Verhinderung von Datenverlust für Copiloten konfigurieren
Wichtig
Power Virtual Agents-Fähigkeiten und -Funktionen sind jetzt Teil von Microsoft Copilot Studio nach erheblichen Investitionen in generative KI und verbesserte Integrationen in Microsoft Copilot.
Einige Artikel und Screenshots beziehen sich möglicherweise auf Power Virtual Agents während wir Dokumentation und Schulungsinhalte aktualisieren.
Vorsicht
Am 21. Mai 2024 haben wir neue integrierte Connectors für die Richtlinie zur Verhinderung von Datenverlust (DLP-Richtlinie) veröffentlicht, die 30 Tage nach der Veröffentlichung in Kraft treten.
Je nach der DLP-Konfiguration Ihrer Organisation werden Copilot-Erstellende möglicherweise DLP-Fehlerbanner angezeigt und sie können keine Copiloten veröffentlichen, die generative Antworten verwenden.
Zu diesen DLP-Richtlinien gehören Kontrollen für:
- Wissensquellen mit SharePoint und OneDrive in Copilot Studio
- Wissensquellen mit öffentlichen Websites und Daten in Copilot Studio
- Wissensquellen mit Dokumenten in Copilot Studio
- Application Insights in Copilot Studio
Die Unterhaltungen Ihrer Kundschaft mit Copiloten sind davon nicht betroffen.
Was muss ich tun, um mich vorzubereiten?
Administrierende können die Steuerung dieser neuen Connectors ändern, indem sie die DLP-Richtlinie aktualisieren, um den neuen Connector entweder in die Datengruppe „Geschäftlich“ oder „Nicht geschäftlich“ aufzunehmen. Wenn die Standardgruppe der Richtlinie auf „Blockiert“ eingestellt ist, können Sie Ihre Copilot-Erstellenden raten, diese Connectors entweder nicht zu verwenden oder sie in die entsprechende Datengruppe zu verschieben.
Organisationsdaten sind die wichtigsten Ressourcen, für deren Sicherung Administratoren zuständig sind. Durch die Fähigkeit, auf der Basis dieser Daten Automatisierungen zu entwickeln, ist ein großer Teil des Erfolgs ihres Unternehmens.
Sie können Ihre hochwertigen Copiloten für Ihre Endbenutzenden schnell erstellen und bereitstellen. Sie können Ihre Copiloten mit vielen Datenquellen und Diensten verbinden. Einige dieser Quellen und Dienste können externe Dienste von Drittanbietern sein und sogar soziale Netzwerke umfassen.
Es ist leicht, das Potenzial der Exposition zu übersehen. Diese Art der Offenlegung kann durch Datenlecks oder Verbindungen mit Diensten und Zielgruppen entstehen, die keinen Zugriff auf die Daten haben sollten.
Administrierende können Copiloten in Ihrer Organisation mithilfe von Richtlinien zur Verhinderung von Datenverlust (DLP) mit vorhandenen und Copilot Studio-Konnektoren steuern. DLP-Richtlinien werden im Power Platform Admin Center erstellt. Um eine DLP-Richtlinie zu erstellen, müssen Sie ein Mandantenadministrator sein oder die Rolle des Umgebungsadministrators haben.
Anforderungen
- Überprüfen Sie Konzepte über DLP-Richtlinien
Copilot Studio-Connectors
Copilot Studio-Konnektoren können innerhalb einer DLP-Richtlinie unter den folgenden Datengruppen klassifiziert werden, die in Power Platform Admin Center beim Überprüfen von DLP-Richtlinien dargestellt werden:
- Unternehmen
- Nicht geschäftlich
- Blockiert
Sie können die Konnektoren in DLP-Richtlinien verwenden, um die Daten Ihrer Organisation vor böswilliger oder unbeabsichtigter Datenexfiltration durch Ihre Copilot-Erstellenden zu schützen.
Wichtig
Die DLP-Durchsetzung ist standardmäßig in allen Mandanten für Copiloten deaktiviert. Weitere Informationen über die Aktivierung der Durchsetzung.
Die Konnektoren müssen sich in einer einzigen Datengruppe befinden, da Daten nicht von Konnektoren gemeinsam genutzt werden können, die sich in verschiedenen Gruppen befinden.
Die folgenden Copilot Studio-Konnektoren sind im Power Platform Admin Center verfügbar.
Diese Connectors können wie folgt für DLP konfiguriert werden:
| Konnektorname | Eigenschaft |
|---|---|
| Application Insights in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Copiloten mit Application Insights zu verbinden. |
| Chatten ohne Microsoft Entra ID-Authentifizierung in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die nicht für die Authentifizierung konfiguriert sind. Copilot-Benutzende benötigen eine Authentifizierung, um mit dem Copiloten zu chatten. Weitere Details finden Sie unter Beispiel: Endbenutzerauthentifizierung für Copiloten erforderlich. |
| Direct Line-Kanäle in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Direct Line-Kanal zu aktivieren oder zu verwenden. Dabei würden zum Beispiel die Demowebsite, die benutzerdefinierte Website, die mobile App und andere Direct Line-Kanäle blockiert. |
| Facebook-Kanal in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Facebook-Kanal zu aktivieren oder zu verwenden. |
| Wissensquelle mit SharePoint und OneDrive in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die mit SharePoint und OneDrive als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die mit öffentlichen Websites als Wissensquelle konfiguriert sind. Unterstützt die DLP-Connector-Endpunktfilterung zum Zulassen oder Ablehnen von Endpunkten. |
| Wissensquelle mit Dokumenten in Copilot Studio | Hindern Sie Copilot-Erstellende daran, Copiloten zu veröffentlichen, die mit Dokumenten als Wissensquelle konfiguriert sind. |
| Microsoft Teams-Kanal in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Teams-Kanal zu aktivieren oder zu verwenden. |
| Omnichannel in Copilot Studio | Hindern Sie Copilot-Erstellende daran, den Omnichannel-Kanal zu aktivieren oder zu verwenden. |
| Qualifikationen mit Copilot Studio | Verhindern Sie, dass Copiloten-Erstellende die Fähigkeiten von Copilot Studio-Copiloten nutzen. Weitere Einzelheiten finden Sie unter Beispiel: DLP zum Sperren von Fertigkeiten in Copilot Studio-Copiloten verwenden und Beispiel: DLP zum Sperren von HTTP-Anforderungen in Copilot Studio-Copiloten verwenden. |
Beispielhafte DLP-Richtlinienkonfigurationen
Um Ihnen die Ersten Schritte mit der Copilot Studio-Copilot-Governance zu erleichtern, haben wir die folgenden Beispiele erstellt, die verschiedene Szenarien beschreiben:
- Beispiel: Die DLP verwenden, um eine Endbenutzerauthentifizierung für Copiloten anzufordern
- Beispiel: Die DLP verwenden, um SharePoint- und OneDrive-Wissensquellen in Copiloten zu blockieren
- Beispiel: Die DLP verwenden, um Power Platform-Connectors in Copiloten zu blockieren
- Beispiel: Die DLP verwenden, um HTTP-Anforderungen in Copiloten zu blockieren
- Beispiel: Die DLP verwenden, um Fertigkeiten in Copiloten zu blockieren
- Beispiel: Die DLP verwenden, um die Copilot-Veröffentlichung in Kanälen zu blockieren
PowerShell verwenden, um die DLP-Durchsetzung für Copiloten in Ihrer Organisation zu aktivieren und zu verwalten
Sie können mit den PowerShell-Cmdlets PowerAppDlpErrorSettings und PowerVirtualAgentsDlpEnforcement konfigurieren, ob DLP-Richtlinien auf Ihre Copiloten angewendet werden sollen.
Sie können Folgendes ausführen:
- Bestätigen Sie, ob die DLP für Copiloten in Ihrem Mandanten aktiviert ist.
- Die DLP in einem Überwachungsmodus (
-Mode SoftEnabled) aktivieren und deaktivieren, damit Copilot-Erstellende Fehler sehen können, aber nicht daran gehindert werden, Aktionen auszuführen, die blockiert würden, wenn die DLP-Durchsetzung vollständig aktiviert wäre. - Die DLP-Durchsetzung aktivierne oder deaktivieren, wodurch DLP-Durchsetzungsfehler angezeigt werden und Copilot-Erstellende daran gehindert werden, von der DLP betroffene Bots zu veröffentlichen oder DLP-bezogene Einstellungen zu konfigurieren.
- Bestimmte Copiloten von der DLP-Durchsetzung ausnehmen.
- Die Links zu weiteren Informationen und E-Mail-Adressen von Ansprechpartnern hinzufügen und aktualisieren, die Copilot-Erstellenden angezeigt werden, wenn sie in der Copilot Studio-Web und in Teams-Apps auf die DLP stoßen.
Wichtig
Bevor Sie die PowerShell-Cmdlets oder die hier gezeigten Beispielskripts verwenden, installieren Sie unbedingt die folgenden Module mit PowerShell.
- Microsoft.PowerApps.Administration.PowerShell
- Microsoft.PowerApps.PowerShell -AllowClobber
Sie müssen ein Mandantenadministrator sein, um die cmdlets zu verwenden.
In der Regel würden Sie diese Cmdlets gemäß einem DLP-Rollout-Prozess verwenden, der aus den folgenden Schritten in dieser Reihenfolge bestehen könnte:
Die Links für weitere Informationen und Administrator-E-Mail-Adressen hinzufügen oder aktualisieren, die in DLP-Fehlern für Copilot-Erstellende angezeigt werden.
Ermitteln, für welche Copiloten (falls vorhanden) derzeit die DLP-Richtliniendurchsetzung aktiviert ist.
Verwenden Sie den Auditing- oder „Soft“-Modus, damit Ersteller DLP-Fehler in den Copilot Studio Web- und Teams-Apps sehen können.
Kontaktieren Sie Hersteller und informieren Sie sie über die beste Vorgehensweise für ihre App oder ihren Flow, um das Risiko zu minimieren.
Die DLP-Durchsetzung für Copiloten aktivieren, um von DLP betroffene Aufgaben und Funktionen zu verhindern.
Je nach Anwendungsfall und den Anforderungen des Copiloten können Sie auch entscheiden, einen oder mehrere Copiloten von der Durchsetzung der DLP-Richtlinie auszunehmen.
Fügen Sie die E-Mail-Links für weitere Informationen und Administratorkontakte hinzu und aktualisieren Sie sie
Sie können eine E-Mail und einen Link für weitere Informationen konfigurieren, indem Sie das Set-PowerAppDlpErrorSettings PowerShell-Cmdlet verwenden. Ihre Copilot-Erstellenden sehen diese Informationen, wenn bei ihnen DLP-Fehler auftreten.
Um die E-Mail und den Link „Weitere Informationen“ zum ersten Mal hinzuzufügen, führen Sie das folgende PowerShell-Skript aus und ersetzen dabei die Werte der <email>, <URL> und <tenant ID>-Parameter durch Ihre eigenen.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Um eine vorhandene Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, und ersetzen Sie New-PowerAppDlpErrorSettings durch Set-PowerAppDlpErrorSettings.
Achtung
Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.
Die DLP-Durchsetzung für Copiloten aktivieren und konfigurieren
Sie können die DLP-Erzwingung in Copilot Studio mit dem PowerVirtualAgentsDlpEnforcement-Cmdlet aktivieren, deaktivieren, konfigurieren und prüfen.
Ersetzen (oder deklarieren) Sie in einem der folgenden Beispiele <tenant ID> durch Ihre Mandanten-ID.
Sie können den Bereich auf Copiloten beschränken, die nach einem bestimmten Datum erstellt wurden, indem Sie <date> durch ein Datum im MM-DD-YYYY-Format ersetzen. Um den Bereich zu entfernen, löschen Sie den -OnlyForBotsCreatedAfter-Parameter und seinen Wert.
Die DLP-Durchsetzung für Copiloten bestätigen
Die DLP-Durchsetzung ist standardmäßig in allen Mandanten für Copiloten deaktiviert.
Sie können das folgende PowerShell-Cmdlet ausführen, um zu überprüfen, ob DLP für Copilot Studio für einen Mandanten aktiviert ist.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Notiz
Wenn Sie Copilot Studio DLP nicht konfiguriert haben, sind die Ergebnisse des Cmdlets leer.
Den Auditing- oder „Soft“-Modus verwenden, um DLP-Fehler in den Copilot Studio Web- oder Teams-Apps anzuzeigen
Führen Sie das folgende PowerShell-Skript aus, um DLP-Richtlinien im Überwachungsmodus zu aktivieren. Copilot-Erstellende sehen mit der DLP zusammenhängende Fehler, wenn sie Copiloten in den Copilot Studio-Web- und den Teams-Apps konfigurieren. Sie werden jedoch nicht daran gehindert, mit der DLP zusammenhängende Aktionen auszuführen. Sie können Copiloten auch wie gewohnt veröffentlichen.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Um Copiloten zu finden, die von den bestehenden DLP-Richtlinien Ihrer Organisation betroffen sein könnten, können Sie:
Das Starter Kit für das Center of Excellence (CoE) verwenden, um eine Liste der Copiloten in Ihrer Organisation abzurufen. Gehen Sie zur Copilot Studio-Übersichtsseite im CoE-Dashboard, um die Copiloten und Umgebungsnamen in Ihrer Organisation anzuzeigen.
Führen Sie eine Kampagne mit den Copilot-Erstellenden in Ihrer Organisation durch, um DLP-Fehler zu beheben oder DLP-Richtlinien zu aktualisieren. Sie können alle Copilot-DLP-Fehler herunterladen, indem Sie im Fehlerbenachrichtigungsbanner Details auswählen und in den Fehlermeldungsdetails Herunterladen auswählen.
Die DLP-Durchsetzung für Copiloten aktivieren
Wichtig
Stellen Sie vor dem Aktivieren der DLP-Erzwingung sicher, dass Sie wissen, welche Copiloten Ihren Copilot-Benutzenden aufgrund von Verstößen gegen die DLP-Richtlinie Fehler anzeigen.
Wenn Sie auf Probleme stoßen, können Sie einen Copiloten von den DLP-Richtlinien ausnehmen oder die DLP-Durchsetzung deaktivieren, während Ihre Erstellenden den Copiloten korrigieren, sodass er den DLP-Richtlinien entspricht.
Sie können den folgenden PowerShell-Befehl ausführen, um Copilot Studio DLP-Richtlinien zu erzwingen. Copilot-Erstellende werden daran gehindert, von der DLP beeinflusste Aktionen auszuführen, und Endbenutzende erhalten Fehlermeldungen, wenn sie ausgelöst werden.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Einen Bot von DLP-Richtlinien ausnehmen
Wenn Sie die DLP-Durchsetzung für Ihren Mandanten aktiviert haben, einen Copiloten jedoch davon ausnehmen müssen, Erstellenden und Endbenutzenden DLP-Fehler anzuzeigen, können Sie das folgende PowerShell-Skript ausführen.
Tauschen Sie unbedingt <environment ID>, <bot ID>, <tenant ID> und <policy ID> gegen die entsprechenden IDs für den Copiloten aus, für den eine Ausnahme bestehen soll.
Tipp
Sie können die <environment ID> und die <bot ID> der URL des Copiloten entnehmen.
Die <policy ID> wird neben den Fehlerdetails in der Einzelheiten herunterladen-Datei aufgeführt. Sie können diese Datei herunterladen, indem Sie Einzelheiten herunterladen auf dem Fehlerbenachrichtigungsbanner in Copilot Studio auswählen.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Die DLP-Durchsetzung für Copiloten deaktivieren
Der folgende Befehl deaktiviert die DLP-Durchsetzung bei Copiloten.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für