通过 Copilot Studio,您可以为用户快速构建和推出高价值代理,这些代理可以连接许多数据源和服务。 其中一些源和服务可能是外部的非 Microsoft 服务,甚至可能包括社交网络以及与组织数据的连接。
组织数据是管理员负责保护的最重要的资产。 以受保护的方式使用该数据的能力,同时仍与其他服务和系统连接和交互,是数据安全的基石。
数据丢失防护(DLP)策略允许您管理代理在组织内部和外部连接数据和服务的方式以及与数据和服务交互的方式。 管理员可以在 Power Platform 管理中心配置 Copilot Studio 和 Power Platform DLP 策略。
重要提示
2025 年初,所有租户的 DLP 策略执行默认设置为已启用,正如消息中心警报 MC973179:Copilot Studio- 数据丢失防护策略执行的即将更新中所宣布的那样。
了解如何在租户中排查执行问题。
先决条件
Copilot Studio 连接器和数据组
Copilot Studio 连接器可以在 DLP 策略中归入到以下数据组中,在查看 DLP 策略时,这些数据组会显示在 Power Platform 管理中心中:
- 企业
- 非业务
- 已屏蔽
可以使用 DLP 策略的连接器来保护组织的数据免受代理制造商的任何恶意或无意数据外泄的影响。
DLP 策略中的 默认组 是一个类别,在引入期间未定义显式分组时,会自动添加连接器。 2019 年之后引入的连接器,例如 不需要 Microsoft Entra ID 身份验证的聊天 或 Direct Line 通道,很可能已被添加到默认的“非业务”组。
在许多组织中,“非业务”组中的连接器会自动被阻止。 如果您的租户中某个 Copilot Studio DLP 策略连接器被阻止,您应查看该连接器被添加到了哪个数据组。
管理员可以 在 Power Platform 管理中心内的 DLP 策略级别配置默认组。
重要提示
Copilot Studio 支持实时执行 DLP 策略。 代理制作者和用户会看到任何违反 DLP 策略的错误信息。
在 DLP 策略中,连接器必须位于同一数据组中,因为数据不能在不同组中的连接器之间共享。
您可以在 Power Platform 管理中心配置 DLP 策略,以阻止以下任何 Copilot Studio 连接器。
| 连接器名称 | 用例 |
|---|---|
| Copilot Studio 中的 Application Insights | 阻止代理制作者 连接 Application Insights 代理。 |
| 在 Copilot Studio 中无需 Microsoft Entra ID 身份验证即可聊天 | 阻止代理制作者发布未配置为身份验证的代理。 代理用户必须验证自己的身份以便与代理进行聊天。 有关详细信息,请参阅数据丢失防护示例 - 要求在代理中进行用户身份验证。 |
| Copilot Studio 中的 Direct Line 渠道 | 阻止代理制作者启用或使用 Direct Line 渠道。 例如,演示网站、自定义网站和其他 Direct Line 渠道将被阻止。 |
| Copilot Studio 中的 Facebook 渠道 | 阻止代理制作者启用或使用该 Facebook 渠道。 |
| Copilot Studio 中包含 SharePoint 和 OneDrive 的知识源 | 阻止代理制作者发布配置 SharePoint 为知识源的代理。 支 持DLP 连接器端点筛选以允许或拒绝端点。 |
| Copilot Studio 中的文档知识来源 | 阻止代理制作者发布配置了文档作为知识源的代理。 |
| Copilot Studio 中包含公共网站和数据的知识源 | 阻止代理制作者发布配置了公共网站作为知识源的代理。 支 持DLP 连接器端点筛选以允许或拒绝端点。 |
| Microsoft Copilot Studio | 阻止代理制作者在代理中使用 Copilot Studio 事件触发器。 如需了解更多信息,请参阅数据丢失防护示例 - 在代理中阻止事件触发器。 |
| Copilot Studio 中的 Microsoft Teams 渠道 | 阻止代理制作者启用或使用 Teams 频道。 |
| Copilot Studio 中的全渠道 | 阻止代理制作者启用或使用全渠道渠道。 |
| Copilot Studio 技能 | 阻止代理制作者在 Copilot Studio 代理中使用技能。 请参阅数据丢失防护示例 - 阻止代理中的技能和数据丢失防护示例 - 阻止代理的 HTTP 请求了解更多详情。 |
识别 DLP 策略的影响并排除故障
若要查找组织的 DLP 策略可能影响的代理,可以:
使用卓越中心 (CoE) 初学者工具包的 Power BI 仪表板获取组织中代理的列表。 转到 Copilot Studio CoE 仪表板上的概述页,查看组织中的代理和环境名称。
与组织中的代理制作者一起开展活动,以解决 DLP 错误或更新的 DLP 策略。 您可以下载所有代理 DLP 错误,方法是选择错误通知横幅中的详细信息,并从错误消息详细信息中选择下载。
如果 DLP 策略影响了您的智能体功能,请参阅对 Copilot Studio 的数据丢失预防策略进行故障排除。
示例 DLP 策略配置
要开始使用 Copilot Studio 代理管理,请查看以下示例方案:
- 数据丢失防护示例 - 要求在代理中进行用户身份验证
- 数据丢失防护示例 - 阻止代理中的 SharePoint 知识来源
- 数据丢失防护示例 - 阻止代理中的 Power Platform 连接器
- 数据丢失防护示例 - 阻止代理中的 HTTP 请求
- 数据丢失防护示例 - 阻止代理中的技能
- 数据丢失防护示例 - 在代理中阻止事件触发器
- 数据丢失防护示例 - 阻止频道以禁用代理发布
重要提示
不再支持代理 DLP 策略实施豁免。 以前免于 DLP 强制执行的智能体将从 2025 年 1 月起被设置为软启用,并从 2025 年 2 月起被设置为已启用。
添加并更新了解更多信息和管理员联系电子邮件链接
您可以使用 Set-PowerAppDlpErrorSettings PowerShell cmdlet 在 DLP 错误消息中添加电子邮件地址和“了解更多信息”链接。
如果是第一次添加电子邮件地址和了解更多信息链接,运行以下 PowerShell 脚本,将 <email>、<URL> 和 <tenant ID> 参数的值替换为您自己的值。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
要更新现有配置,使用相同的 PowerShell 脚本,将 New-PowerAppDlpErrorSettings 替换为 Set-PowerAppDlpErrorSettings。
警告
这些设置适用于指定租户内的所有 Power Platform 应用。