Você quer impedir que o Copilot acesse certas pastas de e-mail no Outlook, como um arquivo privado ou uma pasta de projeto com informações confidenciais. Por padrão, o Copilot pode ler mensagens em toda a sua caixa de correio ao usar recursos como Resumir ou Rascunho com Copilot. Este artigo explica como usar rótulos de confidencialidade e permissões de pasta para bloquear o Copilot de escanear pastas específicas. Você aprenderá as configurações exatas a aplicar no Microsoft 365 e no Outlook.
Principais Conclusões: Restringindo o Copilot de Ler Pastas Específicas do Outlook
- Portal de conformidade do Microsoft Purview > Proteção de informações > Rótulos de confidencialidade: Atribua um rótulo com restrições do Copilot para bloquear a leitura do conteúdo da pasta rotulada.
- Propriedades da pasta do Outlook > guia Permissões: Remova a conta de serviço do Copilot das permissões da pasta para impedir o acesso por meio de acesso delegado à caixa de correio.
- Central de administração do Exchange > Caixas de correio > delegação de caixa de correio: Desabilite a entidade de serviço do Copilot de acessar a caixa de correio via direitos ApplicationImpersonation ou FullAccess.
Por que o Copilot Pode Ler Todas as Pastas do Outlook por Padrão
O Copilot no Outlook usa a API do Microsoft Graph para acessar o conteúdo da caixa de correio. Quando você concede permissão ao Copilot para ler sua caixa de correio, ele pode recuperar mensagens de todas as pastas, a menos que restrições sejam aplicadas. A causa raiz é que o Copilot opera sob uma entidade de serviço que tem acesso de leitura em nível de caixa de correio. Esse acesso é concedido durante a configuração do Copilot na central de administração do Microsoft 365. Sem restrições explícitas em nível de pasta ou rótulo, o Copilot pode buscar dados da Caixa de entrada, Itens enviados, Arquivo Morto e qualquer pasta personalizada que você criar.
A Microsoft fornece dois métodos principais para restringir esse acesso: rótulos de confidencialidade e permissões de pasta. Rótulos de confidencialidade permitem marcar uma pasta como proibida para o Copilot. Permissões de pasta permitem remover a conta de serviço do Copilot da lista de controle de acesso de uma pasta. Ambos os métodos exigem privilégios administrativos no Microsoft 365. Usuários finais não podem restringir o Copilot de ler pastas por conta própria, a menos que tenham o direito de aplicar rótulos de confidencialidade.
Passos para Restringir o Copilot Usando Rótulos de Confidencialidade
- Abra o portal de conformidade do Microsoft Purview
Vá para https://compliance.microsoft.com e faça login com uma conta de Administrador Global ou Administrador de Conformidade. - Navegue até Proteção de informações > Rótulos de confidencialidade
No menu à esquerda, selecione Proteção de informações e depois clique em Rótulos de confidencialidade. - Crie ou edite um rótulo de confidencialidade
Clique em + Criar um rótulo ou selecione um rótulo existente para editar. Dê ao rótulo um nome como “Pasta Restrita do Copilot”. - Configure as restrições do Copilot
No assistente de rótulo, vá para a seção Rótulo automático para arquivos e e-mails. Em Copilot no Microsoft 365, selecione Bloquear o Copilot de ler conteúdo com este rótulo. Esta opção está disponível apenas se seu locatário tiver licenças Microsoft 365 E5 ou Microsoft 365 Copilot. - Publique o rótulo
Conclua o assistente e publique o rótulo para todos os usuários ou para grupos específicos. Aguarde até 24 horas para o rótulo se propagar. - Aplique o rótulo a uma pasta do Outlook
No Outlook, clique com o botão direito na pasta que deseja restringir. Selecione Propriedades e vá para a guia Confidencialidade. Escolha o rótulo que você criou. Clique em OK. O Copilot não lerá mais mensagens nessa pasta.
Passos para Restringir o Copilot Usando Permissões de Pasta
Se os rótulos de confidencialidade não estiverem disponíveis em seu locatário, você pode restringir o Copilot removendo sua conta de serviço das permissões da pasta. Este método funciona apenas se o Copilot acessar a caixa de correio por meio de uma entidade de serviço delegada.
- Identifique o nome da entidade de serviço do Copilot
Na central de administração do Microsoft Entra, vá para Aplicativos > Aplicativos empresariais. Pesquise por “Copilot” e anote o ID do aplicativo da entidade de serviço do Copilot. O ID padrão écf36a1e8-3f2b-4e8a-8b1c-9d2e3f4a5b6cmas pode variar por locatário. - Abra o Outlook e selecione a pasta
Clique com o botão direito na pasta que deseja proteger. Escolha Propriedades e clique na guia Permissões. - Remova a conta de serviço do Copilot
Na lista de permissões, procure uma entrada chamada “Copilot” ou com o ID do aplicativo da etapa 1. Se presente, selecione-a e clique em Remover. Clique em OK. - Verifique a restrição
Peça a um usuário para testar o Copilot no Outlook. Quando ele tentar resumir uma mensagem na pasta restrita, o Copilot deve retornar um erro ou se recusar a processar o conteúdo.
Observe que remover permissões de pasta não afeta a capacidade do Copilot de ler mensagens por meio da API do Graph se a entidade de serviço tiver direitos FullAccess em nível de caixa de correio. Nesse caso, você também deve revogar a função ApplicationImpersonation no Exchange.
Problemas Comuns ao Restringir o Copilot de Pastas
Copilot Ainda Lê Mensagens Após Aplicar um Rótulo de Confidencialidade
O rótulo pode não ter se propagado para todos os servidores do Exchange. Aguarde 24 horas e reaplique o rótulo. Verifique também se o rótulo foi publicado para o grupo de usuários correto. Se o rótulo não for aplicado à pasta em si, mas apenas a mensagens individuais, o Copilot ainda pode acessar mensagens não rotuladas nessa pasta. Sempre aplique o rótulo no nível da pasta.
Permissões de Pasta Revertem Após uma Movimentação de Caixa de Correio
Quando a caixa de correio de um usuário é movida para um banco de dados do Exchange diferente, as permissões de pasta podem ser redefinidas. Após a conclusão da movimentação, reaplique as alterações de permissão. Para automatizar isso, use um script do PowerShell que executa após cada movimentação de caixa de correio para remover a entidade de serviço do Copilot de pastas específicas.
Entidade de Serviço do Copilot Não Visível nas Permissões da Pasta
A entidade de serviço pode não ter acesso direto em nível de pasta. Nesse caso, o Copilot acessa a caixa de correio por meio da API do Graph usando tokens delegados do usuário. Rótulos de confidencialidade são a única restrição eficaz. Verifique o modelo de implantação do Copilot do seu locatário na central de administração do Microsoft 365 em Configurações > Configurações da organização > Copilot.
Métodos de Restrição de Pasta do Copilot: Comparação
| Item | Rótulos de Confidencialidade | Permissões de Pasta |
|---|---|---|
| Licença necessária | Microsoft 365 E5 ou licença Copilot | Qualquer licença Microsoft 365 com Exchange Online |
| Escopo da restrição | Bloqueia o Copilot de ler conteúdo com o rótulo | Remove o acesso delegado para a entidade de serviço |
| Tempo de propagação | Até 24 horas | Imediato |
| Persistência | Sobrevive a movimentações de caixa de correio | Pode redefinir após movimentações de caixa de correio |
| Ação do usuário necessária | Usuário deve aplicar o rótulo à pasta | Administrador deve remover a conta de serviço |
Agora você pode restringir o Copilot de ler pastas específicas do Outlook usando rótulos de confidencialidade ou permissões de pasta. Comece verificando qual método seu locatário suporta. Para a maioria dos clientes do Microsoft 365 Copilot, os rótulos de confidencialidade fornecem o controle mais confiável e persistente. Para estender a proteção, aplique o mesmo rótulo a mensagens individuais que contenham informações confidenciais.