Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Considere as seguintes recomendações para garantir o seu projeto Copilot Studio:
Atribuir licenças aos utilizadores através dos grupos Microsoft Entra ID. Conceder a licença 'Microsoft Copilot Studio User' aos utilizadores através de um grupo em vez de atribuições individuais.
Gerir o acesso dos utilizadores aos ambientes através dos grupos Microsoft Entra ID. Só os autores de bots e os administradores just-in-time devem ter acesso aos seus ambientes e armazenamentos de dados.
Gerir a atribuição de funções de segurança através das equipas de grupo Microsoft Entra ID. Dentro de cada ambiente Dataverse, utilize equipas de grupo para atribuir papéis de segurança aos utilizadores.
Aplique políticas de dados restritivas ao seu ambiente. Aplique políticas de dados aos seus ambientes para bloquear todos os conectores que o projeto não exige, e qualquer canal ou definição que não seja útil para o projeto (por exemplo, usar e usar competências não autenticadas, etc.).
Revise e ative apenas as definições de locatário, ambiente e agente que sejam relevantes. Os administradores de inquilinos podem desativar a publicação de agentes alimentados por GenAI. Os administradores de ambiente podem desativar funcionalidades GenAI que exijam movimento de dados fora da sua região. Os autores de agentes podem necessitar de acesso seguro ao canal web. O uso de agentes internos pode ser limitado a grupos específicos em vez de estar disponível para todos. As ligações devem exigir autenticação forte. Armazene segredos num local seguro (por exemplo, Azure Key Vault). Utilize delegação, personificação ou filtragem do acesso a dados no contexto do utilizador final.
Tem um processo de lançamento limitado para produção. Implementar alterações do desenvolvimento, teste e produção deve exigir revisões e fazer parte de um processo limitado.
Explore funcionalidades adicionais de segurança do Power Platform, Dataverse e Microsoft Entra ID. Por exemplo, registos de auditoria, chaves de encriptação geridas pelo cliente, Customer Lockbox, firewall IP, isolamento de rede, autenticação multifator, avaliação contínua de acessos, entre outros. Saiba mais:
Atribuir permissões de autoria ao Copilot Studio usando funções de segurança
Para agentes autores, atribui aos utilizadores um papel de segurança no ambiente. Atribuir o papel de Criador de Ambientes aos utilizadores que precisam de criar agentes. Se o utilizador precisar de um conjunto diferente de permissões, atribui outro papel pré-definido ou um papel personalizado.
A tabela seguinte apresenta uma visão geral dos papéis de segurança Dataverse pré-definidos que pode usar para criar agentes e as suas permissões para as tabelas Dataverse usadas no Copilot Studio:
| Direito de Acesso | Copilot (bot) | Subcomponente Copilot (botcomponent) | Transcrição da conversa (transcrição da conversa) |
|---|---|---|---|
| Administrador de Sistema | Organização (CRUD) | Organização (CRUD) | Organização (CRUD) |
| Personalizador de Sistema | Organização (CRUD) | Organização (CRUD) | Nenhum |
| Criador de Ambientes | Utilizador (CRUD) | Utilizador (CRUD) | Nenhum |
| Visualizador de Transcrição do Bot | Nenhum | Nenhum | Utilizador (Lido) |
| Bot Author (descontinuado) | Utilizador (CRUD) | Utilizador (CRUD) | Utilizador (CRU) |
| Colaborador Bot | Utilizador (Lido) | Utilizador (CRUD) | Nenhum |
| Administrador Omnicanal | Organização (Leia) |
Quando crias um agente, também crias uma equipa e partilhas o agente com essa equipa. Também partilhas subcomponentes do Copilot, como tópicos, entidades e ficheiros, com a mesma equipa. As transcrições das conversas são partilhadas implicitamente com a equipa do agente principal, mas apenas os utilizadores que têm acesso à leitura na tabela de Transcrições da Conversa podem aceder a elas.
Aplicar políticas de dados a um ambiente Power Platform
Para reduzir o risco de expor dados organizacionais, um administrador pode criar políticas de dados e aplicá-las a todos os utilizadores num ambiente. Dentro de uma política de dados, pode restringir as capacidades individuais de criação do Copilot Studio e o acesso a conectores individuais. Depois de criar uma política de dados, pode aplicá-la a um único ambiente, a um grupo de ambiente ou a todo o inquilino.
Use uma política de dados para impor permitir ou bloquear as seguintes capacidades de autoria no Copilot Studio:
- Usos não autenticados
- Canais individuais
- Fontes de conhecimento
- Conectores individuais
- Ligação a competências
- Application Insights
A configuração recomendada das políticas de dados e das capacidades do ambiente gerido varia consoante o tipo de ambiente. As configurações variam desde políticas rigorosas em ambientes de desenvolvimento pessoal até políticas mais relaxadas em ambientes de teste e produção, apoiando uma adoção mais ampla após revisão.
Ambiente de Desenvolvimento Pessoal
- Políticas Estritas de Dados
- Regras Rigorosas de Ambiente Gerido
- Por exemplo, não pode usar agentes não autenticados, e a maioria dos canais e conectores está bloqueada
Ambiente de Desenvolvimento Dedicado
- Políticas de Dados Relaxadas
- Regras Rigorosas de Ambiente Gerido
- Por exemplo, não podes usar agentes não autenticados, mas podes usar os canais e conectores desejados
Ambientes Dedicados de Teste e Produção
- Políticas de Dados Relaxadas
- Regras de Ambiente Gerido Relaxado
- Por exemplo, pode usar agentes não autenticados em todos os canais com um número ilimitado de utilizadores
A utilização de funcionalidades do ambiente gerido exige que os agentes do Copilot Studio sejam integrados ou implementados num ambiente gerido. A licença de agente do Copilot Studio inclui direitos para conectores premium, por isso não precisa de mais licenciamento para usar o agente.
Proteger casos críticos de uso do Copilot Studio
Para garantir casos críticos de uso do Copilot Studio, considere as seguintes abordagens:
Redes Virtuais: Executar conectores no contexto de redes virtuais. Esta abordagem torna os recursos internos acessíveis sem os expor à internet pública.
Firewall IP: Proteger os endpoints do Copilot Studio atrás de um firewall. Quando são feitas ligações de fora da rede para o Copilot Studio, o firewall bloqueia agentes de quaisquer intervalos de IP restritos.
Avaliação de acesso contínuo: Exigir que o utilizador atualize imediatamente o seu token quando ocorre um evento crítico ou uma alteração na localização da rede o força, em vez de esperar até que expire.
Definir segredos: É necessário um segredo para obter um token de conversa em troca ao aceder a um endpoint do Copilot Studio.
Criar regras de partilha para controlar a adoção de agentes
As regras de partilha definem se o proprietário ou editor de um agente pode conceder permissões de Editor ou Visualizador a outros no ambiente. Se a atribuição destas permissões for bloqueada, apenas os administradores as podem conceder. Os editores podem editar, partilhar, publicar e usar agentes, enquanto os Visualizadores só os podem usar.
Defina o número máximo de espectadores para um agente para evitar partilhas amplas. Também pode restringir a partilha a utilizadores individuais, excluindo grupos de segurança.
Gerir a residência de dados e a conformidade para agentes
Residência de dados geográficos refere-se às políticas e práticas que regem onde os dados são armazenados, processados e geridos geograficamente. Assegura o cumprimento das regulamentações regionais e das políticas organizacionais.
As organizações podem escolher onde armazenar os seus dados, proporcionando flexibilidade para cumprir os requisitos regionais de residência de dados ao utilizar vários centros de dados Azure globalmente.
O Copilot Studio foi concebido para cumprir o Regulamento Geral de Proteção de Dados (RGPD), garantindo que os dados são armazenados dentro dos limites geográficos designados e respeitando os direitos dos indivíduos dos dados. Emprega medidas de segurança robustas, incluindo encriptação e controlos de acesso rigorosos, para proteger os dados em repouso e em trânsito. Também utiliza políticas de privacidade rigorosas para garantir que os dados dos utilizadores são protegidos e usados de forma responsável.
Saiba mais: Residência em segurança e dados geográficos no Copilot Studio
Permitir restrições de movimento de dados através de geografias
Ao utilizar funcionalidades de IA generativa alimentadas pelo Azure Open API Service e Bing Search, pode construir agentes de alto valor sem configurações complexas. Quando utilizadores em regiões fora dos Estados Unidos acedem a estas funcionalidades, os dados atravessam fronteiras regionais. Um administrador da Power Platform pode ativar ou desativar esta funcionalidade.
Saiba mais: Configure o movimento de dados entre locais geográficos para IA generativa
Próximo passo
Fortaleça o seu processo de lançamento definindo como valida a qualidade, desempenho e fiabilidade antes de os seus agentes chegarem aos utilizadores.
Informações adicionais
- Conceitos-chave de segurança e governação do Copilot Studio
- Garantir a conformidade com o Copilot Studio
- Dados, privacidade e segurança para pesquisa na web
- Compreender a sua postura de segurança e os seus desafios
- Desenvolver uma estratégia de ambiente de locatário para adotar a Power Platform em escala