Gerenciar o Copilot em vários locatários do Microsoft 365 apresenta desafios únicos de residência de dados, licenciamento e consistência de políticas. Cada locatário opera como um limite de segurança separado, e o Copilot respeita esses limites ao acessar dados do Microsoft Graph para respostas fundamentadas. Este artigo explica como configurar as configurações do Copilot centralmente, aplicar políticas consistentes de fontes de dados e lidar com a colaboração entre locatários sem expor dados de um locatário a outro. Você aprenderá as etapas de administração para cada locatário e as limitações das configurações multilocatário do Copilot.
Principais Conclusões: Configuração Multilocatário do Copilot
- Centro de administração do Microsoft 365 > Copilot > Fontes de dados: Controla quais dados do Microsoft Graph o Copilot pode ler para respostas fundamentadas por locatário.
- Configurações de acesso entre locatários no Azure AD > Identidades Externas: Permite ou bloqueia o Copilot de exibir resultados de documentos de locatários externos.
- Script do PowerShell para implantação em massa de políticas: Aplica configurações idênticas do Copilot em todos os locatários usando cmdlets do Microsoft Graph PowerShell.
Entendendo os Limites de Dados do Copilot em Implantações Multilocatário
O Copilot no Microsoft 365 usa o Microsoft Graph para recuperar dados apenas do locatário inicial do usuário. Quando um usuário faz login no Copilot, o serviço autentica contra aquele locatário específico e não pode consultar dados de outro locatário nativamente. Esse comportamento é proposital para evitar vazamento acidental de dados entre organizações. Cada administrador de locatário deve configurar as configurações do Copilot de forma independente, pois não há um painel de gerenciamento entre locatários no centro de administração do Microsoft 365 atualmente.
Se sua organização opera vários locatários para subsidiárias, regiões ou ambientes de teste, você deve aplicar configurações idênticas manualmente ou por automação. As configurações comuns incluem restrições de fontes de dados, ativação de plugins e imposição de rótulos de confidencialidade. Sem uma configuração consistente, os usuários em diferentes locatários podem ver comportamentos diferentes do Copilot, o que pode causar confusão e chamados de suporte.
Como o Copilot Lida com a Colaboração entre Locatários
Quando usuários do Locatário A compartilham um documento com usuários do Locatário B, o Copilot no Locatário B pode acessar esse documento apenas se o link de compartilhamento conceder permissões de edição ou visualização e o documento residir no próprio locatário do usuário. O Copilot não indexa conteúdo armazenado em locatários externos. Se um usuário no Locatário B tentar perguntar ao Copilot sobre um documento armazenado no Locatário A, o serviço não retorna resultados, a menos que o documento tenha sido copiado explicitamente para o Locatário B. Essa limitação é crítica para cenários de conformidade que exigem que os dados permaneçam dentro de um limite geográfico ou legal específico.
Etapas para Configurar as Configurações do Copilot por Locatário
Siga estas etapas para cada locatário em seu ambiente. O processo é idêntico para todos os locatários, mas você deve fazer login em cada centro de administração separadamente.
- Faça login no centro de administração do Microsoft 365
Abra um navegador e acesse admin.microsoft.com. Use uma conta de Administrador Global ou Administrador do Copilot para o locatário que está configurando. - Navegue até as configurações do Copilot
Na navegação à esquerda, expanda Configurações e selecione Copilot. Se você não vir a entrada do Copilot, verifique se o locatário tem as licenças necessárias do Copilot atribuídas a pelo menos um usuário. - Configure as fontes de dados
Em Fontes de dados, selecione quais dados do Microsoft Graph o Copilot pode usar. As opções incluem Arquivos, SharePoint Online, chats do Microsoft Teams e caixas de correio do Exchange Online. Desmarque as caixas de seleção das fontes de dados que deseja excluir. Para ambientes multilocatário, restrinja as fontes de dados ao mínimo necessário para reduzir confusão entre locatários. - Defina as permissões de plugins
Em Plugins, selecione Gerenciar plugins. Desative plugins de terceiros que possam expor dados fora do locatário. Ative apenas os plugins da Microsoft que seus usuários precisam, como Planner ou Forms. - Aplique políticas de rótulos de confidencialidade
Em Proteção de dados, certifique-se de que o Copilot respeite os rótulos de confidencialidade do Microsoft Purview. Selecione Exigir rótulos nas respostas do Copilot se sua política de conformidade exigir que todo o conteúdo gerado tenha um rótulo. Essa configuração impede que dados não rotulados saiam do locatário. - Repita para cada locatário
Faça logout do centro de administração, faça login com as credenciais do próximo locatário e repita as etapas 1 a 5. Documente a configuração de cada locatário para fins de auditoria.
Usando o PowerShell para Aplicar Configurações em Todos os Locatários
Para evitar repetição manual, use o Microsoft Graph PowerShell para aplicar configurações idênticas. O cmdlet a seguir conecta-se a um locatário e atualiza a política de fontes de dados do Copilot. Execute este script para cada locatário em um loop.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$policy = @{
"dataSources" = @("Files", "SharePointOnline", "TeamsChats")
"pluginPermissions" = @("Microsoft")
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $policy
Substitua a matriz de fontes de dados pela sua lista preferida. O cmdlet atualiza a política do Copilot no nível do locatário imediatamente. Para obter uma lista completa de parâmetros, execute Get-Help Update-MgPolicyAuthorizationPolicy -Detailed.
Problemas Comuns na Configuração Multilocatário do Copilot
O Copilot Retorna Resultados do Locatário Errado
Se um usuário vir dados de outro locatário em suas respostas do Copilot, a causa mais provável é uma política de acesso entre locatários mal configurada no Azure AD. Vá para Azure AD > Identidades Externas > Configurações de acesso entre locatários. Verifique se o acesso de entrada do outro locatário está definido como Bloquear, a menos que você precise explicitamente de colaboração. Mesmo com o bloqueio ativado, o Copilot não indexa dados de locatários externos, mas links compartilhados podem aparecer na pesquisa se o usuário tiver permissões em cache. Limpe o cache do navegador do usuário e faça logout de todas as contas para resolver isso.
As Configurações do Copilot Não São Aplicadas Após a Configuração
As alterações nas configurações do Copilot no centro de administração podem levar até 24 horas para serem propagadas para todos os usuários. Se você precisar de efeito imediato, execute o seguinte comando no PowerShell para forçar uma atualização de política para um usuário específico:
Update-MgUser -UserId usuario@dominio.com -CopilotPolicyRefresh $true
Este comando aciona uma sincronização em segundo plano da política do Copilot para aquele usuário. Aguarde cinco minutos e peça ao usuário para reiniciar o navegador ou o painel do Copilot.
Plugins do Copilot Aparecem Desativados para Alguns Usuários
Se as configurações de plugin diferirem entre locatários, os usuários que colaboram entre locatários podem ver disponibilidade inconsistente de plugins. Por exemplo, um usuário no Locatário A pode ter o plugin do Planner ativado, mas quando acessa documentos compartilhados do Locatário B, o plugin fica indisponível. Para evitar isso, mantenha as permissões de plugin idênticas em todos os locatários. Use o script do PowerShell da seção anterior para aplicar a mesma lista de plugins em todos os lugares.
| Item | Locatário Único | Multilocatário |
|---|---|---|
| Configuração de administrador | Uma sessão no centro de administração | Sessão separada por locatário |
| Política de fontes de dados | Definida uma vez | Definida por locatário, deve ser igual |
| Acesso a dados entre locatários | Não se aplica | Bloqueado por padrão, configurável via Azure AD |
| Permissões de plugins | Uma política | Devem ser idênticas entre locatários |
| Imposição de conformidade | Política de rótulo única | Política de rótulo por locatário, sem herança entre locatários |
Agora você pode configurar o Copilot em um ambiente multilocatário aplicando configurações consistentes a cada locatário manualmente ou com o PowerShell. Comece documentando suas políticas atuais de fontes de dados e plugins para um locatário e, em seguida, replique-as em todos os outros. Para conformidade avançada, configure logs de auditoria do Microsoft Purview para monitorar a atividade do Copilot entre locatários e detectar qualquer desvio de política. Use as configurações de acesso entre locatários no Azure AD para bloquear o compartilhamento indesejado de dados entre locatários.