Você precisa bloquear um conector do Copilot para um usuário ou grupo específico sem afetar o restante da organização. Os conectores do Copilot dão ao Microsoft 365 Copilot acesso a fontes de dados externas como ServiceNow, Jira ou Salesforce. Quando um conector é habilitado globalmente, todos os usuários licenciados podem consultar esses dados. Este artigo explica como usar políticas de grupo do Microsoft Entra ID e acesso condicional para desabilitar um único conector para usuários ou grupos selecionados.
Principais Conclusões: Desabilitar um Conector do Copilot por Usuário ou Grupo
- Central de administração do Microsoft 365 > Copilot > Conectores: Veja todos os conectores configurados e seu escopo de atribuição atual.
- Microsoft Entra ID > Grupos > Regra de grupo dinâmico: Crie um grupo que exclua o usuário ou grupo alvo do acesso ao conector.
- Política de Acesso Condicional > Conceder > Bloquear acesso: Bloqueie o aplicativo do conector do Copilot para um grupo específico do Microsoft Entra ID.
Por que você precisa de controle por usuário no conector
Os conectores do Copilot são gateways de dados entre o Microsoft 365 e serviços de terceiros. Quando você adiciona um conector na central de administração do Microsoft 365, ele é habilitado para todos os usuários com licenças do Copilot por padrão. O conector em si não possui uma opção interna para desabilitá-lo para usuários individuais. Isso cria um problema se uma equipe específica não deve ver dados de um sistema conectado. Por exemplo, a equipe financeira pode usar um conector do ServiceNow, mas a equipe de marketing não deve consultar registros do ServiceNow. A única maneira de obter controle por usuário ou por grupo é através de associação a grupos do Microsoft Entra ID e políticas de acesso condicional.
Passos para Desabilitar um Conector do Copilot para um Usuário ou Grupo
Siga estes passos para bloquear um conector para um usuário ou grupo específico. Você precisa de permissões de Administrador Global ou Administrador de Acesso Condicional no Microsoft Entra ID.
- Identifique o registro do aplicativo do conector
Abra a central de administração do Microsoft Entra em entra.microsoft.com. Vá para Identidade > Aplicativos > Aplicativos empresariais. Na caixa de pesquisa, digite o nome do conector, por exemplo “ServiceNow” ou “Jira”. Cada conector do Copilot é registrado como um aplicativo empresarial no seu locatário. Anote o nome de exibição exato. - Crie um grupo do Microsoft Entra ID para exclusão
Vá para Identidade > Grupos > Todos os grupos > Novo grupo. Defina o tipo de grupo como Segurança. Dê um nome como “Copilot-ServiceNow-Bloqueado”. Adicione o usuário ou grupo que você deseja bloquear como membros. Clique em Criar. - Crie uma política de acesso condicional
Vá para Identidade > Proteção > Acesso Condicional > Políticas > Nova política. Dê um nome à política como “Bloquear Conector ServiceNow para Marketing”. Em Atribuições > Usuários, selecione Usuários específicos incluídos e escolha o grupo criado no passo 2. Em Recursos de destino > Aplicativos na nuvem, selecione Selecionar aplicativos, procure pelo nome do aplicativo do conector e marque a caixa ao lado. Em Conceder, selecione Bloquear acesso. Defina Habilitar política como Ativado. Clique em Criar. - Teste a política
Faça login como um usuário que é membro do grupo bloqueado. Abra o Copilot no Microsoft Teams ou em copilot.microsoft.com. Faça uma pergunta que exija dados do conector bloqueado. O Copilot deve retornar um erro ou uma mensagem informando que a fonte de dados não está disponível. Usuários que não estão no grupo bloqueado ainda devem ver os dados do conector.
Se o Conector Ainda Aparecer para Usuários Bloqueados
O Copilot armazena em cache as permissões do conector por até 24 horas
As políticas de acesso condicional se aplicam a novas solicitações de autenticação. Se o usuário tinha uma sessão ativa do Copilot antes da política ser habilitada, ele ainda pode ver dados do conector até que o token da sessão expire. Aguarde 24 horas ou peça ao usuário para sair e entrar novamente para forçar uma nova autenticação.
O nome do aplicativo do conector não está visível em aplicativos empresariais
Alguns conectores mais antigos não são registrados como aplicativos empresariais separados. Nesse caso, você não pode usar acesso condicional. A única opção é remover o conector da central de administração do Microsoft 365 e recriá-lo com um escopo diferente. Alternativamente, entre em contato com o Suporte da Microsoft para solicitar um novo registro do conector para o seu locatário.
Conflitos de política com regras de acesso condicional existentes
Se o seu locatário já possui políticas de acesso condicional que concedem acesso a todos os aplicativos do Copilot, a política de bloqueio pode ser substituída. Verifique a guia Resultados na política de acesso condicional para ver se outra política se aplica. Reordene as políticas para que a política de bloqueio tenha prioridade mais alta.
| Item | Bloqueio por Acesso Condicional | Licenciamento Baseado em Grupo |
|---|---|---|
| Descrição | Bloqueia a autenticação no aplicativo do conector para usuários selecionados | Remove a licença do Copilot de usuários selecionados |
| Efeito em outros recursos | Apenas o conector é bloqueado; o Copilot continua funcionando | Todos os recursos do Copilot são removidos para o usuário |
| Tempo de configuração | 15 minutos | 10 minutos |
| Granularidade | Por conector | Por plano de serviço |
Agora você pode desabilitar um conector específico do Copilot para um usuário ou grupo sem afetar o restante da organização. Comece identificando o aplicativo do conector em aplicativos empresariais, depois crie um grupo de segurança e aplique uma política de bloqueio de acesso condicional. Teste a política com um usuário bloqueado para confirmar que os dados do conector estão ocultos. Se precisar bloquear vários conectores, repita o processo para cada registro de aplicativo.