Microsoft Copilot com Bring Your Own Key: Configuração do Azure Key Vault

O Microsoft Copilot para Microsoft 365 criptografa seus dados em repouso usando chaves gerenciadas pelo serviço por padrão. Algumas organizações precisam atender a requisitos regulatórios que exigem controle total sobre as chaves de criptografia. É aí que entra o Bring Your Own Key, ou BYOK. O BYOK permite provisionar, rotacionar e revogar sua própria chave de criptografia armazenada no Azure Key Vault. Este artigo explica como configurar o Azure Key Vault para o Copilot BYOK e quais pré-requisitos você deve atender antes de começar.

O que é Bring Your Own Key para o Copilot?

BYOK é uma opção de criptografia em repouso para o Copilot para Microsoft 365. Sem o BYOK, a Microsoft gera e gerencia as chaves de criptografia usadas para proteger seus dados do Copilot, incluindo respostas fundamentadas, prompts do usuário e conteúdo indexado. Com o BYOK, você cria e controla uma chave raiz em seu próprio Azure Key Vault. O Microsoft 365 usa essa chave para encapsular as chaves de criptografia específicas do locatário que protegem seus dados.

A chave nunca sai do seu Azure Key Vault. O Microsoft 365 chama o Azure Key Vault por meio de APIs autorizadas para realizar operações de encapsulamento e desencapsulamento. Isso significa que você pode revogar o acesso a qualquer momento removendo a chave ou alterando a política de acesso. Após a revogação, o Copilot não pode mais descriptografar os dados do locatário, interrompendo efetivamente o serviço para seu locatário.

O BYOK não afeta os dados em trânsito. Ele protege apenas os dados em repouso na camada de armazenamento do serviço Copilot. Você precisa de uma assinatura do Azure com um Key Vault de nível Premium ou um HSM gerenciado. Você também precisa de privilégios de administrador global no Microsoft 365 e acesso de Colaborador ou Proprietário ao Azure Key Vault.

Pré-requisitos para configurar o BYOK

Antes de iniciar a configuração, verifique se os seguintes requisitos são atendidos:

• Uma assinatura ativa do Azure com um Azure Key Vault de nível Premium ou um Azure Key Vault Managed HSM.
• O Azure Key Vault deve estar na mesma região do Azure que a localização dos dados do seu locatário do Microsoft 365.
• Você deve ter a função Key Vault Contributor ou uma função personalizada equivalente que permita a criação de chaves e o gerenciamento de políticas de acesso.
• Você deve ter a função Global Administrator no Microsoft Entra ID para autorizar a entidade de serviço de criptografia do Microsoft 365.
• A chave deve ser uma chave RSA de tamanho 2048, 3072 ou 4096. O tipo de chave deve ser RSA-HSM para proteção de módulo de segurança de hardware.
• A exclusão temporária e a proteção contra purga devem estar habilitadas no cofre de chaves.

Etapas para configurar o Azure Key Vault para o Copilot BYOK

1. Criar ou selecionar um Azure Key Vault
   Acesse o portal do Azure e navegue até Key Vaults. Se você não tiver um cofre de nível Premium, crie um. Defina o nível de preços como Premium. Habilite a exclusão temporária e a proteção contra purga. Copie o nome DNS do cofre, por exemplo https://mycopilotvault.vault.azure.net. Este URI é necessário posteriormente.
2. Gerar uma nova chave no cofre
   Dentro do cofre de chaves, vá para Keys e selecione Generate/Import. Escolha Key Type RSA e defina o tamanho da chave RSA como 2048 ou superior. Defina o tipo de chave como RSA-HSM se você usar um HSM gerenciado. Nomeie a chave com algo descritivo, como Copilot-BYOK-Key. Deixe as datas de ativação e expiração em branco, a menos que sua política de conformidade as exija.
3. Recuperar o URI do identificador da chave
   Após a criação da chave, abra a entrada da chave. Copie o URI do Identificador da Chave, que se parece com https://mycopilotvault.vault.azure.net/keys/Copilot-BYOK-Key/abc123. Este URI é a chave versionada específica que o Microsoft 365 usará.
4. Atribuir a política de acesso do Key Vault para a entidade de serviço de criptografia do Microsoft 365
   No cofre de chaves, vá para Access policies. Selecione Add Access Policy. Em Configure from template, selecione Key Management. Em Key permissions, selecione Get, Unwrap Key e Wrap Key. Em Select principal, pesquise a entidade de serviço de criptografia do Microsoft 365 com o ID de objeto 066f8e97-7f1a-4f34-9b2b-123456789abc. Este ID é o mesmo para todos os locatários comerciais. Clique em Add e depois em Save.
5. Habilitar o BYOK na Central de administração do Microsoft 365
   Acesse a Central de administração do Microsoft 365. Navegue até Settings > Org settings > Data encryption. Em Bring Your Own Key, selecione Enable. Cole o URI do identificador da chave que você copiou na etapa 3. Clique em Submit. O sistema valida o acesso ao cofre de chaves e as permissões da chave. A validação pode levar alguns minutos.
6. Confirmar que a política de criptografia está ativa
   Após a conclusão da validação, a página Data encryption mostra o status como Active. Você também pode executar o seguinte comando PowerShell para verificar: Get-M365DataEncryptionPolicy -TenantId yourtenantid. A saída deve mostrar o KeyVaultUri e o KeyIdentifier que você forneceu.

Problemas comuns de configuração e como resolvê-los

Validação falha com Acesso Negado

A entidade de serviço de criptografia do Microsoft 365 não tem as permissões de chave necessárias. Volte à política de acesso do cofre de chaves e verifique se a entidade 066f8e97-7f1a-4f34-9b2b-123456789abc tem as permissões Get, Unwrap Key e Wrap Key. Se a entidade estiver faltando, adicione-a novamente e salve a política. Em seguida, repita a validação na central de administração.

Região do Key Vault não corresponde à localização dos dados do locatário

O Microsoft 365 exige que o cofre de chaves esteja na mesma região do Azure que seus dados de locatário. Se seus dados de locatário estiverem no Norte da Europa, o cofre de chaves também deve estar no Norte da Europa. Você não pode usar um cofre de chaves de uma região diferente. Crie um novo cofre de chaves na região correta e repita as etapas de configuração.

Exclusão temporária ou proteção contra purga não habilitada

O BYOK exige que tanto a exclusão temporária quanto a proteção contra purga estejam habilitadas no cofre de chaves. Se você criou o cofre sem essas configurações, não é possível habilitá-las após a criação. Você deve criar um novo cofre de nível Premium com ambas as configurações ativadas. Em seguida, mova sua chave para o novo cofre e atualize o URI do identificador da chave na Central de administração do Microsoft 365.

Copilot BYOK vs Criptografia Padrão Gerenciada pelo Serviço

Item	Bring Your Own Key	Criptografia Gerenciada pelo Serviço
Propriedade da chave	Sua organização controla a chave raiz	A Microsoft gera e gerencia a chave raiz
Local de armazenamento da chave	Seu Azure Key Vault (nível Premium ou HSM gerenciado)	Armazenamento do Microsoft Azure
Rotação de chave	Você gira a chave manualmente no Azure Key Vault	A Microsoft gira as chaves automaticamente
Efeito da revogação da chave	Revogar o acesso interrompe a descriptografia do Copilot	Não pode ser revogado pelo locatário
Escopo de conformidade	Suporta requisitos regulatórios como FedRAMP High, HIPAA	Adequado para conformidade comercial padrão
Custo	Custos adicionais do Azure Key Vault Premium	Sem custo extra

Escolha o BYOK quando sua política de conformidade exigir que você detenha a chave de criptografia e controle o acesso a ela. Use a criptografia gerenciada pelo serviço quando não tiver esse requisito e quiser evitar a sobrecarga operacional do gerenciamento de chaves.

Agora você pode configurar o Azure Key Vault para o Copilot BYOK usando as etapas acima. Após a ativação, monitore os logs do cofre de chaves para operações de desencapsulamento para confirmar que o Copilot está usando sua chave. Para segurança avançada, configure alertas de rotação de chaves no Azure Monitor e teste a revogação removendo temporariamente a política de acesso em um locatário que não seja de produção primeiro.