Configurare i criteri dei dati prevenzione delle perdite per gli agenti
I dati organizzativi sono la cosa più importante che gli amministratori delle risorse devono salvaguardare. La capacità di creare automazione per utilizzare tali dati è una parte importante del successo dell'azienda.
Puoi creare e distribuire rapidamente i tuoi agenti di alto valore per i tuoi utenti finali. Puoi Connetti i tuoi agenti con numerose fonti di dati e servizi. Alcune di queste origini e servizi potrebbero essere servizi non Microsoft esterni e includere anche alcuni social network.
È facile trascurare il potenziale per l'esposizione. Questo tipo di esposizione può derivare da una fuga di dati o da connessioni a servizi e gruppi di destinatari che non dovrebbero avere accesso ai dati.
Gli amministratori possono gestire gli agenti nella tua organizzazione utilizzando policy di dati prevenzione delle perdite (DLP) con connettori esistenti. Copilot Studio I criteri DLP vengono creati nell'interfaccia di amministrazione di Power Platform. Per creare un criterio DLP, devi essere un amministratore di tenant o avere il ruolo Amministratore di ambiente.
Prerequisiti
- Rivedere i concetti sui criteri DLP
Connettori Copilot Studio
I connettori Copilot Studio possono essere classificati all'interno di un criterio DLP nei seguenti gruppi di dati, presentati nell'interfaccia di amministrazione di Power Platform durante la revisione dei criteri DLP:
- Azienda
- Non aziendale
- Bloccato
Puoi utilizzare i connettori nei criteri DLP per proteggere i dati della tua organizzazione da qualsiasi esfiltrazione di dati dannosa o involontaria da parte dei tuoi creatori di agente.
Importante
Per impostazione predefinita, l'applicazione DLP per gli agenti è disabilitata in tutti i tenant. Scopri come abilitare l'applicazione delle misure .
I connettori devono trovarsi in un unico gruppo di dati poiché i dati non possono essere condivisi tra connettori che si trovano in gruppi diversi.
Vari connettori Copilot Studio sono disponibili nell'interfaccia di amministrazione di Power Platform. Questi connettori possono essere configurati per DLP come segue:
| Nome del connettore | Descrzione |
|---|---|
| Application Insights in Copilot Studio | Impedisci ai creatori di agente di collegare agente con Application Insights. |
| Chat senza autenticazione Microsoft Entra ID in Copilot Studio | Impedisci ai creatori di agente di pubblicare agenti che non sono configurati per l'autenticazione. Gli utenti agente devono autenticarsi per chattare con agente. Per ulteriori informazioni, vedere Esempio di dati Multicanale - Richiedi autenticazione dell'utente finale negli agenti. |
| Canali Direct Line in Copilot Studio | Impedisci ai creatori di agente di abilitare o utilizzare il canale Direct Line . Ad esempio, il sito Web demo, il sito Web personalizzato, l'app per dispositivi mobili e altri canali Direct Line verrebbero bloccati. |
| Canale Facebook in Copilot Studio | Impedisci ai creatori di agente di abilitare o utilizzare il canale Facebook . |
| Origine di conoscenza con SharePoint e OneDrive in Copilot Studio | Impedisci ai creatori di agente di pubblicare agenti configurati con SharePoint come fonte di conoscenza. Supporta il filtro dell'endpoint del connettore DLP per consentire o negare gli endpoint. |
| Origine di conoscenza con dati e siti Web pubblici in Copilot Studio | Impedisci ai creatori di agente di pubblicare agenti configurati con siti web pubblici come fonte di conoscenza. Supporta il filtro dell'endpoint del connettore DLP per consentire o negare gli endpoint. |
| Origine di conoscenza con documenti in Copilot Studio | Impedisci ai creatori di agente di pubblicare agenti configurati con documenti come fonte di conoscenza. |
| Canale Microsoft Teams in Copilot Studio | Impedisci ai creatori di agente di abilitare o utilizzare il canale Teams. |
| Multicanale in Copilot Studio | Impedisci ai creatori di agente di abilitare o utilizzare il canale proteggere. |
| Competenze con Copilot Studio | Impedisci ai creatori di agente di utilizzare capacità negli Copilot Studio agenti. Per ulteriori informazioni, vedere Esempio di dati prevenzione delle perdite - Blocco capacità negli agenti e Esempio di dati prevenzione delle perdite - Blocco delle richieste HTTP negli agenti. |
| Trigger di eventi con Copilot Studio | Impedisci ai creatori di agente di utilizzare trigger di eventi negli agenti. Copilot Studio Per ulteriori informazioni, vedere Esempio di dati prevenzione delle perdite - Bloccare i trigger di eventi negli agenti. |
Esempio di configurazioni di criteri DLP
Per aiutarti a iniziare con la governance di Copilot Studio agente, abbiamo creato i seguenti esempi che descrivono in dettaglio diversi scenari:
- Esempio di dati prevenzione delle perdite - Richiedi l'autenticazione dell'utente finale negli agenti
- Esempio di dati prevenzione delle perdite - Blocca SharePoint fonte di conoscenza negli agenti
- Esempio di dati prevenzione delle perdite - Blocco Power Platform Connettori negli agenti
- Esempio di dati prevenzione delle perdite - Blocca le richieste HTTP negli agenti
- Esempio di dati #glsr_cfigiedz - Blocco capacità negli agenti
- Esempio di dati prevenzione delle perdite - Blocca i trigger degli eventi negli agenti
- Esempio di dati prevenzione delle perdite - Blocca i canali per disabilitare la pubblicazione di agente
Utilizzare PowerShell per abilitare e amministrare l'applicazione DLP per gli agenti nella propria organizzazione
È possibile configurare se i criteri DLP devono essere applicati agli agenti con i cmdlet PowerAppDlpErrorSettings e PowerVirtualAgentsDlpEnforcement PowerShell.
È possibile:
- Verifica se DLP è abilitato per gli agenti nel tuo tenant.
- Abilitare o disabilitare DLP in modalità di controllo (
-Mode SoftEnabled) in modo che i creatori di agente possano vedere gli errori, ma non venga loro impedito di eseguire azioni che verrebbero bloccate se l'applicazione di DLP fosse completamente abilitata. - Abilita o disabilita l'applicazione DLP per visualizzare gli errori di applicazione DLP e impedire ai creatori di agente di pubblicare bot interessati da DLP o di configurare impostazioni correlate a DLP.
- Esentare specifici agenti dall'applicazione della legge DLP.
- Aggiungere e aggiornare i link per saperne di più e per contattare gli autori di agente quando incontrano DLP nelle app Web e Teams. Copilot Studio
Importante
Prima di utilizzare i cmdlet di PowerShell o gli script di esempio mostrati qui, assicurati di installare i seguenti moduli utilizzando PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Devi essere un amministratore del tenant per usare i cmdlet.
In genere, questi cmdlet vengono utilizzati in base a un processo di rollout DLP, che potrebbe consistere nei seguenti passaggi, nell'ordine:
Aggiungere o aggiornare i link per saperne di più e per contattare l'amministratore tramite e-mail visualizzati negli errori DLP per i creatori di agente.
Determinare quali agenti (se presenti) hanno attualmente abilitato l'applicazione dei criteri DLP.
Usa la modalità di controllo o "soft" in modo che i produttori possano vedere gli errori DLP nelle app Copilot Studio Web e Teams.
Riduci il rischio contattando i produttori e informandoli sulla migliore linea d'azione per la loro app o flusso.
Abilitare l'applicazione DLP per gli agenti per impedire attività e funzionalità interessate da DLP.
Potresti anche decidere di esentare uno o più agenti dall'applicazione delle policy DLP, a seconda del caso d'uso e dei requisiti di agente.
Aggiungere e aggiornare i collegamenti e-mail per ulteriori informazioni e per i contatti dell'amministratore
È possibile configurare un'e-mail e un collegamento per ulteriori informazioni utilizzando il cmdlet Set-PowerAppDlpErrorSettings di PowerShell. I creatori di agente vedranno queste informazioni quando riscontrano errori DLP.
Per aggiungere l'e-mail e il collegamento per ulteriori informazioni per la prima volta, esegui il seguente script di PowerShell, sostituendo i valori per i parametri <email>, <URL>, e <tenant ID> con i tuoi.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Per aggiornare una configurazione esistente, usa lo stesso script di PowerShell e sostituisci New-PowerAppDlpErrorSettings con Set-PowerAppDlpErrorSettings.
Attenzione
Queste impostazioni si applicano a tutte le app Power Platform all'interno del tenant specificato.
Abilitare e configurare l'applicazione DLP per gli agenti
È possibile abilitare, disabilitare, configurare e controllare l'applicazione dei DLP in Copilot Studio con i cmdlet PowerVirtualAgentsDlpEnforcement.
In uno dei seguenti esempi, sostituisci (o dichiara) <tenant ID> con l'ID del tuo tenant.
È possibile limitare l'ambito agli agenti creati dopo una certa data sostituendo <date> con una data nel formato MM-DD-YYYY. Per rimuovere l'ambito, eliminare il parametro -OnlyForBotsCreatedAfter e il suo valore.
Confermare l'applicazione DLP per gli agenti
Per impostazione predefinita, l'applicazione DLP per gli agenti è disabilitata in tutti i tenant.
È possibile eseguire il seguente cmdlet di PowerShell per verificare se i DLP per Copilot Studio sono abilitati per un tenant.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Se non hai configurato i DLP di Copilot Studio, i risultati del cmdlet saranno vuoti.
Usare la modalità di controllo o "soft" per vedere gli errori DLP nelle app Copilot Studio Web o Teams
Esegui lo script PowerShell seguente per abilitare i criteri DLP in modalità di controllo. I creatori di agente visualizzeranno errori correlati a DLP durante la configurazione degli agenti nelle app Web e Teams, ma non verrà loro impedito di eseguire azioni correlate a DLP. Copilot Studio Inoltre, i produttori non possono pubblicare agenti mentre è abilitata la modalità soft .
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Per individuare gli agenti che potrebbero essere interessati dalle policy DLP esistenti nella tua organizzazione, puoi:
Utilizza il Kit di avvio del Centro di eccellenza (CoE) per ottenere un elenco degli agenti nella tua organizzazione. Vai alla pagina di panoramica sulla dashboard CoE per visualizzare gli agenti e i nomi ambiente nella tua organizzazione. Copilot Studio
Avvia una campagna con i creatori di agente nella tua organizzazione per correggere gli errori DLP o aggiornare le policy DLP. Puoi scaricare tutti gli errori DLP agente selezionando Dettagli nel banner di notifica degli errori e selezionando Scarica dai dettagli del messaggio di errore.
Abilita l'applicazione DLP per gli agenti
Importante
Prima di abilitare l'applicazione DLP, assicurati di sapere quali agenti mostreranno errori agli utenti agente a causa di violazioni della policy DLP.
In caso di problemi, puoi esentare un agente dalle policy DLP o disabilitare l'applicazione di DLP mentre i tuoi creatori correggono agente per renderlo conforme alle policy DLP.
Puoi eseguire il comando PowerShell seguente per applicare i criteri DLP in Copilot Studio. Ai creatori di agente sarà impedito di eseguire azioni che interessano DLP e gli utenti finali visualizzeranno degli errori se grilletto.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Escludere un bot dai criteri DLP
Se hai abilitato l'applicazione DLP per il tuo tenant, ma devi esentare un agente dalla visualizzazione degli errori DLP a creatori e utenti, puoi eseguire il seguente script PowerShell.
Assicurati di sostituire <environment ID>, <bot ID>, <tenant ID> e <policy ID> con gli ID appropriati per l'agente che vuoi esentare.
Suggerimento
Puoi trovare <environment ID> e <bot ID> nell'URL agente.
<policy ID> è elencato insieme ai dettagli dell'errore nel file Scarica dettagli. Puoi scaricare il file selezionando Scarica i dettagli sul banner di notifica di errore in Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Disabilitare l'applicazione DLP per gli agenti
Il seguente comando disabiliterà l'applicazione DLP negli agenti.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled