Muitas organizações desejam impedir que o Copilot processe ou gere conteúdo a partir de arquivos altamente confidenciais. Por padrão, o Copilot pode acessar qualquer arquivo do Microsoft 365 que o usuário tenha permissão para ler. Isso cria um risco de dados sensíveis aparecerem em uma resposta do Copilot compartilhada com outras pessoas. Os rótulos de sensibilidade no Microsoft Purview Information Protection podem bloquear o Copilot de ler documentos rotulados. Este artigo mostra como configurar rótulos de sensibilidade para impedir que o Copilot acesse arquivos com rótulos específicos.
Quando um rótulo de sensibilidade é configurado para bloquear o acesso do Copilot, o serviço Copilot não consegue ler o conteúdo desse arquivo. O rótulo se aplica a arquivos no SharePoint, OneDrive e Teams. Os usuários ainda podem abrir e editar o arquivo manualmente. O Copilot simplesmente não pode ingerir os dados para fundamentação ou geração. Esse controle funciona definindo uma opção específica de criptografia ou marcação no rótulo que o serviço Microsoft 365 Copilot verifica antes de processar.
Este guia aborda as permissões necessárias, as etapas exatas para criar ou modificar um rótulo e as configurações que impõem o bloqueio do Copilot. Você também aprenderá como verificar se a configuração funciona e o que acontece quando um usuário tenta usar o Copilot em um arquivo bloqueado.
Principais Conclusões: Bloqueando o Copilot com Rótulos de Sensibilidade
- Portal de conformidade do Microsoft Purview > Proteção de Informações > Políticas de rótulos: Crie ou edite um rótulo de sensibilidade e ative a configuração “Marcar o conteúdo de arquivos como confidencial” com uma marca d’água ou cabeçalho personalizado que o Copilot detecta.
- Rótulo de sensibilidade > Criptografia > Configurar configurações de criptografia: Defina a criptografia como “Não permitir que o Copilot leia o conteúdo deste arquivo” para bloquear todo o processamento do Copilot.
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Copilot > Fontes de dados: Verifique se o serviço Copilot respeita o rótulo consultando o log de auditoria para solicitações bloqueadas.
Por que o Copilot Pode Acessar Arquivos Confidenciais por Padrão
O Copilot opera com base no princípio do menor privilégio, considerando as permissões do usuário. Se um usuário tem acesso de leitura a um arquivo, o Copilot pode ler esse mesmo arquivo para gerar respostas. Esse comportamento é proposital e se aplica a todo o conteúdo do Microsoft 365, incluindo documentos do Word, planilhas do Excel, apresentações do PowerPoint, PDFs e arquivos de texto armazenados no SharePoint, OneDrive ou canais do Teams.
Quando um usuário faz uma pergunta ao Copilot que requer dados de um documento confidencial, o Copilot recupera o conteúdo e o inclui na resposta. Isso pode expor informações confidenciais a usuários que não deveriam vê-las. Por exemplo, um representante de vendas pode pedir ao Copilot para resumir o relatório de lucros trimestrais e receber dados destinados apenas a executivos.
Os rótulos de sensibilidade substituem esse comportamento padrão adicionando uma tag de metadados que o serviço Copilot lê antes de processar o arquivo. O rótulo pode ser configurado para criptografar o arquivo com uma permissão que exclui o Copilot ou marcar o arquivo com um cabeçalho personalizado que o Copilot reconhece como bloqueável. Ambos os métodos impedem que o Copilot leia o conteúdo do arquivo.
Pré-requisitos para Configurar Rótulos de Sensibilidade
Antes de começar, verifique se estes requisitos são atendidos no seu locatário:
- Licença Microsoft 365 E5 ou Microsoft 365 E5 Compliance para cada usuário que criará ou gerenciará rótulos
- Licença Microsoft Entra ID P1 ou P2 para políticas de acesso condicional, se necessário
- Função de Administrador Global ou Administrador de Conformidade no centro de administração do Microsoft 365
- Microsoft Purview Information Protection habilitado e rótulos já publicados para os usuários
- Licença do Copilot para Microsoft 365 atribuída aos usuários que serão afetados pelo bloqueio
Se o seu locatário não tiver rótulos de sensibilidade configurados, você deve primeiro habilitar a rotulagem unificada no portal de conformidade do Microsoft Purview. Vá para Portal de conformidade do Microsoft Purview > Proteção de Informações > Políticas de rótulos e siga o assistente para criar seu primeiro rótulo. As etapas neste guia pressupõem que você já tenha pelo menos um rótulo criado.
Etapas para Configurar um Rótulo de Sensibilidade para Bloquear o Acesso do Copilot
- Abra o portal de conformidade do Microsoft Purview
Faça login em compliance.microsoft.com com sua conta de Administrador Global ou Administrador de Conformidade. No menu de navegação à esquerda, selecione Proteção de Informações e depois clique em Políticas de rótulos. Encontre o rótulo que deseja modificar ou clique em Criar um rótulo para iniciar um novo. - Navegue até as configurações de criptografia
No assistente de criação ou edição de rótulo, vá para a seção Criptografia. Defina Criptografia como Ativada. Uma nova opção aparece chamada Não permitir que o Copilot leia o conteúdo deste arquivo. Marque esta caixa. Esta é a configuração principal que bloqueia o acesso do Copilot. - Configure as permissões de criptografia
Abaixo da opção de bloqueio do Copilot, escolha Atribuir permissões agora ou Deixar os usuários atribuírem permissões. Para um bloqueio que se aplica a todos os usuários, selecione Atribuir permissões agora. Clique em Atribuir permissões e adicione os usuários ou grupos que ainda devem poder ler o arquivo manualmente. O Copilot é automaticamente excluído desta lista de permissões quando você marca a opção de bloqueio do Copilot. - Adicione uma marcação personalizada para segurança extra
Vá para a seção Marcação de conteúdo. Ative Marcar o conteúdo de arquivos como confidencial. Adicione uma marca d’água, cabeçalho ou rodapé personalizado, como “Copilot Bloqueado”. Esta marcação não é estritamente necessária para o bloqueio funcionar, mas fornece um indicador visual aos usuários de que o arquivo está protegido contra o Copilot. - Publique o rótulo para os usuários
Após salvar o rótulo, volte para Políticas de rótulos e clique em Publicar rótulos. Selecione o rótulo que você acabou de configurar. Escolha os usuários ou grupos que devem poder aplicar este rótulo aos arquivos. Clique em Avançar e conclua as configurações da política. O rótulo aparecerá nos aplicativos do Office após até 24 horas ou depois que o usuário reiniciar o aplicativo do Office. - Verifique se o bloqueio está funcionando
Abra um arquivo no Word ou SharePoint que tenha o novo rótulo aplicado. No painel do Copilot, digite uma pergunta que faça referência ao conteúdo do arquivo. O Copilot deve responder com uma mensagem como “Não consigo acessar este arquivo devido às configurações do rótulo de sensibilidade” ou não retornar dados do arquivo. Verifique o log de auditoria do Microsoft 365 para o evento CopilotAccessBlockedByLabel para confirmar o bloqueio.
Se o Copilot Ainda Acessar Arquivos Rotulados
O Copilot não detecta o rótulo em arquivos recém-criados
Os rótulos são aplicados aos arquivos quando o usuário os salva ou carrega. Se um usuário criar um novo documento e perguntar ao Copilot antes de salvar, o Copilot pode ler o conteúdo não salvo. Sempre salve o arquivo com o rótulo aplicado antes de usar o Copilot. Para rotulagem automática, use políticas de rotulagem automática no Microsoft Purview que aplicam rótulos com base em tipos de informações confidenciais.
O Copilot retorna saída genérica em vez de dados específicos do locatário
Isso não é um sinal de que o bloqueio está falhando. O Copilot pode ainda retornar conhecimento geral ou informações de fontes públicas. Para confirmar que o bloqueio está funcionando, faça uma pergunta que apenas o arquivo rotulado pode responder, como um número ou frase específica do documento. Se o Copilot não incluir esses dados, o bloqueio está ativo.
Os usuários não conseguem aplicar o rótulo porque ele não está visível
Os rótulos levam até 24 horas para serem propagados após a publicação. Se os usuários não virem o rótulo no Word ou Excel, peça para reiniciarem o aplicativo do Office. Se o rótulo ainda não aparecer, verifique a atribuição da política de rótulo em Portal de conformidade do Microsoft Purview > Proteção de Informações > Políticas de rótulos. Certifique-se de que o usuário está incluído no grupo da política.
Rótulo de Sensibilidade Bloqueio do Copilot vs Bloqueio por Criptografia: Principais Diferenças
| Item | Rótulo de Sensibilidade com Bloqueio do Copilot | Bloqueio Apenas por Criptografia |
|---|---|---|
| Descrição | Usa um sinalizador de metadados que o Copilot lê antes de processar o arquivo | Usa criptografia completa que impede qualquer serviço, incluindo o Copilot, de ler o conteúdo |
| Visibilidade do usuário | Os usuários veem o conteúdo do arquivo normalmente nos aplicativos do Office | Os usuários precisam de direitos de descriptografia para abrir o arquivo |
| Comportamento do Copilot | O Copilot retorna uma mensagem informando que não pode acessar o arquivo | O Copilot não consegue abrir o arquivo e não retorna dados |
| Impacto no desempenho | Nenhuma latência adicional, pois o Copilot verifica o sinalizador no momento da consulta | Nenhuma latência adicional, pois o arquivo já está criptografado |
| Recomendado para | Arquivos confidenciais que os usuários precisam ler, mas o Copilot não deve processar | Arquivos ultrassecretos que não devem ser legíveis por nenhum serviço automatizado |
Após configurar o rótulo de sensibilidade, você pode controlar exatamente quais arquivos o Copilot pode ler no seu locatário. Teste a configuração com um pequeno grupo de usuários antes de implementar para toda a organização. Para proteção adicional, combine o bloqueio do Copilot com políticas de prevenção contra perda de dados que impeçam os usuários de compartilhar arquivos rotulados externamente.