Konfigurer datapolitikker for agenter

Ved hjælp af Copilot Studio kan du hurtigt oprette og udrulle agenter af høj værdi for dine brugere, der opretter forbindelse til mange datakilder og tjenester. Nogle af disse kilder og tjenester kan være eksterne, ikke-Microsoft-tjenester. De kan endda inkludere sociale netværk sammen med forbindelser til dine organisationsdata.

Organisatoriske data er den vigtigste ressource, som administratorer er ansvarlige for at beskytte. Muligheden for at bruge disse data på en beskyttet måde, mens du stadig forbinder og interagerer med andre tjenester og systemer, er en hjørnesten i datasikkerhed.

Datapolitikker giver dig mulighed for at styre, hvordan agenter forbinder og interagerer med data og tjenester, både inden for og uden for din organisation. Administratorer kan konfigurere Copilot Studio- og Power Platform-datapolitikker i Power Platform Administration.

Forudsætninger

• Gennemgå koncepter om datapolitikker.
• Vær administratorkonto for lejer eller har miljøadministratorrollen.

Copilot Studio-connectors og datagrupper

I Power Platform Administration kan du klassificere Copilot Studio-connectors i en datapolitik under følgende datagrupper:

• Virksomhed
• Ikke-forretningsmæssig
• Blokeret

Brug disse forbindelser i datapolitikker til at beskytte din organisations data mod enhver ondsindet eller utilsigtet dataeksfiltration fra dine agentskabere.

Standardgruppen i datapolitikker er en kategori, hvor forbindelser automatisk tilføjes, når der ikke er defineret nogen eksplicit gruppering under introduktionen. Connectors, der blev introduceret efter 2019, f.eks. Chat uden Microsoft Entra ID godkendelse i Copilot Studio eller Direct Line kanaler i Copilot Studio, er sandsynligvis en del af standardgruppen "Ikke-forretningsmæssig".

I mange organisationer blokeres forbindelser i gruppen "Ikke-virksomhed" automatisk. Hvis en datapolitik blokerer en connector i din Copilot Studio-lejer, skal du gennemse, hvilken datagruppe connectoren er i.

Administratorer kan konfigurere standardgrupper på datapolitik-niveau i Power Platform-administrationscentret.

Anvendelsestilfælde for almindelige datapolitikker for Copilot Studio-agenter

Du kan bruge Copilot Studio-connectors i Power Platform Administration til at konfigurere datapolitikker for følgende almindelige use cases:

• Kræver brugergodkendelse
• Blok videnskilder
• Bloker brugen af Power Platform-stik som værktøjer
• Blokér HTTP-forespørgsler
• Blokfærdigheder
• Blokudgivelse til specifikke kanaler
• Blokbegivenhedsudløsere

Listen over understøttede stik i Power Platform administrationscenteret inkluderer et par flere anvendelsestilfælde.

Kræver brugergodkendelse

Når du opretter en ny agent, er indstillingen 'Autentificer med Microsoft' automatisk slået til. Agenten bruger automatisk Microsoft Entra ID godkendelse uden at kræve manuel konfiguration. Du kan kun chatte med din agent i Microsoft Teams, SharePoint, Power Apps eller Microsoft 365 Copilot. Dog kan agentskabere i din organisation vælge Ingen autentificering for at tillade alle med linket at chatte med din agent.

Hvis du vil forhindre agentoprettere i at publicere agenter, der ikke kræver godkendelse, skal du konfigurere en datapolitik der blokerer connectoren Chat uden Microsoft Entra ID godkendelse i Copilot Studio.

Når du har konfigureret denne datapolitik, agentoprettere kan kun bruge Authenticate med Microsoft eller Authenticate manuelt til at konfigurer brugergodkendelse for agenter i Copilot Studio, og agentbrugere skal godkende sig selv til at chatte med agenten.

Blokér oplysningskilder

Brug datapolitikker til at kontrollere, hvilke videnskilder agentforfattere kan bruge.

For at forhindre agentskabere i at offentliggøre agenter, der bruger specifikke typer videnskilder, konfigureres en datapolitik , der blokerer en eller flere af følgende forbindelser:

• Knowledge-kilde med SharePoint og OneDrive i Copilot Studio
• Knowledge-kilde med offentlige websteder og data i Copilot Studio
• Knowledge-kilde med dokumenter i Copilot Studio

Hvis du vil tillade eller afvise bestemte slutpunkter for SharePoint eller offentlige websteder, som oprettere kan bruge som videnkilder for deres Copilot Studio-agenter, kan du også bruge endpoint-filtrering i stedet for at blokere den valgte connector.

Blokér ved at bruge Power Platform-connectors som værktøjer

Hvis du vil forhindre agentoprettere i at bruge Power Platform-connectors som værktøjer i Copilot Studio-agenter, skal du konfigurere en datapolitik med de forbindelser, du vil blokere.

Blokér HTTP-forespørgsler

Agentskabere i din organisation kan lave HTTP-forespørgsler ved at bruge HTTP-anmodningsnoden .

For at forhindre agentskabere i at offentliggøre agenter, der laver HTTP-forespørgsler, skal du konfigurere en datapolitik , der blokerer HTTP-connectoren .

Alternativt, hvis du vil tillade eller afvise specifikke HTTP-endpoints i stedet for at blokere alle HTTP-kald, kan du bruge endpoint-filtrering.

Blokfærdigheder

Agentskabere i din organisation kan give agenter færdigheder. Færdigheder kan være en nyttig måde at udvide agenternes funktionalitet på. Men af sikkerhedsmæssige årsager kan du overveje at konfigurere, hvilke færdigheder agenter kan bruge.

Hvis du vil forhindre agentoprettere i at publicere agenter, der bruger færdigheder, skal du konfigurere en datapolitik der blokerer Skills med Copilot Studio connector.

Blokudgivelse til specifikke kanaler

Brug datapolitikker til at konfigurere de kanaler, hvorigennem producenter kan offentliggøre agenter.

For at forhindre agentskabere i at publicere agenter til specifikke kanaler, konfigureres en datapolitik , der blokerer en eller flere af følgende connectors:

• Microsoft Teams + M365 Channel i Copilot Studio
• Direct Line kanaler i Copilot Studio (gælder for demowebstedet, brugerdefinerede websteder, mobilapps og andre Direct Line kanaler)
• Facebook-kanal i Copilot Studio
• Omnichannel i Copilot Studio
• SharePoint kanal i Copilot Studio
• WhatsApp-kanal i Copilot Studio

Blokbegivenhedsudløsere

Agentoprettere i din organisation kan føje hændelsesudløsere til agenter. Hændelsesudløsere giver dine agenter mulighed for at reagere på eksterne hændelser uden at spørge brugeren. Du kan dog overveje at begrænse deres brug for at forhindre dataeksfiltration eller uønsket forbrug eller kvotebrug.

Hvis du vil forhindre agentoprettere i at føje hændelsesudløsere til deres agenter eller køre automatiserede evalueringer ved hjælp af en godkendt konto, konfigurere en datapolitik der blokerer Microsoft Copilot Studio connectoren.

Stiknavne i Power Platform administrationscenter

I følgende tabel vises navnet på de connectors, du kan bruge i datapolitikker for Copilot Studio-agenter.

Konfigurer en datapolitik i Power Platform administrationscenter

1. Log på Power Platform Administration.

2. I sidebjælken, vælg Sikkerhed, og vælg derefter Data og privatliv. Siden Databeskyttelse og beskyttelse af personlige oplysninger åbnes.

3. Vælg Datapolitik. Listen over datapolitikker vises.

4. Opret en ny datapolitik, eller vælg en eksisterende datapolitik, der skal redigeres:

   • For at oprette en ny datapolitik skal du vælge Ny politik, og derefter indtaste det ønskede navn.
   • For at redigere en eksisterende datapolitik skal du vælge datapolitikken og vælge Rediger politik.

5. Vælg Næste. Siden Tilføj et miljø vises.

   • For at tilføje et miljø til din datapolitik, vælg miljøet i fanen Tilgængelig , og vælg derefter Tilføj til politik.
   • For at fjerne et miljø fra din datapolitik, skift til fanen Tilføjet til-politik , vælg miljøet, og vælg derefter Fjern fra politik.

6. Vælg Næste. Siden Tildel forbindelser vises.

7. Brug søgefeltet for at finde det stik, du ønsker.

8. Vælg de tre prikker (⋮) ved siden af stikket, og derefter:

   • Hvis du vil forhindre agentskabere i at bruge funktionerne forbundet med connectoren, vælg Blokér.

   • Hvis du vil tillade eller afvise bestemte slutpunkter for SharePoint eller offentlige websteder, der er konfigureret som videnkilder, eller for HTTP-anmodning:

     1. Vælg Konfigurer stik>Stik endepunkter.
     2. Tilføj de endpoints eller mønstre, du ønsker, og vælg derefter Gem.

9. Vælg Næste.

10. Hvis du er lejeadministrator eller miljøadministrator for flere miljøer, åbnes siden Definér omfang .

    1. Vælg den mulighed, du ønsker:

       • Tilføj alle miljøer: Tilføjer alle miljøerne i hele din lejere. Denne politik gælder automatisk for ethvert nyt miljø, der oprettes i lejeren.
       • Tilføj flere miljøer: Vælg de miljøer, der skal medtages i denne politik.
       • Udelad visse miljøer: Vælg de miljøer, der skal udelades fra denne politik.

       Notat

       Politikker med et lejerumsområde gælder for alle agenter i alle miljøer på tværs af lejeren.

    2. Vælg Næste.

11. Gennemse din politik, og vælg derefter Opret politik , hvis du opretter en ny politik eller Opdater politik , hvis du redigerer en eksisterende politik.

12. Gå til Copilot Studio, og bekræft, at den gennemtvinger din datapolitik som forventet for din use case.

Bekræft håndhævelse af datapolitik i Copilot Studio

Du kan bekræfte, at en datapolitik er i kraft, ved at åbne en agent i Copilot Studio. Efter du forsøger at udføre en operation, der er underlagt datapolitikken, vises der et fejlbanner med en Detaljer-knap . For at se detaljer, udvid fejllinket på Kanal-siden og vælg Download. I detaljefilen beskriver en række hver overtrædelse. Når der sker en overtrædelse af datapolitikken, bliver knappen Publicér utilgængelig.

• Bekræft brugergodkendelse er påkrævet
• Bekræft videnskilder er blokeret
• Bekræft at Power Platform-stik ikke kan bruges som værktøj
• Bekræft at HTTP-forespørgsler er blokeret
• Bekræft, at færdigheder er blokeret
• Bekræft at udgivelse til specifikke kanaler er blokeret
• Bekræft at hændelsesudløsere er blokeret

Bekræft brugergodkendelse er påkrævet

Når du åbner en agent, der ikke er konfigureret til at kræve brugerautentificering i et miljø med en datapolitik, der kræver det, vises der et fejlbanner med en Details-knap . For at se detaljer, udvid fejllinket på Kanal-siden og vælg Download. I detaljefilen beskriver en række hver overtrædelse.

En agentskaber kan kontakte deres administratorer med regnearksoplysningerne for at foretage passende opdateringer af datapolitikken.

Agentopretteren kan også opdatere agentens godkendelsesindstillinger til Authenticate med Microsoft eller Authenticate manuelt (Azure Active Directory eller Azure Active Directory v2) på konfigurationssiden Authentication. Se Konfigurer brugergodkendelse i Copilot Studio.

Bemærk, at ingen autentificering og nogle manuelle autentificeringsmuligheder ikke er tilgængelige for valg.

Bekræft videnskilder er blokeret

1. I Copilot Studio skal du åbne en agent i et miljø med en datapolitik, der forhindrer oprettere i at tilføje specifikke videnkilder.

2. Gå til siden Viden , vælg Tilføj viden, og tilføj en videnkilde, som din datapolitik blokerer.

3. Prøv at udgive agenten. Hvis politikken håndhæves, vises der et fejlbanner med en Detaljer-knap .

4. På siden Kanaler udvid fejllinket og vælg Download for at se detaljer. I detaljefilen, hvis der er en overtrædelse af datapolitikken for en videnkilde, vises der en række for videnskilden og for hver generative svar-node, der bruger den videnskilde.

Bekræft at Power Platform-stik ikke kan bruges som værktøj

1. I Copilot Studio skal du åbne en agent i et miljø med en datapolitik, der forhindrer oprettere i at konfigurere værktøjer, der er baseret på Power Platform-connectors.

2. Opret et nyt emne og tilføj en Tool-node .

3. I panelet Tilføj et værktøj skifter du til fanen Connectors og vælger en connector, som din datapolitik blokerer. Brug søgefeltet, hvis det er nødvendigt.

4. Gem emnet og prøv at udgive agenten. Hvis politikken håndhæves, vises der et fejlbanner med en Detaljer-knap .

5. På siden Kanaler udvid fejllinket og vælg Download for at se detaljer.

Bekræft at HTTP-forespørgsler er blokeret

Bekræft at færdigheder er blokeret

1. I Copilot Studio skal du åbne en agent i et miljø med en datapolitik, der forhindrer oprettere i at konfigurere færdigheder.

2. Prøv at tilføje en færdighed til agenten. Hvis datapolitikken håndhæves, rapporterer panelet Add a skill en fejl og foreslår, at du kontakter en administrator for at tilføje færdigheden til tilladelseslisten.

Bekræft at udgivelse til specifikke kanaler er blokeret

1. I Copilot Studio skal du åbne en agent i et miljø med en datapolitik, der forhindrer oprettere i at publicere til bestemte kanaler.

2. Prøv at konfigurere en kanal, som datapolitikken blokerer. Hvis datapolitikken håndhæves, kan du ikke offentliggøre til den kanal.

Bekræft at hændelsesudløsere er blokeret

1. I Copilot Studio skal du åbne en agent i et miljø med en datapolitik, der forhindrer oprettere i at tilføje hændelsesudløsere.

2. Hvis politikken håndhæves, vises en detaljeret fejlmeddelelse i afsnittet Triggere på Oversigtssiden . Beskeden nævner navnet på datapolitikken og foreslår, at du kontakter din administrator.

Identificer og foretag fejlfinding af virkningen af datapolitikker

Hvis du vil finde agenter, som din organisations datapolitikker kan påvirke, kan du:

• Brug Power BI-dashboardet til Center of Excellence (CoE) Starter Kit. Oversigtssiden Copilot Studio på CoE Dashboard viser agenter og miljøer i din organisation.

  Notat

  Klassiske chatrobotter, der er oprettet ved hjælp af den ældre Microsoft Copilot Studio-app i Microsoft Teams, kan ikke findes i CoE Starter Kit. Hvis du vil have vist en liste over alle agenter og klassiske chatrobots i et miljø, kan du oprette et Power Automate cloudflow med en Listerækker fra det valgte miljø Dataverse-handling.

• Hvis du vil håndtere datapolitikfejl eller opdaterede datapolitikker, skal du køre en kampagne med agentopretterne i din organisation. Hvis du vil hente alle agentdatapolitikfejl, skal du vælge Detaljer i banneret for fejlmeddelelsen og vælge Download fra oplysningerne om fejlmeddelelsen.

Hvis datapolitikker påvirker agenternes funktionalitet, skal du se Troubleshoot data policy enforcement for Copilot Studio.

Tilføj og opdater "Læs mere" og admin-kontakt-e-mail-linkene

Brug PowerShell-cmdlet'en Set-PowerAppDlpErrorSettings til at tilføje en e-mailadresse og et "Læs mere"-link til fejlmeddelelserne i datapolitikken.

For at tilføje e-mailadressen og linket "Læs mere" skal du køre følgende PowerShell-script. Erstat værdierne for <email>, <URL>, og <tenant ID> parametrene med dine egne.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

For at opdatere en eksisterende konfiguration skal du bruge det samme PowerShell-script, men erstatte New-PowerAppDlpErrorSettings med Set-PowerAppDlpErrorSettings.