為副手設定資料外洩防護原則
組織資料是資產管理員負責保護的最重要資料。 建構自動化以使用這些資料的能力是他們公司成功的很大原因。
您可以為終端使用者快速建置和推出高價值的副手。 您可以將副手與許多資料來源和服務連接起來。 其中一部分來源和服務可能是外部非 Microsoft 服務,甚至可能包括社交網路。
很容易忽視暴露的可能性。 這種暴露狀況可能是由於資料洩漏或與不應存取資料的服務和受眾的連接造成的。
管理員可以使用資料遺失防護 (DLP) 原則以及現有的 Copilot Studio 連接器來管理組織中的副手。 DLP 原則是在Power Platform 管理中心 中建立。 若要建立 DLP 原則,您必須是 租戶管理員 或具有 環境系統管理員角色 。
先決條件
- 回顧 DLP 原則的相關概念
Copilot Studio 連接器
Copilot Studio 連接器可以分類於下列資料群組下的 DLP 原則,這些資料群組會在審核 DLP 原則時出現在 Power Platform 管理中心。
- 業務
- 非商務
- 已封鎖
您可以使用 DLP 原則中的連接器來保護組織的資料,免於副手製作者惡意或無意的資料外流。
Power Platform 系統管理中心提供了多個 Copilot Studio 連接器。 這些連接器可針對 DLP 進行如下設定:
連接器名稱 | Description |
---|---|
Copilot Studio 中的 Application Insights | 阻止副手製作者將副手與 Application Insights 連接。 |
Copilot Studio 中的聊天沒有 Microsoft Entra ID 驗證 | 封鎖副手製作者發佈未設定驗證的副手。 副手使用者必須驗證自己才能與副手聊天。 如需更多資訊,請參閱資料外洩防護範例 - 要求副手進行終端使用者驗證。 |
Copilot Studio 中的 Direct Line 管道 | 阻止副手製作者啟用或使用 Direct Line 管道。 例如,將封鎖示範網站、自訂網站、行動應用程式和其他 Direct Line 管道。 |
Copilot Studio 中的 Facebook 管道 | 封鎖副手製作者啟用或使用 Facebook 管道。 |
Copilot Studio 中包含 SharePoint 和 OneDrive 的知識來源 | 阻止副手製作者發佈設定了 SharePoint 做為知識來源的副手。 支援 DLP 連接器端點篩選,以允許或拒絕端點。 |
Copilot Studio 中包含公開網站和資料的知識來源 | 阻止副手製作者發佈設定了公共網站做為知識來源的副手。 支援 DLP 連接器端點篩選,以允許或拒絕端點。 |
Copilot Studio 中包含文件的知識來源 | 阻止副手製作者發佈設定了文件做為知識來源的副手。 |
Copilot Studio 中的 Microsoft Teams 管道 | 封鎖副手製作者啟用或使用 Teams 管道。 |
Copilot Studio 中的全通路 | 封鎖副手製作者啟用或使用全通路管道。 |
Copilot Studio 的技能 | 阻止副手製作者使用 Copilot Studio 副手中的技能。 如需詳細資訊,請參閱資料外洩防護範例 - 封鎖副手中的技能和資料外洩防護範例 - 封鎖副手中的 HTTP 要求。 |
DLP 原則設定
為了幫助您開始使用 Copilot Studio 副手治理,我們建立了以下範例來詳細說明不同的情境:
- 資料外洩防護範例 - 要求副手進行終端使用者驗證
- 資料外洩防護範例 - 在副手中封鎖 SharePoint 知識來源
- 資料外洩防護範例 - 封鎖副手中的 Power Platform 連接器
- 資料外洩防護範例 - 封鎖副手中的 HTTP 要求
- 資料遺失防護範例 - 禁止副手中的技能
- 資料外洩防護範例 - 封鎖管道以停用副手發佈
使用 PowerShell 為組織中的副手啟用和管理 DLP 強制執行
您可以使用 PowerAppDlpErrorSettings
和 PowerVirtualAgentsDlpEnforcement
PowerShell cmdlet 設定是否應將 DLP 原則套用至您的副手。
您可以:
- 確認是否為租用戶中的副手啟用了 DLP。
- 在稽核模式 (
-Mode SoftEnabled
) 下啟用或停用 DLP,以便副手製作者可以看到錯誤,但不會阻止執行在完全啟用 DLP 強制執行時會被封鎖的動作。 - 啟用或停用 DLP 強制執行,以顯示 DLP 強制執行錯誤,並防止副手發布受 DLP 影響的機器人或設定與 DLP 相關的設定。
- 使特定副手免受 DLP 強制執行。
- 新增和更新當副手製作者在 Copilot Studio Web 和 Teams 應用程式中遇到 DLP 時,向副手製作者顯示的了解更多資訊和聯絡電子郵件連結。
重要
在使用 PowerShell Cmdlet 或此處顯示的範例指令碼之前,請確認您已使用 PowerShell 安裝以下模組。
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
您必須是租用戶系統管理員,才能使用 Cmdlet。
通常,您會依照 DLP 推出程序 (依下列步驟所示) 使用這些 Cmdlet:
在新增或更新副手製作者的 DLP 錯誤中,顯示的了解更多資訊和管理員連絡電子郵件連結。
確定哪些 (如果有) 副手目前啟用了 DLP 原則強制執行。
使用稽核或「軟」模式,讓製作者可以看到 Web 與 Teams 應用程式中的 Copilot Studio DLP 錯誤。
與製作者聯絡並通知他們關於其應用程式或流程的最佳動作,以減輕風險。
為副手啟用 DLP 強制執行,以防止受 DLP 影響的工作和功能。
您也可以決定讓一名或多名副手免於執行 DLP 原則,具體取決於副手的使用案例和要求。
新增及更新學習 - 詳細與管理連絡人電子郵件連結
您可以使用 Set-PowerAppDlpErrorSettings
PowerShell Cmdlet 來設定電子郵件以及瞭解更多連結。 您的副手製作者在遇到 DLP 錯誤時將看到此資訊。
若要第一次新增電子郵件並瞭解更多連結,請執行下列 PowerShell 腳本,以您的使用者取代 <email>
、<URL>
和 <tenant ID>
參數的值。
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
若要更新現有的設定,請使用相同的 PowerShell 指令碼,然後替換 New-PowerAppDlpErrorSettings
為 Set-PowerAppDlpErrorSettings
。
注意
這些設定會套用至指定租用戶中的所有 Power Platform 應用程式。
為副手啟用和設定 DLP 強制執行
您可以使用 PowerVirtualAgentsDlpEnforcement
Cmdlet 在 Copilot Studio 中啟用、停用 、設定和審核 DLP 強制。
在下列任一範例中,以您的租用戶 ID 取代 (或宣告) <tenant ID>
。
您可以透過將 <date>
取代為 MM-DD-YYYY
格式的日期來確定在特定日期之後建立的副手的範圍 若要移除範圍,請刪除 -OnlyForBotsCreatedAfter
參數及其值。
確認副手的 DLP 強制執行
根據預設,在所有租用戶中停用副手的 DLP 強制執行。
您可以執行下列 PowerShell Cmdlet 來檢查是否已為租用戶啟用 Copilot Studio 的 DLP。
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Note
如果您尚未設定 Copilot Studio DLP,則 Cmdlet 的結果將會是空白。
使用稽核或「軟」模式,可以看到 Web 或 Teams 應用程式中的 Copilot Studio DLP 錯誤
執行下列 PowerShell 指令碼,在稽核模式中啟用 DLP 原則。 在 Copilot Studio Web 和 Teams 應用程式中設定副手時,副手會看到與 DLP 相關的錯誤,但不會阻止他們執行與 DLP 相關的動作。 此外,在啟用「軟」模式時,製作者無法發布副手。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
若要尋找可能受組織現有 DLP 原則影響的副手,可以:
使用卓越中心 (CoE) 新手套件取得組織中的副手清單。 前往 CoE 儀表板上的 Copilot Studio 概觀頁面,查看組織中的副手和環境名稱。
與組織中的副手製作者一起開展行銷活動,以解決 DLP 錯誤或更新的 DLP 原則。 您可以透過在錯誤通知橫幅中選擇詳細資訊,然後從錯誤訊息詳細資訊中選擇下載來下載所有副手 DLP 錯誤。
啟用副手的 DLP 強制執行
重要
在啟用 DLP 強制實施之前,請確保您知道哪些副手會因違反 DLP 原則而向副手使用者顯示錯誤訊息。
如果遇到問題,可以在製作者修復副手以符合 DLP 原則時停用 DLP 強制執行。
您可以執行下列 PowerShell 命令,在 Copilot Studio 中強制執行 DLP 原則。 副手製作者將無法執行受 DLP 影響的動作,如果觸發,終端使用者將看到錯誤。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
從 DLP 原則中免除 Bot
如果您已為租用戶啟用了 DLP 強制執行,但需要避免副手向建立者和使用者顯示 DLP 錯誤,則可以執行下列 PowerShell 指令碼。
確保將 <environment ID>
、<bot ID>
、<tenant ID>
和 <policy ID>
取代為要豁免之副手的適當識別碼。
提示
您可以從副手的 URL 中找到和 <environment ID>
和 <bot ID>
。
<policy ID>
會列於下載詳細資料檔案中的錯誤詳細資料旁邊。 您可以在 Copilot Studio 的錯誤通知標語上選取下載詳細資料,以下載的檔案。
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
停用副手的 DLP 強制執行
以下命令將在副手中停用 DLP 強制執行。
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled