Configurar políticas de dados para agentes

Usando o Copilot Studio, você pode criar e implantar rapidamente agentes de alto valor para seus usuários que se conectam a muitas fontes de dados e serviços. Algumas dessas fontes e serviços podem ser serviços externos, não Microsoft. Elas podem até incluir redes sociais, além de conexões com os dados da sua organização.

Os dados organizacionais são o ativo mais importante que os administradores são responsáveis por proteger. A capacidade de usar esses dados de forma protegida, enquanto ainda se conecta e interage com outros serviços e sistemas, é uma pedra angular da segurança de dados.

As políticas de dados permitem que você controle como os agentes se conectam e interagem com dados e serviços, tanto dentro quanto fora da sua organização. Os administradores podem configurar políticas de dados do Copilot Studio e do Power Platform no centro de administração do Power Platform.

Pré-requisitos

• Revise conceitos sobre políticas de dados.
• Seja administrador de inquilinos ou tenha o papel de Administrador de Ambiente .

conectores e grupos de dados do Copilot Studio

No centro de administração do Power Platform, você pode classificar conectores do Copilot Studio em uma política de dados nos seguintes grupos de dados:

• Negócios
• Não comercial
• Bloqueado

Use esses conectores nas políticas de dados para proteger os dados da sua organização contra qualquer exfiltração maliciosa ou não intencional de dados por parte dos seus agentes makers.

O grupo padrão em políticas de dados é uma categoria em que os conectores são adicionados automaticamente quando nenhum agrupamento explícito é definido durante sua introdução. Conectores introduzidos após 2019, como Chat sem autenticação Microsoft Entra ID no Copilot Studio ou canais Direct Line no Copilot Studio, provavelmente farão parte do grupo "Não comercial" padrão.

Em muitas organizações, os conectores no grupo "Não comercial" são bloqueados automaticamente. Se uma política de dados bloquear um conector em seu locatário do Copilot Studio, examine em qual grupo de dados o conector está.

Administradores podem configurar grupos padrão no nível da política de dados no centro de administração do Power Platform.

Casos comuns de uso de política de dados para agentes do Copilot Studio

Você pode usar conectores do Copilot Studio no centro de administração do Power Platform para configurar políticas de dados para os seguintes casos de uso comuns:

• Exigir autenticação do usuário
• Bloquear fontes de conhecimento
• Bloquear o uso de conectores Power Platform como ferramentas
• Bloquear requisições HTTP
• Habilidades de bloqueio
• Bloquear publicação em canais específicos
• Gatilhos de eventos de bloqueio

A lista de conectores suportados no centro de administração do Power Platform inclui alguns casos de uso adicionais.

Exigir autenticação do usuário

Quando você cria um novo agente, a opção Autenticar com autenticação Microsoft está ativada por padrão. O agente usa automaticamente Microsoft Entra ID autenticação sem exigir nenhuma configuração manual. Você só pode conversar com seu agente em Microsoft Teams, SharePoint, Power Apps ou Microsoft 365 Copilot. No entanto, os criadores de agentes da sua organização podem selecionar Sem autenticação para permitir que qualquer pessoa com o link converse com seu agente.

Para impedir que criadores publiquem agentes que não exigem autenticação, configure uma política de dados que bloqueie o conector Chat no Copilot Studio sem autenticação do Microsoft Entra ID.

Depois de configurar essa política de dados, os criadores de agentes só poderão usar Autenticar com a Microsoft ou Autenticar manualmente para configurar a autenticação de usuários para agentes no Copilot Studio, e os usuários do agente devem se autenticar para conversar com o agente.

Bloquear fontes de conhecimento

Use políticas de dados para controlar quais fontes de conhecimento autores de agentes podem utilizar.

Para evitar que os criadores de agentes publiquem agentes que utilizem tipos específicos de fontes de conhecimento, configure uma política de dados que bloqueie um ou mais dos seguintes conectores:

• Fonte de conhecimento com SharePoint e OneDrive no Copilot Studio
• Fonte de conhecimento com sites públicos e dados no Copilot Studio
• Fonte de conhecimento com documentos no Copilot Studio

Como alternativa, se você quiser permitir ou negar endpoints específicos para sites do SharePoint ou sites públicos que criadores possam usar como fontes de conhecimento para seus agentes do Copilot Studio, use filtragem de endpoints em vez de bloquear o conector selecionado.

Bloquear o uso de conectores do Power Platform como ferramentas

Para impedir que os criadores de agentes utilizem conectores do Power Platform como ferramentas em agentes do Copilot Studio, configure uma política de dados com os conectores que você deseja bloquear.

Bloquear requisições HTTP

Os criadores de agentes na sua organização podem fazer requisições HTTP usando o nó HTTP request.

Para evitar que os criadores de agentes publiquem agentes que fazem requisições HTTP, configure uma política de dados que bloqueie o conector HTTP.

Alternativamente, se você quiser permitir ou negar endpoints HTTP específicos em vez de bloquear todas as chamadas HTTP, pode usar filtragem de endpoint.

Competências de blocagem

Os agentes formadores da sua organização podem ampliar os agentes com habilidades. Habilidades podem ser uma forma útil de expandir a funcionalidade dos agentes. No entanto, por questões de segurança, talvez você queira configurar quais habilidades os agentes podem usar.

Para impedir que agentes publiquem agentes que usam habilidades, configure uma política de dados que bloqueia o conector Skills com Copilot Studio.

Publicação em blocos para canais específicos

Use políticas de dados para configurar os canais pelos quais os fabricantes podem publicar agentes.

Para evitar que os criadores de agentes publiquem agentes em canais específicos, configure uma política de dados que bloqueie um ou mais dos conectores a seguir:

• Microsoft Teams + Canal do M365 no Copilot Studio
• Canais Direct Line no Copilot Studio (aplica-se ao site de demonstração, sites personalizados, aplicativo móvel e outros canais Direct Line)
• canal Facebook no Copilot Studio
• Omnichannel no Copilot Studio
• Canal do SharePoint no Copilot Studio
• Canal do WhatsApp no Copilot Studio

Disparadores de eventos de bloqueio

Os desenvolvedores de agentes em sua organização podem adicionar gatilhos de eventos aos agentes. Os gatilhos de eventos permitem que seus agentes reajam a eventos externos sem solicitação humana. No entanto, talvez seja interessante restringir o uso deles para evitar a exfiltração de dados ou consumo indesejado ou uso de cotas.

Para impedir que os criadores de agentes adicionem gatilhos de evento a seus agentes ou executem avaliações automatizadas usando uma conta autenticada, configure uma política de dados que bloqueia o conector Microsoft Copilot Studio.

Nomes dos conectores no centro de administração do Power Platform

A tabela a seguir fornece o nome dos conectores que você pode usar em políticas de dados para agentes do Copilot Studio.

Configure uma política de dados no centro de administração do Power Platform

1. Entre no centro de administração do Power Platform.

2. Na barra lateral, selecione Segurança e depois Dados e privacidade. A página de proteção e privacidade de dados é aberta.

3. Selecione a política de dados. A lista de políticas de dados aparece.

4. Crie uma nova política de dados ou escolha uma política de dados existente para editar:

   • Para criar uma nova política de dados, selecione Nova Política e então insira o nome que deseja.
   • Para editar uma política de dados existente, selecione a política de dados e selecione Editar Política.

5. Selecione Próximo. A página Adicionar um ambiente aparece.

   • Para adicionar um ambiente à sua política de dados, selecione o ambiente na aba Disponível e depois selecione Adicionar à política.
   • Para remover um ambiente da sua política de dados, mude para a aba Adicionar à política , selecione o ambiente e depois selecione Remover da política.

6. Selecione Próximo. A página Assignar conectores aparece.

7. Use a caixa de busca para encontrar o conector que você quer.

8. Selecione os três pontos (⋮) ao lado do conector e, em seguida:

   • Se quiser impedir que os agentes usem os recursos associados ao conector, selecione Bloquear.

   • Se você quiser permitir ou negar endereços específicos para SharePoint ou sites públicos configurados como fontes de conhecimento ou para uma solicitação HTTP:

     1. Selecione Configurar conector>Pontos de extremidade do conector.
     2. Adicione os endpoints ou padrões que você quer, depois selecione Salvar.

9. Selecione Próximo.

10. Se você é administrador de locatários ou administrador de ambiente para múltiplos ambientes, a página Definir escopo se abre.

    1. Selecione a opção que deseja:

       • Adicionar todos os ambientes: Adiciona todos os ambientes em seu locatário inteiro. Essa política se aplica automaticamente a qualquer novo ambiente criado no tenant.
       • Adicionar vários ambientes: escolha os ambientes a serem incluídos nessa política.
       • Excluir determinados ambientes: escolha os ambientes a serem excluídos dessa política.

       Observação

       Políticas com escopo de locatário se aplicam a todos os agentes em todos os ambientes do locatário.

    2. Selecione Próximo.

11. Examine sua política e, em seguida, selecione Criar política se você estiver criando uma nova política ou política de atualização se estiver editando uma política existente.

12. Acesse o Copilot Studio e verifique se ele impõe sua política de dados conforme o esperado para seu caso de uso.

Confirmar a imposição da política de dados no Copilot Studio

Você pode confirmar se uma política de dados está em vigor abrindo um agente no Copilot Studio. Após tentar realizar uma operação sujeita à política de dados, um banner de erro aparece com um botão Detalhes . Para ver detalhes, na página de Canais, expanda o link de erro e selecione Fazer download. No arquivo de detalhes, uma linha descreve cada violação. Quando ocorre uma violação da política de dados, o botão Publicar fica indisponível.

• Confirme que a autenticação do usuário é necessária
• Confirme que as fontes de conhecimento estão bloqueadas
• Confirme que conectores Power Platform não podem ser usados como ferramentas
• Confirme que as requisições HTTP estão bloqueadas
• Confirme que as habilidades estão bloqueadas
• Confirme que a publicação em canais específicos está bloqueada
• Confirme que os gatilhos de eventos estão bloqueados

É necessário confirmar a autenticação do usuário.

Quando você abre um agente que não está configurado para exigir autenticação de usuário em um ambiente com uma política de dados que a exige, um banner de erro aparece com um botão Detalhes . Para ver detalhes, na página de Canais, expanda o link de erro e selecione Fazer download. No arquivo de detalhes, uma linha descreve cada violação.

Um agente maker pode contatar seus administradores com os detalhes da planilha para fazer as atualizações adequadas na política de dados.

Como alternativa, o fabricante do agente pode atualizar as configurações de autenticação do agente para Authenticate com Microsoft ou Authenticate manualmente (Azure Active Directory ou Azure Active Directory v2) na página de configuração Authentication. Consulte Configurar autenticação de usuário no Copilot Studio.

Note que não há autenticação e algumas opções manuais de autenticação não estão disponíveis para seleção.

Confirme que as fontes de conhecimento estão bloqueadas

1. No Copilot Studio, abra um agente em um ambiente com uma política de dados que impeça os criadores de adicionar fontes de conhecimento específicas.

2. Vá à página de Conhecimento , selecione Adicionar conhecimento e adicione uma fonte de conhecimento que sua política de dados bloqueie.

3. Tente publicar o agente. Se a política for aplicada, um banner de erro aparece com um botão Detalhes .

4. Na página Canais, expanda o link de erro e clique em Download para ver os detalhes. No arquivo de detalhes, se houver uma violação de política de dados para uma fonte de conhecimento, é exibida uma linha para a fonte de conhecimento e para cada nó de respostas generativas que usa essa fonte de conhecimento.

Confirme que conectores Power Platform não podem ser usados como ferramentas

1. No Copilot Studio, abra um agente em um ambiente com uma política de dados que impeça os criadores de configurar ferramentas com base em conectores do Power Platform.

2. Crie um novo tópico e adicione um nó Tool .

3. No painel Adicionar uma ferramenta , mude para a aba Conectores e selecione um conector que sua política de dados bloqueia. Use a caixa de pesquisa, se necessário.

4. Salve o tópico e tente publicar o agente. Se a política for aplicada, um banner de erro aparece com um botão Detalhes .

5. Na página Canais, expanda o link de erro e clique em Download para ver os detalhes.

Confirme que as requisições HTTP estão bloqueadas

Confirme que as habilidades estão bloqueadas

1. No Copilot Studio, abra um agente em um ambiente com uma política de dados que impeça os criadores de configurar habilidades.

2. Tente adicionar uma habilidade ao agente. Se a política de dados for aplicada, o painel Adicionar uma habilidade reporta um erro e sugere que você entre em contato com um administrador para adicionar a habilidade à lista de permissão.

Confirme que a publicação em canais específicos está bloqueada

1. No Copilot Studio, abra um agente em um ambiente com uma política de dados que impeça os criadores de publicar em canais específicos.

2. Tente configurar um canal que a política de dados bloqueie. Se a política de dados for aplicada, você não pode publicar nesse canal.

Confirme que os gatilhos de eventos estão bloqueados

1. No Copilot Studio, abra um agente em um ambiente com uma política de dados que impeça os criadores de adicionar gatilhos de evento.

2. Se a política for aplicada, uma mensagem de erro detalhada aparece na seção Gatilhos na página Visão geral. A mensagem menciona o nome da política de dados e sugere que você entre em contato com seu administrador.

Identificar e solucionar o impacto das políticas de dados

Para localizar agentes que as políticas de dados da sua organização podem afetar, você pode:

• Use o painel Power BI do kit de início do Center of Excellence (CoE. A página de visão geral do Copilot Studio no Painel do CoE lista os agentes e ambientes em sua organização.

  Observação

  Chatbots clássicos criados usando o aplicativo Microsoft Copilot Studio herdado em Microsoft Teams não são detectáveis no Kit de Início do CoE. Para obter uma lista de todos os agentes e chatbots clássicos em um ambiente, você pode criar um fluxo de nuvem do Power Automate com uma Listar linhas do ambiente selecionado Ação Dataverse.

• Para resolver erros de política de dados ou políticas de dados atualizadas, execute uma campanha com os criadores de agentes em sua organização. Para baixar todos os erros de política de dados do agente, selecione Detalhes no banner de notificação de erro e selecione Baixar nos detalhes da mensagem de erro.

Se as políticas de dados afetarem a funcionalidade de seus agentes, consulte Resolução de problemas na aplicação de políticas de dados para o Copilot Studio.

Adicione e atualize os links de "Saiba mais" e e-mails de contato de administrador

Use o Set-PowerAppDlpErrorSettings cmdlet do PowerShell para adicionar um endereço de e-mail e um link "Saiba mais" às mensagens de erro da política de dados.

Para adicionar o endereço de e-mail e o link "Saiba mais", execute o seguinte script PowerShell. Substitua os valores dos parâmetros <email>, <URL> e <tenant ID> pelos seus próprios.

$ContactDetails = [pscustomobject] @{
    Enabled=$true
    Email="<email>"
}
$ErrorMessageDetails = [pscustomobject] @{
    Enabled=$true
    Url="<URL>"
}
$ErrorSettingsObj = [pscustomobject] @{
    ErrorMessageDetails=$ErrorMessageDetails
    ContactDetails=$ContactDetails
}
New-PowerAppDlpErrorSettings -TenantId "<tenant ID>" -ErrorSettings $ErrorSettingsObj

Para atualizar uma configuração existente, use o mesmo script do PowerShell, mas substitua New-PowerAppDlpErrorSettings por Set-PowerAppDlpErrorSettings.