O Microsoft Copilot com Criptografia de Chave Dupla do Information Protection é uma configuração de segurança que permite controlar o acesso a conteúdo criptografado nas respostas do Copilot. Quando sua organização usa a Criptografia de Chave Dupla, os recursos padrão do Copilot não podem descriptografar ou ler arquivos protegidos sem uma segunda chave gerenciada por você. Este artigo explica como a Criptografia de Chave Dupla afeta o Copilot, quais pré-requisitos são necessários e como verificar se o Copilot respeita suas políticas de criptografia.
Muitas organizações armazenam dados confidenciais no Microsoft 365 e desejam usar o Copilot sem expor esses dados a usuários não autorizados. A Criptografia de Chave Dupla oferece uma solução exigindo duas chaves separadas para descriptografar o conteúdo: uma chave gerenciada pela Microsoft e outra gerenciada pela sua organização. O Copilot só pode gerar respostas a partir de conteúdo que passe por ambas as verificações de chave.
Este artigo aborda a arquitetura técnica da Criptografia de Chave Dupla, a configuração passo a passo para o Copilot e problemas comuns que você pode encontrar ao implantar essa camada de segurança.
Principais Conclusões: Copilot e Criptografia de Chave Dupla
- Serviço de Criptografia de Chave Dupla no Microsoft Purview: Exige uma segunda chave de criptografia armazenada fora do Microsoft 365 para descriptografar conteúdo protegido para o Copilot.
- Centro de administração do Microsoft 365 > Conformidade > Information Protection > Criptografia de Chave Dupla: Local central para habilitar e configurar o serviço de Criptografia de Chave Dupla para seu locatário.
- Comportamento de resposta do Copilot: O Copilot não pode gerar respostas de arquivos criptografados com Criptografia de Chave Dupla a menos que o usuário tenha acesso a ambas as chaves.
Como a Criptografia de Chave Dupla Funciona com o Copilot
A Criptografia de Chave Dupla é um recurso do Microsoft Purview Information Protection. Ela criptografa dados confidenciais usando duas chaves separadas. Uma chave é armazenada no Microsoft Azure e gerenciada pela Microsoft. A segunda chave é armazenada em um local que você controla, como um módulo de segurança de hardware local ou um serviço de gerenciamento de chaves de terceiros. Sem ambas as chaves, nenhum sistema, incluindo o Copilot, pode descriptografar o conteúdo.
Quando o Copilot processa uma consulta do usuário, ele pesquisa nas fontes de dados do Microsoft Graph, como SharePoint, OneDrive e Exchange Online. Se o Copilot encontrar um arquivo protegido com Criptografia de Chave Dupla, ele tenta descriptografar o arquivo usando a chave gerenciada pela Microsoft. Se essa chave estiver disponível, o Copilot solicita a segunda chave do armazenamento de chaves gerenciado pela sua organização. Se o armazenamento de chaves estiver inacessível ou o usuário não tiver permissão, o Copilot não pode descriptografar o arquivo e o ignora na resposta.
Essa arquitetura garante que, mesmo que um invasor obtenha acesso ao Microsoft 365, ele não possa ler o conteúdo criptografado sem comprometer também sua infraestrutura de chaves separada. Para os usuários do Copilot, isso significa que documentos confidenciais permanecem confidenciais mesmo quando o Copilot gera resumos ou respostas.
Pré-requisitos para Criptografia de Chave Dupla com o Copilot
Antes de configurar a Criptografia de Chave Dupla para o Copilot, verifique se os seguintes requisitos são atendidos:
- Licença Microsoft 365 E5 ou Microsoft 365 E5 Conformidade: A Criptografia de Chave Dupla requer uma licença E5 ou um complemento equivalente.
- Microsoft Purview Information Protection configurado: Rótulos de confidencialidade devem ser criados e publicados para os usuários.
- Licença do Copilot para Microsoft 365: Cada usuário que precisa de acesso ao Copilot deve ter uma licença do Copilot para Microsoft 365.
- Infraestrutura de gerenciamento de chaves: Você deve ter um armazenamento de chaves acessível via API REST que suporte o fluxo de credenciais de cliente OAuth 2.0. O Azure Key Vault é uma escolha comum, mas você também pode usar um HSM local com um gateway compatível.
Etapas para Habilitar a Criptografia de Chave Dupla para o Copilot
Siga estas etapas para habilitar a Criptografia de Chave Dupla e garantir que o Copilot respeite a política de criptografia.
- Criar uma chave de Criptografia de Chave Dupla no Microsoft Purview
Abra o portal de conformidade do Microsoft Purview. Navegue até Information Protection > Criptografia de Chave Dupla. Clique em Criar e siga o assistente para definir uma nova chave. Forneça um nome de exibição, descrição e a URL de endpoint para seu armazenamento de chaves. O endpoint deve ser uma URL HTTPS que responda à solicitação de token OAuth 2.0. Teste a conexão clicando em Validar. - Configurar rótulos de confidencialidade para usar a Criptografia de Chave Dupla
Vá para Information Protection > Políticas de rótulo. Selecione um rótulo existente ou crie um novo. Em Criptografia, escolha Criptografia de Chave Dupla. Selecione a chave que você criou na etapa anterior. Publique o rótulo para os grupos ou usuários apropriados. Somente arquivos rotulados com essa configuração exigirão ambas as chaves. - Atribuir a função de Criptografia de Chave Dupla à entidade de serviço do Copilot
No centro de administração do Microsoft Entra, vá para Aplicativos empresariais > Copilot para Microsoft 365. Anote a ID do objeto da entidade de serviço. Retorne ao seu armazenamento de chaves e conceda a permissão descriptografar a essa entidade de serviço. Esta etapa garante que o Copilot possa solicitar a segunda chave em nome do usuário. - Testar o Copilot com um arquivo protegido por Criptografia de Chave Dupla
Carregue um documento no SharePoint Online. Aplique um rótulo de confidencialidade que use Criptografia de Chave Dupla. Abra o Copilot no Microsoft Teams ou Word. Faça uma pergunta sobre o conteúdo desse arquivo. O Copilot deve responder com uma mensagem de que não pode acessar o arquivo. Se o Copilot retornar conteúdo do arquivo, a configuração de criptografia não foi aplicada corretamente.
Problemas Comuns ao Usar Criptografia de Chave Dupla com o Copilot
Copilot Retorna Conteúdo de Arquivos Criptografados
Se o Copilot gerar respostas de arquivos protegidos com Criptografia de Chave Dupla, o rótulo de criptografia pode não ter sido aplicado ao arquivo, ou o rótulo pode não estar configurado para Criptografia de Chave Dupla. Verifique as propriedades do rótulo no Microsoft Purview. Confirme também se o arquivo exibe o ícone de Criptografia de Chave Dupla no SharePoint. Se o ícone estiver ausente, remova e reaplique o rótulo.
Copilot Falha ao Responder a Qualquer Consulta Após Habilitar a Criptografia de Chave Dupla
Esse problema ocorre quando a entidade de serviço do Copilot não tem a permissão de descriptografia em seu armazenamento de chaves. Verifique as permissões em seu sistema de gerenciamento de chaves. Certifique-se de que a entidade de serviço do Copilot para Microsoft 365 tenha a permissão descriptografar ou desembrulhar chave. Se o armazenamento de chaves estiver inacessível, o Copilot não pode processar nenhuma solicitação que toque em conteúdo criptografado.
Usuários Não Conseguem Aplicar Rótulos de Criptografia de Chave Dupla
Os usuários devem ter o cliente de rotulagem unificada do Azure Information Protection instalado ou usar a rotulagem interna nos aplicativos do Microsoft 365. Verifique se a política de rótulo foi publicada para o grupo de usuários. Confirme também se o usuário tem o conector Rights Management habilitado no Microsoft Entra ID.
Copilot com Criptografia de Chave Dupla vs Copilot com Rótulos de Confidencialidade Padrão
| Item | Criptografia de Chave Dupla | Rótulos de Confidencialidade Padrão |
|---|---|---|
| Gerenciamento de chaves | Duas chaves: gerenciada pela Microsoft e gerenciada pelo cliente | Uma chave: apenas gerenciada pela Microsoft |
| Controle de acesso a dados | Cliente controla a segunda chave, impedindo a Microsoft de descriptografar o conteúdo | Microsoft controla totalmente a descriptografia |
| Comportamento do Copilot | Copilot não pode descriptografar arquivos sem a segunda chave do armazenamento do cliente | Copilot pode descriptografar arquivos se o usuário tiver permissão do rótulo |
| Licença necessária | Microsoft 365 E5 ou E5 Conformidade | Microsoft 365 E3 ou E5 |
| Dependência de armazenamento de chaves | Cliente deve manter um armazenamento de chaves acessível via HTTPS | Nenhum armazenamento de chaves externo necessário |
Esta comparação mostra que a Criptografia de Chave Dupla oferece segurança mais forte para dados altamente regulamentados. Os rótulos de confidencialidade padrão são mais fáceis de implantar, mas não impedem a Microsoft de descriptografar o conteúdo quando exigido por lei ou política.
Após configurar a Criptografia de Chave Dupla, você pode verificar se o Copilot respeita suas políticas de criptografia testando com um arquivo protegido. Se o Copilot não conseguir acessar o arquivo, a camada de segurança está funcionando conforme o esperado. Para gerenciamento contínuo, monitore o log de auditoria do Microsoft Purview em busca de falhas de descriptografia. Considere implantar a Criptografia de Chave Dupla apenas nos documentos mais confidenciais para evitar sobrecarga de desempenho devido à latência do armazenamento de chaves.