Aracılar için veri kaybı önleme politikalarını yapılandırın
Kuruluş verileri, yöneticilerin korumakla sorumlu olduğu en önemli varlıklardır. Bu verileri kullanmak için otomasyon oluşturma yeteneği, şirket başarısının büyük bir parçasıdır.
Kullanıcılarınız için yüksek değerli aracılarınızı hızla oluşturabilir ve kullanıma sunabilirsiniz. Aracılarınızı birçok veri kaynağına ve hizmete bağlayabilirsiniz. Bu kaynak ve hizmetlerden bazıları Microsoft dışı harici hizmetler olabilir ve sosyal ağları bile içerebilir.
İhlal olasılığı kolayca gözden kaçırılabilir. Bu tür bir açığa çıkma, veri sızıntısı veya verilere erişmemesi gereken hizmetlere ve hedef kitlelere bağlantı nedeniyle gerçekleşebilir.
Yöneticiler, mevcut ve Copilot Studio bağlayıcılarla veri kaybı önleme (DLP) ilkelerini kullanarak kuruluşunuzdaki aracıları yönetebilir. DLP ilkeleri, Power Platform Yönetim Merkezi 'nde oluşturulur. Bir DLP İlkesi oluşturmak için, bir kiracı yöneticisi olmanız veya Ortam Yöneticisi rolüne sahip olmanız gerekir.
Önkoşullar
- DLP ilkeleri ile ilgili kavramları gözden geçirin
Copilot Studio bağlayıcıları
Copilot Studio bağlayıcıları, DLP ilkelerini gözden geçirirken Power Platform Yönetim merkezinde sunulan aşağıdaki veri grupları altında bir DLP İlkesi içinde sınıflandırılabilir:
- İşletme
- İşletme dışı
- Engellendi
Kuruluşunuzun verilerini aracı oluşturucularınız tarafından yapılan kötü amaçlı veya kasıtsız veri sızdırmalarına karşı korumak için DLP ilkelerindeki bağlayıcıları kullanabilirsiniz.
Önemli
Varsayılan olarak, aracılar için DLP zorlaması tüm kiracılarda devre dışıdır. Etkinleştirmeye zorlama hakkında bilgi edinin.
Copilot Studio, DLP uygulamasını gerçek zamanlı olarak destekler. Aracı oluşturucular ve kullanıcılar, DLP ilkeleri etkin hale gelir gelmez geçerli DLP zorlama hata iletilerini görür.
DLP ilkesinde, veriler farklı gruplardaki bağlayıcılar arasında paylaşılamadığından bağlayıcıların aynı veri grubunda olması gerekir.
Aşağıdaki Copilot Studio bağlayıcıdan herhangi birini engellemek için Power Platform yönetim merkezinde DLP politikalarını yapılandırabilirsiniz.
| Bağlayıcı adı | Kullanım örneği |
|---|---|
| Copilot Studio'teki Application Insights | Aracı üreticilerinin aracıları Application Insights ile bağlamasını engelleyin. |
| Copilot Studio'ta Microsoft Entra ID doğrulaması olmadan sohbet | Aracı oluşturucuların kimlik doğrulaması için yapılandırılmamış aracıları yayınlamasını engelleyin. Aracı kullanıcıların, aracıyla sohbet edebilmek için kimlik doğrulaması yapmaları gerekir. Daha fazla bilgi için bkz: Veri kaybını önleme örneği - Aracılarda kullanıcı kimlik doğrulaması gerektirme. |
| Copilot Studio'daki Direct Line kanalları | Aracıların Direct Line kanalı etkinleştirmesini veya kullanmasını engelleyin. Örneğin, Demo web sitesi, Özel web sitesi, Mobil uygulama ve diğer Direct Line kanallar engellenirdi. |
| Copilot Studio'ta Facebook kanalı | Aracıların Facebook kanalı etkinleştirmesini veya kullanmasını engelleyin. |
| Copilot Studio'da SharePoint ve OneDrive ile bilgi bankası kaynağı | Aracıların, bilgi kaynağı olarak SharePoint ile yapılandırılmış aracıları yayımlamasını engelleyin. Bitiş noktalarını izin vermek veya reddetmek için DLP konektörü uç nokta filtrelemeyi destekler. |
| Copilot Studio içindeki belgeli bilgi kaynağı | Aracı oluşturucuların bilgi kaynağı olarak belgelerle yapılandırılmış aracıları yayınlamasını engelleyin. |
| Herkese açık web siteleri ve Copilot Studio'daki verilerle bilgi bankası kaynağı | Aracı oluşturucuların bilgi kaynağı olarak genel web siteleriyle yapılandırılmış aracıları yayınlamasını engelleyin. Bitiş noktalarını izin vermek veya reddetmek için DLP konektörü uç nokta filtrelemeyi destekler. |
| Microsoft Copilot Studio | Aracı oluşturucuların Copilot Studio aracılarda olay tetikleyicileri kullanmasını engelleyin. Daha fazla bilgi için bkz: Veri kaybı önleme örneği - Aracılarda olay tetikleyicilerini engelleme. |
| Copilot Studio'ta Microsoft Teams kanalı | Aracı oluşturucuların Teams kanalını etkinleştirmesini veya kullanmasını engelleyin. |
| Copilot Studio'ta çok yönlü kanal | Aracı oluşturucuların Çok Yönlü Kanal kanalını etkinleştirmesini veya kullanmasını engelleyin. |
| Copilot Studio ile beceriler | Aracı oluşturucuların Copilot Studio aracılarındaki becerileri kullanmasını engelleyin. Daha fazla bilgi için bkz: Veri kaybı önleme örneği - Aracılarda becerileri engelleme ve Veri kaybını önleme örneği - Aracılarda HTTP isteklerini engelleme. |
Örnek DLP ilkesi yapılandırmaları
Copilot Studio aracı yönetimine başlamak için aşağıdaki örnek senaryoları inceleyin:
- Veri kaybını önleme örneği - Aracılarda kullanıcı kimlik doğrulaması gerektirme
- Veri kaybını önleme örneği - Aracılarda SharePoint bilgi kaynağını engelleme
- Veri kaybını önleme örneği - Aracılarda Power Platform Bağlayıcıları Engelleme
- Veri kaybını önleme örneği - Aracılarda HTTP isteklerini engelleme
- Veri kaybını önleme örneği - Aracılarda becerileri engelleme
- Veri kaybını önleme örneği - Aracılarda olay tetikleyicilerini engelleme
- Veri kaybını önleme örneği - Aracı yayımlamayı devre dışı bırakmak için kanalları engelleme
Kuruluşunuzdaki aracılar için DLP zorlamasını etkinleştirmek ve yönetmek için PowerShell kullanın
DLP politikalarının aracılarınıza uygulanıp uygulanmayacağını PowerAppDlpErrorSettings ve PowerVirtualAgentsDlpEnforcement PowerShell cmdlet'leriyle yapılandırabilirsiniz.
Şunları yapabilirsiniz:
- DLP'nin kiracınızdaki aracılar için etkinleştirilip etkinleştirilmediğini onaylayın.
- Aracı oluşturucuların hataları görebilmesi, ancak DLP zorlaması tam olarak etkinleştirildiğinde engellenecek eylemleri gerçekleştirmesi engellenmemesi için DLP'yi denetim modunda (
-Mode SoftEnabled) etkinleştirin veya devre dışı bırakın. - DLP zorlama hatalarını göstermek ve aracı oluşturucuların DLP'den etkilenen botları yayınlamasını veya DLP ile ilgili ayarları yapılandırmasını önlemek için DLP zorlamayı etkinleştirin veya devre dışı bırakın.
- Belirli aracıları DLP uygulamasından muaf tutma.
- Aracı üreticilerinin Copilot Studio web ve Teams uygulamalarında DLP ile karşılaştıklarında gösterilecek daha fazla bilgi edinme ve iletişim e-posta bağlantılarını ekleyin ve güncelleyin.
Önemli
PowerShell cmdlet'lerini veya burada gösterilen örnek betikleri kullanmadan önce, PowerShell kullanarak aşağıdaki modülleri yüklediğinizden emin olun.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Cmdlet'leri kullanmak için kiracı yöneticisi olmanız gerekir.
Tipik olarak, bu cmdlet'leri aşağıdaki adımlardan oluşabilecek DLP dağıtma işlemine uygun şekilde şu amaçlarla kullanırsınız:
Aracı oluşturucular için DLP hatalarında gösterilen daha fazla bilgi ve yönetici iletişim e-posta bağlantılarını ekleyin veya güncelleştirin.
Şu anda hangi (varsa) aracılarda DLP ilkesi uygulamasının etkinleştirildiğini belirleyin.
Oluşturucuların Copilot Studio web ve Teams uygulamarında DLP hatalarını görebilmesi için denetim veya "yazılım" modunu kullanma.
Oluşturuculara başvurarak ve onları uygulamaları veya akışları için en iyi eylemler hakkında bilgilendirerek riski en aza indirmek.
DLP'den etkilenen görevleri ve özellikleri önlemek için aracılar için DLP uygulamasını etkinleştirin.
Ayrıca, aracının kullanım örneğine ve gereksinimlerine bağlı olarak bir veya daha fazla aracıyı DLP ilkesi uygulamasından muaf tutmaya da karar verebilirsiniz.
Daha fazla bilgi ve yönetici iletişim e-postası bağlantıları ekleme ve güncelleştirme
DLP hata mesajlarına bir e-posta adresi ve "Daha fazla bilgi edinin" bağlantısı eklemek için Set-PowerAppDlpErrorSettings PowerShell cmdlet'ini kullanabilirsiniz.
E-posta adresini ve daha fazla bilgi bağlantısını ilk kez eklemek için, aşağıdaki PowerShell betiğini çalıştırın ve <email>, <URL> ve <tenant ID> parametrelerinin değerlerini kendi değerlerinizle değiştirin.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Varolan bir yapılandırmayı güncelleştirmek için aynı PowerShell betiğini kullanın ve New-PowerAppDlpErrorSettings öğesini Set-PowerAppDlpErrorSettings ile değiştirin.
Dikkat
Bu ayarlar belirtilen kiracı içindeki tüm Power Platform uygulamaları için uygulanır.
Aracılar için DLP zorlamasını etkinleştirme ve yapılandırma
PowerVirtualAgentsDlpEnforcement cmdlet ile Copilot Studio içinde DLP zorunlu kılmayı etkinleştirebilir, devre dışı bırakabilir, yapılandırabilir ve denetleyebilirsiniz.
Aşağıdaki örneklerden herhangi birinde, kiracınızın kimliğini <tenant ID> ile değiştirin (veya bildirin).
Belirli bir tarihten sonra oluşturulan aracıları kapsama almak için <date> rakamını MM-DD-YYYY biçimindeki bir tarihle değiştirebilirsiniz. Kapsamı kaldırmak için -OnlyForBotsCreatedAfter parametresini ve değerini silin.
Aracılar için DLP zorlamasını onaylama
Varsayılan olarak, aracılar için DLP zorlaması tüm kiracılarda devre dışıdır.
Copilot Studio için DLP'nin bir kiracı için etkin olup olmadığını kontrol etmek amacıyla aşağıdaki PowerShell cmdlet'ini çalıştırabilirsiniz.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Not
DLP Copilot Studio için yapılandırılmamışsa cmdlet'ten gelen yanıt boştur.
Copilot Studio'da DLP hatalarını görmek için denetim modunu kullanın
DLP ilkelerini denetim veya "yumuşak" modda etkinleştirmek için aşağıdaki PowerShell betiğini çalıştırın. Bu mod aktif olduğunda, aracı üreticileri Copilot Studio'de aracıları yapılandırırken DLP ile ilgili hata mesajları görebilirler, ancak DLP ile ilgili eylemleri gerçekleştirmelerini engellemez. Ancak oluşturucular, bu mod etkinken aracıları yayımlayamaz.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Kuruluşunuzun DLP ilkelerinin etkileyebileceği aracıları bulmak için şunları yapabilirsiniz:
Kuruluşunuzdaki aracıların listesini almak için Mükemmellik Merkezi (CoE) Başlangıç Seti'nin Power BI panosunu kullanın. Kuruluşunuzdaki aracıları ve ortam adlarını görmek için CoE Pano'daki Copilot Studio genel bakış sayfasına gidin.
DLP hatalarını veya güncellenmiş DLP politikalarını ele almak için kuruluşunuzdaki aracı oluşturucularla bir kampanya yürütün. Hata bildirimi başlığında Ayrıntıları seçerek ve hata iletisi ayrıntılarından İndir'i seçerek tüm aracı DLP hatalarını indirebilirsiniz.
Aracılar için DLP zorlamasını etkinleştirin
Önemli
DLP zorunluluğunu etkinleştirmeden önce, hangi aracıların DLP politikası ihlalleri nedeniyle kullanıcılara hata bildirme olasılığının yüksek olduğunu bildiğinizden emin olun.
Sorunlarla karşılaşırsanız aracı DLP ilkelerinden muaf tutabilir veya oluşturucularınız DLP ilkelerine uymak için aracı düzeltirken DLP zorlamasını devre dışı bırakabilirsiniz.
Copilot Studio'ta DLP ilkelerini zorunlu kılmak için aşağıdaki PowerShell betiğini çalıştırabilirsiniz. Aracı oluşturucuların DLP'den etkilenen eylemleri gerçekleştirmesi engellenir ve tetiklenirse kullanıcılar hataları görür.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Bir botu DLP ilkelerinden muaf tutma
Kiracınız için DLP zorlamasını etkinleştirdiyseniz ancak aracı oluşturuculara ve kullanıcılara DLP hatalarını göstermekten muaf tutmanız gerekiyorsa aşağıdaki PowerShell betiğini çalıştırabilirsiniz.
Muaf tutmak istediğiniz aracıya ait uygun kimliklerle <environment ID>, <bot ID>, <tenant ID> ve <policy ID>'ü değiştirdiğinizden emin olun.
İpucu
<environment ID> ve <bot ID>'yi aracının URL'sinden bulabilirsiniz.
<policy ID>, İndirme ayrıntıları dosyasındaki hata ayrıntılarının yanında listelenir. Bu dosyayı Copilot Studio'taki hata bildirimi başlığında Ayrıntıları indir'i seçerek indirebilirsiniz.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Aracılar için DLP zorlamasını devre dışı bırakma
Aracılarda DLP zorlamasını devre dışı bırakmak için aşağıdaki komutu kullanın.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled