為代理配置數據丟失防護策略

發行項
12/09/2024

組織資料是資產管理員負責保護的最重要資料。建構自動化以使用這些資料的能力是他們公司成功的很大原因。

您可以為最終使用者快速構建和推出高價值代理。您可以使用許多數據源和服務連線代理。其中一部分來源和服務可能是外部非 Microsoft 服務，甚至可能包括社交網路。

很容易忽視暴露的可能性。這種暴露狀況可能是由於資料洩漏或與不應存取資料的服務和受眾的連接造成的。

管理員可以使用具有現有連接器和 Copilot Studio 連接器的數據丟失防護 (DLP) 策略來管理組織中的代理。 DLP 原則是在Power Platform 管理中心中建立。若要建立 DLP 原則，您必須是租戶管理員或具有環境系統管理員角色。

先決條件

回顧 DLP 原則的相關概念

Copilot Studio 連接器

Copilot Studio 連接器可以分類於下列資料群組下的 DLP 原則，這些資料群組會在審核 DLP 原則時出現在 Power Platform 管理中心。

業務
非商務
已封鎖

您可以使用 DLP 策略中的連接器來保護組織的數據，防止專員製作者洩露任何惡意或無意的數據。

重要

默認情況下，所有租戶中都禁用代理的 DLP 強制實施。瞭解如何啟用強制執行。

連接器必須位於單一資料群組中，因為無法在不同群組的連接器間共用資料。

Power Platform 系統管理中心提供了多個 Copilot Studio 連接器。這些連接器可針對 DLP 進行如下設定：

連接器名稱	Description
Copilot Studio 中的 Application Insights	阻止專員製作者連接專員 Application Insights。
Copilot Studio 中的聊天沒有 Microsoft Entra ID 驗證	阻止專員製作者發佈未配置身份驗證的代理。專員用戶必須對自己進行身份驗證才能與專員聊天。有關更多資訊，請參閱數據丟失防護範例 - 要求在代理中進行最終使用者身份驗證。
Copilot Studio 中的 Direct Line 管道	阻止專員製作者啟用或使用 Direct Line 管道。例如，將封鎖示範網站、自訂網站、行動應用程式和其他 Direct Line 管道。
Copilot Studio 中的 Facebook 管道	阻止專員製作者啟用或使用 Facebook 管道。
Copilot Studio 中包含 SharePoint 和 OneDrive 的知識來源	阻止專員製作者發佈配置為 SharePoint 知識源的代理。支援 DLP 連接器端點篩選，以允許或拒絕端點。
Copilot Studio 中包含公開網站和資料的知識來源	阻止專員製作者發佈配置了公共網站作為知識源的代理。支援 DLP 連接器端點篩選，以允許或拒絕端點。
Copilot Studio 中包含文件的知識來源	阻止專員製作者發佈將文檔配置為知識源的代理。
Copilot Studio 中的 Microsoft Teams 管道	阻止專員製作者啟用或使用 Teams 管道。
Copilot Studio 中的全通路	阻止專員製作者啟用或使用全通路管道。
Copilot Studio 的技能	阻止專員製作者在代理中使用 Copilot Studio 技能。有關更多資訊，請參閱數據丟失防護範例 - 阻止代理中的技能和數據丟失防護示例 - 阻止代理中的 HTTP 請求。
事件觸發器與 Copilot Studio	阻止專員製作者在代理中使用 Copilot Studio 事件觸發器。有關更多資訊，請參閱數據丟失防護範例 - 阻止代理中的事件觸發器。

DLP 原則設定

為了説明您開始使用 Copilot Studio 專員治理，我們創建了以下示例，詳細介紹了不同的場景：

使用 PowerShell 為組織中的代理啟用和管理 DLP 實施

您可以使用 and PowerAppDlpErrorSettings PowerShell cmdlet 設定是否應將 PowerVirtualAgentsDlpEnforcement DLP 策略應用於代理。

您可以：

確認是否為租戶中的代理啟用了 DLP。
在審核模式下-Mode SoftEnabled啟用或禁用 DLP（），以便專員製作者可以看到錯誤，但不會阻止他們執行在完全啟用 DLP 實施時將被阻止的操作。
啟用或禁用 DLP 強制，以顯示 DLP 強制錯誤，並防止專員製作者發佈受 DLP 影響的機器人或配置 DLP 相關設置。
將特定代理從 DLP 實施中免除。
添加和更新當專員製作者在 Copilot Studio Web 和 Teams 應用中遇到 DLP 時向他們顯示的瞭解更多和聯繫人電子郵件連結。

重要

在使用 PowerShell Cmdlet 或此處顯示的範例指令碼之前，請確認您已使用 PowerShell 安裝以下模組。

Microsoft.PowerApps.Administration.PowerShell
Microsoft.PowerApps.PowerShell -AllowClobber

您必須是租用戶系統管理員，才能使用 Cmdlet。

通常，您會依照 DLP 推出程序 (依下列步驟所示) 使用這些 Cmdlet：

添加或更新在專員製作者的 DLP 錯誤中顯示的瞭解更多和管理員聯繫人電子郵件連結。
確定當前啟用了 DLP 策略實施的代理 (如果有)。
使用稽核或「軟」模式，讓製作者可以看到 Web 與 Teams 應用程式中的 Copilot Studio DLP 錯誤。
與製作者聯絡並通知他們關於其應用程式或流程的最佳動作，以減輕風險。
為代理啟用 DLP 強制，以防止受 DLP 影響的任務和功能。

您可能還決定將一個或多個代理從 DLP 策略實施中免除，具體取決於專員的使用案例和要求。

新增及更新學習 - 詳細與管理連絡人電子郵件連結

您可以使用 Set-PowerAppDlpErrorSettings PowerShell Cmdlet 來設定電子郵件以及瞭解更多連結。您的專員製作者在遇到 DLP 錯誤時將看到此資訊。

Copilot Studio Web 應用程式的螢幕擷取畫面，顯示與 DLP 相關的錯誤，並反白顯示錯誤文字。

若要第一次新增電子郵件並瞭解更多連結，請執行下列 PowerShell 腳本，以您的使用者取代 <email>、<URL> 和 <tenant ID> 參數的值。

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

若要更新現有的設定，請使用相同的 PowerShell 指令碼，然後替換 New-PowerAppDlpErrorSettings 為 Set-PowerAppDlpErrorSettings。

注意

這些設定會套用至指定租用戶中的所有 Power Platform 應用程式。

為代理啟用和配置 DLP 實施

您可以使用 PowerVirtualAgentsDlpEnforcement Cmdlet 在 Copilot Studio 中啟用、停用、設定和審核 DLP 強制。

在下列任一範例中，以您的租用戶 ID 取代 (或宣告) <tenant ID>。

您可以通過替換 <date> 格式中的日期，將範圍限定為在特定日期之後創建的代理 MM-DD-YYYY。若要移除範圍，請刪除 -OnlyForBotsCreatedAfter 參數及其值。

確認代理的 DLP 強制實施

默認情況下，所有租戶中都禁用代理的 DLP 強制實施。

您可以執行下列 PowerShell Cmdlet 來檢查是否已為租用戶啟用 Copilot Studio 的 DLP。

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Note

如果您尚未設定 Copilot Studio DLP，則 Cmdlet 的結果將會是空白。

使用稽核或「軟」模式，可以看到 Web 或 Teams 應用程式中的 Copilot Studio DLP 錯誤

執行下列 PowerShell 指令碼，在稽核模式中啟用 DLP 原則。專員製作者在 Web 和 Teams 應用中配置代理 Copilot Studio 時將看到與 DLP 相關的錯誤，但不會阻止他們執行與 DLP 相關的操作。此外，啟用軟 模式時 ，製作者無法發佈代理。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

要查找可能受組織現有 DLP 策略影響的代理，您可以：

使用卓越中心 (CoE) 初學者工具包獲取組織中的代理清單。轉到 CoE 控制板上的 Copilot Studio 概述頁面，查看組織中的代理和環境名稱。
與組織中的專員製作者一起開展活動，以解決 DLP 錯誤或更新的 DLP 策略。您可以通過在錯誤通知橫幅中選擇 Details (詳細資訊 )，然後從錯誤消息詳細信息中選擇 Download (下載 ) 來下載所有專員 DLP 錯誤。

為代理啟用 DLP 實施

重要

在啟用 DLP 實施之前，請確保您知道哪些代理會因違反 DLP 策略而向專員用戶顯示錯誤。

如果您遇到問題，可以從 DLP 策略中免除專員或禁用 DLP 實施，同時製作者修復專員以符合 DLP 策略。

您可以執行下列 PowerShell 命令，在 Copilot Studio 中強制執行 DLP 原則。專員製作者將被阻止執行受 DLP 影響的操作，如果最終使用者發射鍵，他們將看到錯誤。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

從 DLP 原則中免除 Bot

如果您已為租戶啟用了 DLP 強制，但需要免除專員向製作者和用戶顯示 DLP 錯誤，則可以運行以下 PowerShell 腳本。

請確保將、、 <environment ID> <bot ID> 和 <tenant ID>替換為 <policy ID> 要豁免的專員的相應 ID。

提示

您可以從專員的 URL 中找到 <environment ID> and <bot ID> 。

<policy ID> 會列於下載詳細資料檔案中的錯誤詳細資料旁邊。您可以在 Copilot Studio 的錯誤通知標語上選取下載詳細資料，以下載的檔案。

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

為代理禁用 DLP 強制實施

以下命令將在代理中禁用 DLP 強制。

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled

共用方式為