閱讀英文

共用方式為

為代理程式設定資料外洩防護原則

  • 發行項

透過 Copilot Studio,您可以為您的使用者快速建立和推出可連接許多資料來源和服務的高價值代理程式。 其中一些來源和服務可能是外部的、非 Microsoft 的服務,甚至可能包括社交網路,以及與您的組織資料的連接。

組織資料是資產管理員負責保護的最重要資料。 以受保護的方式使用資料,同時仍與其他服務和系統連接和互動的能力是資料安全的基石。

資料外洩防護 (DLP) 原則讓您可以控制代理程式如何在組織內部和外部連接和與資料和服務互動。 管理員可以在 Power Platform 系統管理中心設定 Copilot Studio 和 Power Platform DLP 原則。

重要

2025 年初,所有租用戶的 DLP 原則強制執行將預設為啟用,如訊息中心警示 MC973179 中所述:Copilot Studio - 即將對資料外洩防護原則實施進行更新。

2025 年 1 月:

  • 預設情況下,所有租用戶中的代理程式的強制執行均設定為已啟用軟強制執行 (以前,預設強制執行是停用的):
    • 將 DLP 強制設定為已停用的現有代理程式會自動變更為已啟用軟強制執行。 新代理程式在建立時預設將 DLP 實作設定為已啟用軟強制執行
    • 如果已發佈的代理程式違反了 DLP 原則,則該代理程式的使用者可以繼續與該代理程式互動,但無法發佈該代理程式的更新。 必須先解決 DLP 原則違規問題,然後才能發佈代理程式。
    • 管理員會記錄 DLP 原則違規行為,而使用者和建立者會看到 DLP 違規警告。 不會阻止使用者使用代理程式。
  • PowerShell cmdlet 不再可用於關閉強制執行。

從 2025 年 2 月開始:

  • 預設情況下,所有租用戶中代理程式的強制執行都將設定為已啟用 - 所有已發佈的代理程式和現有代理程式的更新均受租用戶中定義的 DLP 原則約束。
  • PowerShell cmdlet 不再可用於開啟或關閉強制執行,並且在 2025 年 2 月之後將不再受支援。

了解如何確認租用戶中的強制執行情況

必要條件

Copilot Studio 連接器

Copilot Studio 連接器可以分類於下列資料群組下的 DLP 原則,這些資料群組會在審核 DLP 原則時出現在 Power Platform 管理中心。

  • 業務
  • 非商務
  • 已封鎖

您可以使用 DLP 原則中的連接器來保護組織的資料免於代理程式製作者的任何惡意或無意的資料外洩。

重要

Copilot Studio 支援即時 DLP 原則強制執行。 代理程式制定者和使用者會看到任何 DLP 原則違規的錯誤訊息。

在 DLP 原則中,連接器必須位於同一個資料組中,因為不同群組中的連接器之間無法共用資料。

您可以在 Power Platform 系統管理中心設定 DLP 原則,封鎖下列任何 Copilot Studio 連接器。

連接器名稱 使用案例
Copilot Studio 中的 Application Insights 禁止代理程式將代理程式與 Application Insights 連接
Copilot Studio 中的聊天沒有 Microsoft Entra ID 驗證 禁止代理程式建立者發佈未設定驗證的代理程式。
代理程式使用者必須驗證自己的身分才能與代理程式聊天。
有關詳細資訊,請參閱資料外洩防護範例 - 需要在代理程式中進行使用者驗證
Copilot Studio 中的 Direct Line 管道 禁止代理程式製作者啟用或使用 Direct Line 管道。
例如,示範網站、自訂網站、行動應用程式和其他 Direct Line 管道將被封鎖。
Copilot Studio 中的 Facebook 管道 禁止代理程式製作者啟用或使用 Facebook 管道。
Copilot Studio 中包含 SharePoint 和 OneDrive 的知識來源 禁止代理程式製作者發佈設定了 SharePoint 做為知識來源的代理程式。 支援 DLP 連接器端點篩選,以允許或拒絕端點。
Copilot Studio 中包含文件的知識來源 禁止代理程式建立者發佈設定有文件作為知識來源的代理程式。
Copilot Studio 中包含公開網站和資料的知識來源 禁止代理程式建立者將公共網站設定為知識來源的發佈代理程式。 支援 DLP 連接器端點篩選,以允許或拒絕端點。
Microsoft Copilot Studio 禁止代理程式建立者在 Copilot Studio 代理程式中使用事件觸發程序。
有關更多資訊,請參閱資料外洩防護範例 - 禁止代理程式中的事件觸發程序
Copilot Studio 中的 Microsoft Teams 管道 禁止代理程式建立者啟用或使用 Teams 頻道。
Copilot Studio 中的全通路 禁止代理程式製作者啟用或使用全通路。
Copilot Studio 的技能 禁止代理程式製作者使用 Copilot Studio 代理程式中的技能。
有關更多資訊,請參閱資料外洩防護範例 - 在代理程式中封鎖技能資料外洩防護範例 - 在代理程式中封鎖 HTTP 請求

DLP 原則設定

若要開始使用 Copilot Studio 代理程式治理,請查看以下範例情境:

使用 PowerShell 為組織中的代理程式啟用和管理 DLP 實施

您可以使用 PowerAppDlpErrorSettingsPowerVirtualAgentsDlpEnforcement PowerShell cmdlet 設定是否應將 DLP 原則套用至您的代理程式。

您可以:

  • 確認是否對租用戶中的代理程式強制執行 DLP 原則。
  • 將 DLP 原則強制執行切換到稽核模式 (-Mode SoftEnabled),以便代理程式制定者可以看到錯誤,但不會阻止執行 DLP 強制執行會阻止的操作。
  • 開啟或關閉 DLP 強制執行,以顯示 DLP 強制執行錯誤,並阻止代理程式製作者發佈受 DLP 影響的代理程式或設定與 DLP 相關的設定。
  • 新增並更新當 Copilot Studio 觸發 DLP 原則違規時,向代理程式顯示的詳細資訊和聯絡電子郵件連結。

重要

在使用 PowerShell Cmdlet 或此處顯示的範例指令碼之前,請確認您已使用 PowerShell 安裝以下模組

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

您必須是租用戶系統管理員,才能使用 Cmdlet。

通常,您會依照 DLP 推出程序 (依下列步驟所示) 使用這些 Cmdlet:

  1. 新增或更新代理程式製作者的 DLP 錯誤中顯示的了解更多資訊和管理員聯絡電子郵件連結。

  2. 確定哪些 (如果有) 代理程式目前啟用了 DLP 原則實施。

  3. 使用稽核模式,以便製作者可以在 Copilot Studio Web 和 Teams 應用程式中看到 DLP 錯誤。

  4. 與製作者聯絡並通知他們關於其應用程式或流程的最佳動作,以減輕風險。

  5. 為代理程式開啟嚴格的 DLP 原則強制執行。

重要

不再支援代理程式 DLP 原則強制執行豁免。 先前已免於 DLP 強制執行的代理程式的強制執行將於 2025 年 1 月設定為已啟用軟強制,並於 2025 年 2 月設定為已啟用

您可以使用 Set-PowerAppDlpErrorSettings PowerShell cmdlet 為 DLP 錯誤訊息新增電子郵件地址和「了解更多」連結。

Copilot Studio 中與 DLP 相關的錯誤訊息的螢幕擷取畫面,其中醒目顯示了電子郵件地址和了解更多連結。

首次新增電子郵件地址和了解更多連結時,請執行以下 PowerShell 指令碼,並將 <email><URL><tenant ID> 參數的值替換為您自己的值。

PowerShell 
$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

若要更新現有的設定,請使用相同的 PowerShell 指令碼,然後替換 New-PowerAppDlpErrorSettingsSet-PowerAppDlpErrorSettings

警告

這些設定會套用至指定租用戶中的所有 Power Platform 應用程式。

為代理程式設定 DLP 強制執行

您可以使用 PowerVirtualAgentsDlpEnforcement Cmdlet 在 Copilot Studio 中啟用、停用 、設定和審核 DLP 強制。

在下列任一範例中,以您的租用戶 ID 取代 (或宣告) <tenant ID>

<date> 替換為 MM-DD-YYYY 格式的日期,您可以將範圍限定在特定日期之後所建立的代理程式。 若要移除範圍,請刪除 -OnlyForBotsCreatedAfter 參數及其值。

確認代理程式的 DLP 原則強制執行

預設情況下,代理程式的 DLP 原則強制執行設定為稽核或「軟強制」模式。

執行下列 PowerShell cmdlet 來檢查租用戶的 DLP 原則強制執行狀態。

PowerShell 
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

注意

如果沒有為 Copilot Studio 設定 DLP,則該 cmdlet 的回應為空。

使用稽核模式檢視 Copilot Studio 中的 DLP 錯誤

執行以下 PowerShell 指令碼以在稽核或「軟」模式下啟用 DLP 原則。 當此模式處於活動狀態時,代理程式製作者在 Copilot Studio 中設定代理程式時可以看到與 DLP 相關的錯誤訊息,但不會阻止他們執行與 DLP 相關的動作。 然而,當此模式處於活動狀態時,製作者無法發佈代理程式。

PowerShell 
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

要查詢您的組織的 DLP 原則可能影響的代理程式,您可以:

  • 使用卓越中心 (CoE) 入門套件的 Power BI 儀表板來取得您組織中的代理程式清單。 前往 CoE 儀表板上的 Copilot Studio 概觀頁面,查看組織中的代理程式和環境名稱。

  • 與組織中的代理程式製作者一起進行活動,以解決 DLP 錯誤或更新 DLP 原則。 您可以透過選擇錯誤通知橫幅中的詳細資料,然後從錯誤訊息詳細資料中選擇下載來下載所有代理程式 DLP 錯誤。

為代理程式啟用 DLP 強制執行功能

警告

在啟用 DLP 原則強制執行之前,請確保您知道哪些代理程式可能會因 DLP 原則違規而向使用者報告錯誤。

您可以執行下列 PowerShell 命令,在 Copilot Studio 中強制執行 DLP 原則。 代理程式制定者無法執行違反 DLP 原則的操作,且使用者會看到任何違規行為的錯誤訊息。

PowerShell 
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>