Configurar políticas de dados prevenção contra perdas para agentes
Os dados de sua organização são um dos ativos mais importantes pelos quais você é responsável por proteger. A capacidade de criar automação para usar esses dados é uma parte significativa do sucesso da sua empresa.
Você pode criar e implementar rapidamente seus agentes de alto valor para seus usuários finais. Você pode conectar seus agentes a muitas fontes de dados e serviços. Alguns desses serviços e origens podem ser externos, serviços de terceiros e podem incluir até mesmo redes sociais.
É fácil ignorar o potencial da exposição. Esse tipo de exposição pode resultar em vazamento de dados ou conexões com serviços e públicos que não deveriam ter acesso aos dados.
Os administradores podem controlar agentes em sua organização usando políticas de dados prevenção contra perdas (DLP) com conectores e Copilot Studio existentes. As políticas de DLP são criadas no centro de administração do Power Platform. Para criar uma política DLP, você deve ser um administrador de locatários ou ter a função de Administrador de Ambiente.
Pré-requisitos
- Revisar os conceitos sobre Políticas DLP
Conectores do Copilot Studio
Os conectores do Copilot Studio podem ser classificados dentro de uma política DLP nos seguintes grupos de dados, que são apresentados no centro de administração do Power Platform ao revisar as políticas DLP:
- Negócios
- Não comercial
- Bloqueado
Você pode usar os conectores nas políticas de DLP para proteger proteger os dados da sua organização de qualquer exfiltração de dados maliciosa ou não intencional por seus criadores.
Importante
Por padrão, a aplicação de DLP para agentes está desabilitada em todos os locatários. Saiba mais sobre como habilitar a execução.
Os conectores precisam estar em um único grupo de dados, pois os dados não podem ser compartilhados entre conectores que estão em grupos diferentes.
Vários conectores do Copilot Studio estão disponíveis no centro de administração do Power Platform. Esses conectores podem ser configurados para DLP assim:
| Nome do conector | Description |
|---|---|
| Application Insights no Copilot Studio | Bloquear os criadores de agente de conectar agente com Application Insights. |
| Chat sem autenticação do Microsoft Entra ID no Copilot Studio | Bloqueie os criadores do agente de agentes de publicação que não estejam configurados para autenticação. Os usuários do agente devem se autenticar para conversar com o agente. Para obter mais informações, consulte Exemplo de dados prevenção contra perdas - Exigir autenticação do usuário final em agentes. |
| Canais do Direct Line no Copilot Studio | Impedir que os criadores do agente habilitem ou usem o canal Direct Line . Por exemplo, o site de demonstração, o site personalizado, o aplicativo móvel e outros canais do Direct Line seriam bloqueados. |
| Canal do Facebook no Copilot Studio | Impedir que os criadores do agente habilitem ou usem o canal. Facebook |
| Fonte de conhecimento com o SharePoint e o OneDrive no Copilot Studio | Bloqueie os criadores de agente de agentes de publicação configurados com SharePoint como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade. |
| Fonte de conhecimento com sites públicos e dados no Copilot Studio | Bloqueie os criadores de agente de agentes de publicação configurados com sites públicos como fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade. |
| Fonte de conhecimento com documentos no Copilot Studio | Bloqueie os criadores de agente de agentes de publicação configurados com documentos como fonte de conhecimento. |
| Canal do Microsoft Teams no Copilot Studio | Impedir que os criadores do agente habilitem ou usem o canal do Teams. |
| Omnicanal no Copilot Studio | Impedir que os criadores do agente habilitem ou usem o canal Omnicanal. |
| Habilidades com Copilot Studio | Bloqueie os criadores de agente de usar habilidades em Copilot Studio agentes. Para obter mais informações, consulte Exemplo de dados prevenção contra perdas - Bloquear habilidades em agentes e Exemplo de dados prevenção contra perdas - Bloquear solicitações HTTP em agentes. |
| Evento dispara com Copilot Studio | Impedir que os criadores do agente usem gatilhos de eventos em Copilot Studio agentes. Para obter mais informações, consulte Exemplo de dados prevenção contra perdas - Bloquear gatilhos de eventos em agentes. |
Exemplo de configurações da política DLP
Para ajudar você a começar com a governança do agente, criamos os seguintes exemplos que detalham diferentes cenários: Copilot Studio
- Exemplo de dados prevenção contra perdas - Exigir autenticação do usuário final em agentes
- Exemplo de dados prevenção contra perdas - Bloquear SharePoint fonte de conhecimento em agentes
- Exemplo de dados prevenção contra perdas - Conectores de bloco em agentes Power Platform
- Exemplo de dados prevenção contra perdas - Bloquear solicitações HTTP em agentes
- Exemplo de dados prevenção contra perdas - Bloco habilidades em agentes
- Exemplo de dados prevenção contra perdas - Bloquear gatilhos de eventos em agentes
- Exemplo de dados prevenção contra perdas - Bloquear canais para desabilitar a publicação agente
Use PowerShell para habilitar e administrar a aplicação de DLP para agentes em sua organização
Você pode configurar se as políticas DLP devem ser aplicadas aos seus agentes com os cmdlets PowerAppDlpErrorSettings e PowerVirtualAgentsDlpEnforcement PowerShell.
Você pode:
- Confirme se o DLP está habilitado para agentes no seu locatário.
- Habilite ou desabilite o DLP em um modo de auditoria (
-Mode SoftEnabled) para que os criadores do agente possam ver erros, mas não sejam impedidos de executar ações que seriam bloqueadas se a aplicação do DLP estivesse totalmente habilitada. - Habilite ou desabilite a aplicação de DLP para mostrar erros de aplicação de DLP e impedir que os criadores do agente publiquem bots afetados por DLP ou configurem configurações relacionadas a DLP.
- Isentar agentes específicos da aplicação do DLP.
- Adicione e atualize os links de e-mail de contato e saiba mais que são exibidos aos criadores do agente quando eles encontram DLP nos aplicativos Web e Teams. Copilot Studio
Importante
Antes de usar os cmdlets do PowerShell ou os scripts de exemplo mostrados aqui, instale os módulos a seguir usando o PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Você precisa ser administrador de locatários para usar os cmdlets.
Normalmente, você usaria esses cmdlets de acordo com um processo de distribuição de DLP, que pode consistir nas seguintes etapas, na ordem:
Adicione ou atualize os links de e-mail de contato do administrador e saiba mais que são exibidos nos erros de DLP para fabricantes de agente.
Determine quais agentes (se houver) têm a aplicação da política DLP habilitada no momento.
Use o modo de auditoria ou "flexível" para que os fabricantes possam ver erros de DLP nos aplicativos da Web do Copilot Studio e do Teams.
Reduza o risco ao contatar criadores e informá-los sobre a melhor medida para o aplicativo ou fluxo.
Habilite a aplicação de DLP para agentes para evitar tarefas e recursos afetados por DLP.
Você também pode decidir isentar um ou mais agentes da aplicação da política de DLP, dependendo do caso de uso e dos requisitos do agente.
Adicione e atualize os links saiba mais e email de contato do administrador
Você pode configurar um link saiba mais e email usando o cmdlet Set-PowerAppDlpErrorSettings do PowerShell. Os criadores do seu agente verão essas informações quando tiverem erros de DLP.
Para adicionar o link saiba mais e email pela primeira vez, execute o seguinte script do PowerShell, substituindo os valores dos parâmetros de <email>, <URL> e <tenant ID> pelos seus.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Para atualizar uma configuração existente, use o mesmo script do PowerShell e substitua New-PowerAppDlpErrorSettings por Set-PowerAppDlpErrorSettings.
Cuidado
Essas configurações se aplicam a todos os aplicativos do Power Platform no locatário especificado.
Habilitar e configurar a aplicação de DLP para agentes
Você pode habilitar, desabilitar, configurar e auditar a aplicação de DLP dentro do Copilot Studio com o cmdlet do PowerVirtualAgentsDlpEnforcement.
Em qualquer um dos exemplos a seguir, substitua (ou declare) <tenant ID> com o ID do seu locatário.
Você pode definir o escopo para agentes criados após uma determinada data substituindo <date> por uma data no formato MM-DD-YYYY. Para remover o escopo, exclua o parâmetro -OnlyForBotsCreatedAfter e seu valor.
Confirmar a aplicação do DLP para agentes
Por padrão, a aplicação de DLP para agentes está desabilitada em todos os locatários.
Você pode executar o seguinte cmdlet do PowerShell para verificar se DLP para Copilot Studio está habilitado para um locatário.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Nota
Se você não configurou a DLP do Copilot Studio, os resultados do cmdlet estarão vazios.
Use o modo de auditoria ou "flexível" para ver os erros de DLP nos aplicativos da Web do Copilot Studio e do Teams
Execute o seguinte script do PowerShell para habilitar as políticas DLP no modo de auditoria. Os criadores do agente verão erros relacionados ao DLP ao configurar agentes nos aplicativos Web e Teams, mas não serão impedidos de executar ações relacionadas ao DLP. Copilot Studio Além disso, os fabricantes não conseguem publicar agentes enquanto o modo suave está ativado.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Para encontrar agentes que podem ser afetados pelas políticas de DLP existentes na sua organização, você pode:
Use o Kit Inicial do Centro de Excelência (CoE) para obter uma lista de agentes em sua organização. Acesse a Copilot Studio página de visão geral no Painel do CoE para ver os agentes e nomes de ambientes em sua organização.
Execute uma campanha com os criadores do agente na sua organização para resolver erros de DLP ou políticas de DLP atualizadas. Você pode baixar todos os erros DLP agente selecionando Detalhes no banner de notificação de erro e selecionando Baixar nos detalhes da mensagem de erro.
Habilitar a aplicação de DLP para agentes
Importante
Antes de habilitar a aplicação do DLP, certifique-se de saber quais agentes mostrarão erros aos seus usuários agente devido a violações da política de DLP.
Se você tiver problemas, poderá isentar um agente das políticas de DLP ou desabilitar a aplicação do DLP enquanto seus criadores corrigem o agente para cumprir com as políticas de DLP.
Você pode executar o seguinte comando do PowerShell para aplicar políticas DLP no Copilot Studio. Os criadores do agente serão impedidos de executar ações impactadas pelo DLP, e os usuários finais verão erros se eles Gatilho.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Isentar um bot das políticas DLP
Se você habilitou a aplicação de DLP para seu locatário, mas precisa isentar um agente de mostrar erros de DLP para fabricantes e usuários, você pode executar o seguinte script PowerShell.
Certifique-se de substituir <environment ID>, <bot ID>, <tenant ID> e <policy ID> pelos IDs apropriados para o agente que você deseja isentar.
Dica
Você pode encontrar o <environment ID> e <bot ID> na URL do agente.
A <policy ID> é listada ao lado dos detalhes do erro no arquivo Detalhes do download. Você pode baixar esse arquivo selecionando Detalhes de download no banner de notificação de erro no Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Desabilitar a aplicação de DLP para agentes
O comando a seguir desabilitará a aplicação de DLP em agentes.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled