Настройка защиты от потери данных для помощников
Важно
Возможности и функции Power Virtual Agents теперь являются частью Microsoft Copilot Studio после значительных инвестиций в генеративный искусственный интеллект и расширенную интеграцию с Microsoft Copilot.
Некоторые статьи и снимки экрана могут ссылаться на Power Virtual Agents, пока мы обновляем документацию и учебные материалы.
Данные организации — один из наиболее важных активов, за обеспечение безопасности которых отвечает администратор. Возможность создавать средства автоматизации для использования этих данных — существенная составляющая успеха вашей омпании.
Вы можете быстро создавать и развертывать ценные дополнительные помощники для конечных пользователей. Вы можете подключить своих помощников ко многим источникам данных и сервисам. Некоторые из этих источников и служб могут быть службами сторонних производителей и могут даже включать социальные сети.
Можно легко недооценить потенциальную опасность утечки данных. Такого рода угрозы могут быть связаны с утечками данных или с подключениями к службам и аудиториям, у которых не должно быть доступа к этим данным.
Администраторы могут управлять помощниками в вашей организации, используя политики защиты от потери данных (DLP) с существующими соединителями Copilot Studio. Политики DLP создаются в центре администрирования Power Platform. Чтобы создать политику DLP, вы должны быть администратором арендатора или у вас должна быть роль администратора среды.
Предварительные условия
- Ознакомьтесь с понятиями, связанными с политиками защиты от потери данных
Соединители Copilot Studio
Соединители Copilot Studio в рамках политики защиты от потери данных можно классифицировать на следующие группы данных, которые присутствуют в центре администрирования Power Platform при просмотре политик защиты от потери данных:
- Бизнес
- Отличные от бизнес
- Заблокировано
Вы можете использовать соединители в политиках DLP, чтобы защитить данные вашей организации от любой вредоносной или непреднамеренной утечки данных со стороны создателей помощников.
Важно
По умолчанию применение политики DLP для помощников отключено во всех клиентах. Узнайте о включении принудительного применения.
Соединители должны находиться в одной группе данных, так как данные не могут использоваться совместно соединителями, которые находятся в разных группах.
В центре администрирования Power Platform доступны следующие соединители Copilot Studio.
| Имя соединителя | Описание |
|---|---|
| Чат без проверки подлинности Microsoft Entra ID в Copilot Studio | Заблокируйте создателям помощников публикацию помощников, для которых не настроена аутентификация. Пользователям помощника потребуется аутентификация для общения с помощником. См. Пример. Требование аутентификации конечного пользователя для помощников для получения более подробной информации. |
| Каналы Direct Line в Copilot Studio | Позволяет блокировать любой канал Direct Line. Например, можно заблокировать каналы "Демонстрационный веб-сайт", "Пользовательский веб-сайт" и "Мобильное приложение". |
| Канал Facebook в Copilot Studio | Запретите создателям помощников включать или использовать канал Facebook. |
| Канал Microsoft Teams в Copilot Studio | Запретите создателям помощников включать или использовать канал Teams. |
| Многоканальное взаимодействие в Copilot Studio | Запретите создателям помощников включать или использовать канал многоканального взаимодействия. |
| Навыки в Copilot Studio | Запретите создателям помощников использовать навыки в помощниках Copilot Studio. Дополнительные сведения см. в статьях Пример. Использование DLP для блокирования навыков в помощниках Copilot Studio и Пример. Использование DLP для блокирования HTTP-запросов от помощников Copilot Studio. |
Пример конфигураций политик защиты от потери данных
Чтобы помочь вам начать работу с управлением помощником Copilot Studio, мы создали следующие примеры, подробно описывающие различные сценарии:
- Пример. Использование DLP для требования аутентификации пользователей помощников Copilot Studio
- Пример. Использование DLP для блокировки соединителей Power Platform
- Пример. Использование DLP для блокировки HTTP-запросов от помощников Copilot Studio
- Пример. Использование DLP для блокировки навыков в помощниках Copilot Studio
Использование PowerShell для включения и управления применением DLP для помощников в вашей организации
Вы можете настроить, следует ли применять политики DLP к вашим помощникам, с помощью командлетов PowerShell PowerAppDlpErrorSettings и PowerVirtualAgentsDlpEnforcement.
Вы можете:
- Проверьте, включена ли защита от потери данных для помощников в вашем клиенте.
- Включить или отключить политику DLP в режиме аудита (
-Mode SoftEnabled), чтобы создатели помощника могли видеть ошибки, но им не запрещалось выполнять действия, которые были бы заблокированы, если бы принудительное применение DLP было полностью включено. - Включить или отключить принудительное применение DLP, при этом будут отображаться ошибки принудительного применения DLP, а также запретить разработчикам помощника публиковать помощники, затронутые политикой DLP, или настраивать параметры, связанные с политикой DLP.
- Освободить определенные помощники от применения политики DLP.
- Добавление и обновление ссылок на дополнительные сведения и контактные адреса электронной почты, которые отображаются создателям помощника, когда они сталкиваются с политикой защитой от потери данных в веб-приложениях Copilot Studio и Teams.
Важно
Прежде чем использовать командлеты PowerShell или приведенные здесь примеры скриптов, убедитесь, что вы установили все необходимые модули с использованием PowerShell .
Для использования командлетов вы должны быть администратором портала.
Обычно эти командлеты следует использовать в соответствии с процессом развертывания защиты от потери данных, который может состоять из следующих шагов (в указанном порядке):
Добавьте или обновите ссылки на электронную почту «Узнать больше» и «Контактный адрес администратора», которые отображаются в ошибках политики DLP для создателей помощников.
Определите, на каких помощниках (если таковые имеются) в настоящее время включено применение политики DLP.
Использование режима аудита, или "мягкого" режима, чтобы создатели могли видеть ошибки DLP в веб-приложении Copilot Studio и приложении Teams.
Снижение рисков путем установления контакта с создателями и информирования их обо оптимальном порядке действий для разрабатываемого ими приложения или потока.
Включите принудительное применение политики DLP для помощников, чтобы предотвратить выполнение задач и функций, затрагиваемых DLP.
Вы также можете решить освободить один или несколько помощников от применения политики DLP, в зависимости от варианта использования и требований помощника.
Добавление или обновление ссылок "Подробнее" и ссылок для связи с администратором
Настроить ссылки "Подробнее" и ссылки для связи с администратором можно с помощью командлета PowerShell Set-PowerAppDlpErrorSettings. Создатели помощника увидят эту информацию, когда у них возникнут ошибки политики DLP.
Чтобы добавить ссылку "Подробнее" и ссылку для связи с администратором в первый раз, выполните следующий скрипт PowerShell, заменив значения <email>, <URL> и <tenant ID> своими собственными параметрами.
$ContactDetails = [pscustomobject] @{
Enabled=$true
Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
Enabled=$true
Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
ErrorMessageDetails=$ErrorMessageDetails
ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj
Чтобы обновить существующую конфигурацию, используйте этот же сценарий PowerShell, но заменитеNew-PowerAppDlpErrorSettings на Set-PowerAppDlpErrorSettings.
Внимание
Эти параметры применяются ко всем приложениям Power Platform в указанном арендаторе.
Включение и настройка применения политики DLP для помощников
Включать, отключать, настраивать и проверять применение защиты от потери данных в Copilot Studio можно с помощью командлета PowerVirtualAgentsDlpEnforcement.
В любом из следующих примеров замените (или объявите)<tenant ID> в соответствии с идентификатором своего арендатора.
Вы можете указать помощников, созданных после определенной даты, заменив <date> датой в формате MM-DD-YYYY. Чтобы удалить область действия, удалите параметр -OnlyForBotsCreatedAfter и его значение.
Проверка применения политики DLP для помощников
По умолчанию применение политики DLP для помощников отключено во всех клиентах.
Вы можете запустить следующий командлет PowerShell, чтобы проверить, включена ли DLP для Copilot Studio в данном арендаторе.
Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>
Заметка
Если вы не настроили DLP для Copilot Studio, результаты командлета будут пустыми.
Использование режима аудита, или "мягкого" режима для отображения ошибок DLP в веб-приложении Copilot Studio и приложении Teams
Запустите следующий сценарий PowerShell, чтобы включить политики защиты от потери данных в режиме аудита. Создатели помощников увидят ошибки, связанные с DLP, при настройке помощников в веб-приложениях Copilot Studio и приложениях Teams, но им не будет запрещено выполнять действия, связанные с DLP. Они также могут публиковать помощники, как обычно.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled
Чтобы найти помощники, на которых могут повлиять существующие политики DLP вашей организации, вы можете:
Используйте стартовый комплект Центра передовых технологий (CoE), чтобы получить список помощников в вашей организации. Перейдите на страницу обзора Copilot Studio на панели мониторинга CoE, чтобы просмотреть имена помощников и сред в вашей организации.
Запустите кампанию вместе с создателями помощников в вашей организации, чтобы устранить ошибки политики DLP или обновить политики DLP. Вы можете загрузить все ошибки DLP, выдаваемые помощником, выбрав Загрузить подробности на баннере с уведомлением об ошибке в Copilot Studio.
Включение применения политики DLP для помощников
Важно
Прежде чем включать принудительное применение политики DLP, убедитесь, что вы знаете, какие помощники будут показывать ошибки пользователям ваших помощников из-за нарушений политики DLP.
Если у вас возникнут проблемы, вы можете освободить помощник от политик DLP или отключить принудительное применение политики DLP, пока ваши создатели исправляют помощник, чтобы он соответствовал политикам DLP.
Вы можете запустить следующую команду PowerShell, чтобы применить политики защиты от потери данных в Copilot Studio. Создатели помощника будут заблокированы или лишены возможности выполнять действия, затрагиваемые политикой DLP, а конечные пользователи будут видеть ошибки, если попытаются взаимодействовать с функциями, затрагиваемыми политикой DLP, в помощнике.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>
Исключение бота из политик DLP
Если вы включили принудительное применение политики DLP для своего клиента, но вам необходимо освободить помощник от показа ошибок политики DLP создателям и конечным пользователям, вы можете запустить следующий сценарий PowerShell.
Обязательно замените <environment ID>, <bot ID>, <tenant ID> и <policy ID> соответствующими идентификаторами помощника, которого вы хотите освободить.
Совет
Вы можете определить <environment ID> и <bot ID> из URL-адреса помощника.
Значение <policy ID> указано рядом со сведениями об ошибке в файле Загрузить сведения. Вы можете загрузить этот файл, выбрав Загрузить сведения на баннере уведомления об ошибке в Copilot Studio.
$environmentId = "<environment ID>"
$botId = "<bot ID>";
$tenantId = "<tenant ID>"
$policyName = "<policy ID>"
# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
id = $pvaResourceId
type = $pvaResourceType
}
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
$resources = [pscustomobject]@{ exemptResources = @($exemptBot) }
Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"
Отключение применения политики DLP для помощников
Следующая команда отключит применение политики DLP в помощниках.
Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по