Freigeben über

Datenrichtlinien für Agents konfigurieren

Mithilfe von Copilot Studio können Sie schnell hochwertige Agents für Ihre Benutzer erstellen und bereitstellen, die eine Verbindung mit vielen Datenquellen und Diensten herstellen. Einige dieser Quellen und Dienste könnten externe, nicht-Microsoft-Dienste sein. Sie können sogar soziale Netzwerke umfassen, neben Verbindungen zu Ihren Unternehmensdaten.

Organisationsdaten sind das wichtigste Gut, für das Administratoren verantwortlich sind. Die Möglichkeit, diese Daten auf geschützte Weise zu verwenden und gleichzeitig eine Verbindung zu anderen Diensten und Systemen herzustellen und mit ihnen zu interagieren, ist ein Eckpfeiler der Datensicherheit.

Datenrichtlinien ermöglichen es Ihnen, zu steuern, wie Agenten Daten und Dienste sowohl innerhalb als auch außerhalb Ihrer Organisation verbinden und mit ihnen interagieren. Administratoren können Copilot Studio- und Power Platform-Datenrichtlinien im Power Platform Admin Center konfigurieren.

Wichtig

Seit Anfang 2025 gilt die Durchsetzung von Datenrichtlinien für alle Mandanten, wie in der Nachrichtencenter-Benachrichtigung MC973179: Copilot Studio – Anstehende Updates zur Durchsetzung der Verhinderung von Datenverlust angekündigt.

Die Ausnahmen zur Erzwingung von Agent-Datenrichtlinien werden nicht mehr unterstützt. Agenten, die zuvor von der Durchsetzung von Datenrichtlinien ausgenommen waren, unterliegen alle der Durchsetzung.

Erfahren Sie mehr über die Fehlersuche bei der Durchsetzung von Datenrichtlinien bei Ihrem Mieter.

Anforderungen

Copilot Studio-Connectors und -Datengruppen

Im Power Platform Admin Center können Sie Copilot Studio-Connectors in einer Datenrichtlinie unter den folgenden Datengruppen klassifizieren:

  • Unternehmen
  • Nicht geschäftlich
  • Blockiert

Nutzen Sie diese Connectoren in Datenrichtlinien, um die Daten Ihrer Organisation vor bösartigen oder unbeabsichtigten Datenexfiltrationen durch Ihre Agent-Entwickler zu schützen.

Die Standardgruppe in Datenrichtlinien ist eine Kategorie, in der Konnektors automatisch hinzugefügt werden, wenn während der Einführung keine explizite Gruppierung definiert wird. Connectors, die nach 2019 eingeführt wurden, wie z. B. Chat ohne Microsoft Entra ID-Authentifizierung in Copilot Studio oder Direct Line-Kanäle in Copilot Studio, sind wahrscheinlich Teil der Standardgruppe "Nicht-geschäftlich".

In vielen Organisationen werden Konnektoren in der Gruppe "Nicht-Geschäftsbereich" automatisch blockiert. Wenn eine Datenrichtlinie einen Connector in Ihrem Copilot Studio-Mandanten blockiert, überprüfen Sie, in welcher Datengruppe sich der Connector befindet.

Administratoren können Standardgruppen auf Datenrichtlinienebene im Power Platform Verwaltungszentrum konfigurieren.

Wichtig

Copilot Studio unterstützt die Erzwingung von Datenrichtlinien in Echtzeit. Agent-Ersteller und -Benutzer sehen Fehlermeldungen für Verstöße gegen Datenrichtlinien.

In einer Datenrichtlinie müssen sich die Konnektoren in derselben Datengruppe befinden, da Daten nicht für Konnektoren freigegeben werden können, die sich in verschiedenen Gruppen befinden.

Allgemeine Anwendungsfälle für Datenrichtlinien für Copilot Studio-Agents

Sie können Copilot Studio-Connectors im Power Platform Admin Center verwenden, um Datenrichtlinien für die folgenden gängigen Anwendungsfälle zu konfigurieren:

Die Liste der unterstützten Connectoren im Power Platform Admin Center enthält noch einige weitere Anwendungsfälle.

Benutzerauthentifizierung erforderlich

Wenn Sie einen neuen Agenten erstellen, ist standardmäßig die Option Authentifizieren mit Microsoft-Authentifizierung aktiviert. Der Agent verwendet automatisch Microsoft Entra ID Authentifizierung, ohne dass eine manuelle Einrichtung erforderlich ist. Sie können nur mit Ihrem Agenten in Microsoft Teams, SharePoint, Power Apps oder Microsoft 365 Copilot chatten. Allerdings können die Agentenentwickler in Ihrer Organisation keine Authentifizierung auswählen, sodass jeder mit dem Link mit Ihrem Agenten chatten kann.

Screenshot des Authentifizierungs-Konfigurationspanels mit der Option 'Mit Microsoft authentifizieren' ausgewählt.

Um zu verhindern, dass Agent-Macher Agenten veröffentlichen, die keine Authentifizierung erfordern, konfigurieren Sie eine Datenrichtlinie, die den Connector Chat ohne Microsoft Entra ID Authentifizierung in Copilot Studio blockiert.

Nachdem Sie diese Datenrichtlinie eingerichtet haben, können Agentenhersteller nur mit Microsoft authentifizieren oder manuelle Authentifizierung verwenden, um die Benutzerauthentifizierung für Agenten in Copilot Studio zu konfigurieren, und Agentennutzer müssen sich authentifizieren, um mit dem Agenten zu chatten.

Block-Wissensquellen

Verwenden Sie Datenrichtlinien, um zu steuern, welche Wissensquellen Agentenautoren nutzen können.

Um zu verhindern, dass Agent-Hersteller Agenten veröffentlichen, die bestimmte Arten von Wissensquellen verwenden, konfigurieren Sie eine Datenrichtlinie , die einen oder mehrere der folgenden Connectors blockiert:

  • Wissensquelle mit SharePoint und OneDrive in Copilot Studio
  • Wissensquelle für öffentliche Websites und Daten in Copilot Studio
  • Wissensquelle mit Dokumenten in Copilot Studio

Wenn Sie spezifische Endpunkte für SharePoint oder öffentliche Websites zulassen oder verweigern möchten, die von Herstellern als Wissensquellen für ihre Copilot Studio-Agents verwendet werden können, sollten Sie Endpunktfilterung statt das Blockieren des ausgewählten Connectors verwenden.

Blockierung der Nutzung von Power Platform-Connectors als Werkzeuge

Um zu verhindern, dass Agent-Entwickler Power Platform-Connectors als Tools verwenden in Copilot Studio-Agents konfigurieren Sie eine Datenrichtlinie mit den Connectors, die Sie blockieren möchten.

HTTP-Anfragen blockieren

Agent-Entwickler in Ihrer Organisation können HTTP-Anfragen über den HTTP-Anforderungsknoten stellen.

Um zu verhindern, dass Agent-Hersteller Agenten veröffentlichen, die HTTP-Anfragen stellen, konfigurieren Sie eine Datenrichtlinie , die den HTTP-Connector blockiert.

Alternativ, wenn Sie bestimmte HTTP-Endpunkte erlauben oder ablehnen möchten, anstatt alle HTTP-Aufrufe zu blockieren, können Sie Endpunktfilterung verwenden.

Blockfähigkeiten

Agentenersteller in Ihrem Unternehmen können Agenten um Fähigkeiten erweitern. Fähigkeiten können eine nützliche Möglichkeit sein, die Funktionalität von Agenten zu erweitern. Aus Sicherheitsgründen solltest du jedoch konfigurieren, welche Fähigkeiten Agenten nutzen können.

Um zu verhindern, dass Agenten veröffentlichen, die Fähigkeiten verwenden, konfigurieren Sie eine Datenrichtlinie, die den Konnektor "Fähigkeiten mit Copilot Studio" blockiert.

Veröffentlichung auf bestimmte Kanäle blockieren

Verwenden Sie Datenrichtlinien, um die Kanäle zu konfigurieren, über die Hersteller Agenten veröffentlichen können.

Um zu verhindern, dass Agent-Hersteller Agenten auf bestimmte Kanäle veröffentlichen, konfigurieren Sie eine Datenrichtlinie , die einen oder mehrere der folgenden Connectors blockiert:

  • Microsoft-Teams + M365-Kanal in Copilot Studio
  • Direct Line Kanäle in Copilot Studio (gilt für die Demo-Website, benutzerdefinierte Websites, mobile App und andere Direct Line Kanäle)
  • Facebook-Kanal in Copilot Studio
  • Omnichannel in Copilot Studio
  • SharePoint Kanal in Copilot Studio
  • WhatsApp-Kanal in Copilot Studio

Hinweis

Wenn Die Entwickler ihre Agents nicht für einen Kanal konfigurieren, der nicht blockiert ist (Direct Line Kanäle sind standardmäßig zulässig), oder wenn die Administratoren keinen Kanal zulassen, können Agents nicht veröffentlicht werden.

Blockereignis-Auslöser

Agentenersteller in Ihrer Organisation können Ereignisauslöser zu Agenten hinzufügen. Mithilfe von Ereignisauslösern können Ihre Agenten ohne menschliche Aufforderung auf externe Ereignisse reagieren. Allerdings sollten Sie ihre Nutzung einschränken, um Datenexfiltration oder unerwünschten Konsum oder Quotennutzung zu verhindern.

Um zu verhindern, dass Agent-Entwickler Ereignistrigger zu ihren Agents hinzufügen oder automatierte Auswertungen ausführen mithilfe eines authentifizierten Kontos konfigurieren Sie eine Datenrichtlinie die den Microsoft Copilot Studio Connector blockiert.

Connector-Namen im Power Platform Admin Center

Die folgende Tabelle enthält die Namen der Connectoren, die Sie in Datenrichtlinien für Copilot Studio-Agenten nutzen können.

Um zu verhindern, dass Agentenentwickler... Steckername im Power Platform Verwaltungszentrum
Agenten mit Application Insights verbinden. Anwendungsinformationen in Copilot Studio
Publing-Agenten, die nicht für Authentifizierung konfiguriert sind. Chat ohne Microsoft Entra ID Authentifizierung in Copilot Studio
Publishing-Agenten, die HTTP-Anfragen stellen. HTTP
Unterstützt Endpunktfilterung, um Endpunkte zuzulassen oder abzulehnen.
Verlagsagenten, die mit Dokumenten als Wissensquelle konfiguriert sind. Wissensquelle mit Dokumenten in Copilot Studio
Verlagsagenten, die mit öffentlichen Webseiten als Wissensquelle konfiguriert sind. Wissensquelle mit öffentlichen Websites und Daten in Copilot Studio
Unterstützt Endpunktfilterung, um Endpunkte zuzulassen oder abzulehnen.
Veröffentlichungs-Agents, die mit SharePoint als Wissensquelle konfiguriert sind. Wissensquelle mit SharePoint und OneDrive in Copilot Studio
Unterstützt Endpunktfilterung, um Endpunkte zuzulassen oder abzulehnen.
Veröffentlichen auf Direct Line-Kanälen. Direct Line Kanäle in Copilot Studio
Veröffentlichen im Dynamics 365 Customer Service Kanal. Omnichannel in Copilot Studio
Veröffentlichen auf dem Facebook-Kanal. Facebook-Kanal in Copilot Studio
Veröffentlichen im SharePoint Kanal. SharePoint Kanal in Copilot Studio
Veröffentlichen im Teams- und Microsoft 365 Copilot-Kanal. Microsoft Teams + M365-Kanal in Copilot Studio
Veröffentlichen auf dem WhatsApp-Kanal. WhatsApp-Kanal in Copilot Studio
Verwenden von Ereignistriggern in Copilot Studio-Agents oder Ausführen automatisierter Auswertungen mit authentifizierten Konten. Microsoft Copilot Studio
Verwenden von Power Platform Connectors als Werkzeuge in Copilot Studio Agents. Viele vorgefertigte und maßgefertigte Steckverbinder
Verwenden von Fähigkeiten in Copilot Studio-Agenten. Fähigkeiten mit Copilot Studio

Konfigurieren Sie eine Datenrichtlinie im Power Platform Admin Center

  1. Melden Sie sich im Power Platform Admin Center an.

  2. In der Seitenleiste wählen Sie Sicherheit und dann Daten und Privatsphäre. Die Seite Datenschutz und Privatsphäre wird geöffnet.

  3. Wählen Sie "Datenrichtlinie" aus. Die Liste der Datenrichtlinien erscheint.

  4. Erstellen Sie eine neue Datenrichtlinie, oder wählen Sie eine vorhandene Datenrichtlinie aus, die bearbeitet werden soll:

  5. Wählen Sie Weiteraus. Die Seite "Eine Umgebung hinzufügen " erscheint.

    • Um eine Umgebung zu Ihrer Datenrichtlinie hinzuzufügen, wählen Sie die Umgebung im Reiter Verfügbar aus und wählen Sie dann zur Richtlinie hinzufügen.
    • Um eine Umgebung aus Ihrer Datenrichtlinie zu entfernen, wechseln Sie zum Reiter Hinzugefügte Richtlinie , wählen Sie die Umgebung aus und wählen Sie dann Aus Richtlinie entfernen.

  6. Wählen Sie Weiteraus. Die Seite "Connectoren zuweisen" erscheint.

  7. Nutze das Suchfeld, um den gewünschten Stecker zu finden.

  8. Wählen Sie die drei Punkte () neben dem Stecker aus und dann:

    • Wenn Sie verhindern möchten, dass Agentenhersteller die mit dem Connector verbundenen Funktionen nutzen, wählen Sie Blockieren.

    • Wenn Sie bestimmte Endpunkte für SharePoint oder öffentliche Websites zulassen oder verweigern möchten, die als Wissensquellen konfiguriert sind, oder für HTTP-Anforderung:

      1. Wählen Sie Connector konfigurieren>Connector-Endpunkte.
      2. Füge die gewünschten Endpunkte oder Muster hinzu und wähle dann Speichern.

  9. Wählen Sie Weiteraus.

  10. Wenn Sie Mieteradministrator oder Umgebungsadministrator für mehrere Umgebungen sind, öffnet sich die Seite "Umfang definieren ".

    1. Wählen Sie die gewünschte Option:

      • Fügen Sie alle Umgebungen hinzu: Fügt alle Umgebungen Ihres gesamten Mandanten hinzu. Diese Richtlinie gilt automatisch für jede neue Umgebung, die im Mieter erstellt wird.
      • Fügen Sie mehrere Umgebungen hinzu: Wählen Sie die Umgebungen aus, die in diese Richtlinie eingeschlossen werden sollen.
      • Schließen Sie bestimmte Umgebungen aus: Wählen Sie die Umgebungen aus, die von dieser Richtlinie ausgeschlossen werden sollen.

      Hinweis

      Richtlinien mit Mieterbereich gelten für alle Agenten in allen Umgebungen des Mieters.

    2. Wählen Sie Weiteraus.

  11. Überprüfen Sie Ihre Richtlinie, und wählen Sie dann "Richtlinie erstellen " aus, wenn Sie eine neue Richtlinie oder Eine Aktualisierungsrichtlinie erstellen, wenn Sie eine vorhandene Richtlinie bearbeiten.

  12. Wechseln Sie zu Copilot Studio und stellen Sie sicher, dass Sie Ihre Datenrichtlinie wie erwartet für Ihren Anwendungsfall durchsetzen.

Bestätigung der Durchsetzung der Datenrichtlinien in Copilot Studio

Sie können bestätigen, dass eine Datenrichtlinie wirksam ist, indem Sie einen Agent in Copilot Studio öffnen. Nachdem Sie versuchen, eine Operation durchzuführen, die der Datenrichtlinie unterliegt, erscheint ein Fehlerbanner mit einem Details-Button . Um Details zu sehen, klicken Sie auf der Kanäle-Seite auf den Fehlerlink und wählen Herunterladen aus. In der Details-Datei beschreibt eine Zeile jeden Verstoß. Wenn ein Datenrichtlinienverstoß auftritt, wird der Veröffentlichen-Button nicht mehr verfügbar.

Bestätigen Sie, dass eine Benutzerauthentifizierung erforderlich ist

Wenn du einen Agenten öffnest, der in einer Umgebung mit einer Datenrichtlinie nicht so konfiguriert ist, dass eine Benutzerauthentifizierung erforderlich ist, erscheint ein Fehlerbanner mit einem Details-Button . Um Details zu sehen, klicken Sie auf der Kanäle-Seite auf den Fehlerlink und wählen Herunterladen aus. In der Details-Datei beschreibt eine Zeile jeden Verstoß.

Ein Agent-Maker kann seine Administratoren mit den Angaben der Tabelle kontaktieren, um gegebenenfalls Änderungen an der Datenrichtlinie vorzunehmen.

Alternativ kann der Agent-Hersteller die Authentifizierungseinstellungen des Agents auf Authenticate mit Microsoft oder Authenticate manuell aktualisieren (Azure Active Directory oder Azure Active Directory v2) auf der Konfigurationsseite Authentication. Siehe die Konfiguration der Benutzerauthentifizierung in Copilot Studio.

Beachten Sie, dass keine Authentifizierung und einige manuelle Authentifizierungsoptionen nicht zur Auswahl stehen.

Bestätigen Sie, dass Wissensquellen blockiert sind

  1. Öffnen Sie in Copilot Studio einen Agent in einer Umgebung mit einer Datenrichtlinie, die verhindert, dass Entscheidungsträger bestimmte Wissensquellen hinzufügen.

  2. Gehe zur Wissensseite , wähle Wissen hinzufügen und füge eine Wissensquelle hinzu, die deine Datenrichtlinie blockiert.

  3. Versuche, den Agenten zu veröffentlichen. Wenn die Richtlinie durchgesetzt wird, erscheint ein Fehlerbanner mit einem Details-Button .

  4. Auf der Seite Kanäle erweitern Sie den Fehlerlink und wählen Sie Herunterladen , um Details zu sehen. In der Details-Datei erscheint bei einem Verstoß gegen die Datenrichtlinien für eine Wissensquelle eine Zeile für die Wissensquelle und für jeden generativen Antworten-Knoten, der diese Wissensquelle verwendet.

Bestätigen Sie, dass Power Platform-Stecker nicht als Werkzeuge verwendet werden dürfen

  1. Öffnen Sie in Copilot Studio einen Agent in einer Umgebung mit einer Datenrichtlinie, die verhindert, dass Entscheidungsträger Tools basierend auf Power Platform-Connectors konfigurieren.

  2. Erstelle ein neues Thema und füge einen Tool-Knoten hinzu.

  3. Im Tool-Panel "Hinzufügen" wechseln Sie zum Reiter "Connectors" und wählen Sie einen Connector aus, den Ihre Datenrichtlinie blockiert. Verwenden Sie bei Bedarf das Suchfeld.

  4. Speichere das Thema und versuche, den Agenten zu veröffentlichen. Wenn die Richtlinie durchgesetzt wird, erscheint ein Fehlerbanner mit einem Details-Button .

  5. Auf der Seite Kanäle erweitern Sie den Fehlerlink und wählen Sie Herunterladen , um Details zu sehen.

Hinweis

Klassische Chatbots unterstützen keine Power Platform-Konnektoren.

Bestätigen Sie, dass HTTP-Anfragen blockiert sind

  1. Öffnen Sie in Copilot Studio einen Agent in einer Umgebung mit einer Datenrichtlinie, die HTTP-Anforderungen blockiert.

  2. Erstelle ein neues Thema und füge einen HTTP-Anforderungsknoten hinzu. Mindestens solltest du die URL-Eigenschaft ausfüllen.

  3. Speichere das Thema und versuche, den Agenten zu veröffentlichen. Wenn die Richtlinie durchgesetzt wird, erscheint ein Fehlerbanner mit einem Details-Button .

  4. Auf der Seite Kanäle erweitern Sie den Fehlerlink und wählen Sie Herunterladen , um Details zu sehen. In der Details-Datei erscheint eine Zeile mit einer Beschreibung für jeden Verstoß. Ein Verstoß liegt vor, wenn der HTTP-Connector blockiert ist, wenn der HTTP-Connector in einer anderen Datengruppe als andere Connectors in Ihrer Datenrichtlinie ist oder wenn der HTTP-Connector nicht blockiert wird, aber ein Endpunkt abgelehnt wird.

Bestätigen Sie, dass die Fähigkeiten blockiert sind

  1. Öffnen Sie in Copilot Studio einen Agent in einer Umgebung mit einer Datenrichtlinie, die verhindert, dass Entscheidungsträger Fähigkeiten konfigurieren.

  2. Versuche, dem Agenten eine Fähigkeit hinzuzufügen . Wenn die Datenrichtlinie durchgesetzt wird, meldet das Panel "Skill hinzufügen " einen Fehler und empfiehlt dir, einen Admin zu kontaktieren, um die Fähigkeit zur Erlaubnisliste hinzuzufügen.

Bestätigen Sie, dass die Veröffentlichung auf bestimmten Kanälen blockiert ist

  1. Öffnen Sie in Copilot Studio einen Agenten in einer Umgebung mit einer Datenrichtlinie, die es verhindert, dass Ersteller in bestimmten Kanälen veröffentlichen.

  2. Versuche, einen Kanal zu konfigurieren, den die Datenrichtlinie blockiert. Wenn die Datenrichtlinie durchgesetzt wird, kannst du nicht auf diesem Kanal veröffentlichen.

Bestätigen Sie, dass Ereignisauslöser blockiert sind

  1. Öffnen Sie in Copilot Studio einen Agent in einer Umgebung mit einer Datenrichtlinie, die verhindert, dass Entscheidungsträger Ereignistrigger hinzufügen.

  2. Wenn die Richtlinie durchgesetzt wird, erscheint eine detaillierte Fehlermeldung im Bereich Triggers auf der Übersichtsseite . In der Nachricht wird der Name der Datenrichtlinie erwähnt und es wird empfohlen, Ihren Administrator zu kontaktieren.

Identifizieren und Beheben der Auswirkungen von Datenrichtlinien

Um Agents zu finden, die sich auf die Datenrichtlinien Ihrer Organisation auswirken könnten, können Sie folgende Aktionen ausführen:

  • Verwenden Sie das Power BI Dashboard des Center of Excellence (CoE) Starter Kit. Auf der Übersichtsseite Copilot Studio im CoE-Dashboard sind die Agents und Umgebungen in Ihrer Organisation aufgeführt.

    Hinweis

    Klassische Chatbots, die mit der älteren Microsoft Copilot Studio-App in Microsoft Teams erstellt wurden, sind im CoE Starter Kit nicht auffindbar. Um eine Liste aller Agents und klassischen Chatbots in einer Umgebung zu erhalten, können Sie einen Power Automate Cloud-Flow mit einer „Zeilen aus ausgewählter Umgebung auflisten“-Dataverse-Aktion erstellen.

  • Um Datenrichtlinienfehler oder aktualisierte Datenrichtlinien zu beheben, führen Sie eine Kampagne mit den Agent-Makern in Ihrer Organisation aus. Um alle Agent-Datenrichtlinienfehler herunterzuladen, wählen Sie im Banner der Fehlerbenachrichtigung Details aus, und wählen Sie "Herunterladen " aus den Fehlermeldungsdetails aus.

Wenn sich Datenrichtlinien auf die Funktionalität Ihrer Agents auswirken, lesen Sie Fehlerbehebung bei der Durchsetzung von Datenrichtlinien für Copilot Studio.

Verwenden Sie das Set-PowerAppDlpErrorSettings PowerShell-CMDLET, um eine E-Mail-Adresse und einen "Mehr erfahren"-Link zu den Fehlermeldungen der Datenrichtlinien hinzuzufügen.

** Screenshot einer Fehlermeldung zur Datenrichtlinie in Copilot Studio, mit einer hervorgehobenen E-Mail-Adresse und einem Link

Um die E-Mail-Adresse und den Link "Mehr erfahren" hinzuzufügen, führen Sie das folgende PowerShell-Skript aus. Ersetzen Sie die Werte für die <email>, <URL>, und <tenant ID> Parameter durch Ihre eigenen.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Um eine bestehende Konfiguration zu aktualisieren, verwenden Sie dasselbe PowerShell-Skript, ersetzen New-PowerAppDlpErrorSettings Sie aber durch Set-PowerAppDlpErrorSettings.

Warnung

Diese Einstellungen gelten für alle Power Platform-Apps innerhalb des angegebenen Mandanten.

  • Last updated on