Configurar políticas de prevenção contra perda de dados para copilotos

Os dados de sua organização são um dos ativos mais importantes pelos quais você é responsável por proteger. A capacidade de criar automação para usar esses dados é uma parte significativa do sucesso da sua empresa.

Você pode criar e implantar rapidamente seus copilotos de alto valor para seus usuários finais. Você pode conectar seus copilotos a muitas fontes de dados e serviços. Alguns desses serviços e origens podem ser externos, serviços de terceiros e podem incluir até mesmo redes sociais.

É fácil ignorar o potencial da exposição. Esse tipo de exposição pode resultar em vazamento de dados ou conexões com serviços e públicos que não deveriam ter acesso aos dados.

Os administradores podem controlar os copilotos em sua organização usando políticas de prevenção contra perda de dados (DLP) com os conectores do Copilot Studio existentes. As políticas de DLP são criadas no centro de administração do Power Platform. Para criar uma política DLP, você deve ser um administrador de locatários ou ter a função de Administrador de Ambiente.

Pré-requisitos

Conectores do Copilot Studio

Os conectores do Copilot Studio podem ser classificados dentro de uma política DLP nos seguintes grupos de dados, que são apresentados no centro de administração do Power Platform ao revisar as políticas DLP:

  • Negócios
  • Não comercial
  • Bloqueado

Você pode usar os conectores nas políticas DLP para proteger os dados da organização contra qualquer exfiltração de dados mal-intencionada ou não intencional por parte dos criadores do copiloto.

Importante

Por padrão, a aplicação de DLP para copilotos está desabilitada em todos os locatários. Saiba mais sobre como habilitar a imposição.

Os conectores precisam estar em um único grupo de dados, pois os dados não podem ser compartilhados entre conectores que estão em grupos diferentes.

Vários conectores do Copilot Studio estão disponíveis no centro de administração do Power Platform. Esses conectores podem ser configurados para DLP assim:

Nome do conector Description
Application Insights no Copilot Studio Impeça que criadores de copiloto conectem o copiloto com o Application Insights.
Chat sem autenticação do Microsoft Entra ID no Copilot Studio Impeça os criadores do copiloto de publicar copilotos que não estão configurados para autenticação.
Os usuários do Copilot devem se autenticar para conversar com o copiloto.
Para obter mais informações, consulte Exemplo da prevenção contra perda de dados - Exigir autenticação de usuário final em copilotos.
Canais do Direct Line no Copilot Studio Impeça que criadores de copiloto habilitem ou usem o canal Direct Line.
Por exemplo, o site de demonstração, o site personalizado, o aplicativo móvel e outros canais do Direct Line seriam bloqueados.
Canal do Facebook no Copilot Studio Impeça que os criadores do copiloto habilitem ou usem o canal do Facebook.
Fonte de conhecimento com o SharePoint e o OneDrive no Copilot Studio Impeça criadores de copiloto de publicar copilotos configurados com o SharePoint e como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade.
Fonte de conhecimento com sites públicos e dados no Copilot Studio Impeça criadores de copiloto de publicar copilotos configurados com sites públicos como uma fonte de conhecimento. Dá suporte à filtragem do ponto de extremidade para permitir ou negar pontos de extremidade.
Fonte de conhecimento com documentos no Copilot Studio Impeça criadores de copiloto de publicar copilotos configurados com documentos como uma fonte de conhecimento.
Canal do Microsoft Teams no Copilot Studio Impeça que os criadores do copiloto habilitem ou usem o canal do Teams.
Omnicanal no Copilot Studio Impeça que os criadores do copiloto habilitem ou usem o canal do Omnicanal.
Habilidades com Copilot Studio Impedir que criadores de copiloto usem habilidades em copilotos do Copilot Studio.
Para obter mais informações, consulte Exemplo da prevenção contra perda de dados - Bloquear habilidades em copilotos e Exemplo da prevenção contra perda de dados - Bloquear solicitações HTTP em copilotos.

Exemplo de configurações da política DLP

Para ajudar você a começar a usar a governança do copiloto do Copilot Studio criamos os seguintes exemplos que detalham cenários diferentes:

Use o PowerShell para habilitar e administrar a aplicação de DLP para copilotos em sua organização

Você pode configurar se as políticas DLP devem ser aplicadas aos seus copilotos com PowerAppDlpErrorSettings e PowerVirtualAgentsDlpEnforcement cmdlets do PowerShell.

Você pode:

  • Confirmar se o DLP está habilitado para copilotos em seu locatário.
  • Habilitar ou desabilitar o DLP em um modo de auditoria (-Mode SoftEnabled) para que os criadores do copiloto possam ver erros, mas não sejam impedidos de executar ações que seriam bloqueadas se a aplicação de DLP estivesse totalmente habilitada.
  • Habilitar ou desabilitar a aplicação de DLP para mostrar erros de aplicação de DLP e impedir que os criadores do copiloto publiquem bots afetados por DLP ou definam configurações relacionadas a DLP.
  • Isentar copilotos específicos da aplicação de DLP.
  • Adicionar e atualizar os links saiba mais e de email de contato que são mostrados aos criadores do copiloto quando eles encontram DLP nos aplicativos da Web e do Copilot Studio Teams.

Importante

Antes de usar os cmdlets do PowerShell ou os scripts de exemplo mostrados aqui, instale os módulos a seguir usando o PowerShell.

  • Microsoft.PowerApps.Administration.PowerShell
  • Microsoft.PowerApps.PowerShell -AllowClobber

Você precisa ser administrador de locatários para usar os cmdlets.

Normalmente, você usaria esses cmdlets de acordo com um processo de distribuição de DLP, que pode consistir nas seguintes etapas, na ordem:

  1. Adicionar ou atualizar os links saiba mais e email de contato do administrador que são mostrados nos erros de DLP para criadores do copiloto.

  2. Determinar quais copilotos (se houver) têm atualmente a aplicação da política DLP habilitada.

  3. Use o modo de auditoria ou "flexível" para que os fabricantes possam ver erros de DLP nos aplicativos da Web do Copilot Studio e do Teams.

  4. Reduza o risco ao contatar criadores e informá-los sobre a melhor medida para o aplicativo ou fluxo.

  5. Habilitar a aplicação de DLP para copilotos para evitar tarefas e recursos afetados por DLP.

Você também pode decidir isentar um ou mais copilotos da imposição da política de DLP, dependendo do caso de uso e dos requisitos do copiloto.

Você pode configurar um link saiba mais e email usando o cmdlet Set-PowerAppDlpErrorSettings do PowerShell. Os criadores do copiloto verão essas informações quando ocorrerem erros de DLP.

Captura de tela do aplicativo da Web do Copilot Studio mostrando um erro relacionado a DLP com texto de erro realçado.

Para adicionar o link saiba mais e email pela primeira vez, execute o seguinte script do PowerShell, substituindo os valores dos parâmetros de <email>, <URL> e <tenant ID> pelos seus.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Para atualizar uma configuração existente, use o mesmo script do PowerShell e substitua New-PowerAppDlpErrorSettings por Set-PowerAppDlpErrorSettings.

Cuidado

Essas configurações se aplicam a todos os aplicativos do Power Platform no locatário especificado.

Habilitar e configurar a aplicação de DLP para copilotos

Você pode habilitar, desabilitar, configurar e auditar a aplicação de DLP dentro do Copilot Studio com o cmdlet do PowerVirtualAgentsDlpEnforcement.

Em qualquer um dos exemplos a seguir, substitua (ou declare) <tenant ID> com o ID do seu locatário.

Você pode definir o escopo para copilotos criados após uma determinada data substituindo <date> por uma data no formato MM-DD-YYYY. Para remover o escopo, exclua o parâmetro -OnlyForBotsCreatedAfter e seu valor.

Confirmar a aplicação de DLP para copilotos

Por padrão, a aplicação de DLP para copilotos está desabilitada em todos os locatários.

Você pode executar o seguinte cmdlet do PowerShell para verificar se DLP para Copilot Studio está habilitado para um locatário.

Get-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID>

Nota

Se você não configurou a DLP do Copilot Studio, os resultados do cmdlet estarão vazios.

Use o modo de auditoria ou "flexível" para ver os erros de DLP nos aplicativos da Web do Copilot Studio e do Teams

Execute o seguinte script do PowerShell para habilitar as políticas DLP no modo de auditoria. Os criadores do copiloto verão erros relacionados a DLP ao configurar copilotos nos aplicativos Web e do Copilot Studio Teams, mas não serão impedidos de realizar ações relacionadas a DLP. Além disso, os criadores não podem publicar copilotos enquanto o modo "flexível" estiver ativado.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode SoftEnabled

Para encontrar copilotos que podem ser afetados pelas políticas DLP existentes da sua organização, você pode:

  1. Usar o Kit de Início do Centro de Excelência (CoE) para obter uma lista de copilotos na organização. Ir para a página de visão geral do Copilot Studio no Painel CoE para ver os copilotos e nomes de ambiente em sua organização.

    Captura de tela do painel Kit de início do CoE aberto para a visão geral do Copilot Studio.

  2. Executar uma campanha com os criadores do copiloto na organização para resolver erros de DLP ou políticas DLP atualizadas. Você pode baixar todos os erros de DLP do copiloto selecionando Detalhes na faixa de notificação do erro e selecionando Baixar nos detalhes da mensagem de erro.

Habilitar a aplicação de DLP para copilotos

Importante

Antes de habilitar a aplicação de DLP, saiba quais copilotos mostrarão erros aos usuários do copiloto devido a violações da política DLP.

Se tiver problemas, você poderá isentar um copiloto das políticas DLP ou desabilitar a aplicação de DLP enquanto seus criadores corrigem o copiloto para cumprir as políticas DLP.

Você pode executar o seguinte comando do PowerShell para aplicar políticas DLP no Copilot Studio. Os criadores de copiloto serão impedidos de realizar ações afetadas por DLP, e os usuários finais verão erros se forem disparados.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Enabled -OnlyForBotsCreatedAfter <date>

Isentar um bot das políticas DLP

Se você habilitou a imposição de DLP para seu locatário, mas precisa isentar um copiloto de mostrar erros de DLP para criadores e usuários, você pode executar o script PowerShell a seguir.

Certifique-se de substituir <environment ID>,, <bot ID> <tenant ID>, e <policy ID> com as IDs apropriadas para o copiloto que você deseja isentar.

Dica

Você pode encontrar o <environment ID> e <bot ID> da URL do copiloto.

A <policy ID> é listada ao lado dos detalhes do erro no arquivo Detalhes do download. Você pode baixar esse arquivo selecionando Detalhes de download no banner de notificação de erro no Copilot Studio.

$environmentId = "<environment ID>" 
$botId = "<bot ID>"; 
$tenantId = "<tenant ID>" 
$policyName = "<policy ID>"

# Ensure the DLP commands are installed
if (-not (Get-Command "Get-PowerAppDlpPolicyExemptResources" -ErrorAction SilentlyContinue))
{
    Write-Host "Please ensure the Power Apps DLP commands are available: https://docs.microsoft.com/power-platform/admin/powerapps-powershell#environments-commands" -ForegroundColor Red
    return;
}
# Set up the PVA resource information
$pvaResourceId = "$environmentId+$botId"
$pvaResourceType = "Bot"
$exemptBot = [pscustomobject]@{
                id = $pvaResourceId
                type = $pvaResourceType
              }
Write-Host "Getting exempt resources"
$resources = Get-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName
if (-not $resources)
{
    $resources = [pscustomobject]@{  exemptResources = @($exemptBot) }
    Write-Host "No exempt resources configured yet"
}
$resources = New-PowerAppDlpPolicyExemptResources -TenantId $tenantId -PolicyName $policyName -NewDlpPolicyExemptResources $resources
Write-Host "Added bot to exempt resources"

Desabilitar a aplicação de DLP para copilotos

O comando a seguir desabilitará a aplicação de DLP em copilotos.

Set-PowerVirtualAgentsDlpEnforcement -TenantId <tenant ID> -Mode Disabled