Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Houd rekening met de volgende aanbevelingen om uw Copilot Studio-project te beveiligen:
Licenties toewijzen aan gebruikers via Microsoft Entra ID groepen. Verwijs de licentie 'Microsoft Copilot Studio Gebruiker' aan gebruikers via een groep in plaats van afzonderlijke toewijzingen.
Beheer de toegang van gebruikers tot omgevingen via groepen in Microsoft Entra ID. Alleen bot-auteurs en just-in-time beheerders mogen toegang hebben tot je omgevingen en datastores.
Toewijzing van beveiligingsrollen beheren via Microsoft Entra ID groepsteams. Binnen elke Dataverse-omgeving gebruik je groepsteams om beveiligingsrollen toe te wijzen aan gebruikers.
Pas beperkende databeleid toe op je omgeving. Pas databeleid toe op je omgevingen om alle connectors te blokkeren die het project niet nodig heeft, en elk kanaal of elke instelling die niet nuttig is voor het project (bijvoorbeeld niet-geauthenticeerd gebruik, use skills, enzovoort).
Bekijk en zet alleen tenant-, omgeving- en agentinstellingen in die relevant zijn. Tenantbeheerders kunnen het publiceren van GenAI-gestuurde agents uitschakelen. Omgevingsbeheerders kunnen GenAI-functies uitschakelen die gegevensverplaatsing buiten hun regio vereisen. Agent-auteurs kunnen veilige toegang voor het webkanaal vereisen. Het gebruik van interne agenten kan beperkt worden tot specifieke groepen in plaats van voor iedereen beschikbaar te zijn. Verbindingen zouden sterke authenticatie moeten vereisen. Store secrets op een veilige locatie (bijvoorbeeld Azure Key Vault). Gebruik delegering, imitatie of filtergegevenstoegang in de context van een eindgebruiker.
Heb een afgesloten releaseproces voor productie. Het uitrollen van wijzigingen van ontwikkeling naar test en productie zou reviews moeten vereisen en deel uitmaken van een afgesloten proces.
Explore aanvullende beveiligingsfuncties voor Power Platform, Dataverse en Microsoft Entra ID. Bijvoorbeeld auditlogs, door klanten beheerde encryptiesleutels, Customer Lockbox, IP-firewall, netwerkisolatie, multifactorauthenticatie, continue toegangsevaluatie en meer. Meer informatie:
Machtigingen voor Copilot Studio-creatie toewijzen met behulp van beveiligingsrollen
Om agenten te ontwerpen, wijs je gebruikers een beveiligingsrol toe binnen de omgeving. Wijs de rol Environment Maker toe aan gebruikers die agenten moeten opstellen. Als de gebruiker een andere set rechten nodig heeft, wijs dan een andere vooraf gedefinieerde rol of een aangepaste rol toe.
De volgende tabel bevat een overzicht van vooraf gedefinieerde Dataverse-beveiligingsrollen die u kunt gebruiken om agents en hun machtigingen te ontwerpen voor Dataverse-tabellen die worden gebruikt in Copilot Studio:
| Beveiligingsrol | Copilot (bot) | Copilot Subcomponent (botcomponent) | Gesprekstranscriptie (gesprektranscript) |
|---|---|---|---|
| Systeembeheerder | Organisatie (CRUD) | Organisatie (CRUD) | Organisatie (CRUD) |
| Systeemcustomizer | Organisatie (CRUD) | Organisatie (CRUD) | Geen |
| Omgevingsmaker | Gebruiker (CRUD) | Gebruiker (CRUD) | Geen |
| Bot Transcript Viewer | Geen | Geen | Gebruiker (Lezen) |
| Bot Author (verouderd) | Gebruiker (CRUD) | Gebruiker (CRUD) | Gebruiker (CRU) |
| Botbijdrager | Gebruiker (Lezen) | Gebruiker (CRUD) | Geen |
| Omnichannel Beheerder | Organisatie (Lezen) |
Wanneer je een agent aanmaakt, maak je ook een team en deel je de agent met dat team. U deelt ook Copilot subonderdelen, zoals onderwerpen, entiteiten en bestanden, met hetzelfde team. Gesprektranscripties worden impliciet gedeeld met het team van hun hoofdagent, maar alleen gebruikers die leestoegang hebben tot de tabel Gesprektranscripties kunnen erbij.
Pas databeleid toe op een Power Platform-omgeving
Om het risico op het blootstellen van organisatiegegevens te verkleinen, kan een beheerder databeleid maken en deze toepassen op alle gebruikers in een omgeving. Binnen een gegevensbeleid kunt u afzonderlijke Copilot Studio-creatiemogelijkheden en toegang tot afzonderlijke connectors beperken. Nadat je een databeleid hebt gemaakt, kun je het toepassen op één enkele omgeving, een omgevingsgroep of de hele tenant.
Gebruik een gegevensbeleid om de volgende ontwerpmogelijkheden in Copilot Studio toe te staan of te blokkeren:
- Niet-geauthenticeerde toepassingen
- Individuele kanalen
- Kennisbronnen
- Individuele connectoren
- Verbinding maken met vaardigheden
- Application Insights
De aanbevolen configuratie van databeleid en beheerde omgevingsmogelijkheden varieert per omgevingstype. De configuraties variëren van strikte beleidsregels in persoonlijke ontwikkelingsomgevingen tot soepelere regels in test- en productieomgevingen, die een bredere adoptie na beoordeling ondersteunen.
Persoonlijke ontwikkelingsomgeving
- Strikte databeleid
- Strikte regels voor beheerde omgevingen
- Je kunt bijvoorbeeld geen niet-geauthenticeerde agenten gebruiken, en de meeste kanalen en connectors zijn geblokkeerd
Toegewijde ontwikkelingsomgeving
- Versoepelde databeleid
- Strikte regels voor beheerde omgevingen
- Je kunt bijvoorbeeld geen niet-geauthenticeerde agenten gebruiken, maar wel de gewenste kanalen en connectors gebruiken
Speciale test- en productieomgevingen
- Versoepelde databeleid
- Relaxte regels voor een beheerde omgeving
- Je kunt bijvoorbeeld niet-geauthenticeerde agenten gebruiken in alle kanalen met een onbeperkt aantal gebruikers
Voor het gebruik van beheerde omgevingsfuncties moeten Copilot Studio-agents worden ingebouwd of geïmplementeerd in een beheerde omgeving. Copilot Studio-agentlicenties omvatten rechten voor premium-connectors, dus u hebt geen extra licenties nodig om de agent te gebruiken.
Kritieke gebruiksscenario's van Copilot Studio beveiligen
Als u bedrijfskritieke Copilot Studio-use cases wilt beveiligen, moet u rekening houden met de volgende benaderingen:
Virtuele netwerken: Voer connectoren uit in de context van virtuele netwerken. Deze aanpak maakt interne bronnen toegankelijk zonder ze bloot te stellen aan het publieke internet.
IP-firewall: Beveilig Copilot Studio-eindpunten achter een firewall. Wanneer verbindingen worden gemaakt van buiten het netwerk naar Copilot Studio, blokkeert de firewall agents van eventuele beperkte IP-bereiken.
Continue toegangsevaluatie: Vereis dat de gebruiker zijn token onmiddellijk ververst wanneer er een kritieke gebeurtenis plaatsvindt of een wijziging in netwerklocatie dit afdwingt, in plaats van te wachten tot het vervalt.
Geheimen instellen: Een geheim vereisen om bij het openen van een Copilot Studio-eindpunt een gesprekstoken in ruil te verkrijgen.
Maak deelregels om agentadoptie te controleren
Delingsregels bepalen of de eigenaar of editor van een agent Editor- of Viewer-rechten aan anderen in de omgeving kan geven. Als het toewijzen van deze rechten wordt geblokkeerd, kunnen alleen beheerders ze toekennen. Redacteuren kunnen agenten bewerken, delen, publiceren en gebruiken, terwijl Viewers alleen hen kunnen gebruiken.
Stel het maximale aantal kijkers voor een agent in om brede verspreiding te voorkomen. Je kunt het delen ook beperken tot individuele gebruikers, met uitzondering van beveiligingsgroepen.
Beheer van gegevensresidentie en naleving voor agenten
Geografische gegevensresidentie verwijst naar het beleid en de praktijken die bepalen waar data geografisch wordt opgeslagen, verwerkt en beheerd. Het zorgt voor naleving van regionale regelgeving en organisatiebeleid.
Organisaties kunnen kiezen waar hun gegevens moeten worden opgeslagen, wat flexibiliteit biedt om te voldoen aan regionale vereisten voor gegevenslocatie met behulp van verschillende Azure datacenters wereldwijd.
Copilot Studio is ontworpen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), ervoor te zorgen dat gegevens worden opgeslagen binnen aangewezen geografische grenzen en de rechten van betrokkenen respecteren. Het maakt gebruik van robuuste beveiligingsmaatregelen, waaronder encryptie en strikte toegangscontroles, om data in rust en tijdens transport te beschermen. Daarnaast worden er strikte privacybeleid gebruikt om ervoor te zorgen dat gebruikersgegevens worden beschermd en verantwoord worden gebruikt.
Meer informatie: Beveiliging en geografische gegevensresidentie in Copilot Studio
Schakel gegevensbewegingsbeperkingen in over geografische gebieden
Door gebruik te maken van generatieve AI-functies die mogelijk worden gemaakt door de Azure Open API Service en Bing Search, kunt u hoogwaardige agents bouwen zonder complexe configuraties. Wanneer gebruikers in regio's buiten de Verenigde Staten toegang hebben tot deze functies, worden gegevens verplaatst over regionale grenzen. Een Power Platform-beheerder kan deze functie in- of uitschakelen.
Lees meer: Configureer gegevensbeweging over geografische locaties voor generatieve AI
Volgende stap
Versterk je releaseproces door te definiëren hoe je kwaliteit, prestaties en betrouwbaarheid valideert voordat je agenten gebruikers bereiken.
Verwante gegevens
- Copilot Studio-beveiligings- en governancesleutelconcepten
- Zorg voor naleving van Copilot Studio
- Data, privacy en beveiliging voor webzoekopdrachten
- Inzicht krijgen in uw beveiligingspostuur en uitdagingen
- Een strategie ontwikkelen voor de tenantomgeving zodat Power Platform op schaal kan worden toegepast