O Microsoft Copilot integra-se aos serviços do Microsoft 365 protegidos por políticas de Acesso Condicional. Muitos administradores têm dificuldade em aplicar controles de proteção de aplicativos ao Copilot porque ele não é um aplicativo único, mas um serviço que abrange vários clientes e fontes de dados. O principal desafio é que o Acesso Condicional avalia as solicitações do Copilot com base no aplicativo subjacente do Microsoft 365, na plataforma do cliente e nos dados acessados. Este artigo explica os três principais padrões de proteção de aplicativos para o Copilot: baseado em dispositivo, baseado em aplicativo e controles em nível de dados. Aborda como cada padrão funciona, quais pré-requisitos são necessários e como configurá-los no centro de administração do Microsoft Entra.
Principais conclusões: Padrões de Acesso Condicional para o Copilot
- Centro de administração do Microsoft Entra > Proteção > Acesso Condicional > Políticas: Crie políticas separadas para a entidade de serviço do Copilot e para os registros de aplicativo subjacentes do Microsoft 365.
- Controle de concessão > Exigir que o dispositivo seja marcado como em conformidade: Bloqueia o acesso ao Copilot de dispositivos não gerenciados ou não conformes.
- Controle de concessão > Exigir política de proteção de aplicativo: Aplica controles de prevenção contra perda de dados em clientes móveis que acessam o Copilot.
Como o Acesso Condicional se Aplica ao Copilot
As políticas de Acesso Condicional no Microsoft Entra ID avaliam as solicitações de acesso antes de conceder tokens aos aplicativos. Quando um usuário interage com o Copilot, a solicitação é roteada por meio de uma das várias entidades de serviço do Microsoft 365. A entidade específica depende do cliente: o Copilot no Microsoft Teams usa a entidade de serviço do Teams, o Copilot no Word usa a entidade de serviço do Office e o aplicativo Copilot autônomo usa a entidade de serviço do Copilot. Cada uma dessas entidades pode ser direcionada individualmente em uma política.
O padrão de proteção de aplicativo escolhido depende do perfil de risco do dispositivo cliente e da sensibilidade dos dados que o Copilot pode acessar. Existem três padrões distintos:
Proteção Baseada em Dispositivo
Este padrão usa condições de conformidade e estado do dispositivo. Exige que o dispositivo cliente seja ingressado no domínio, ingressado híbrido ou inscrito no Microsoft Intune e marcado como em conformidade. A política é aplicada a todos os aplicativos de nuvem que o Copilot usa, como Office 365, Microsoft Teams e a entidade de serviço do Copilot. Este padrão é o mais simples de configurar e funciona para todos os clientes do Copilot, incluindo desktop, web e dispositivos móveis.
Proteção Baseada em Aplicativo
Este padrão usa políticas de proteção de aplicativo do Microsoft Intune, também conhecidas como políticas MAM. Ele tem como alvo clientes móveis que executam iOS e Android. O controle de concessão exige que o aplicativo cliente tenha uma política de proteção de aplicativo aplicada. Este padrão não exige inscrição do dispositivo. É ideal para cenários de traga seu próprio dispositivo (BYOD) onde você deseja evitar vazamento de dados do Copilot sem gerenciar o dispositivo inteiro.
Proteção em Nível de Dados
Este padrão usa rótulos de confidencialidade e o Microsoft Purview Data Loss Prevention para controlar quais dados o Copilot pode acessar e como eles podem ser usados. As políticas de Acesso Condicional podem ser combinadas com controles de sessão que bloqueiam ações de download, cópia ou impressão. Este padrão é o mais granular, mas requer licenciamento adicional para o Microsoft Purview. É recomendado para organizações que lidam com dados altamente regulamentados, como registros financeiros ou informações de saúde.
Etapas para Configurar a Proteção Baseada em Dispositivo para o Copilot
- Entre no centro de administração do Microsoft Entra
Acesse https://entra.microsoft.com e faça login com uma conta que tenha a função de Administrador de Acesso Condicional. - Crie uma nova política de Acesso Condicional
Navegue até Proteção > Acesso Condicional > Políticas. Clique em Nova política. - Defina o nome da política e as atribuições
Insira um nome como “Conformidade de Dispositivo do Copilot”. Em Atribuições > Usuários, selecione os usuários ou grupos que usarão o Copilot. Em Aplicativos ou ações na nuvem, clique em Selecionar aplicativos e adicione os seguintes:
– Office 365
– Microsoft Teams
– Entidade de serviço do Copilot (pesquise por “Copilot”) - Configure as condições para o estado do dispositivo
Em Condições > Estado do dispositivo, defina Configurar como Sim. Marque Todos os estados do dispositivo e defina o filtro como Dispositivo está marcado como em conformidade. Opcionalmente, exclua Dispositivo com ingresso híbrido no Azure AD se você confiar em dispositivos ingressados no domínio. - Defina os controles de concessão
Em Concessão, selecione Exigir que o dispositivo seja marcado como em conformidade. Marque Exigir todos os controles selecionados. - Ative a política
Defina Ativar política como Somente relatório inicialmente. Teste a política com um grupo piloto. Após a validação, altere para Ativada.
Etapas para Configurar a Proteção Baseada em Aplicativo para o Copilot em Dispositivos Móveis
- Crie uma política de proteção de aplicativo no Microsoft Intune
Acesse https://intune.microsoft.com e navegue até Aplicativos > Políticas de proteção de aplicativo. Clique em Criar política e escolha iOS/iPadOS ou Android. - Direcione os aplicativos do Microsoft 365 usados pelo Copilot
Na política, em Tipos de aplicativo direcionados, selecione Aplicativos gerenciados. Adicione os seguintes aplicativos:
– Microsoft Teams
– Microsoft Office
– Microsoft Copilot - Configure as configurações de proteção de dados
Defina Transferência de dados > Permitir que o aplicativo transfira dados para outros aplicativos como Apenas aplicativos gerenciados por política. Defina Transferência de dados > Permitir que o aplicativo receba dados de outros aplicativos como Apenas aplicativos gerenciados por política. Ative Salvar cópias de dados da organização como Bloquear. - Crie uma política de Acesso Condicional para proteção de aplicativo
No centro de administração do Microsoft Entra, crie uma nova política. Em Aplicativos na nuvem, selecione os mesmos aplicativos da etapa 2 do padrão baseado em dispositivo. Em Concessão, selecione Exigir política de proteção de aplicativo. Defina Ativar política como Ativada. - Atribua a política do Intune aos usuários
Na política de proteção de aplicativo do Intune, em Atribuições, selecione os mesmos grupos de usuários usados na política de Acesso Condicional. Salve a política.
Problemas Comuns com Padrões de Proteção de Aplicativo do Copilot
O Copilot Ainda Funciona em Dispositivos Não Gerenciados Após a Ativação da Política
Isso geralmente acontece quando a política de Acesso Condicional não inclui os aplicativos de nuvem corretos. As solicitações do Copilot podem ser roteadas por meio da entidade de serviço do Office 365 mesmo ao usar o aplicativo Copilot autônomo. Certifique-se de que a política tenha como alvo tanto o Office 365 quanto a entidade de serviço do Copilot. Use os logs de entrada no Microsoft Entra para verificar qual entidade de serviço está sendo usada em cada sessão do Copilot.
Usuários Móveis Não Conseguem Acessar o Copilot Após a Aplicação da Política de Proteção de Aplicativo
A causa mais comum é que a política de proteção de aplicativo do Intune não está atribuída ao usuário ou a política não está direcionando a versão correta do aplicativo. Verifique se o usuário está no grupo atribuído. Confirme também se o dispositivo móvel possui a versão mais recente do aplicativo do Microsoft 365 instalada. O recurso Copilot requer a versão 16.0.16731 ou posterior no iOS e Android.
Os Controles de Prevenção Contra Perda de Dados Não se Aplicam às Respostas do Copilot
A proteção em nível de dados para as respostas do Copilot requer políticas de Prevenção Contra Perda de Dados do Microsoft Purview com escopo para Exchange Online e SharePoint Online. O Copilot gera respostas com base em dados do usuário armazenados nesses serviços. Crie uma política DLP do Purview que tenha como alvo o conteúdo do Exchange e do SharePoint. Defina a ação para bloquear o compartilhamento ou a cópia de informações confidenciais. Essa política será aplicada quando o Copilot tentar acessar ou retornar esses dados.
Padrões de Acesso Condicional do Copilot: Comparação
| Item | Proteção Baseada em Dispositivo | Proteção Baseada em Aplicativo |
|---|---|---|
| Plataformas de cliente suportadas | Windows, macOS, iOS, Android, web | iOS, Android |
| Exige inscrição do dispositivo | Sim, exige Intune ou ingresso no domínio | Não, apenas inscrição do aplicativo |
| Tipo de controle de concessão | Exigir que o dispositivo seja marcado como em conformidade | Exigir política de proteção de aplicativo |
| Prevenção contra perda de dados integrada | Não, depende da conformidade do dispositivo | Sim, por meio das configurações da política de proteção de aplicativo do Intune |
| Exigência de licença | Microsoft Entra ID P1, Intune | Microsoft Entra ID P1, Intune |
Ambos os padrões podem ser combinados. Por exemplo, você pode exigir conformidade do dispositivo para clientes Windows e política de proteção de aplicativo para clientes móveis. Use políticas de Acesso Condicional separadas para cada plataforma adicionando a condição Plataforma do dispositivo nas atribuições da política.
Agora você pode configurar políticas de Acesso Condicional que protegem o Copilot em todas as plataformas de cliente. Comece ativando o padrão baseado em dispositivo para dispositivos Windows gerenciados pela empresa. Em seguida, adicione o padrão baseado em aplicativo para usuários móveis. Para os dados mais confidenciais, sobreponha políticas DLP do Microsoft Purview. Use os logs de entrada e a pasta de trabalho de insights de Acesso Condicional no Microsoft Entra para monitorar a eficácia da política e ajustar conforme necessário.