在此階段,您將為保護和管理 Copilot Studio 環境建立穩固的基礎。 階段 2 重點在於建立環境策略、實施進階安全措施以及確保適當的治理以支援開發、測試和生產工作流程。 透過遵循這些準則,您可以保護組織的資料,簡化應用程式生命週期管理 (ALM),並最佳化生成式 AI 功能的使用,同時保持符合組織原則。
環境原則
環境隔離:為您的組織建立環境策略,並維護用於開發、測試和生產的不同環境。 定義每個環境的資料 原則 。 透過啟用 環境路由等功能,確保每個 Copilot Studio 製作者都使用自己的開發環境來建立 Copilot Studio 代理程式。
ALM 流程: 在組織內實作健全的 應用程式生命週期管理 程序。 使用 產品內管線 或外部 DevOps 平台 ( 例如 Azure DevOps) 建置部署管線,以進行解決方案版本設定和部署自動化。 一律在 自訂解決方案中建立 Copilot Studio 代理程式。 設定 偏好的解決方案 ,讓客服專員處於已準備好進行 ALM 的解決方案中。
安全和存取控制
保護您的租用戶和環境:為了保護您的環境和租用戶免受攻擊,請考慮使用和啟用以下功能:
- 加密箱
- Dataverse 稽核
- IP 防火牆
- IP Cookie 繫結
網路安全: 若要將 Copilot Studio 代理程式使用的任何端點的公開暴露降到最低,請針對代理程式和整體解決方案的不同元件使用 Azure 虛擬網路支援、防火牆或 服務端點 。
條件式存取:對公司裝置和網路套用 Microsoft Entra 條件式存取。
允許的身份驗證: 為組織內的 Copilot Studio 代理程式建立允許的 使用者驗證 模型 (例如,透過 Microsoft Entra ID 進行驗證與手動驗證,或不需要驗證)。 此外,決定限制或允許網路管道存取以確保您的網路管道具有適當的安全層級。
限制使用者存取:考慮將對 Copilot Studio 的製作存取權限限制為特定安全性群組,以透過實施安全性群組來控制製作權限。
資料和存取安全
地理資料駐留:根據組織的資料駐留和合規性要求,了解並評估 Copilot Studio 代理程式中的安全性和地理資料駐留以及資料位置。
角色型存取控制:建議管理員使用 Power Platform RBAC,並利用安全群組在 Power Platform 系統管理中心內為每個 Copilot Studio 使用者指派適當的角色 (例如,管理員、製作者或終端使用者),以確保在所有環境中進行正確的存取管理。
MFA 和身分識別: 透過整個環境中的 Microsoft Entra ID 為所有 Power Platform 和 Copilot Studio 使用者啟用 多重要素驗證 ,以確保安全存取。
最小權限:將代理程式權限限制於基本資料來源,並考慮使用服務主體帳戶進行實際執行環境部署和自訂連接器驗證。
治理和資料原則考量
資料政策: 為您的代理建立環境層級或租戶層 級的資料政策 ,根據代理的使用情境與需求,限制未使用的第一方(1P)與第三方(3P)連接器(商業與非商業)連接器。
共享連接: 決定 Copilot Studio 代理程式是否在使用者內容或專用服務帳戶 (Copilot Studio 製作者帳戶) 中 執行工具 ,以正確管理 Copilot Studio 代理程式的存取權限。
共用和管道控制:強制發佈管道限制,防止未經授權的共用,並確保所有敏感資料在知識來源中正確標記。
生成式 AI 功能
AI 協調流程類型:為您的組織選擇合適的協調流程類型。 根據您的特定組織和使用案例要求,在傳統和生成式協調流程之間進行選擇。
Copilot Studio 代理程式類型: 確定適合您組織的觸發條件。 根據您的業務情境和組織的安全性原則,選擇自主 (觸發程序型) 或交談代理程式。
交談語言理解模型:選擇您的組織允許使用的語言理解模型。 根據您的要求、資料複雜性和團隊中可用的技能組合,在預設 Microsoft Copilot Studio NLU 或自訂交談語言理解之間做出選擇。