Richtlinien zur Verhinderung von Datenverlust für Agenten konfigurieren
Organisationsdaten sind die wichtigsten Ressourcen, für deren Sicherung Administratoren zuständig sind. Durch die Fähigkeit, auf der Basis dieser Daten Automatisierungen zu entwickeln, ist ein großer Teil des Erfolgs ihres Unternehmens.
Sie können Ihre hochwertigen Agenten schnell erstellen und für Ihre Benutzer einführen. Sie können Ihre Agenten mit vielen Datenquellen und Diensten verbinden. Einige dieser Quellen und Dienste können externe Microsoft-fremde Dienste sein und sogar soziale Netzwerke umfassen.
Es ist leicht, das Potenzial der Exposition zu übersehen. Diese Art der Offenlegung kann durch Datenlecks oder Verbindungen mit Diensten und Zielgruppen entstehen, die keinen Zugriff auf die Daten haben sollten.
Administratoren können Agenten in Ihrer Organisation mithilfe von Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) mit vorhandenen und Copilot Studio Konnektoren steuern. DLP-Richtlinien werden im Power Platform Admin Center erstellt. Um eine DLP-Richtlinie zu erstellen, müssen Sie ein Mandantenadministrator sein oder die Rolle des Umgebungsadministrators haben.
Anforderungen
- Überprüfen Sie Konzepte über DLP-Richtlinien
Copilot Studio-Connectors
Copilot Studio-Konnektoren können innerhalb einer DLP-Richtlinie unter den folgenden Datengruppen klassifiziert werden, die in Power Platform Admin Center beim Überprüfen von DLP-Richtlinien dargestellt werden:
- Unternehmen
- Nicht geschäftlich
- Blockiert
Sie können die Connectors in DLP-Richtlinien verwenden, um die Daten Ihrer Organisation vor böswilliger oder unbeabsichtigter Datenexfiltration durch Ihre Agenten-Erstellenden zu schützen.
Wichtig
Standardmäßig ist die DLP-Durchsetzung für Agents in allen Mandanten deaktiviert. Weitere Informationen über die Aktivierung der Durchsetzung.
Nach der Aktivierung unterstützt Copilot Studio die DLP-Erzwingung in Echtzeit. Beispielsweise werden sowohl Ersteller als auch Benutzer Fehler bei der DLP-Durchsetzung sehen, wenn eine Richtlinie angewendet wird.
Die Konnektoren müssen sich in einer einzigen Datengruppe befinden, da Daten nicht von Konnektoren gemeinsam genutzt werden können, die sich in verschiedenen Gruppen befinden.
Im Copilot Studio Admin Center sind mehrere Power Platform Connectors verfügbar. Diese Connectors können wie folgt für DLP konfiguriert werden:
| Konnektorname | Beschreibung |
|---|---|
| Application Insights in Copilot Studio | Hindern Sie Agenten-Erstellende daran, den Agenten mit Application Insights zu verbinden. |
| Chatten ohne Microsoft Entra ID-Authentifizierung in Copilot Studio | Blockieren Sie Agent-Entwickler von der Veröffentlichung von Agents, die nicht für die Authentifizierung konfiguriert sind. Agenten-Benutzende müssen sich authentifizieren, um mit dem Agenten chatten zu können. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Anfordern einer Benutzerauthentifizierung bei Agents. |
| Direct Line-Kanäle in Copilot Studio | Hindern Sie Agenten-Erstellende daran, den Direct Line-Kanal zu aktivieren oder zu verwenden. Dabei würden zum Beispiel die Demowebsite, die benutzerdefinierte Website, die mobile App und andere Direct Line-Kanäle blockiert. |
| Facebook-Kanal in Copilot Studio | Hindern Sie Agenten-Erstellende daran, den Facebook-Kanal zu aktivieren oder zu verwenden. |
| Wissensquelle mit SharePoint und OneDrive in Copilot Studio | Hindern Sie Agenten-Erstellende daran, Agenten zu veröffentlichen, die mit SharePoint als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio | Hindern Sie Agenten-Erstellende daran, Agenten zu veröffentlichen, die mit öffentlichen Websites als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit Dokumenten in Copilot Studio | Blockieren Sie Agent-Ersteller an der Veröffentlichung von Agenten, die mit Dokumenten als Wissensquelle konfiguriert sind. |
| Microsoft Teams-Kanal in Copilot Studio | Blockieren Sie Agent-Entwickler daran, den Teams-Kanal zu aktivieren oder zu verwenden. |
| Omnichannel in Copilot Studio | Blockieren Sie Agent-Entwickler, den Omnichannel-Kanal zu aktivieren oder zu verwenden. |
| Qualifikationen mit Copilot Studio | Blockieren Sie Agent-Entwickler an der Verwendung von Fertigkeiten in Copilot Studio Agenten. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Fertigkeiten in Agenten blockieren und Beispiel für die Verhinderung von Datenverlust – Blockieren von HTTP-Anforderungen in Agents. |
| Ereignistrigger mit Copilot Studio | Verhindern Sie, dass Agenten-Erstellende Ereignistrigger in Copilot Studio-Agenten verwenden. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Blockieren von Ereignisauslösern in Agents. |
Beispielhafte DLP-Richtlinienkonfigurationen
Um Ihnen den Einstieg in die Copilot Studio Agenten-Governance zu erleichtern, haben wir die folgenden Beispiele erstellt, die verschiedene Szenarien beschreiben:
- Beispiel für die Verhinderung von Datenverlust – Eine Benutzerauthentifizierung bei Agents anfordern
- Beispiel zur Verhinderung von Datenverlust: SharePoint-Wissensquelle in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: Power Platform-Connectors in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: HTTP-Anforderungen in Agenten blockieren
- Beispiel für die Verhinderung von Datenverlust – Fertigkeiten in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: Ereignistrigger in Agenten blockieren
- Beispiel zur Verhinderung von Datenverlust: Die Deaktivierung der Agenten-Veröffentlichung durch Kanäle blockieren
PowerShell verwenden, um die DLP-Durchsetzung für Agenten in Ihrer Organisation zu aktivieren und zu verwalten
Mit den PowerAppDlpErrorSettings- und PowerVirtualAgentsDlpEnforcement-PowerShell Cmdlets können Sie konfigurieren, ob DLP-Richtlinien auf Ihre Agenten angewendet werden sollen.
Sie können Folgendes ausführen:
- Vergewissern Sie sich, ob DLP für Agents in Ihrem Mandanten aktiviert ist.
- Aktivieren oder deaktivieren Sie DLP in einem Überwachungsmodus (
-Mode SoftEnabled), damit Agent-Ersteller Fehler sehen, aber nicht daran gehindert werden, Aktionen auszuführen, die blockiert würden, wenn die DLP-Durchsetzung vollständig aktiviert wäre. - Aktivieren oder deaktivieren Sie die DLP-Erzwingung, um DLP-Erzwingungsfehler anzuzeigen und zu verhindern, dass Agenten-Erstellende von der DLP betroffene Bots veröffentlichen oder mit der DLP zusammenhängende Einstellungen konfigurieren.
- Sie können bestimmte Agenten von der DLP-Erzwingung ausnehmen.
- Fügen Sie die Links zu mehr Informationen und Kontakt-E-Mail-Adressen hinzu, die Agenten-Erstellenden angezeigt werden, wenn sie eine DLP in Copilot Studio Web und in Teams-Apps finden, und aktualisieren Sie sie.
Wichtig
Bevor Sie die PowerShell-Cmdlets oder die hier gezeigten Beispielskripts verwenden, installieren Sie unbedingt die folgenden Module mit PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Sie müssen ein Mandantenadministrator sein, um die cmdlets zu verwenden.
In der Regel würden Sie diese Cmdlets gemäß einem DLP-Rollout-Prozess verwenden, der aus den folgenden Schritten in dieser Reihenfolge bestehen könnte:
Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu, die in DLP-Fehlern für Agent-Ersteller angezeigt werden, oder aktualisieren Sie sie.
Ermitteln Sie, bei welchen Agents (falls vorhanden) derzeit die Durchsetzung der DLP-Richtlinie aktiviert ist.
Verwenden Sie den Auditing- oder „Soft“-Modus, damit Ersteller DLP-Fehler in den Copilot Studio Web- und Teams-Apps sehen können.
Kontaktieren Sie Hersteller und informieren Sie sie über die beste Vorgehensweise für ihre App oder ihren Flow, um das Risiko zu minimieren.
Aktivieren Sie die DLP-Erzwingung für Agenten, um Aufgaben und Features zu verhindern, die von DLP-Richtlinien betroffen sind.
Sie können je nach Anwendungsfall und Anforderungen des Agenten auch einen oder mehrere Agenten von der Erzwingung der DLP-Richtlinie ausnehmen.
Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu und aktualisieren Sie sie
Sie können eine E-Mail und einen Link für weitere Informationen konfigurieren, indem Sie das Set-PowerAppDlpErrorSettings PowerShell-Cmdlet verwenden. Ihre Agent Ersteller sehen diese Informationen, wenn DLP-Fehler auftreten.
Um die E-Mail und den Link „Weitere Informationen“ zum ersten Mal hinzuzufügen, führen Sie das folgende PowerShell-Skript aus und ersetzen dabei die Werte der <email>, <URL> und <tenant ID>-Parameter durch Ihre eigenen.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Um eine vorhandene Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, und ersetzen Sie New-PowerAppDlpErrorSettings durch Set-PowerAppDlpErrorSettings.
Achtung
Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.
DLP-Durchsetzung für Agents aktivieren und konfigurieren
Sie können die DLP-Erzwingung in Copilot Studio mit dem PowerVirtualAgentsDlpEnforcement-Cmdlet aktivieren, deaktivieren, konfigurieren und prüfen.
Ersetzen (oder deklarieren) Sie in einem der folgenden Beispiele <tenant ID> durch Ihre Mandanten-ID.
Sie können den Geltungsbereich auf Agenten beschränken, die nach einem bestimmten Datum erstellt wurden, indem Sie <date> durch ein Datum im Format MM-DD-YYYY ersetzen. Um den Bereich zu entfernen, löschen Sie den -OnlyForBotsCreatedAfter-Parameter und seinen Wert.
DLP-Durchsetzung für Agents bestätigen
Standardmäßig ist die DLP-Durchsetzung für Agents in allen Mandanten deaktiviert.
Sie können das folgende PowerShell-Cmdlet ausführen, um zu überprüfen, ob DLP für Copilot Studio für einen Mandanten aktiviert ist.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Notiz
Wenn Sie Copilot Studio DLP nicht konfiguriert haben, sind die Ergebnisse des Cmdlets leer.
Den Auditing- oder „Soft“-Modus verwenden, um DLP-Fehler in den Copilot Studio Web- oder Teams-Apps anzuzeigen
Führen Sie das folgende PowerShell-Skript aus, um DLP-Richtlinien im Überwachungsmodus zu aktivieren. Agenten-Erstellende erhalten einen mit der DLP zusammenhängende Fehler, wenn sie Agenten im Copilot Studio Web und in Teams-Apps konfigurieren, werden aber nicht daran gehindert, mit der DLP zusammenhängende Aktionen durchzuführen. Darüber hinaus können Ersteller keine Agenten veröffentlichen, wenn der weiche Modus aktiviert ist.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
So suchen Sie nach Agents, die von den vorhandenen DLP-Richtlinien Ihrer Organisation betroffen sein könnten:
Verwenden Sie das Center of Excellence (CoE) Starter Kit , um eine Liste der Agents in Ihrer Organisation abzurufen. Wechseln Sie zur Copilot Studio Übersichtsseite im CoE-Dashboard, um die Agenten- und Umgebungsnamen in Ihrer Organisation anzuzeigen.
Führen Sie eine Kampagne mit den Agenten-Erstellenden in Ihrer Organisation durch, um DLP-Fehler oder aktualisierte DLP-Richtlinien zu beheben. Sie können alle Agenten-DLP-Fehler herunterladen, indem Sie im Fehlerbenachrichtigungsbanner Details und in den Fehlermeldungsdetails Herunterladen auswählen.
DLP-Durchsetzung für Agents aktivieren
Wichtig
Stellen Sie vor dem Aktivieren der DLP-Durchsetzung sicher, dass Sie wissen, welche Agents Ihren Agent-Benutzern aufgrund von Verstößen gegen die DLP-Richtlinien Fehler anzeigen.
Wenn Probleme auftreten, können Sie einen Agenten von DLP-Richtlinien ausnehmen oder die DLP-Erzwingung deaktivieren, während Ihre Erstellenden den Agenten reparieren, damit er den DLP-Richtlinien entspricht.
Sie können den folgenden PowerShell-Befehl ausführen, um Copilot Studio DLP-Richtlinien zu erzwingen. Agenten-Erstellende werden daran gehindert, von der DLP beeinflusste Aktionen auszuführen, und Benutzende erhalten Fehlermeldungen, wenn sie ausgelöst werden.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Einen Bot von DLP-Richtlinien ausnehmen
Wenn Sie die DLP-Erzwingung für Ihren Mandanten aktiviert haben, aber einen Agenten von der Anzeige von DLP-Fehlern für Erstellende und Benutzende ausnehmen müssen, können Sie das folgende PowerShell-Skript ausführen.
Stellen Sie sicher, dass Sie <environment ID>, <bot ID>, <tenant ID> und <policy ID> mit den entsprechenden IDs für den Agenten, den Sie ausnehmen möchten, ersetzen.
Tipp
Sie finden die <environment ID> und <bot ID> in der URL des Agenten.
Die <policy ID> wird neben den Fehlerdetails in der Einzelheiten herunterladen-Datei aufgeführt. Sie können diese Datei herunterladen, indem Sie Einzelheiten herunterladen auf dem Fehlerbenachrichtigungsbanner in Copilot Studio auswählen.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
DLP-Durchsetzung für Agents deaktivieren
Mit dem folgenden Befehl wird die DLP-Durchsetzung in Agents deaktiviert.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled