Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Overweeg de volgende aanbevelingen om uw Copilot Studio-project te bemachtigen:
Wijs licenties toe aan gebruikers via Microsoft Entra ID-groepen. Verleen de 'Microsoft Copilot Studio User'-licentie aan gebruikers via een groep in plaats van individuele opdrachten.
Beheer gebruikerstoegang tot omgevingen via Microsoft Entra ID-groepen. Alleen bot-auteurs en just-in-time beheerders mogen toegang hebben tot je omgevingen en datastores.
Beheer de toewijzing van beveiligingsrollen via Microsoft Entra ID-groepenteams. Binnen elke Dataverse-omgeving gebruik je groepsteams om beveiligingsrollen toe te wijzen aan gebruikers.
Pas beperkende databeleid toe op je omgeving. Pas databeleid toe op je omgevingen om alle connectors te blokkeren die het project niet nodig heeft, en elk kanaal of elke instelling die niet nuttig is voor het project (bijvoorbeeld niet-geauthenticeerd gebruik, use skills, enzovoort).
Bekijk en zet alleen tenant-, omgeving- en agentinstellingen in die relevant zijn. Tenantbeheerders kunnen het publiceren van GenAI-gestuurde agents uitschakelen. Omgevingsbeheerders kunnen GenAI-functies uitschakelen die gegevensverplaatsing buiten hun regio vereisen. Agent-auteurs kunnen veilige toegang voor het webkanaal vereisen. Het gebruik van interne agenten kan beperkt worden tot specifieke groepen in plaats van voor iedereen beschikbaar te zijn. Verbindingen moeten sterke authenticatie vereisen. Bewaar geheimen op een beveiligde locatie (bijvoorbeeld Azure Key Vault). Gebruik delegering, imitatie of filtergegevenstoegang in de context van een eindgebruiker.
Heb een afgesloten releaseproces voor productie. Het uitrollen van wijzigingen van ontwikkeling naar test en productie zou reviews moeten vereisen en deel uitmaken van een afgesloten proces.
Ontdek extra beveiligingsfuncties voor Power Platform, Dataverse en Microsoft Entra ID. Bijvoorbeeld auditlogs, door klanten beheerde encryptiesleutels, Customer Lockbox, IP-firewall, netwerkisolatie, multifactorauthenticatie, continue toegangsevaluatie en meer. Meer informatie:
Ken Copilot Studio authoringrechten toe door beveiligingsrollen te gebruiken
Om agenten te authoren, wijs je gebruikers een beveiligingsrol toe in de omgeving. Wijs de rol Environment Maker toe aan gebruikers die agenten moeten authoren. Als de gebruiker een andere set rechten nodig heeft, wijs dan een andere vooraf gedefinieerde rol of een aangepaste rol toe.
De volgende tabel geeft een overzicht van vooraf gedefinieerde Dataverse-beveiligingsrollen die u kunt gebruiken om agenten en hun rechten te maken voor Dataverse-tabellen die in Copilot Studio worden gebruikt:
| Beveiligingsrol | Copilot (bot) | Copilot Subcomponent (botcomponent) | Gesprekstranscript (gesprektranscript) |
|---|---|---|---|
| Systeembeheerder | Organisatie (CRUD) | Organisatie (CRUD) | Organisatie (CRUD) |
| Systeemcustomizer | Organisatie (CRUD) | Organisatie (CRUD) | Geen |
| Omgevingsmaker | Gebruiker (CRUD) | Gebruiker (CRUD) | Geen |
| Bot Transcript Viewer | Geen | Geen | Gebruiker (Lezen) |
| Bot Author (verouderd) | Gebruiker (CRUD) | Gebruiker (CRUD) | Gebruiker (CRU) |
| Botbijdrager | Gebruiker (Lezen) | Gebruiker (CRUD) | Geen |
| Omnichannel Beheerder | Organisatie (Lezen) |
Wanneer je een agent aanmaakt, maak je ook een team en deel je de agent met dat team. Je deelt ook Copilot-subcomponenten, zoals onderwerpen, entiteiten en bestanden, met hetzelfde team. Gesprektranscripties worden impliciet gedeeld met het team van hun hoofdagent, maar alleen gebruikers die leestoegang hebben op de tabel Gesprektranscript kunnen erbij.
Pas databeleid toe op een Power Platform-omgeving
Om het risico op het blootstellen van organisatiegegevens te verkleinen, kan een beheerder databeleid maken en deze toepassen op alle gebruikers in een omgeving. Binnen een databeleid kun je de authoringmogelijkheden van individuele Copilot Studio en toegang tot individuele connectors beperken. Nadat je een databeleid hebt gemaakt, kun je het toepassen op één enkele omgeving, een omgevingsgroep of de hele tenant.
Gebruik een databeleid om het toestaan of blokkeren van de volgende authoringmogelijkheden in Copilot Studio af te dwingen:
- Niet-geauthenticeerde toepassingen
- Individuele kanalen
- Kennisbronnen
- Individuele connectoren
- Verbinding maken met vaardigheden
- Analyses van toepassingen
De aanbevolen configuratie van databeleid en beheerde omgevingsmogelijkheden varieert per omgevingstype. De configuraties variëren van strikte beleidsregels in persoonlijke ontwikkelingsomgevingen tot soepelere regels in test- en productieomgevingen, die een bredere adoptie na beoordeling ondersteunen.
Persoonlijke ontwikkelingsomgeving
- Strikte databeleid
- Strikte regels voor beheerde omgevingen
- Je kunt bijvoorbeeld geen niet-geauthenticeerde agenten gebruiken, en de meeste kanalen en connectors zijn geblokkeerd
Toegewijde ontwikkelingsomgeving
- Versoepelde databeleid
- Strikte regels voor beheerde omgevingen
- Je kunt bijvoorbeeld geen niet-geauthenticeerde agenten gebruiken, maar wel de gewenste kanalen en connectors gebruiken
Speciale test- en productieomgevingen
- Versoepelde databeleid
- Relaxte regels voor een beheerde omgeving
- Je kunt bijvoorbeeld niet-geauthenticeerde agenten gebruiken in alle kanalen met een onbeperkt aantal gebruikers
Het gebruik van managed environment features vereist dat Copilot Studio-agenten worden gebouwd in of ingezet binnen een managed omgeving. Copilot Studio-agentlicenties omvatten rechten voor premium connectors, dus je hebt geen extra licenties nodig om de agent te gebruiken.
Beveilig, kritieke Copilot Studio use cases
Om de missie-kritische Copilot Studio-gebruikssituaties te waarborgen, overweeg de volgende benaderingen:
Virtuele netwerken: Voer connectoren uit in de context van virtuele netwerken. Deze aanpak maakt interne bronnen toegankelijk zonder ze bloot te stellen aan het publieke internet.
IP-firewall: Beveiligde Copilot Studio-eindpunten achter een firewall. Wanneer verbindingen van buiten het netwerk worden gemaakt met Copilot Studio, blokkeert de firewall agenten van alle beperkte IP-bereiken.
Continue toegangsevaluatie: Vereis dat de gebruiker zijn token onmiddellijk ververst wanneer er een kritieke gebeurtenis plaatsvindt of een wijziging in netwerklocatie dit afdwingt, in plaats van te wachten tot het vervalt.
Geheimen instellen: Vereis een geheim om een conversatietoken te verkrijgen in ruil bij het benaderen van een Copilot Studio-endpoint.
Maak deelregels om agentadoptie te controleren
Delingsregels bepalen of de eigenaar of editor van een agent Editor- of Viewer-rechten aan anderen in de omgeving kan geven. Als het toewijzen van deze rechten wordt geblokkeerd, kunnen alleen beheerders ze toekennen. Redacteuren kunnen agenten bewerken, delen, publiceren en gebruiken, terwijl Viewers alleen hen kunnen gebruiken.
Stel het maximale aantal kijkers voor een makelaar in om breed delen te voorkomen. Je kunt het delen ook beperken tot individuele gebruikers, met uitzondering van beveiligingsgroepen.
Beheer van gegevensresidentie en naleving voor agenten
Geografische gegevensresidentie verwijst naar het beleid en de praktijken die bepalen waar data geografisch wordt opgeslagen, verwerkt en beheerd. Het zorgt voor naleving van regionale regelgeving en organisatiebeleid.
Organisaties kunnen kiezen waar ze hun data opslaan, wat flexibiliteit biedt om te voldoen aan regionale gegevensresidentievereisten door gebruik te maken van diverse Azure-datacenters wereldwijd.
Copilot Studio is ontworpen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), waarbij wordt gegarandeerd dat gegevens binnen bepaalde geografische grenzen worden opgeslagen en de rechten van betrokkenen worden gerespecteerd. Het maakt gebruik van robuuste beveiligingsmaatregelen, waaronder encryptie en strikte toegangscontroles, om data in rust en tijdens transport te beschermen. Daarnaast worden er strikte privacybeleid gebruikt om ervoor te zorgen dat gebruikersgegevens worden beschermd en verantwoord worden gebruikt.
Lees meer: Beveiliging en residentie voor geografische data in Copilot Studio
Schakel gegevensbewegingsbeperkingen in over geografische gebieden
Door gebruik te maken van generatieve AI-functies die worden aangedreven door de Azure Open API Service en Bing Search, kun je waardevolle agenten bouwen zonder complexe configuraties. Wanneer gebruikers in regio's buiten de Verenigde Staten deze functies gebruiken, verplaatst data zich over regionale grenzen. Een Power Platform-beheerder kan deze functie in- of uitschakelen.
Lees meer: Configureer gegevensbeweging over geografische locaties voor generatieve AI
Volgende stap
Versterk je releaseproces door te definiëren hoe je kwaliteit, prestaties en betrouwbaarheid valideert voordat je agenten gebruikers bereiken.
Gerelateerde informatie
- Copilot Studio beveiligings- en governance-kernconcepten
- Zorg voor naleving van Copilot Studio
- Data, privacy en beveiliging voor webzoekopdrachten
- Inzicht krijgen in uw beveiligingspostuur en uitdagingen
- Een strategie ontwikkelen voor de tenantomgeving zodat Power Platform op schaal kan worden toegepast