Настройка политик данных для агентов

Используя Copilot Studio, вы можете быстро создавать и внедрять ценные агенты для пользователей, которые подключаются к множеству источников данных и сервисов. Некоторые из этих источников и сервисов могут быть внешними, а не Microsoft services. Они могут даже включать социальные сети, а также связи с данными вашей организации.

Организационные данные — это самый важный актив, за который администраторы отвечают за защиту. Возможность использовать эти данные защищенным образом, при этом подключаясь и взаимодействуя с другими службами и системами, является краеугольным камнем безопасности данных.

Политики с данными позволяют регулировать, как агенты взаимодействуют и взаимодействуют с данными и сервисами как внутри вашей организации, так и за её пределами. Администраторы могут настраивать Copilot Studio и политики данных Power Platform в административном центре Power Platform.

Предпосылки

• Пересмотрите концепции политик данных.
• Будьте администратором арендатора или выполняйте роль администратора окружающей среды.

Коннекторы и группы данных Copilot Studio

В административном центре Power Platform вы можете классифицировать разъёмы Copilot Studio в рамках политики данных по следующим группам данных:

• Бизнес
• Отличные от бизнес
• Заблокировано

Используйте эти соединители в политиках данных, чтобы защитить данные вашей организации от злонамеренного или непреднамеренного утечки данных создателями агентов.

Группа по умолчанию в политиках данных — это категория, где соединители автоматически добавляются, если при их введении не определено явное группирование. Коннекторы, появившиеся после 2019 года, такие как Chat без Microsoft Entra ID аутентификации в Copilot Studio или Direct Line в Copilot Studio, скорее всего, будут частью стандартной группы «Не-бизнес».

Во многих организациях коннекторы из группы «Не-бизнес» автоматически блокируются. Если политика данных блокирует коннектор в вашем арендаторе Copilot Studio, проверьте, в какой группе данных находится этот коннектор.

Администраторы могут настраивать группы по умолчанию на уровне политики данных в административном центре Power Platform.

Распространённые сценарии использования политики данных для агентов Copilot Studio

Вы можете использовать разъёмы Copilot Studio в административном центре Power Platform для настройки политик данных для следующих распространённых сценариев использования:

• Требуется аутентификация пользователя
• Блочные источники знаний
• Блокируйте с помощью разъёмов Power Platform в качестве инструментов
• Блокировка HTTP-запросов
• Навыки блокировки
• Блочная публикация на конкретных каналах
• Триггеры событий блока

Список поддерживаемых разъёмов в административном центре платформы Power включает ещё несколько случаев использования.

Требуется аутентификация пользователя

При создании нового агента по умолчанию включена опция аутентификации Authenticate with Microsoft Агент автоматически использует аутентификацию Microsoft Entra ID без необходимости ручной настройки. Вы можете общаться с вашим агентом только в Microsoft Teams, SharePoint, Power Apps или Microsoft 365 Copilot. Однако разработчики агентов в вашей организации могут выбрать «Нет аутентификации », чтобы любому человеку с ссылкой можно было общаться с вашим агентом.

Чтобы не допустить публикации агентов, не требующих аутентификации, настройте политику данных которая блокирует соединитель Chat без Microsoft Entra ID аутентификации в Copilot Studio.

После настройки этой политики по данным создатели агентов могут использовать только Authenticate с Microsoftили вручную для настройки аутентификации для агентов в Copilot Studio, а пользователи агентов должны сами себя аутентифицировать для общения с агентом.

Блочные источники знаний

Используйте политики данных для контроля, какие источники знаний могут использовать авторы агентов.

Чтобы не допустить публикации агентами, использующими определённые типы источников знаний, настройте политику данных , блокирующую один или несколько из следующих коннекторов:

• источник знаний с SharePoint и OneDrive в Copilot Studio
• источник знаний с публичными сайтами и данными в Copilot Studio
• источник знаний с документами в Copilot Studio

Или, если вы хотите разрешить или отклонить конкретные конечные точки для SharePoint или публичных сайтов, которые создатели могут использовать как источники знаний для своих Copilot Studio-агентов, используйте фильтрацию конечных точек вместо блокировки выбранного коннектора.

Блокируйте с помощью разъёмов Power Platform в качестве инструментов

Чтобы не допустить использовать разъёмы Power Platform в качестве инструментов в Copilot Studio агентах, настройте политику данных с нужными разъёмами.

Блокировка HTTP-запросов

Создатели агентов в вашей организации могут создавать HTTP-запросы, используя узел HTTP-запроса .

Чтобы не допустить публикации агентов, выполняющих HTTP-запросы, настройте политику данных, блокирующую HTTP-коннектор.

Или, если вы хотите разрешить или отклонить конкретные HTTP-конечные точки вместо блокировки всех HTTP-вызовов, можно использовать фильтрацию конечных точек.

Навыки блокировки

Агенты в вашей организации могут расширить агентов с навыками. Навыки могут быть полезным способом расширения функциональности агентов. Однако для соображений безопасности вам стоит настроить, какие навыки могут использовать агенты.

Чтобы помешать создателям агентов публиковать агентов, использующих навыки, configure data policy которая блокирует Skills с помощью Copilot Studio коннектора.

Блочная публикация на конкретных каналах

Используйте политики данных для настройки каналов, через которые создатели могут публиковать агентов.

Чтобы не допустить публикации агентов в конкретных каналах, настройте политику данных , блокирующую один или несколько из следующих соединителей:

• Microsoft Teams + канал M365 в Copilot Studio
• Direct Line каналы в Copilot Studio (применяется к демо-сайту, пользовательским сайтам, мобильному приложению и другим Direct Line каналам)
• Facebook-канал в Copilot Studio
• Омниканальный в Copilot Studio
• SharePoint канал в Copilot Studio
• канал WhatsApp в Copilot Studio

Триггеры событий блока

Создатели агентов в вашей организации могут добавлять триггеры событий для агентов. Триггеры событий позволяют вашим агентам реагировать на внешние события без человеческого подсказки. Однако, возможно, стоит ограничить их использование, чтобы предотвратить уход данных, нежелательное потребление или использование квот.

Чтобы не допустить добавления триггеров событий в свои агенты или запуск автоматизированных оценок с помощью аутентифицированной учетной записи, configure data policy блокирующую Microsoft Copilot Studio разъём.

Имена разъёмов в административном центре Power Platform

В следующей таблице приведены названия коннекторов, которые можно использовать в политиках данных для агентов Copilot Studio.

Настройте политику данных в административном центре Power Platform

1. Войдите в центр администрирования Power Platform.

2. В боковой панели выберите Безопасность, а затем Данные и конфиденциальность. Открывается страница защиты данных и конфиденциальности .

3. Выберите политику данных. Появляется список политик данных .

4. Создайте новую политику данных или выберите существующую политику данных для редактирования:

   • Чтобы создать новую политику данных, выберите «Новая политика» и введите нужное имя.
   • Чтобы отредактировать существующую политику данных, выберите политику данных и выберите Редактировать политику.

5. Выберите Далее. Появляется страница «Добавить окружение ».

   • Чтобы добавить среду в вашу политику данных, выберите среду во вкладке «Доступно », а затем выберите « Добавить в политику».
   • Чтобы удалить окружение из вашей политики данных, переключитесь на вкладку «Добавлено в политику », выберите эту среду и затем выберите «Удалить из политики».

6. Выберите Далее. Появляется страница Assign connectors .

7. Используйте поисковую строку, чтобы найти нужный разъём.

8. Выберите три точки (⋮) рядом с разъёмом, а затем:

   • Чтобы не допустить использования агентами функций, связанных с разъёмом, выберите Block.

   • Разрешить или отклонить определённые конечные точки для SharePoint или публичных сайтов, настроенных как источники знаний, либо для HTTP-запроса:

     1. Выберите Конфигурировать конечные точки разъёма> разъёмов.
     2. Добавьте нужные концы или шаблоны, а затем выберите Сохранить.

9. Выберите Далее.

10. Если вы администратор арендатора или администратора среды для нескольких сред, открывается страница Define Scope .

    1. Выберите нужный вариант:

       • Добавьте все окружения: добавляет все окружения во всём вашем арендаторе. Эта политика автоматически применяется к любой новой среде, созданной в арендаторе.
       • Добавьте несколько сред: выберите среды для включения в эту политику.
       • Исключить определённые среды: Выберите среды для исключения из этой политики.

       Замечание

       Политики с ограничением арендатора применяются ко всем агентам во всех условиях арендатора.

    2. Выберите Далее.

11. Проверьте свою политику, а затем выберите «Создать политику », если вы создаёте новую политику, или «Обновить политику », если редактируете существующую политику.

12. Зайдите в Copilot Studio и убедитесь, что он применяет вашу политику по данным в соответствии с вашим случаем использования.

Подтвердите соблюдение политики данных в Copilot Studio

Вы можете подтвердить, что политика по данным действует, открыв агента в Copilot Studio. После попытки выполнить операцию, подчинённую политике данных, появляется баннер с ошибкой с кнопкой «Детали ». Чтобы увидеть подробности, на странице каналов расширите ссылку на ошибку и выберите «Скачать». В файле с деталями каждая строка описывает каждое нарушение. Когда происходит нарушение политики данных, кнопка «Опубликировать » становится недоступной.

• Подтверждение, что требуется аутентификация пользователя
• Подтвердите, что источники знаний заблокированы
• Подтвердите, что разъёмы Power Platform нельзя использовать как инструменты
• Подтвердите, что HTTP-запросы заблокированы
• Навыки подтверждения блокируются
• Подтвердите, что публикация на определённых каналах заблокирована
• Подтвердите, что триггеры событий заблокированы

Подтверждение, что требуется аутентификация пользователя

Когда вы открываете агент, который не настроен на требование аутентификации пользователя в среде с такой политикой данных, появляется баннер ошибки с кнопкой «Детали ». Чтобы увидеть подробности, на странице каналов расширите ссылку на ошибку и выберите «Скачать». В файле с деталями каждая строка описывает каждое нарушение.

Разработчик агента может связаться со своими администраторами с деталями таблицы для внесения соответствующих обновлений в политику данных.

В качестве альтернативы создатель агента может обновить настройки аутентификации агента на Authenticate с Microsoft или Authenticate вручную (Microsoft Entra ID или Microsoft Entra ID v2) на странице конфигурации аутентификации . См. Конфигурация аутентификации пользователя в Copilot Studio.

Обратите внимание, что нет аутентификации и некоторые варианты ручной аутентификации недоступны для выбора.

Подтвердите, что источники знаний заблокированы

1. В Copilot Studio откройте агента в среде с политикой данных, которая запрещает создателям добавлять конкретные источники знаний.

2. Перейдите на страницу «Знания», выберите « Добавить знания» и добавьте источник знаний, который блокирует ваша политика данных.

3. Попробуйте опубликовать агента. Если политика применяется, появляется баннер с ошибкой с кнопкой «Детали ».

4. На странице каналов расширите ссылку на ошибку и выберите «Скачать », чтобы увидеть подробности. В файле с деталями, если для источника знаний нарушено политику данных, появляется строка для источника знаний и для каждого узла генеративных ответов, использующего этот источник знаний.

Подтвердите, что разъёмы Power Platform нельзя использовать как инструменты

1. В Copilot Studio откройте агент в среде с политикой данных, которая запрещает создателям настраивать инструменты на основе коннекторов Power Platform.

2. Создайте новую тему и добавьте узел Tool .

3. В разделе «Добавить панель инструментов » переключитесь на вкладку «Соединители » и выберите коннектор, который блокирует ваша политика данных. При необходимости используйте поле поиска.

4. Сохраните тему и попробуйте опубликовать агента. Если политика применяется, появляется баннер с ошибкой с кнопкой «Детали ».

5. На странице каналов расширите ссылку на ошибку и выберите «Скачать », чтобы увидеть подробности.

Подтвердите, что HTTP-запросы заблокированы

Навыки подтверждения блокируются

1. В Copilot Studio откройте агента в среде с политикой данных, которая мешает создателям настраивать навыки.

2. Постарайтесь добавить навык агенту. Если политика данных соблюдается, панель добавления навыка сообщает об ошибке и предлагает связаться с администратором, чтобы добавить навык в список разрешений.

Подтвердите, что публикация на определённых каналах заблокирована

1. В Copilot Studio откройте агента в среде с политикой данных, которая запрещает создателям публиковать материалы на определённых каналах.

2. Попробуйте настроить канал, который блокирует политика данных. Если политика данных соблюдается, вы не сможете публиковать данные на этом канале.

Подтвердите, что триггеры событий заблокированы

1. В Copilot Studio откройте агент в среде с политикой данных, которая не позволяет создателям добавлять триггеры событий.

2. Если политика применяется, подробное сообщение об ошибке появляется в разделе «Триггеры » на странице «Обзор ». В сообщении упоминается название политики по данным и рекомендуется связаться с вашим администратором.

Выявление и устранение неполадок влияния политик с данными

Чтобы найти агентов, на которых могут повлиять политики данных вашей организации, вы можете:

• Используйте Power BI панель стартового набора Center of Excellence (CoE). На странице обзора Copilot Studio на панели CoE перечислены агенты и среды в вашей организации.

  Замечание

  Классические чат-боты, созданные с использованием устаревшего приложения Microsoft Copilot Studio в Microsoft Teams, не обнаруживают в CoE Starter Kit. Чтобы получить список всех агентов и классических чат-ботов в окружении, можно создать Power Automate облачный поток с List строками из выбранной среды действия Dataverse.

• Чтобы устранить ошибки в политике данных или обновлённые политики, проведите кампанию с агентами-создателями вашей организации. Чтобы скачать все ошибки политики данных агента, выберите «Детали » в баннере уведомления об ошибке и выберите «Скачать » из деталей сообщения об ошибке.

Если политики по данным влияют на работу ваших агентов, см. Troubleshall data policy enforcement for Copilot Studio.

Добавляйте и обновляйте ссылки на электронную почту «Узнать больше» и для контактов администратора

Используйте Set-PowerAppDlpErrorSettings cmdlet PowerShell, чтобы добавить адрес электронной почты и ссылку «Узнать больше» к сообщениям об ошибках политики данных.

Чтобы добавить адрес электронной почты и ссылку «Узнать больше», запустите следующий скрипт PowerShell. Замените значения для <email>параметров , <URL>и <tenant ID> , на свои собственные.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Для обновления существующей конфигурации используйте тот же скрипт PowerShell, но замените New-PowerAppDlpErrorSettings его на Set-PowerAppDlpErrorSettings.