为助手配置数据丢失防护

重要提示

继在生成式人工智能的重大投资和跨 Microsoft Copilot 的增强集成之后，Power Virtual Agents 功能和特性现已成为 Microsoft Copilot Studio 的一部分。

在我们更新文档和培训内容时，一些文章和截图可能会参考 Power Virtual Agents。

注意

2024 年 5 月 21 日，我们发布了新的数据丢失预防 (DLP) 策略内置连接器，并在发布 30 天后执行。

助手制作者可能会看到 DLP 错误横幅，并且可能无法发布使用生成式答案的助手，具体取决于 DLP 在贵组织中的配置方式。

这些 DLP 策略涵盖以下控制措施：

1. Copilot Studio 中包含 SharePoint 和 OneDrive 的知识来源
2. Copilot Studio 中包含公共网站和数据的知识来源
3. Copilot Studio 中的文档知识来源
4. Copilot Studio 中的 Application Insights

这不会影响您的客户与助手的对话。

我需要做些什么准备？

管理员可以通过更新 DLP 策略来更改这些新连接器的管理方式，以便将新连接器包含在业务或非业务数据组中。 如果策略默认组设置为阻止，您可以建议您的助手制作者放弃使用这些连接器或将其重新安排到适当的数据组。

组织数据是管理员负责保护的最重要的资产。 构建自动化以使用该数据的能力在公司的成功中占很大一部分。

您可以为最终用户快速构建并推出高价值助手。 您可以将助手与许多数据源和服务连接起来。 其中一些资源和服务可能是外部第三方服务，甚至可能包括一些社交网络。

人们很容易忽视泄露的可能性。 这种暴露可能是由于数据泄漏或与不应访问数据的服务和访问群体的连接造成的。

管理员可以通过现有的和 Copilot Studio 连接器使用数据丢失防护 (DLP) 策略来管理您组织中的助手。 DLP 策略是在 Power Platform 管理中心创建的。 若要创建 DLP 策略，您必须是租户管理员或具有环境管理员角色。

先决条件

• 查看有关 DLP 策略的概念

Copilot Studio 连接器

Copilot Studio 连接器可以在 DLP 策略中归入到以下数据组中，在查看 DLP 策略时，这些数据组会显示在 Power Platform 管理中心中：

• 企业
• 非业务
• 已屏蔽

您可以使用 DLP 策略中的连接器来保护您组织的数据免受助手制作者造成的任何恶意或无意的数据泄露。

重要提示

默认情况下，所有租户都禁用助手的 DLP 执行。 了解如何启用执行。

连接器需要位于单个数据组中，因为无法在不同组中的连接器之间共享数据。

Power Platform 管理中心提供以下 Copilot Studio 连接器。

这些连接器可以按如下方式配置 DLP：

连接器名称	Description
Copilot Studio 中的 Application Insights	阻止助手制作者将助手与 Application Insights 连接。
在 Copilot Studio 中无需 Microsoft Entra ID 身份验证即可聊天	阻止助手制作者发布未配置身份验证的助手。 助手用户需要完成身份验证才能与助手聊天。 有关更多详细信息，请参见示例：使用助手需要最终用户身份认证。
Copilot Studio 中的 Direct Line 渠道	阻止助手制作者启用或使用 Direct Line 渠道。 例如，演示网站、自定义网站和其他 Direct Line 渠道将被阻止。
Copilot Studio 中的 Facebook 渠道	阻止助手制作者启用或使用 Facebook 渠道。
Copilot Studio 中包含 SharePoint 和 OneDrive 的知识源	阻止助手制作者发布配置有 SharePoint 和 OneDrive 作为知识来源的助手。 支 持DLP 连接器端点筛选以允许或拒绝端点。
Copilot Studio 中包含公共网站和数据的知识源	阻止助手制作者发布配置有公共网站作为知识来源的助手。 支 持DLP 连接器端点筛选以允许或拒绝端点。
Copilot Studio 中的文档知识来源	阻止助手制作者发布配置有文档作为知识来源的助手。
Copilot Studio 中的 Microsoft Teams 渠道	阻止助手制作者启用或使用 Teams 渠道。
Copilot Studio 中的全渠道	阻止助手制作者启用或使用全渠道渠道。
Copilot Studio 技能	阻止助手制作者使用 Copilot Studio 助手技能。 请参见示例：使用 DLP 在 Copilot Studio 助手中阻止技能和示例：使用 DLP 阻止来自 Copilot Studio 助手的 HTTP 请求，了解更多详细信息。

示例 DLP 策略配置

为了帮助您开始使用 Copilot Studio 助手治理，我们创建了以下详细描述不同场景的示例：

• 示例：使用 DLP 要求助手进行最终用户身份验证
• 示例：使用 DLP 阻止助手中的 SharePoint 和 OneDrive 知识来源
• 示例：使用 DLP 阻止助手中的 Power Platform 连接器
• 示例：使用 DLP 阻止助手的 HTTP 请求
• 示例：使用 DLP 阻止助手的技能
• 示例：使用 DLP 阻止助手发布到渠道

使用 PowerShell 为组织中的助手启用和管理 DLP 执行

您可以使用 PowerAppDlpErrorSettings 和 PowerVirtualAgentsDlpEnforcement PowerShell cmdlet 配置 DLP 策略是否应应用于助手。

您可以：

• 确认您租户中的助手是否启用了 DLP。
• 在审核模式 (-Mode SoftEnabled) 下启用或禁用 DLP，让助手制作者可以看到错误，但不会阻止他们执行在完全启用 DLP 执行时会被阻止的操作。
• 启用或禁用 DLP 执行，将显示 DLP 执行错误，并阻止助手制作者发布受 DLP 影响的机器人或配置 DLP 相关设置。
• 从 DLP 执行中免除特定助手。
• 添加并更新了解更多信息和联系电子邮件链接，当助手制作者在 Copilot Studio Web 和 Teams 应用中遇到 DLP 时，这些链接会显示给助手制作者。

重要提示

在使用 PowerShell cmdlet 或此处所示的示例脚本之前，确保使用 PowerShell 安装以下模块。

• Microsoft.PowerApps.Administration.PowerShell
• Microsoft.PowerApps.PowerShell -AllowClobber

您需要是租户管理员才能使用 cmdlet。

通常，您将根据 DLP 推出流程使用这些 cmdlet，此流程可能包括以下步骤（按顺序）：

1. 添加或更新助手制作者的 DLP 错误中显示的了解更多信息和管理员联系电子邮件链接。

2. 确定哪些（如果有）助手当前已启用 DLP 策略执行。

3. 使用审核或“软”模式，让制作者可以在 Copilot Studio Web 和 Teams 应用中看到 DLP 错误。

4. 联系制作者并告知他们有关其应用或流的最佳操作过程来缓解风险。

5. 为助手启用 DLP 执行，以阻止受 DLP 影响的任务和功能。

您还可以根据助手的用例和要求，决定从 DLP 策略执行中免除一个或多个助手。

添加并更新了解更多信息和管理员联系电子邮件链接

您可以使用 Set-PowerAppDlpErrorSettings PowerShell cmdlet 配置电子邮件和了解更多信息链接。 当您的助手制作者遇到 DLP 错误时，他们将看到此信息。

如果是第一次添加电子邮件和了解更多信息链接，运行以下 PowerShell 脚本，将 <email>、<URL> 和 <tenant ID> 参数的值替换为您自己的值。

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

要更新现有配置，使用相同的 PowerShell 脚本，将 New-PowerAppDlpErrorSettings 替换为 Set-PowerAppDlpErrorSettings。

注意

这些设置适用于指定租户内的所有 Power Platform 应用。

为助手启用和配置 DLP 执行

您可以使用 PowerVirtualAgentsDlpEnforcement cmdlet 在 Copilot Studio 中启用、禁用、配置和审核 DLP 执行。

在以下任意示例中，用您的租户的 ID 替换（或声明）<tenant ID>。

您可以通过将 <date> 替换为格式为 MM-DD-YYYY 的日期来划定在特定日期之后创建的助手。 要删除划定的范围，删除 -OnlyForBotsCreatedAfter 参数及其值。

确认助手的 DLP 执行

默认情况下，所有租户都禁用助手的 DLP 执行。

您可以运行以下 PowerShell cmdlet 来检查是否为租户启用了 Copilot Studio 的 DLP。

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

备注

如果您尚未配置 Copilot Studio DLP，cmdlet 的结果将为空。

使用审核或“软”模式可以在 Copilot Studio Web 或 Teams 应用中查看 DLP 错误

在审核模式下运行以下 PowerShell 脚本启用 DLP 策略。 助手制作者在 Copilot Studio Web 和 Teams 应用中配置助手时会看到 DLP 相关错误，但不会阻止他们执行 DLP 相关操作。 他们还可以像往常一样发布助手。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

要查找可能受组织现有 DLP 策略影响的助手，您可以：

1. 使用卓越中心 (CoE) 初学者工具包获取组织中助手的列表。 转到 CoE 仪表板上的 Copilot Studio 概览页面，查看您组织中的助手和环境名称。

   

2. 与组织中的助手制作者一起执行市场活动，以解决 DLP 错误或处理更新的 DLP 策略。 您可以下载所有助手 DLP 错误，方法是选择错误通知横幅中的详细信息，并从错误消息详细信息中选择下载。

   

为助手启用 DLP 执行

重要提示

在启用 DLP 执行之前，请确保您知道哪些助手会因违反 DLP 策略而向助手用户显示错误。

如果遇到问题，您可以在制作者修复助手以符合 DLP 策略时，从 DLP 策略中免除该助手或禁用 DLP 执行。

您可以运行以下 PowerShell 命令在 Copilot Studio 中执行 DLP 策略。 助手制作者将被禁止执行受 DLP 影响的操作，如果触发这些操作，最终用户将会看到错误。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

从 DLP 策略中免除机器人

如果您已为租户启用了 DLP 执行，但需要免除助手，使其不向制作者和最终用户显示 DLP 错误，您可以运行以下 PowerShell 脚本。

确保将 <environment ID>、<bot ID>、<tenant ID> 和 <policy ID> 替换为要免除的助手的相应 ID。

小费

您可以从助手的 URL 找到 <environment ID> 和 <bot ID>。

<policy ID> 会与下载详细信息文件中的错误详细信息一起列出。 您可以通过在 Copilot Studio 中的错误通知横幅上选择下载详细信息来下载该文件。

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

为助手禁用 DLP 执行

以下命令将在助手中禁用 DLP 执行。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled