Locatários governamentais sujeitos ao ITAR precisam verificar se os serviços do Copilot atendem a requisitos rigorosos de manipulação e acesso a dados. O ITAR controla a exportação de dados técnicos relacionados à defesa, e qualquer serviço em nuvem que processe tais dados deve impedir o acesso não autorizado por estrangeiros. A Microsoft oferece ambientes Government Community Cloud High e Department of Defense projetados para dados regulamentados. Este artigo explica como o Copilot opera nesses locatários, quais controles de conformidade estão disponíveis e quais configurações os administradores devem definir.
Principais Conclusões: Conformidade ITAR do Copilot para Locatários Governamentais
- Central de administração do Microsoft 365 > Cobrança > Comprar serviços > GCC High ou DoD: Apenas locatários provisionados nesses ambientes dedicados podem processar legalmente dados controlados pelo ITAR com o Copilot.
- Copilot Studio > Configurações > Segurança de dados > Políticas de prevenção contra perda de dados: Impede que o Copilot gere respostas que incluam conteúdo controlado por exportação fora dos limites aprovados.
- Azure Active Directory > Acesso Condicional > Controles de sessão > Usar restrições impostas pelo aplicativo: Impede que o Copilot armazene em cache ou indexe dados de sites do SharePoint e canais do Teams com escopo ITAR.
O que a Conformidade ITAR Significa para o Copilot em Locatários Governamentais
A conformidade ITAR exige que qualquer sistema que manipule artigos de defesa ou dados técnicos restrinja o acesso apenas a pessoas dos EUA. Para o Copilot, isso significa que a infraestrutura subjacente, o armazenamento de dados e o processamento de IA devem residir em um ambiente fisicamente isolado que a Microsoft certificou para cargas de trabalho ITAR. A Microsoft oferece dois ambientes: Government Community Cloud High e Department of Defense.
O Copilot nesses locatários usa os mesmos modelos de IA que os locatários comerciais, mas o pipeline de dados é segmentado. Nenhum dado de treinamento de locatários GCC High ou DoD flui para o pool geral de modelos de IA da Microsoft. Todos os dados de base, que incluem arquivos do SharePoint, mensagens do Teams e e-mails, permanecem dentro do limite do locatário. O serviço Copilot nesses ambientes também passa por auditorias anuais de terceiros para FedRAMP High e conformidade ITAR.
Os administradores também devem gerenciar o acesso de usuários por meio de grupos do Azure Active Directory que impõem o status de pessoa dos EUA. O Copilot não verifica automaticamente a cidadania. A configuração do locatário deve incluir políticas de acesso condicional que bloqueiem o acesso de endereços IP estrangeiros e exijam autenticação multifator para todas as interações do Copilot.
Residência de Dados e Limites de Processamento
A Microsoft armazena todos os dados do Copilot para locatários GCC High e DoD em datacenters localizados nos Estados Unidos. As chamadas de inferência de IA que geram respostas também ocorrem em hardware baseado nos EUA. Essa restrição geográfica é um requisito contratual para conformidade ITAR. A Microsoft publica um documento de Compromisso de Residência de Dados para cada ambiente governamental que lista as regiões exatas do datacenter e os serviços incluídos.
O processo de base do Copilot, que recupera conteúdo relevante do Microsoft Graph, nunca envia dados para fora do locatário. O índice de recuperação é construído a partir dos próprios dados do SharePoint Online, OneDrive for Business e Exchange Online do locatário. Nenhuma fonte de dados de terceiros é usada, a menos que o administrador as configure explicitamente por meio do Copilot Studio.
Etapas para Configurar o Copilot para Uso em Conformidade com ITAR
- Verifique se seu locatário está no GCC High ou DoD
Abra a central de administração do Microsoft 365 e vá para Configurações > Configurações da organização > Perfil da organização. Procure o campo Tipo de locatário. Deve estar como Government Community Cloud High ou Department of Defense. Se aparecer Comercial ou GCC, seu locatário não está pronto para ITAR. Entre em contato com seu representante de conta da Microsoft para migrar para o ambiente correto. - Habilite o Copilot para seu locatário governamental
Na central de administração do Microsoft 365, vá para Cobrança > Comprar serviços e pesquise por Copilot para Microsoft 365. Selecione a versão GCC High ou DoD. Atribua licenças a usuários que sejam pessoas dos EUA. Não atribua licenças a contratados ou parceiros que não possam comprovar o status de pessoa dos EUA. - Restrinja o acesso do Copilot a dados com rótulos de sensibilidade
Vá para o portal de conformidade do Microsoft Purview > Proteção de informações > Rótulos de sensibilidade. Crie um rótulo chamado ITAR-Controlled e aplique-o a bibliotecas de documentos do SharePoint e canais do Teams que contenham dados controlados por exportação. Configure o rótulo para impedir que o Copilot use o conteúdo rotulado como dados de base. Isso é feito definindo o controle de uso de dados do Copilot como Não permitir. - Configure políticas de prevenção contra perda de dados para o Copilot
No portal de conformidade do Microsoft Purview, vá para Prevenção contra perda de dados > Políticas > Criar política. Selecione o modelo para Dados controlados por exportação. Adicione a carga de trabalho do Copilot como um local. Defina a ação como Bloquear usuários de compartilhar ou copiar o conteúdo. Isso impede que o Copilot gere respostas que contenham texto protegido por ITAR. - Defina políticas de acesso condicional para o Copilot
No Azure Active Directory, vá para Segurança > Acesso Condicional > Criar nova política. Nomeie-a como Copilot ITAR Access. Em Condições, selecione Locais e bloqueie todos os países, exceto Estados Unidos. Em Concessão, exija autenticação multifator e exija que o dispositivo seja marcado como em conformidade. Em Sessão, selecione Usar restrições impostas pelo aplicativo. Atribua a política ao aplicativo Copilot na lista de Aplicativos em nuvem. - Audite as interações do Copilot para conformidade
No portal de conformidade do Microsoft Purview, vá para Auditoria > Pesquisa de log de auditoria. Habilite o registro de auditoria para interações do Copilot. Pesquise pela carga de trabalho Copilot e revise os campos Usuário, Endereço IP e Dados. Exporte os logs mensalmente e armazene-os em uma biblioteca do SharePoint segura rotulada como ITAR-Controlled.
Se o Copilot Ainda Expor Dados ITAR ou Falhar ao Responder
O Copilot retorna dados de um site rotulado como ITAR apesar do rótulo de sensibilidade
O rótulo de sensibilidade deve ser publicado para todos os usuários no locatário. Se o rótulo não for publicado, o Copilot o ignora. Vá para o portal de conformidade do Microsoft Purview > Proteção de informações > Rótulos de sensibilidade > Políticas de rótulo. Confirme que a política inclui todos os usuários que têm licenças do Copilot. Verifique também se o rótulo é aplicado no nível do documento, não apenas no nível do site. O Copilot lê o rótulo em cada arquivo, não no contêiner do site.
O Copilot não gera nenhuma resposta para conteúdo com escopo ITAR
Isso geralmente significa que a política de prevenção contra perda de dados está bloqueando toda a saída do Copilot para esse conteúdo. Verifique a política de DLP no Microsoft Purview > Prevenção contra perda de dados > Políticas. Procure a política que tem como alvo dados controlados por exportação. Em Ações, verifique se a ação de bloqueio está definida como Bloquear apenas, não Bloquear com substituição. Se a opção de substituição estiver habilitada, os usuários podem contornar o bloqueio. Altere para Bloquear e notificar.
Endereços IP estrangeiros aparecem nos logs de auditoria do Copilot
A política de acesso condicional pode não estar cobrindo o aplicativo Copilot corretamente. No Azure Active Directory > Segurança > Acesso Condicional, selecione a política Copilot ITAR Access. Em Aplicativos em nuvem ou ações, confirme que o aplicativo Copilot está listado. O ID do aplicativo para o Copilot em locatários governamentais é 6c3a8c3c-6f3c-4c3c-9c3c-3c3c3c3c3c3c. Se o aplicativo estiver faltando, adicione-o e salve a política. Certifique-se também de que a política esteja definida como Ativada.
| Item | Locatário GCC High | Locatário DoD |
|---|---|---|
| Descrição | Projetado para agências governamentais estaduais e locais com requisitos CJIS e ITAR | Projetado para agências do Departamento de Defesa com mandatos rigorosos de ITAR e controle de exportação |
| Localizações do datacenter | Apenas nos EUA continentais | Apenas nos EUA continentais |
| Disponibilidade do Copilot | Sim, via Copilot para Microsoft 365 GCC High | Sim, via Copilot para Microsoft 365 DoD |
| Auditorias de terceiros | FedRAMP High, ITAR, CJIS | FedRAMP High, ITAR, DFARS |
| Exigência de verificação de usuário | Verificação de antecedentes de pessoa dos EUA | Pessoa dos EUA e autorização de segurança |
| Retenção de dados do Copilot | 30 dias para logs de auditoria, dados permanecem no locatário | 30 dias para logs de auditoria, dados permanecem no locatário |
Os administradores agora devem ter um caminho claro para configurar o Copilot para conformidade ITAR dentro de locatários GCC High ou DoD. As ações principais são verificar o tipo de locatário, aplicar rótulos de sensibilidade ao conteúdo com escopo ITAR e impor políticas de acesso condicional que bloqueiem o acesso estrangeiro. Como próximo passo, execute uma consulta de teste em um documento rotulado como ITAR-Controlled e confirme se o Copilot recusa a solicitação ou retorna apenas metadados não controlados. Para conformidade contínua, agende revisões mensais dos logs de auditoria e atualize as políticas de prevenção contra perda de dados sempre que novos sites do SharePoint ou canais do Teams forem adicionados ao escopo ITAR.