Настройка безопасного веб-шлюза и шлюза ИИ для агентов Microsoft Copilot Studio

Глобальные сетевые элементы управления защищенным доступом позволяют реализовать детализированные элементы управления доступом для агентов Microsoft Copilot Studio. Вы можете применять политики безопасности сети, в том числе фильтрацию веб-содержимого, фильтрацию интеллектуальной безопасности и фильтрацию сетевых файлов, для трафика агента. Эта возможность предоставляет аналогичные средства управления безопасностью для агентов, используемых для других типов трафика в организации.

Microsoft Entra интегрируется с Microsoft Copilot Studio для обеспечения управления безопасностью сети для взаимодействия с агентом. Эта интеграция позволяет организациям применять политики безопасности, отслеживать трафик агента с помощью платформы видимости глобального безопасного доступа и обеспечить безопасную связь между агентами и внешними ресурсами.

Предпосылки

Чтобы настроить сетевую безопасность для агентов Copilot Studio, необходимо:

• Роль администратора Global Secure Access в Microsoft Entra ID для управления функциями глобального безопасного доступа.
• Роль администратора платформы Power Platform для управления средами Copilot Studio.
• Среда Power Platform с включенной в неё Dataverse. Дополнительную информацию см. в статье Создание сред и управление ими в центре администрирования Power Platform.

Включение сетевых элементов управления для агентов Copilot Studio

Чтобы включить сетевые элементы управления для агентов Copilot Studio, необходимо сначала включить перенаправление трафика из этих агентов в Центре администрирования Power Platform.

1. Войдите в Центр администрирования Power Platform в качестве администратора Power Platform.
2. Перейдите к безопасности>идентификации и доступу>глобальному защищённому доступу для агентов.
3. Выберите соответствующую среду или группу среды и выберите команду "Настроить".
4. Включите глобальный безопасный доступ для агентов для выбора.

Создание политик безопасности для агентов Copilot Studio

После включения сетевых элементов управления можно применить политики безопасности глобального безопасного доступа к трафику агента. Вы можете применить фильтрацию веб-содержимого, фильтрацию аналитики угроз и другие политики безопасности. В следующем примере показано, как настроить политику фильтрации веб-содержимого:

1. Войдите в Центр администрирования Microsoft Entra как администратор Global Secure Access Administrator.
2. Перейдите к Global Secure Access>Secure>политикам фильтрации веб-содержимого.
3. ВыберитеCreate policy (Создать политику).
4. Введите описательное имя и описание политики, а затем нажмите кнопку "Далее".
5. Выберите Добавить правило.
6. Настройте правила на основе ваших настроек безопасности в соответствии с требованиями агента Copilot Studio. Например, блокировать доступ к сайтам Web respositories, Illegal software, сайтам с неприемлемым содержимым для работы (NSFW) и многому другому.
7. Нажмите «Далее», чтобы просмотреть политику.
8. ВыберитеCreate policy (Создать политику).

Затем вы можете создавать такие политики, как аналитика угроз для защиты агентов от вредоносных назначений или политики содержимого для защиты от непреднамеренного воздействия данных и предотвращения утечки встроенных данных.

Связывание политик с базовым профилем

Сгруппируйте политики безопасности, связав их с базовым профилем, чтобы применить их к трафику агента Copilot Studio. Профили безопасности, связанные с политиками условного доступа, в настоящее время не поддерживаются для агентов Copilot Studio.

1. Войдите в Центр администрирования Microsoft Entra как администратор Global Secure Access Administrator.
2. Перейдите к Глобальному безопасному доступу>Безопасные>профили безопасности.
3. Перейдите на вкладку "Базовый профиль ".
4. Выберите "Изменить", чтобы изменить правила профиля базовых показателей.
5. Выберите "Привязать политику", а затем выберите "Существующая политика".
6. Выберите политику веб-репозиториев агента Copilot Studio, созданную ранее, и выберите Add.
7. Нажмите кнопку "Сохранить", чтобы сохранить изменения профиля.

Мониторинг и обслуживание

Регулярный мониторинг и обслуживание гарантируют, что конфигурация безопасности остается эффективной:

1. Регулярно просматривайте журналы трафика на предмет необычных паттернов или заблокированного легитимного трафика. Для получения дополнительной информации см. в сетевых журналах трафика Глобального безопасного доступа.
2. Обновление политик фильтрации по мере появления новых служб или требований.
3. Тестирование изменений политики в среде разработки перед применением к рабочей среде.

Известные ограничения

• Функция принуждения поддерживает только базовый профиль. Политики безопасности сети применяются для каждого клиента.
• Интеграции экосистемы партнерских решений Global Secure Access, такие как предотвращение потери данных сторонними средствами (DLP), не поддерживаются.
• Copilot Studio сетевые транзакции Bing (включая знания из веб-сайтов public и Wikipedia) не поддерживаются.
• Сетевые запросы к Dataverse и Azure SQL источникам знаний не поддерживаются.
• Сетевые запросы к следующим пользовательским средствам не поддерживаются: запрос, поток агента, использование компьютера и дочерние агенты.
• Сетевые запросы к большой языковой модели (LLM) для оркестрации или улучшения результатов не поддерживаются.
• Поддерживаются только определенные соединители Copilot Studio с элементами управления безопасностью сети. Обратитесь к документации Copilot Studio для списка поддерживаемых коннекторов.
• В настоящее время имя агента, возвращаемое в журналах трафика глобального безопасного доступа, — это специфическое имя схемы агента.

Дальнейшие шаги

• Узнайте о безопасном веб-шлюзе и шлюзе ИИ для агентов Microsoft Copilot Studio
• Настройка фильтрации веб-содержимого