Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Considera las siguientes recomendaciones para asegurar tu proyecto de Copilot Studio:
Asigna licencias a los usuarios a través de los grupos de ID de Microsoft Entra. Conceder la licencia 'Microsoft Copilot Studio User' a los usuarios a través de un grupo en lugar de asignaciones individuales.
Gestionar el acceso de los usuarios a los entornos a través de los grupos de ID de Microsoft Entra. Solo los autores de bots y los administradores justo a tiempo deberían tener acceso a tus entornos y almacenes de datos.
Gestionar la asignación de roles de seguridad a través de los equipos de grupo ID de Microsoft Entra. Dentro de cada entorno Dataverse, utiliza equipos de grupo para asignar roles de seguridad a los usuarios.
Aplica políticas de datos restrictivas a tu entorno. Aplica políticas de datos a tus entornos para bloquear todos los conectores que el proyecto no requiera, y cualquier canal o configuración que no sea útil para el proyecto (por ejemplo, usar habilidades de uso sin autenticación, etc.).
Revisa y solo activa las configuraciones de inquilinos, entornos y agentes que sean relevantes. Los administradores de los inquilinos pueden desactivar la publicación de agentes impulsados por GenAI. Los administradores de entornos pueden desactivar funciones de GenAI que requieran el movimiento de datos fuera de su región. Los autores de agentes pueden requerir acceso seguro al canal web. El uso de agentes internos puede limitarse a grupos específicos en lugar de estar disponible para todos. Las conexiones deben requerir una autenticación sólida. Guardar secretos en un lugar seguro (por ejemplo, Azure Key Vault). Utiliza delegación, suplantación o filtrado del acceso a los datos en el contexto del usuario final.
Tener un proceso de lanzamiento limitado para producción. Desplegar cambios desde el desarrollo hasta la prueba y la producción debería requerir revisiones y formar parte de un proceso cerrado.
Explora funciones adicionales de seguridad de Power Platform, Dataverse y Microsoft Entra ID. Por ejemplo, registros de auditoría, claves de cifrado gestionadas por el cliente, caja de seguridad del cliente, firewall IP, aislamiento de red, autenticación multifactor, evaluación continua de accesos y más. Aprende más:
Asigna permisos de autoría a Copilot Studio usando roles de seguridad
Para los agentes autores, asigna a los usuarios un rol de seguridad en el entorno. Asigna el rol de Creador de Entornos a los usuarios que necesiten crear agentes. Si el usuario necesita un conjunto diferente de permisos, asigna otro rol predefinido o un rol personalizado.
La siguiente tabla ofrece una visión general de los roles de seguridad predefinidos de Dataverse que puedes usar para crear agentes y sus permisos para las tablas Dataverse utilizadas en Copilot Studio:
| Rol de seguridad | Copilot (bot) | Subcomponente del copiloto (botcomponent) | Transcripción de conversación (transcripción de conversación) |
|---|---|---|---|
| Administrador de sistemas | Organización (CRUD) | Organización (CRUD) | Organización (CRUD) |
| Personalizador de sistemas | Organización (CRUD) | Organización (CRUD) | Ninguno |
| Creador de entorno | Usuario (CRUD) | Usuario (CRUD) | Ninguno |
| Visor de transcripción del bot | Ninguno | Ninguno | Usuario (Leído) |
| Autor de bots (obsoleto) | Usuario (CRUD) | Usuario (CRUD) | Usuario (CRU) |
| Colaborador de bots | Usuario (Leído) | Usuario (CRUD) | Ninguno |
| Administrador omnicanal | Organización (Leer) |
Cuando creas un agente, también creas un equipo y compartes al agente con ese equipo. También compartes subcomponentes de Copilot, como temas, entidades y archivos, con el mismo equipo. Las transcripciones de conversaciones se comparten implícitamente con el equipo de su agente principal, pero solo los usuarios que tengan acceso a lectura en la tabla de Transcripciones de Conversación pueden acceder a ellas.
Aplicar políticas de datos a un entorno Power Platform
Para reducir el riesgo de exponer datos de la organización, un administrador puede crear políticas de datos y aplicarlas a todos los usuarios de un entorno. Dentro de una política de datos, puedes restringir las capacidades individuales de creación de Copilot Studio y el acceso a conectores individuales. Después de crear una política de datos, puedes aplicarla a un único entorno, a un grupo de entorno o a todo el tenant.
Utiliza una política de datos para hacer cumplir que permitas o bloquees las siguientes capacidades de autoría en Copilot Studio:
- Usos no autenticados
- Canales individuales
- Orígenes de conocimiento
- Conectores individuales
- Conexión con habilidades
- Application Insights
La configuración recomendada de las políticas de datos y las capacidades del entorno gestionado varía según el tipo de entorno. Las configuraciones van desde políticas estrictas en entornos de desarrollo personal hasta políticas relajadas en entornos de prueba y producción, apoyando una adopción más amplia tras la revisión.
Entorno de Desarrollo Personal
- Políticas estrictas de datos
- Normas estrictas de Entorno Gestionado
- Por ejemplo, no puedes usar agentes no autenticados, y la mayoría de los canales y conectores están bloqueados
Entorno de Desarrollo Dedicado
- Políticas de Datos Relajadas
- Normas estrictas de Entorno Gestionado
- Por ejemplo, no puedes usar agentes no autenticados, pero sí los canales y conectores deseados
Entornos dedicados de prueba y producción
- Políticas de Datos Relajadas
- Normas de Entorno Gestionado Relajado
- Por ejemplo, puedes usar agentes no autenticados en todos los canales con un número ilimitado de usuarios
Utilizar funciones de entorno gestionado requiere que los agentes de Copilot Studio estén integrados o desplegados dentro de un entorno gestionado. La licencia de agente de Copilot Studio incluye derechos para conectores premium, así que no necesitas más licencias para usar el agente.
Seguros casos críticos de uso de Copilot Studio
Para asegurar casos de uso críticos de Copilot Studio, considera los siguientes enfoques:
Redes virtuales: Ejecutan conectores en el contexto de redes virtuales. Este enfoque hace accesibles los recursos internos sin exponerlos a internet pública.
Cortafuegos IP: Asegura los endpoints de Copilot Studio detrás de un cortafuegos. Cuando se hacen conexiones desde fuera de la red a Copilot Studio, el cortafuegos bloquea a los agentes de cualquier rango de IP restringido.
Evaluación de acceso continuo: Requieren que el usuario actualice su token inmediatamente cuando ocurre un evento crítico o un cambio en la ubicación de la red lo obligue, en lugar de esperar a que expire.
Establecer secretos: Se requiere un secreto para obtener un token de conversación a cambio al acceder a un endpoint de Copilot Studio.
Crear reglas de compartición para controlar la adopción de agentes
Las reglas de compartición definen si el propietario o editor de un agente puede conceder permisos de Editor o Visor a otros en el entorno. Si se bloquea la asignación de estos permisos, solo los administradores pueden concederlos. Los editores pueden editar, compartir, publicar y usar agentes, mientras que los espectadores solo pueden utilizarlos.
Establece el número máximo de espectadores para un agente para evitar compartir ampliamente. También puedes restringir el intercambio a usuarios individuales, excluyendo los grupos de seguridad.
Gestionar la residencia de datos y el cumplimiento normativo para los agentes
La residencia de datos geográficos se refiere a las políticas y prácticas que rigen dónde se almacenan, procesan y gestionan geográficamente los datos. Garantiza el cumplimiento de las normativas regionales y las políticas organizativas.
Las organizaciones pueden elegir dónde almacenar sus datos, proporcionando flexibilidad para cumplir con los requisitos regionales de residencia de datos utilizando diversos centros de datos Azure a nivel global.
Copilot Studio está diseñado para cumplir con el Reglamento General de Protección de Datos (RGPD), asegurando que los datos se almacenen dentro de límites geográficos designados y respetando los derechos de los sujetos de datos. Emplea medidas de seguridad robustas, incluyendo cifrado y controles de acceso estrictos, para proteger los datos en reposo y en tránsito. También utiliza políticas de privacidad estrictas para garantizar que los datos de los usuarios estén protegidos y se utilicen de forma responsable.
Más información: Residencia en seguridad y datos geográficos en Copilot Studio
Habilitar restricciones de movimiento de datos a través de geografías
Utilizando funciones de IA generativa impulsadas por Azure Open API Service y Bing Search, puedes crear agentes de alto valor sin configuraciones complejas. Cuando los usuarios de regiones fuera de Estados Unidos acceden a estas funciones, los datos se desplazan a través de fronteras regionales. Un administrador de Power Platform puede activar o desactivar esta función.
Más información: Configurar el movimiento de datos a través de ubicaciones geográficas para IA generativa
Siguiente paso
Fortalece tu proceso de lanzamiento definiendo cómo validas la calidad, el rendimiento y la fiabilidad antes de que tus agentes lleguen a los usuarios.
Información relacionada
- Conceptos clave de seguridad y gobernanza de Copilot Studio
- Garantizar el cumplimiento con Copilot Studio
- Datos, privacidad y seguridad para la búsqueda web
- Descripción de la posición de seguridad y los desafíos
- Desarrollo de una estrategia de entorno de inquilino para adoptar Power Platform a escala