通过全局安全访问网络控制,可为 Microsoft Copilot Studio 代理实现精细访问控制。 可以将网络安全策略(包括 Web 内容筛选、威胁情报筛选和网络文件筛选)应用于代理流量。 此功能为组织中其他流量类型的代理提供类似的安全控制。
Microsoft Entra 与 Microsoft Copilot Studio 集成,为代理交互提供网络安全控制。 此集成允许组织应用安全策略,使用全局安全访问可见性平台监视代理流量,并确保代理与外部资源之间的安全通信。
先决条件
若要为 Copilot Studio 代理配置网络安全,必须具备:
- Microsoft Entra ID 中用于管理全局 安全访问功能的全局安全访问管理员 角色。
- 用于管理 Copilot Studio 环境的 Power Platform 管理员 角色。
- 已添加到环境的 Dataverse 的 Power Platform 环境。 有关详细信息,请参阅 Power Platform 管理中心中的“创建和管理环境”。
为 Copilot Studio 代理启用网络控制
若要为 Copilot Studio 代理启用网络控制,必须先在 Power Platform 管理中心启用来自这些代理的流量转发。
- 以 Power Platform 管理员身份登录到 Power Platform 管理中心。
- 浏览到 安全>标识并访问>代理的全局安全访问。
- 选择适当的环境或环境组,然后选择“ 设置”。
- 为所选内容启用 代理的全局安全访问 。
注释
在给定环境或环境组中为代理启用 GSA 后,需要创建或更新任何现有的自定义连接器,以通过全局安全访问路由流量。
为 Copilot Studio 代理创建安全策略
启用网络控制后,可以对代理流量强制实施全局安全访问安全策略。 可以应用 Web 内容筛选、威胁情报筛选和其他安全策略。 以下示例演示如何配置 Web 内容筛选策略:
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 全局安全访问>安全>Web 内容筛选策略。
- 选择“创建策略”。
- 输入描述性名称,例如 Copilot Studio 代理 Web 存储库 和策略的说明,然后选择“ 下一步”。
- 选择 “添加规则”。
- 配置特定于 Copilot Studio 代理要求的规则:
- 阻止 Web 存储库:添加目标以阻止 Web 存储库和相关域。
- 选择 “下一步 ”以查看策略。
- 选择“创建策略”。
将策略链接到基线配置文件
通过将安全策略链接到基线配置文件来将它们应用到 Copilot Studio 代理流量,对安全策略进行分组。 Copilot Studio 代理目前不支持链接到条件访问策略的安全配置文件。
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”“安全”>“安全配置文件”>。
- 选择 “基线配置文件 ”选项卡。
- 选择 “编辑” 以编辑基线配置文件规则。
- 选择“关联策略”,然后选择“现有策略”。
- 选择之前创建的 Copilot Studio 代理 Web 存储库策略,然后选择“ 添加”。
- 选择 “保存” 以保存配置文件更改。
监视和维护
定期监视和维护可确保安全配置保持有效:
- 定期查看流量日志,了解异常模式或阻止的合法流量。 有关详细信息,请参阅 全局安全访问网络流量日志。
- 随着新的服务或需求出现,更新筛选策略。
- 在应用于生产环境之前,测试开发环境中的策略更改。
注释
与 Web 内容筛选相关的全局安全访问体验中的配置更改通常在不到五分钟内生效。
已知的限制
- 强制功能仅支持基线配置文件。 网络安全策略适用于每个租户。
- 不支持全局安全访问合作伙伴生态系统集成,例如第三方数据丢失防护(DLP)。
- 不支持 Copilot Studio 必应搜索网络事务。
- 网络安全控制仅支持特定的 Copilot Studio 连接器。 有关支持的连接器列表,请参阅 Copilot Studio 文档。
- 当前,全局安全访问流量日志中返回的代理名称是代理的唯一 架构名称。
- 目前 GSA 阻止的 Copilot Studio 代理的阻止体验显示 HTTP作的 502 错误的网关 或连接器 的 403 禁止访问 。 这是一个已知问题,即将推出改进。