Compartir a través de

Configurar directivas de datos para agentes

Con Copilot Studio, puede crear e implementar rápidamente agentes de alto valor para los usuarios que se conectan a muchos orígenes de datos y servicios. Algunas de estas fuentes y servicios podrían ser servicios externos que no sean de Microsoft. Incluso pueden incluir redes sociales, junto con conexiones a los datos de tu organización.

Los datos organizativos son el activo más importante que los administradores deben proteger. La capacidad de utilizar esos datos de forma protegida, sin dejar de conectarse e interactuar con otros servicios y sistemas, es una piedra angular de la seguridad de los datos.

Las políticas de datos te permiten gobernar cómo los agentes se conectan e interactúan con datos y servicios, tanto dentro como fuera de tu organización. Los administradores pueden configurar directivas de datos de Copilot Studio y Power Platform en el centro de administración de Power Platform.

Importante

Desde principios de 2025, la aplicación de directivas de datos está vigente para todos los inquilinos, tal como se anunció en la alerta del centro de mensajes MC973179: Copilot Studio: próximas actualizaciones de la aplicación de prevención de pérdida de datos.

Ya no se admite la exención de aplicación de directivas de datos del agente. Los agentes que previamente estaban exentos de la aplicación de la política de datos están todos sujetos a la aplicación.

Infórmate sobre la resolución de problemas en la aplicación de políticas de datos en tu entorno.

Requisitos previos

  • Revisa conceptos sobre políticas de datos.
  • Sé administrador de inquilinos o ocupa el rol de Administrador de Medio Ambiente .

conectores y grupos de datos de Copilot Studio

En el Centro de administración de Power Platform, puede clasificar los conectores de Copilot Studio dentro de una directiva de datos en los siguientes grupos de datos:

  • Negocio
  • No empresariales
  • Bloqueado

Utiliza estos conectores en las políticas de datos para proteger los datos de tu organización de cualquier exfiltración maliciosa o no intencionada de datos por parte de tus agentes creadores.

El grupo predeterminado en las directivas de datos es una categoría en la que los conectores se agregan automáticamente cuando no se define ninguna agrupación explícita durante su introducción. Los conectores introducidos después de 2019, como Chat sin autenticación de Microsoft Entra ID en Copilot Studio o canales de Direct Line en Copilot Studio, probablemente formen parte del grupo predeterminado "No empresarial".

En muchas organizaciones, los conectores del grupo "No empresarial" se bloquean automáticamente. Si una directiva de datos bloquea un conector en el inquilino de Copilot Studio, revise en qué grupo de datos se encuentra el conector.

Los administradores pueden configurar grupos por defecto a nivel de política de datos en el centro de administración de Power Platform.

Importante

Copilot Studio permite la aplicación de políticas de datos en tiempo real. Los creadores de agentes y los usuarios ven mensajes de error para cualquier infracción de directiva de datos.

En una directiva de datos, los conectores deben estar en el mismo grupo de datos porque los datos no se pueden compartir entre conectores que se encuentran en grupos diferentes.

Casos de uso comunes de directivas de datos para agentes de Copilot Studio

Puede usar conectores de Copilot Studio en el Centro de administración de Power Platform para configurar directivas de datos para los siguientes casos de uso comunes:

  • Requerir autenticación por parte del usuario
  • Bloquear fuentes de conocimiento
  • Bloquee el uso de conectores de Power Platform como herramientas.
  • Bloquear solicitudes HTTP
  • Habilidades de bloqueo
  • Publicación por bloques en canales específicos
  • Activadores de eventos de bloqueo

La lista de conectores compatibles en el centro de administración de Power Platform incluye algunos casos de uso más.

Requerir autenticación por parte del usuario

Cuando creas un nuevo agente, la opción Autenticar con autenticación de Microsoft está activada por defecto. El agente usa automáticamente Microsoft Entra ID autenticación sin necesidad de ninguna configuración manual. Solo puede chatear con el agente en Microsoft Teams, SharePoint, Power Apps o Microsoft 365 Copilot. Sin embargo, los creadores de agentes en tu organización pueden seleccionar Sin autenticación para permitir que cualquiera que tenga el enlace hable con tu agente.

Captura de pantalla del panel de configuración de autenticación con la opción 'Autenticar con Microsoft' seleccionada.

Para evitar que los creadores de agentes publiquen agentes que no requieran autenticación, configure una directiva de datos que bloquee el conector Chat sin autenticación de Microsoft Entra ID en Copilot Studio.

Una vez configurada esta directiva de datos, Los creadores de agentes solo pueden usar Authenticate con Microsoft o Authenticate manualmente para configurar la autenticación de usuario para agentes en Copilot Studio y los usuarios del agente deben autenticarse para chatear con el agente.

Bloquear fuentes de conocimiento

Las políticas de datos se utilizan para controlar qué fuentes de conocimiento pueden usar los autores de agentes.

Para evitar que los creadores de agentes publiquen agentes que utilicen tipos específicos de fuentes de conocimiento, configura una política de datos que bloquee uno o más de los siguientes conectores:

  • Fuente de conocimiento con SharePoint y OneDrive en Copilot Studio
  • Fuente de conocimiento con sitios web públicos y datos en Copilot Studio
  • Fuente de Conocimiento con documentos en Copilot Studio

Como alternativa, si desea permitir o denegar puntos de conexión específicos para SharePoint o sitios web públicos que los creadores pueden usar como orígenes de conocimiento para sus agentes de Copilot Studio, use endpoint filtering en lugar de bloquear el conector seleccionado.

Bloquear utilizando los conectores de Power Platform como herramientas

Para evitar que los creadores de agentes usen conectores de Power Platform como herramientas en agentes de Copilot Studio, configure una directiva de datos con los conectores que desea bloquear.

Bloquear solicitudes HTTP

Los creadores de agentes en tu organización pueden hacer solicitudes HTTP usando el nodo de petición HTTP .

Para evitar que los creadores de agentes publiquen agentes que realicen peticiones HTTP, configura una política de datos que bloquee el conector HTTP .

Alternativamente, si quieres permitir o denegar endpoints HTTP específicos en lugar de bloquear todas las llamadas HTTP, puedes usar el filtrado de endpoints.

Habilidades de bloqueo

Los creadores de agentes en tu organización pueden dotar a los agentes de habilidades. Las habilidades pueden ser una forma útil de ampliar la funcionalidad de los agentes. Sin embargo, por motivos de seguridad, quizá quieras configurar qué habilidades pueden usar los agentes.

Para evitar que los creadores de agentes publiquen agentes que usan habilidades, configure una directiva de datos que bloquee el conector Skills con Copilot Studio.

Publicación por bloques en canales específicos

Utiliza políticas de datos para configurar los canales a través de los cuales los creadores pueden publicar agentes.

Para evitar que los creadores de agentes publiquen agentes en canales específicos, configura una política de datos que bloquee uno o más de los siguientes conectores:

  • Microsoft Teams + Canal M365 en Copilot Studio
  • canales Direct Line en Copilot Studio (se aplica al sitio web de demostración, sitios web personalizados, aplicaciones móviles y otros canales de Direct Line)
  • canal de Facebook en Copilot Studio
  • Omnichannel en Copilot Studio
  • Canal de SharePoint en Copilot Studio
  • Canal de WhatsApp de Copilot Studio

Nota:

Si los creadores no configuran sus agentes para un canal que no está bloqueado (los canales de Direct Line se permiten de forma predeterminada), o si los administradores no permiten ningún canal, los agentes no se pueden publicar.

Activadores de eventos de bloqueo

Los desarrolladores de agentes en su organización pueden agregar activadores de eventos a los agentes. Los desencadenadores de eventos permiten a los agentes reaccionar a eventos externos sin que nadie se lo pida. Sin embargo, quizá quieras restringir su uso para evitar la exfiltración de datos, el consumo de datos no deseado o el uso indebido de la cuota.

Para evitar que los creadores de agentes agreguen desencadenadores de eventos a sus agentes o ejecuten evaluaciones automáticas mediante una cuenta autenticada, configurar una directiva de datos que bloquee el conector de Microsoft Copilot Studio.

Nombres de conectores en el Centro de Administración de Power Platform

En la tabla siguiente se proporciona el nombre de los conectores que puede usar en directivas de datos para agentes de Copilot Studio.

Para evitar que los creadores de agentes... Nombre del conector en el centro de administración de Power Platform
Conectando agentes con Application Insights. Application Insights en Copilot Studio
Agentes de publicación que no están configurados para autenticación. Chat sin autenticación de Microsoft Entra ID en Copilot Studio
Agentes de publicación que hacen peticiones HTTP. HTTP
Permite el filtrado de puntos finales para permitir o denegar su acceso.
Agentes de publicación configurados con documentos como fuente de conocimiento. Origen de conocimiento con documentos en Copilot Studio
Agentes editoriales configurados con sitios web públicos como fuente de conocimiento. Origen de conocimiento con sitios web públicos y datos en Copilot Studio
Soporta el filtrado de puntos finales para permitir o denegar puntos finales.
Agentes de publicación configurados con SharePoint como origen de conocimiento. Origen de conocimiento con SharePoint y OneDrive en Copilot Studio
Soporta filtrado de puntos finales para permitir o bloquear puntos finales.
Publicación en canales Direct Line. canales de Direct Line en Copilot Studio
Publicar en el canal de Dynamics 365 Customer Service. Omnicanal en Copilot Studio
Publicando en el canal de Facebook. Canal de Facebook en Copilot Studio
Publicación en el canal de SharePoint. canal de SharePoint en Copilot Studio
Publicación en el canal de Teams y Microsoft 365 Copilot. Microsoft Teams + Canal M365 en Copilot Studio
Publicando en el canal de WhatsApp. Canal de WhatsApp en Copilot Studio
Usar desencadenadores de eventos en agentes de Copilot Studio o ejecutar evaluaciones automatizadas mediante cuentas autenticadas. Microsoft Copilot Studio
Uso de conectores de Power Platform como herramientas en agentes de Copilot Studio. Muchos conectores preconstruidos y personalizados
Uso de habilidades en agentes de Copilot Studio. Aptitudes con Copilot Studio

Configura una política de datos en el centro de administración de Power Platform

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. En la barra lateral, selecciona Seguridad y luego Datos y privacidad. Se abre la página Protección de datos y privacidad .

  3. Seleccione Directiva de datos. Aparece la lista de políticas de datos .

  4. Cree una nueva directiva de datos o elija una directiva de datos existente para editar:

    • Para crear una nueva política de datos, selecciona Nueva Política y luego introduce el nombre que quieras.
    • Para editar una política de datos existente, selecciona la política de datos y selecciona Editar política.

  5. Seleccione Siguiente. Aparece la página Añadir un entorno .

    • Para añadir un entorno a tu política de datos, selecciona el entorno en la pestaña Disponible y luego selecciona Añadir a la política.
    • Para eliminar un entorno de tu política de datos, cambia a la pestaña Añadido a política , selecciona el entorno y luego selecciona Eliminar de la política.

  6. Seleccione Siguiente. La página Asignar conectores aparece.

  7. Usa el cuadro de búsqueda para encontrar el conector que quieres.

  8. Selecciona los tres puntos (⋮) junto al conector y luego:

    • Si quieres evitar que los agentes usen las funciones asociadas al conector, selecciona Bloquear.

    • Si desea permitir o denegar puntos de conexión específicos para SharePoint o sitios web públicos configurados como orígenes de conocimiento o para la solicitud HTTP:

      1. Selecciona Configurar conectorPuntos finales del conector.
      2. Añade los endpoints o patrones que quieras y luego selecciona Guardar.

  9. Seleccione Siguiente.

  10. Si eres administrador de tenants o administrador de entornos para varios entornos, se abre la página Definir alcance.

    1. Selecciona la opción que quieras:

      • Añadir todos los entornos: Añade todos los entornos en todo tu tenant. Esta política se aplica automáticamente a cualquier nuevo entorno creado en el arrendatario.
      • Agregar varios entornos: elija los entornos que se incluirán en esta directiva.
      • Excluir determinados entornos: elija los entornos que se excluirán de esta directiva.

      Nota:

      Las políticas con alcance de inquilinato se aplican a todos los agentes en todos los entornos del inquilinato.

    2. Seleccione Siguiente.

  11. Revise la directiva y, a continuación, seleccione Crear directiva si va a crear una nueva directiva o Actualizar directiva si está editando una directiva existente.

  12. Vaya a Copilot Studio y compruebe que aplica la directiva de datos según lo previsto para su caso de uso.

Confirmación de la aplicación de directivas de datos en Copilot Studio

Puede confirmar que una directiva de datos está en vigor abriendo un agente en Copilot Studio. Después de intentar realizar una operación sujeta a la política de datos, aparece un banner de error con un botón Detalles . Para ver detalles, en la página de Canales, despliegue el enlace de error y seleccione Descargar. En el archivo de detalles, una fila describe cada infracción. Cuando se produce una violación de la política de datos, el botón Publicar deja de estar disponible.

  • Confirma que se requiere autenticación por parte del usuario
  • Confirma que las fuentes de conocimiento están bloqueadas
  • Confirma que los conectores de Power Platform no pueden usarse como herramientas
  • Confirmar que las solicitudes HTTP están bloqueadas
  • Confirma que las habilidades están bloqueadas
  • Confirma que la publicación en canales específicos está bloqueada
  • Confirma que los desencadenantes de eventos están bloqueados

Confirma que se requiere autenticación por parte del usuario

Cuando abres un agente que no está configurado para requerir autenticación de usuario en un entorno con una política de datos que la requiere, aparece un banner de error con un botón de Detalles . Para ver detalles, en la página de Canales, amplíe el enlace de error y seleccione Descargar. En el archivo de detalles, una fila describe cada infracción.

Un creador de agentes puede ponerse en contacto con sus administradores proporcionando los detalles de la hoja de cálculo para realizar las actualizaciones adecuadas a la política de datos.

Como alternativa, el creador del agente puede actualizar la configuración de autenticación del agente a Authenticate con Microsoft o Authenticate manualmente (Azure Active Directory o Azure Active Directory v2) en la página de configuración Authentication. Consulte Configurar la autenticación de usuario en Copilot Studio.

Fíjate que las opciones de no autenticación y de algunas autenticaciones manuales no están disponibles para su selección.

Confirma que las fuentes de conocimiento están bloqueadas

  1. En Copilot Studio, abra un agente en un entorno con una directiva de datos que impida que los creadores agreguen orígenes de conocimiento específicos.

  2. Ve a la página de Conocimiento , selecciona Añadir conocimiento y añade una fuente de conocimiento que bloquee tu política de datos.

  3. Prueba a publicar el agente. Si se aplica la política, aparece un banner de error con un botón de Detalles .

  4. En la página de Canales , amplía el enlace de error y selecciona Descargar para ver los detalles. En el archivo de detalles, si hay una violación de la política de datos de una fuente de conocimiento, aparece una fila para la fuente de conocimiento y para cada nodo de respuestas generativas que utiliza esa fuente de conocimiento.

Confirma que los conectores de Power Platform no pueden usarse como herramientas

  1. En Copilot Studio, abra un agente en un entorno con una directiva de datos que impida a los creadores configurar herramientas basadas en conectores de Power Platform.

  2. Crea un nuevo tema y añade un nodo Herramienta .

  3. En el panel Añadir una herramienta , cambia a la pestaña Conectores y selecciona un conector que bloquee tu política de datos. Use el cuadro de búsqueda si es necesario.

  4. Guarda el tema y prueba a publicar al agente. Si se aplica la política, aparece un banner de error con un botón de Detalles .

  5. En la página de Canales , amplía el enlace de error y selecciona Descargar para ver los detalles.

Nota:

Los bots de chat clásicos no admiten conectores de Power Platform.

Confirmar que las solicitudes HTTP están bloqueadas

  • Aplicación web
  • Clásico

  1. En Copilot Studio, abra un agente en un entorno con una directiva de datos que bloquee las solicitudes HTTP.

  2. Crea un nuevo tema y añade un nodo de solicitud HTTP . Como mínimo, llena la propiedad de URL.

  3. Guarda el tema y prueba a publicar al agente. Si se aplica la política, aparece un banner de error con un botón de Detalles .

  4. En la página de Canales , amplía el enlace de error y selecciona Descargar para ver los detalles. En el archivo de detalles, aparece una fila con una descripción de cada infracción. Se produce una violación si el conector HTTP está bloqueado, si el conector HTTP está en un grupo de datos diferente al de otros conectores de tu política de datos, o si el conector HTTP no está bloqueado pero se niega un endpoint.

Confirma que las habilidades están bloqueadas

  1. En Copilot Studio, abra un agente en un entorno con una política de datos que impida a los desarrolladores configurar funcionalidades.

  2. Intenta añadir una habilidad al agente. Si se aplica la política de datos, el panel de Añadir una habilidad informa de un error y sugiere que contactes con un administrador para añadir la habilidad a la lista de permisos.

Confirma que la publicación en canales específicos está bloqueada

  1. En Copilot Studio, abra un agente en un entorno con una política de datos que impida que los desarrolladores publiquen en canales específicos.

  2. Intenta configurar un canal que la política de datos bloquea. Si la política de datos se aplica, no puedes publicar en ese canal.

Confirma que los desencadenantes de eventos están bloqueados

  1. En Copilot Studio, abra un agente en un entorno con una directiva de datos que impida que los creadores agreguen desencadenadores de eventos.

  2. Si se aplica la política, aparece un mensaje de error detallado en la sección de Desencadenantes de la página de Resumen . El mensaje menciona el nombre de la política de datos y sugiere que contactes con tu administrador.

Identificar y solucionar problemas del impacto de las directivas de datos

Para buscar agentes que podrían afectar las directivas de datos de la organización, puede hacer lo siguiente:

  • Use el panel de Power BI del kit de inicio Center of Excellence (CoE). En la página de información general de Copilot Studio del Panel de CoE se enumeran los agentes y entornos de su organización.

    Nota:

    Los bots de chat clásicos creados con la aplicación Microsoft Copilot Studio heredada en Microsoft Teams no se pueden detectar en el Kit de inicio de CoE. Para obtener una lista de todos los agentes y bots de chat clásicos en un entorno, puede crear un flujo de nube de Power Automate con una acción de Dataverse de listar filas del entorno seleccionado.

  • Para solucionar errores de directiva de datos o directivas de datos actualizadas, realice una campaña con los creadores de agentes de su organización. Para descargar todos los errores de directiva de datos del agente, seleccione Detalles en el banner de notificación de error y seleccione Descargar en los detalles del mensaje de error.

Si las directivas de datos afectan la funcionalidad de tus agentes, consulte Solución de problemas con el cumplimiento de directivas de datos para Copilot Studio.

Utiliza el cmdlet de PowerShell para añadir una dirección de correo electrónico y un enlace de "Saber más" a los mensajes de error de la política de datos.

Captura de pantalla de un mensaje de error relacionado con la directiva de datos en Copilot Studio, con una dirección de correo electrónico y el vínculo

Para añadir la dirección de correo electrónico y el enlace "Saber más", ejecuta el siguiente script de PowerShell. Sustituye los valores de los parámetros , , y por los tuyos propios.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Para actualizar una configuración existente, usa el mismo script de PowerShell, pero sustituye por .

Advertencia

Esta configuración se aplica a todas las aplicaciones de Power Platform dentro del inquilino especificado.

  • Last updated on