcı pilotları yapılandırırken DLP ile ilgili hataları görür ancak DLP ile ilgili eylemleri gerçekleştirmeleri engellenmez. Ayrıca, oluşturucular "geçici" mod etkinken yardımcı pilotları yayınlayamaz.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Kuruluşunuzun mevcut DLP ilkelerinden etkilenebilecek yardımcı pilotları bulmak için şunları yapabilirsiniz:
Kuruluşunuzdaki yardımcı pilotların listesini almak için Mükemmeliyet Merkezi (CoE) Başlangıç Seti'ni kullanın. Kuruluşunuzdaki yardımcı pilotları ve ortam adlarını görmek için CoE Panosu'nda Copilot Studio genel bakış sayfasına gidin.
DLP hatalarını veya güncellenmiş DLP ilkelerini ele almak için kuruluşunuzdaki yardımcı pilot oluşturucularla bir kampanya yürütün. Hata bildirimi başlığında Ayrıntıları seçerek ve hata iletisi ayrıntılarından İndir'i seçerek tüm yardımcı pilot DLP hatalarını indirebilirsiniz.
Yardımcı pilotlar için DLP uygulamasını etkinleştirme
Önemli
DLP uygulamasını etkinleştirmeden önce, hangi yardımcı pilotların, DLP ilke ihlalleri nedeniyle yardımcı pilot kullanıcılarınıza hatalar göstereceğini bildiğinizden emin olun.
Sorunlarla karşılaşırsanız oluşturucularınız yardımcı pilotu DLP ilkelerine uyacak şekilde düzeltirken yardımcı pilotu DLP ilkelerinden hariç tutabilir veya DLP uygulamasını devre dışı bırakabilirsiniz.
Copilot Studio'ta DLP ilkelerini zorunlu kılmak için aşağıdaki PowerShell betiğini çalıştırabilirsiniz. Yardımcı pilot yapımcılarının DLP kaynaklı eylemleri gerçekleştirmesi engellenecek ve son kullanıcılar tetiklerse hatalar görecekler.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Bir botu DLP ilkelerinden muaf tutma
Kiracınız için DLP uygulamayı etkinleştirdiyseniz ancak bir yardımcı pilotu DLP hatalarını oluşturuculara ve kullanıcılara göstermekten muaf tutmanız gerekiyorsa aşağıdaki PowerShell betiğini çalıştırabilirsiniz.
Hariç tutmak istediğiniz yardımcı pilot için <environment ID>, <bot ID>, <tenant ID> ve <policy ID> kimliklerini uygun kimliklerle değiştirin.
İpucu
<environment ID> ve <bot ID> kimliklerini yardımcı pilotun URL'sinden bulabilirsiniz.
<policy ID>, İndirme ayrıntıları dosyasındaki hata ayrıntılarının yanında listelenir. Bu dosyayı Copilot Studio'taki hata bildirimi başlığında Ayrıntıları indir'i seçerek indirebilirsiniz.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Yardımcı pilotlar için DLP uygulamasını devre dışı bırakma
Aşağıdaki komut ile yardımcı pilotlarda DLP uygulaması devre dışı bırakılır.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled