Gegevensbeleid configureren voor agenten

Met Copilot Studio kunt u snel hoogwaardige agents maken en implementeren voor uw gebruikers die verbinding maken met veel gegevensbronnen en -services. Sommige van deze bronnen en diensten kunnen externe, niet-Microsoft-diensten zijn. Ze kunnen zelfs sociale netwerken bevatten, naast verbindingen met je organisatiegegevens.

Organisatiegegevens zijn het belangrijkste bezit waarvoor beheerders verantwoordelijk zijn om te beschermen. De mogelijkheid om die gegevens op een beschermde manier te kunnen gebruiken en tegelijkertijd verbinding te kunnen maken en te werken met andere services en systemen, is een hoeksteen van gegevensbeveiliging.

Databeleid stelt je in staat te bepalen hoe agenten data en diensten verbinden en ermee omgaan, zowel binnen als buiten je organisatie. Beheerders kunnen Copilot Studio- en Power Platform-gegevensbeleid configureren in het beheercentrum Power Platform.

Vereisten

• Bekijk concepten over databeleid.
• Wees een tenant admin of heb de rol van Environment Admin.

Copilot Studio-connectors en gegevensgroepen

In het Power Platform-beheercentrum kunt u Copilot Studio-connectors classificeren binnen een gegevensbeleid onder de volgende gegevensgroepen:

• Onderneming
• Niet-zakelijk
• Geblokkeerd

Gebruik deze connectors in het databeleid om uw bedrijfsgegevens te beschermen tegen kwaadaardige of onbedoelde data-exfiltratie door uw agentontwikkelaars.

De standaardgroep in gegevensbeleid is een categorie waarin connectors automatisch worden toegevoegd, wanneer er geen expliciete groepering wordt gedefinieerd tijdens de introductie. Connectors die na 2019 zijn geïntroduceerd, zoals Chat zonder verificatie van Microsoft Entra ID in Copilot Studio of Direct Line-kanalen in Copilot Studio, maken waarschijnlijk deel uit van de standaardgroep 'Niet-zakelijke'.

In veel organisaties worden connectors in de groep Niet-bedrijven automatisch geblokkeerd. Als een gegevensbeleid een connector blokkeert in uw Copilot Studio-tenant, controleert u in welke gegevensgroep de connector zich bevindt.

Beheerders kunnen standaardgroepen configureren op het niveau van databeleid in het Power Platform admin center.

Veelvoorkomende gebruiksvoorbeelden voor gegevensbeleid voor Copilot Studio-agents

U kunt Copilot Studio-connectors in het Power Platform-beheercentrum gebruiken om gegevensbeleid te configureren voor de volgende veelvoorkomende use cases:

• Vereis gebruikersauthenticatie
• Blokkeer kennisbronnen
• Verhinderen van gebruik van Power Platform-connectoren als tools
• HTTP-verzoeken blokkeren
• Blokvaardigheden
• Blokkeren van publicatie op specifieke kanalen
• Blockgebeurtenistriggers

De lijst met ondersteunde connectoren in het Power Platform admin center bevat nog een paar extra gebruiksscenario's.

Vereis gebruikersauthenticatie

Wanneer je een nieuwe agent aanmaakt, staat de optie Authenticeren met Microsoft-authenticatie standaard aan. De agent gebruikt automatisch Microsoft Entra ID verificatie zonder handmatige installatie. U kunt alleen chatten met uw agent in Microsoft Teams, SharePoint, Power Apps of Microsoft 365 Copilot. Echter, agentmakers in jouw organisatie kunnen geen authenticatie selecteren om iedereen met de link met je agent te laten chatten.

Om te voorkomen dat agentmakers agents publiceren waarvoor geen verificatie is vereist, configureer een gegevensbeleid dat de connector "Chat zonder Microsoft Entra ID-verificatie" in Copilot Studio blokkeert.

Nadat u dit gegevensbeleid hebt ingesteld, kunnen agentmakers alleen Authenticatie met Microsoft of Handmatige authenticatie gebruiken om gebruikersauthenticatie voor agents te configureren in Copilot Studio, en agentgebruikers moeten zich verifiëren om te chatten met de agent.

Blokkeer kennisbronnen

Gebruik databeleid om te bepalen welke kennisbronnen agent-auteurs kunnen gebruiken.

Om te voorkomen dat agentontwikkelaars agenten publiceren die specifieke soorten kennisbronnen gebruiken, configureer je een databeleid dat één of meer van de volgende connectoren blokkeert:

• Kennisbron met SharePoint en OneDrive in Copilot Studio
• Kennisbron met openbare websites en gegevens in Copilot Studio
• Kennisbron met documenten in Copilot Studio

Als u specifieke eindpunten wilt toestaan of weigeren voor SharePoint of openbare websites die makers kunnen gebruiken als kennisbronnen voor hun Copilot Studio-agents, gebruikt u endpoint-filtering in plaats van de geselecteerde connector te blokkeren.

Blokkeer het gebruik van Power Platform-connectoren als hulpmiddelen

Om te voorkomen dat agentmakers Power Platform-connectors als hulpprogramma's gebruiken in Copilot Studio-agents, configureer een gegevensbeleid met de connectors die u wilt blokkeren.

HTTP-verzoeken blokkeren

Agentmakers in jouw organisatie kunnen HTTP-verzoeken doen door gebruik te maken van de HTTP-verzoeknode .

Om te voorkomen dat agentmakers agenten publiceren die HTTP-verzoeken doen, configureer je een databeleid dat de HTTP-connector blokkeert.

Als alternatief, als je specifieke HTTP-endpoints wilt toestaan of weigeren in plaats van alle HTTP-aanroepen te blokkeren, kun je endpoint filtering gebruiken.

Blokvaardigheden

Agent makers binnen uw organisatie kunnen agenten uitbreiden met vaardigheden. Vaardigheden kunnen een nuttige manier zijn om de functionaliteit van agenten uit te breiden. Voor beveiligingsdoeleinden wil je echter misschien instellen welke vaardigheden agenten kunnen gebruiken.

Om te voorkomen dat agentmakers agents publiceren die vaardigheden gebruiken, configureer een gegevensbeleid waarmee de Skills met Copilot Studio-connector worden geblokkeerd.

Blokkeren van publiceren naar specifieke kanalen

Gebruik databeleid om de kanalen te configureren waardoor makers agenten kunnen publiceren.

Om te voorkomen dat ontwikkelaars agents naar specifieke kanalen publiceren, stel een gegevensbeleid in dat een of meer van de volgende connectors blokkeert:

• Microsoft Teams + M365-kanaal in Copilot Studio
• Direct Line kanalen in Copilot Studio (van toepassing op de demowebsite, aangepaste websites, mobiele app en andere Direct Line kanalen)
• Facebook-kanaal in Copilot Studio
• Omnichannel in Copilot Studio
• SharePoint-kanaal in Copilot Studio
• WhatsApp-kanaal in Copilot Studio

Blockeventtriggers

Agentontwikkelaars in uw organisatie kunnen gebeurtenistriggers toevoegen aan agenten. Met gebeurtenistriggers kunnen uw agenten reageren op externe gebeurtenissen zonder dat daar menselijke tussenkomst voor nodig is. Je wilt echter misschien hun gebruik beperken om data-exfiltratie of ongewenste consumptie of quotagebruik te voorkomen.

Om te voorkomen dat agentmakers gebeurtenistriggers aan hun agents toevoegen of geautomatiseerde evaluaties uitvoeren met behulp van een geverifieerd account, configureer een gegevensbeleid dat de Microsoft Copilot Studio connector blokkeert.

Connectornamen in het Power Platform beheercentrum

De volgende tabel bevat de naam van connectors die u kunt gebruiken in gegevensbeleid voor Copilot Studio-agents.

Configureer een databeleid in het Power Platform admin center

1. Meld u aan bij het Power Platform-beheercentrum.

2. Selecteer in de zijbalk Beveiliging en selecteer vervolgens Data en privacy. De pagina Gegevensbescherming en privacy wordt geopend.

3. Selecteer Gegevensbeleid. De lijst met gegevensbeleid verschijnt.

4. Maak een nieuw gegevensbeleid of kies een bestaand gegevensbeleid dat u wilt bewerken:

   • Om een nieuw gegevensbeleid aan te maken, selecteer je Nieuw beleid en voer je vervolgens de gewenste naam in.
   • Om een bestaand gegevensbeleid te bewerken, selecteer je het gegevensbeleid en selecteer je Beleid bewerken.

5. Kies Volgende. De pagina 'Een omgeving toevoegen ' verschijnt.

   • Om een omgeving aan je databeleid toe te voegen, selecteer je de omgeving in het tabblad Beschikbaar , en selecteer je vervolgens ' Voeg aan beleid'.
   • Om een omgeving uit je databeleid te verwijderen, schakel je over naar het tabblad 'Toegevoegd aan'-beleid , selecteer je de omgeving en selecteer je vervolgens 'Verwijderen uit beleid'.

6. Kies Volgende. De pagina Verbindingen toewijzen verschijnt.

7. Gebruik het zoekveld om de connector te vinden die je wilt.

8. Selecteer de drie stippen (⋮) naast de connector en vervolg:

   • Als je wilt voorkomen dat agentmakers de functies van de connector gebruiken, selecteer dan Blokkeren.

   • Als u specifieke eindpunten wilt toestaan of weigeren voor SharePoint of openbare websites die zijn geconfigureerd als kennisbronnen, of voor HTTP-aanvraag:

     1. Selecteer connector configureren>Connector-eindpunten.
     2. Voeg de eindpunten of patronen toe die je wilt en selecteer dan Opslaan.

9. Kies Volgende.

10. Als je tenant-admin bent, of een omgevingsbeheerder voor meerdere omgevingen, opent de pagina 'Definieer scope '.

    1. Selecteer de optie die je wilt:

       • Voeg alle omgevingen toe: Voeg alle omgevingen toe in je hele tenant. Dit beleid geldt automatisch voor elke nieuwe omgeving die in de tenant wordt aangemaakt.
       • Meerdere omgevingen toevoegen: kies de omgevingen die u wilt opnemen in dit beleid.
       • Bepaalde omgevingen uitsluiten: kies de omgevingen die u wilt uitsluiten van dit beleid.

       Opmerking

       Beleid met een tenant-scope is van toepassing op alle agenten in alle omgevingen binnen de tenant.

    2. Kies Volgende.

11. Controleer uw beleid en selecteer Beleid maken als u een nieuw beleid maakt of Beleid bijwerken als u een bestaand beleid bijwerkt.

12. Ga naar Copilot Studio en controleer of uw gegevensbeleid wordt afgedwongen zoals het hoort voor uw gebruikssituatie.

Bevestigen van de handhaving van het gegevensbeleid in Copilot Studio

U kunt bevestigen dat een gegevensbeleid van kracht is door een agent te openen in Copilot Studio. Nadat je probeert een operatie uit te voeren die onder het databeleid valt, verschijnt er een foutbanner met een Details-knop . Om details te zien, vergroot op de pagina Kanalen de foutlink en selecteer Downloaden. In het detailbestand beschrijft een rij elke overtreding. Wanneer er een databeleidsschending plaatsvindt, wordt de Publiceren-knop niet meer beschikbaar.

• Bevestig dat gebruikersauthenticatie vereist is
• Bevestig dat kennisbronnen geblokkeerd zijn
• Bevestig dat Power Platform-connectoren niet als gereedschap gebruikt kunnen worden
• Bevestig dat HTTP-verzoeken zijn geblokkeerd
• Bevestig dat vaardigheden geblokkeerd zijn
• Bevestig dat publicatie op specifieke kanalen is geblokkeerd
• Bevestig dat gebeurtenistriggers geblokkeerd zijn

Bevestig dat gebruikersauthenticatie vereist is

Wanneer je een agent opent die niet is ingesteld om gebruikersauthenticatie te vereisen in een omgeving met een databeleid dat dat vereist, verschijnt er een foutbanner met een Details-knop . Om details te zien, vergroot op de pagina Kanalen de foutlink en selecteer Downloaden. In het detailbestand beschrijft een rij elke overtreding.

Een agentontwikkelaar kan contact opnemen met zijn/haar beheerders met behulp van de gegevens van de spreadsheet om het databeleid passend bij te werken.

De agentmaker kan de verificatie-instellingen van de agent ook bijwerken naar Authenticate met Microsoft of Authenticate handmatig (< >c2>Azure Active Directory of Azure Active Directory v2) op de configuratiepagina Verificatie. Zie Gebruikersverificatie configureren in Copilot Studio.

Let op dat geen authenticatie en sommige handmatige authenticatieopties niet beschikbaar zijn om te selecteren.

Bevestig dat kennisbronnen geblokkeerd zijn

1. Open in Copilot Studio een agent in een omgeving met een gegevensbeleid waarmee makers geen specifieke kennisbronnen kunnen toevoegen.

2. Ga naar de kennispagina , kies Kennis toevoegen en voeg een kennisbron toe die je databeleid blokkeert.

3. Probeer de agent te publiceren. Als het beleid wordt gehandhaafd, verschijnt er een foutbanner met een Details-knop .

4. Op de Kanalen pagina, vouw de foutlink uit en selecteer Download om details te zien. In het detailbestand, als er een databeleidsschending is voor een kennisbron, verschijnt er een rij voor de kennisbron en voor elke generatieve antwoorden-node die die kennisbron gebruikt.

Bevestig dat Power Platform-connectoren niet als gereedschap gebruikt kunnen worden

1. Open in Copilot Studio een agent in een omgeving met een gegevensbeleid waarmee makers geen hulpprogramma's kunnen configureren op basis van Power Platform-connectors.

2. Maak een nieuw onderwerp aan en voeg een Tool-node toe.

3. In het Gereedschapspaneel Toevoegen schakelt u over naar het tabblad Connectoren en selecteert u een connector die uw databeleid blokkeert. Gebruik indien nodig het zoekvak.

4. Sla het onderwerp op en probeer de agent te publiceren. Als het beleid wordt gehandhaafd, verschijnt er een foutbanner met een Details-knop .

5. Op de Kanalen pagina, vouw de foutlink uit en selecteer Download om details te zien.

Bevestig dat HTTP-verzoeken zijn geblokkeerd

Bevestig dat vaardigheden geblokkeerd zijn

1. Open in Copilot Studio een agent in een omgeving met een gegevensbeleid waarmee makers geen vaardigheden kunnen configureren.

2. Probeer een vaardigheid aan de agent toe te voegen. Als het databeleid wordt gehandhaafd, meldt het panel 'Add a skill' een fout en adviseert contact op te nemen met een beheerder om de vaardigheid aan de toegestane lijst toe te voegen.

Bevestig dat publicatie op specifieke kanalen is geblokkeerd

1. Open in Copilot Studio een agent in een omgeving met een gegevensbeleid dat voorkomt dat makers publiceren naar specifieke kanalen.

2. Probeer een kanaal te configureren dat door het databeleid wordt geblokkeerd. Als het databeleid wordt gehandhaafd, kun je niet op dat kanaal publiceren.

Bevestig dat gebeurtenistriggers geblokkeerd zijn

1. Open in Copilot Studio een agent in een omgeving met een gegevensbeleid waarmee makers geen gebeurtenistriggers kunnen toevoegen.

2. Als het beleid wordt gehandhaafd, verschijnt er een gedetailleerd foutmelding in het gedeelte Triggers op de Overzichtspagina . In het bericht staat de naam van het databeleid en wordt voorgesteld contact op te nemen met je beheerder.

De impact van gegevensbeleid identificeren en oplossen

Als u wilt zoeken naar agenten die van invloed kunnen zijn op het gegevensbeleid van uw organisatie, kunt u het volgende doen:

• Gebruik het Power BI-dashboard van de Center of Excellence (CoE) Starter Kit. De Copilot Studio-overzichtspagina op het CoE-dashboard bevat de agents en omgevingen in uw organisatie.

  Opmerking

  Klassieke chatbots die zijn gemaakt met behulp van de verouderde Microsoft Copilot Studio-app in Microsoft Teams zijn niet te vinden in de CoE Starter Kit. Als u een lijst met alle agents en klassieke chatbots in een omgeving wilt ophalen, kunt u een Power Automate cloudflow maken met de actie Rijen uit de geselecteerde omgeving in Dataverse.

• Voer een campagne uit met de agentmakers in uw organisatie om fouten in het gegevensbeleid of bijgewerkte gegevensbeleid op te lossen. Als u alle fouten in het beleid voor agentgegevens wilt downloaden, selecteert u Details in de banner met foutmeldingen en selecteert u Downloaden in de details van het foutbericht.

Als gegevensbeleid van invloed is op de functionaliteit van uw agents, raadpleegt u Troubleshoot data policy enforcement for Copilot Studio.

Voeg de "Meer informatie" en admin-contact-e-maillinks toe en werk deze bij

Gebruik de Set-PowerAppDlpErrorSettings PowerShell-cmdlet om een e-mailadres toe te voegen en een "Meer informatie"-link toe te voegen aan de foutmeldingen over het databeleid.

Om het e-mailadres en de link "Meer informatie" toe te voegen, voer je het volgende PowerShell-script uit. Vervang de waarden voor de <email>parameters , <URL>, en <tenant ID> door je eigen waarde.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Om een bestaande configuratie bij te werken, gebruik je hetzelfde PowerShell-script, maar vervang New-PowerAppDlpErrorSettings door Set-PowerAppDlpErrorSettings.