Configurer les stratégies de protection contre la perte de données pour les copilotes

Les données organisationnelles sont l’une des ressources les plus importantes qu’il incombe aux administrateurs de protéger. Le fait de pouvoir créer des automatisations pour utiliser ces données contribue largement aux performances d’une société.

Vous pouvez rapidement créer et déployer vos copilotes à grande valeur ajoutée pour vos utilisateurs finaux. Vous pouvez connecter vos copilotes à de nombreuses sources de données et à de nombreux services. Certaines de ces sources et certains de ces services peuvent être des services externes hors Microsoft et même peuvent inclure des réseaux sociaux.

Il est facile de négliger le potentiel d’exposition. Ce type d’exposition peut aboutir à des fuites de données ou des connexions à des services et à des audiences qui ne devraient pas avoir accès aux données.

Les administrateurs peuvent régir les copilotes dans votre organisation en utilisant des stratégies de protection contre la perte de données (DLP) avec des connecteurs existants et Copilot Studio. Les stratégies DLP sont créées dans le Centre d’administration Power Platform. Pour créer une stratégie DLP, vous devez être un administrateur de client ou avoir le Rôle d’administrateur d’environnement.

Conditions préalables

Connecteurs Copilot Studio

Les connecteurs Copilot Studio peuvent être classés au sein d’une stratégie DLP dans les groupes de données suivants, qui sont présentés dans le centre d’administration Power Platform lors de l’examen des stratégies DLP :

  • Métier
  • Hors métier
  • Bloqué

Vous pouvez utiliser les connecteurs dans les stratégies DLP pour protéger les données de votre organisation contre toute exfiltration de données malveillante ou involontaire par les créateurs de votre copilote.

Important

Par défaut, l’application de la DLP pour les copilotes est désactivée dans tous les locataires. En savoir plus sur l’activation de l’application.

Les connecteurs doivent se trouver dans un seul groupe de données, car les données ne peuvent pas être partagées entre les connecteurs qui se trouvent dans des groupes différents.

Plusieurs connecteurs Copilot Studio sont disponibles dans le centre d’administration Power Platform. Ces connecteurs peuvent être configurés pour DLP comme suit :

Nom du connecteur Description
Application Insights dans Copilot Studio Empêchez les créateurs de copilotes de connecter le copilote à Application Insights.
Conversation sans authentification de Microsoft Entra ID dans Copilot Studio Empêchez les créateurs de copilotes de publier des copilotes qui ne sont pas configurés pour l’authentification.
Les utilisateurs de Copilot doivent s’authentifier pour discuter avec le copilote.
Pour plus d’informations, voir Exemple de protection contre la perte de données – Exiger l’authentification de l’utilisateur final dans les copilotes.
Canaux Direct Line dans Copilot Studio Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Direct Line.
Par exemple, le site web de démonstration, le site web personnalisé, l’application mobile et d’autres canaux Direct Line seraient bloqués.
Canal Facebook dans Copilot Studio Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Facebook.
Source de connaissances avec SharePoint et OneDrive dans Copilot Studio Empêchez les créateurs de copilotes de publier des copilotes configurés avec SharePoint comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison.
Source de connaissances avec les sites web publics et les données dans Copilot Studio Empêchez les créateurs de copilotes de publier des copilotes configurés avec des sites web publics comme source de connaissances. Prend en charge le filtrage du point de terminaison du connecteur DLP pour autoriser ou refuser les points de terminaison.
Source de connaissances avec des documents dans Copilot Studio Empêchez les créateurs de copilotes de publier des copilotes configurés avec des documents comme source de connaissances.
Canal Microsoft Teams dans Copilot Studio Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Teams.
Omnicanal dans Copilot Studio Empêchez les créateurs de copilotes d’activer ou d’utiliser le canal Omnicanal.
Compétences avec Copilot Studio Empêcher les créateurs de copilotes d’utiliser leurs compétences dans les copilotes Copilot Studio.
Pour plus d’informations, voir Exemple de protection contre la perte de données - Bloquer les compétences dans les copilotes et Exemple de protection contre la perte de données – Bloquer les requêtes HTTP dans les copilotes pour obtenir plus de details.

Exemple de configurations de stratégie DLP

Pour vous aider à commencer à utiliser la gouvernance du copilote Copilot Studio, nous avons créé les exemples suivants qui détaillent différents scénarios :

Utiliser PowerShell pour activer et administrer l’application de la DLP pour les copilotes dans votre organisation

Vous pouvez configurer si les stratégies DLP doivent être appliquées à vos copilotes avec les applets de commande PowerShell PowerAppDlpErrorSettings et PowerVirtualAgentsDlpEnforcement.

Vous pouvez :

  • Confirmez si la DLP est activée pour les copilotes dans votre locataire.
  • Activer ou désactiver la DLP en mode d’audit (-Mode SoftEnabled) afin que les créateurs de copilotes puissent voir les erreurs, mais ne soient pas empêchés d’effectuer des actions qui seraient bloquées si l’application de la DLP était entièrement activée.
  • Activez ou désactivez l’application de la protection DLP pour afficher les erreurs d’application de la protection DLP et empêcher les créateurs de copilotes de publier des bots affectés par la protection DLP ou de configurer les paramètres liés à la protection DLP.
  • Exempter certains copilotes de l’application de la DLP.
  • Ajouter et mettre à jour les liens d’informations supplémentaires et d’e-mail du contact qui sont affichés aux créateurs de copilotes lorsqu’ils rencontrent la DLP dans les applications Web et Teams de Copilot Studio.

Important

Avant d’utiliser les applets de commande PowerShell ou les exemples de scripts présentés ici, assurez-vous d’installer les modules suivants à l’aide de PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Vous devez être administrateur client pour utiliser les applets de commande.

En règle générale, vous utiliserez ces applets de commande conformément à un processus de déploiement DLP, qui peut comprendre les étapes suivantes, dans l’ordre :

  1. Ajoutez ou mettez à jour les liens d’informations supplémentaires et d’e-mail du contact de l’administrateur qui sont affichés dans les erreurs DLP pour les créateurs de copilotes.

  2. Déterminez quels copilotes (le cas échéant) ont actuellement l’application de la stratégie DLP activée.

  3. Utiliser le mode audit ou « soft » pour que les créateurs puissent voir les erreurs DLP dans les applications Web et Teams Copilot Studio.

  4. Atténuer le risque en contactant les créateurs et en les informant de la meilleure marche à suivre pour leur application ou leur flux.

  5. Activez l’application de la DLP pour les copilotes afin d’empêcher les tâches et fonctionnalités affectées par la DLP.

Vous pouvez également décider d’exempter un ou plusieurs copilotes de l’application de la stratégie DLP, en fonction du cas d’utilisation et des exigences du copilote.

Vous pouvez configurer un lien Pour en savoir plus et un lien Adresse e-mail à l’aide de l’applet de commande PowerShell Set-PowerAppDlpErrorSettings. Les créateurs de votre copilote verront ces informations lorsqu’ils rencontreront des erreurs DLP.

Capture d’écran de l’application Web Copilot Studio montrant une erreur liée à la DLP avec le texte d’erreur en surbrillance.

Pour ajouter le lien Pour en savoir plus et le lien Adresse e-mail pour la première fois, exécutez le script PowerShell suivant, en remplaçant les valeurs des paramètres <email>, <URL>, et <tenant ID> par les vôtres.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Pour mettre à jour une configuration existante, utilisez le même script PowerShell et remplacez New-PowerAppDlpErrorSettings par Set-PowerAppDlpErrorSettings.

Avertissement

Ces paramètres s’appliquent à toutes les applications Power Platform au sein du client spécifié.

Activer et configurer l’application de la DLP pour les copilotes

Vous pouvez activer, désactiver, configurer et auditer l’application de la DLP dans Copilot Studio avec l’applet de commande PowerVirtualAgentsDlpEnforcement.

Dans l’un des exemples suivants, remplacez (ou déclarez) <tenant ID> avec l’ID de votre client.

Vous pouvez cibler les copilotes créés après une certaine date en remplaçant <date> par une date au format MM-DD-YYYY. Pour supprimer l’étendue, supprimez le paramètre -OnlyForBotsCreatedAfter et sa valeur.

Confirmer l’application de la DLP pour les copilotes

Par défaut, l’application de la DLP pour les copilotes est désactivée dans tous les locataires.

Vous pouvez exécuter l’applet de commande PowerShell suivante pour vérifier si la DLP pour Copilot Studio est activée pour un client.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Note

Si vous n’avez pas configuré la DLP Copilot Studio, les résultats de l’applet de commande seront vides.

Utiliser le mode audit ou « soft » pour voir les erreurs DLP dans les applications Web ou Teams Copilot Studio

Exécutez le script PowerShell suivant pour activer les stratégies DLP en mode audit. Les créateurs de copilotes verront les erreurs liées à la DLP lors de la configuration des copilotes dans les applications Web et Teams de Copilot Studio, mais ils ne seront pas empêchés d’effectuer des actions liées à la DLP. De plus, les créateurs ne peuvent pas publier de copilotes lorsque le mode « temporaire » est activé.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Pour trouver les copilotes qui pourraient être affectés par les stratégies DLP existantes de votre organisation, vous pouvez :

  1. Utiliser le Starter Kit du Centre d’excellence (CoE) pour obtenir une liste des copilotes dans votre organisation. Accédez à la vue d’ensemble de Copilot Studio dans le tableau de bord CoE pour voir les copilotes et les noms d’environnement dans votre organisation.

    Capture d’écran du tableau de bord du kit de démarrage CoE ouvert sur la présentation de Copilot Studio.

  2. Lancez une campagne avec les créateurs de copilotes dans votre organisation pour corriger les erreurs DLP ou les stratégies DLP mises à jour. Vous pouvez télécharger toutes les erreurs DLP du copilote en sélectionnant Détails dans la bannière de notification d’erreur et en sélectionnant Télécharger dans les détails du message d’erreur.

Activer l’application de la DLP pour les copilotes

Important

Avant d’activer l’application de la DLP, assurez-vous de savoir quels copilotes afficheront des erreurs à vos utilisateurs copilotes en raison de violations de la stratégie DLP.

Si vous rencontrez des problèmes, vous pouvez exempter un copilote des stratégies DLP ou désactiver l’application de la DLP pendant que vos créateurs corrigent le copilote pour le rendre conforme aux stratégies DLP.

Vous pouvez exécuter la commande PowerShell suivante pour appliquer les stratégies DLP dans Copilot Studio. Les créateurs de copilotes ne pourront pas effectuer d’actions affectées par DLP, et les utilisateurs finaux verront des erreurs si elles se déclenchent.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Exempter un bot des stratégies DLP

Si vous avez activé l’application de la protection DLP pour votre client, mais que vous devez exempter un copilote de l’affichage des erreurs DLP aux créateurs et aux utilisateurs, vous pouvez exécuter le script PowerShell suivant.

Assurez-vous de remplacer <environment ID>, <bot ID>, <tenant ID> et <policy ID> par les ID appropriés pour le copilote que vous souhaitez exempter.

Astuce

Vous pouvez trouver <environment ID> et <bot ID> à partir de l’URL du copilote.

L’<policy ID> est répertorié à côté des détails de l’erreur dans le fichier Télécharger les détails. Vous pouvez télécharger ce fichier en sélectionnant Télécharger les détails sur la bannière de notification d’erreur dans Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Désactiver l’application de la DLP pour les copilotes

La commande suivante désactivera l’application de la DLP dans les copilotes.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled