Ao usar o Copilot em aplicativos Microsoft 365 em uma rede corporativa, você pode ver a mensagem de erro “Self-Signed Certificate in Chain”. Esse erro impede o Copilot de gerar respostas ou conectar-se ao Microsoft Graph. A causa raiz é um proxy corporativo ou dispositivo de segurança de rede que intercepta o tráfego HTTPS e substitui o certificado da Microsoft pelo seu próprio certificado autoassinado. Este artigo explica por que esse erro ocorre e fornece as etapas exatas para resolvê-lo, atualizando os repositórios de certificados de confiança no Windows 10 ou Windows 11.
Principais Conclusões: Corrigir o Erro de Certificado Autoassinado do Copilot
- Gerenciador de Certificados do Windows (certlm.msc): Importe o certificado raiz da CA corporativa no repositório Autoridades de Certificação Raiz Confiáveis para resolver o erro de cadeia.
- Política de Grupo > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Chave Pública: Use este caminho para implantar o certificado confiável automaticamente em todos os computadores ingressados no domínio.
- Chave do Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings: Defina a lista de bypass do proxy para excluir os endpoints do Microsoft Graph (graph.microsoft.com e todos os subdomínios) se a implantação do certificado não for possível.
Por que o Copilot Mostra o Erro de Certificado Autoassinado em Redes Corporativas
Proxies corporativos e firewalls de próxima geração frequentemente realizam inspeção SSL. Quando seu computador envia uma solicitação para graph.microsoft.com ou copilot.microsoft.com, o proxy intercepta a conexão, descriptografa, inspeciona o tráfego e, em seguida, criptografa novamente usando o certificado raiz da organização. Este certificado é autoassinado pelo departamento de TI corporativo ou pelo fornecedor do proxy. O Windows não confia neste certificado por padrão. O Copilot, que é executado dentro de aplicativos Microsoft 365 como Word, Excel e Teams, usa o repositório de certificados do Windows para validar a identidade do servidor. Quando a cadeia de certificados contém uma raiz autoassinada não confiável, a conexão falha e o Copilot retorna a mensagem de erro.
Este comportamento é proposital por questões de segurança. O aplicativo cliente deve verificar se o servidor ao qual se conecta é o servidor real da Microsoft. Um certificado autoassinado inserido por um proxy quebra essa cadeia de confiança. A correção requer adicionar o certificado raiz corporativo ao repositório Autoridades de Certificação Raiz Confiáveis em cada dispositivo Windows que executa o Copilot.
Como a Inspeção SSL Afeta as Conexões do Copilot
A inspeção SSL funciona fazendo com que o proxy gere um novo certificado para o domínio de destino em tempo real. Este certificado é assinado pela CA raiz do próprio proxy. O proxy apresenta este certificado ao cliente. Se o cliente não confiar na CA raiz do proxy, a validação da cadeia de certificados falha. O Copilot chama vários endpoints da Microsoft, incluindo graph.microsoft.com, api.copilot.microsoft.com e login.microsoftonline.com. Qualquer um deles pode acionar o erro se o proxy os interceptar.
Etapas para Instalar o Certificado Raiz Corporativo no Windows
A correção mais confiável é instalar o certificado raiz da CA corporativa no repositório Autoridades de Certificação Raiz Confiáveis da máquina local. Você precisa do arquivo de certificado, normalmente no formato .cer ou .crt, fornecido pelo seu departamento de TI. Siga estas etapas em um único computador para teste.
- Abra o Gerenciador de Certificados para a máquina local
Pressione Tecla Windows + R, digite certlm.msc e pressione Enter. Confirme o prompt de Controle de Conta de Usuário se ele aparecer. - Navegue até o repositório Autoridades de Certificação Raiz Confiáveis
No painel esquerdo, expanda Autoridades de Certificação Raiz Confiáveis e selecione a subpasta Certificados. - Inicie o Assistente para Importar Certificados
Clique com o botão direito na pasta Certificados e escolha Todas as Tarefas > Importar. O Assistente para Importar Certificados é aberto. - Selecione o arquivo de certificado
Clique em Avançar, depois em Procurar. Localize o arquivo .cer ou .crt fornecido pela sua equipe de TI. Selecione-o e clique em Abrir. Clique em Avançar. - Coloque o certificado no repositório correto
Selecione Colocar todos os certificados no seguinte repositório. Clique em Procurar, escolha Autoridades de Certificação Raiz Confiáveis e clique em OK. Clique em Avançar. - Conclua a importação
Clique em Concluir. Uma caixa de diálogo confirma que a importação foi bem-sucedida. Feche o Gerenciador de Certificados. - Reinicie todos os aplicativos Microsoft 365
Feche Word, Excel, Teams e quaisquer outros aplicativos que executam o Copilot. Reabra o aplicativo e teste o Copilot digitando um prompt.
Implantar o Certificado em Vários Computadores Usando Política de Grupo
Para ambientes corporativos com muitos computadores ingressados no domínio, use a Política de Grupo para distribuir o certificado confiável. Este método garante que todos os computadores da organização confiem no certificado do proxy corporativo sem etapas manuais.
- Abra o Console de Gerenciamento de Política de Grupo
Em um controlador de domínio, abra Gerenciamento de Política de Grupo. Crie um novo Objeto de Política de Grupo ou edite um existente que se aplique aos computadores de destino. - Navegue até as configurações de política de certificado
Vá para Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Chave Pública. - Clique com o botão direito em Autoridades de Certificação Raiz Confiáveis
Selecione Importar. O Assistente para Importar Certificados é aberto. - Importe o certificado raiz corporativo
Navegue até o arquivo de certificado, selecione-o e conclua o assistente. O certificado aparece na lista de políticas. - Vincule o GPO à Unidade Organizacional correta
Clique com o botão direito na UO que contém os computadores de destino e escolha Vincular um GPO Existente. Selecione o GPO que você configurou. - Force uma atualização da Política de Grupo nos computadores cliente
Em um computador de teste, abra o Prompt de Comando como administrador e execute gpupdate /force. Reinicie o computador para aplicar as alterações de certificado. - Verifique se o certificado está instalado
Abra certlm.msc no computador cliente e confirme que o certificado está no repositório Autoridades de Certificação Raiz Confiáveis. Teste o Copilot em um aplicativo Microsoft 365.
Se o Copilot Ainda Tiver Problemas Após a Correção Principal
Copilot Retorna Saída Genérica em Vez de Dados Específicos do Locatário
Se o erro de certificado desaparecer, mas o Copilot retornar respostas genéricas sem acessar seus dados do Microsoft 365, o proxy ainda pode estar bloqueando endpoints específicos. Adicione estas URLs à lista de bypass do proxy: graph.microsoft.com e todos os subdomínios, api.copilot.microsoft.com, login.microsoftonline.com e office.com. Configure o bypass nas Opções da Internet ou por meio de uma chave do registro.
Erro de Certificado Aparece Apenas em Certos Aplicativos
Se o Copilot funciona no Word, mas falha no Teams, o problema é provavelmente que o Teams usa uma pilha de rede ou método de validação de certificado diferente. Certifique-se de que o certificado esteja instalado no repositório da máquina local, não apenas no repositório do usuário. O Teams é executado como o usuário logado, mas lê o repositório da máquina para validação de certificado.
Copilot Não Consegue Conectar Após a Importação do Certificado
Se o erro persistir após a importação do certificado, o proxy pode estar usando uma CA intermediária que também é autoassinada. Importe os certificados raiz e intermediário da CA nos repositórios Autoridades de Certificação Raiz Confiáveis e Autoridades de Certificação Intermediárias, respectivamente. Entre em contato com sua equipe de TI para confirmar a cadeia completa de certificados.
Copilot Pro vs Copilot para Microsoft 365: Diferenças no Comportamento de Conexão
| Item | Copilot Pro | Copilot para Microsoft 365 |
|---|---|---|
| Autenticação | Conta Microsoft ou conta corporativa/de estudante | Conta corporativa/de estudante com licença do Microsoft 365 |
| Endpoints usados | copilot.microsoft.com, api.copilot.microsoft.com | graph.microsoft.com, api.copilot.microsoft.com, login.microsoftonline.com |
| Impacto da inspeção SSL | Afeta todos os endpoints | Afeta todos os endpoints mais chamadas de dados do Microsoft Graph |
| Exigência de confiança do certificado | Certificado raiz confiável para todos os endpoints | Certificado raiz confiável mais CA intermediária para o Graph |
Após instalar o certificado raiz corporativo e configurar os bypasses do proxy, o Copilot deve conectar sem erros. Teste a correção abrindo um aplicativo Microsoft 365, iniciando o painel do Copilot e fazendo uma pergunta sobre os dados do seu locatário. Se o erro retornar, verifique se o certificado está no repositório correto e se a atualização da Política de Grupo foi aplicada. Para problemas persistentes, trabalhe com sua equipe de rede para excluir os endpoints do Microsoft 365 da inspeção SSL completamente. Essa abordagem elimina o conflito de certificados e garante que o Copilot funcione de forma confiável em redes corporativas.