Você precisa confirmar quais conectores do Microsoft 365 o Copilot está lendo e se algum deles expõe dados sensíveis, como registros de RH, documentos legais ou relatórios financeiros. Sem uma auditoria, um conector que puxa dados de um site do SharePoint com conteúdo confidencial pode alimentar essas informações nas respostas do Copilot vistas por usuários que não deveriam ter acesso. Este artigo explica como usar o centro de administração do Microsoft 365, o portal de conformidade Purview e o PowerShell para auditar o acesso de conectores do Copilot e identificar fontes de dados sensíveis.
Principais Conclusões: Auditar Acesso de Conectores do Copilot a Dados Sensíveis
- Centro de administração Microsoft 365 > Copilot > Fontes de dados: Lista todos os conectores ativos e o status da última sincronização.
- Microsoft Purview > Classificação de dados > Explorador de Conteúdo: Mostra tipos de dados sensíveis encontrados em sites e bibliotecas conectados.
- Cmdlet PowerShell Get-CopilotConnector: Recupera metadados do conector e escopo de permissão para auditoria automatizada.
Por que Conectores do Copilot Podem Expor Dados Sensíveis
Os conectores do Copilot vinculam-se a fontes de dados externas, como sites do SharePoint, pastas do OneDrive, conectores do Microsoft Graph e serviços de terceiros como ServiceNow ou Salesforce. Quando um conector está ativo, o Copilot pode ler o conteúdo dessa fonte para gerar respostas fundamentadas para usuários que têm permissão de acesso à fonte. O risco é que um conector pode ser configurado com permissões muito amplas, ou pode se conectar a um site contendo dados sensíveis que não estão devidamente classificados.
Herança de Permissões vs Escopo do Conector
Uma causa raiz comum é que o conector herda permissões do site ou serviço ao qual se conecta. Por exemplo, se um site do SharePoint tem um grupo chamado “Todos exceto usuários externos” com acesso de leitura, o conector exibirá o conteúdo desse site para qualquer usuário do Copilot que seja membro desse grupo. O conector em si não aplica filtragem adicional além das permissões da fonte. Isso significa que um conector em um site rotulado como “Documentos de RH” pode expor dados salariais a usuários do Copilot que têm acesso ao site, mas não deveriam ver esses dados nas respostas do Copilot.
Tipos de Conector e Sensibilidade de Dados
Existem dois tipos principais de conectores. Conectores de primeira parte conectam-se a dados do Microsoft 365, como SharePoint, OneDrive e Exchange. Conectores de terceiros conectam-se a serviços externos usando conectores do Microsoft Graph. Ambos os tipos podem acessar dados sensíveis se a fonte subjacente contiver arquivos com números de cartão de crédito, números de seguro social ou outros tipos de informações sensíveis definidos na Prevenção contra Perda de Dados do Microsoft Purview.
Etapas para Auditar o Acesso de Conectores do Copilot
O processo de auditoria tem três fases. Primeiro, identifique todos os conectores ativos. Segundo, revise as fontes de dados que cada conector acessa. Terceiro, verifique essas fontes em busca de tipos de dados sensíveis. As etapas a seguir usam o centro de administração do Microsoft 365 e o Microsoft Purview.
- Abra o centro de administração do Microsoft 365
Faça login com uma conta que tenha a função de Administrador Global ou Administrador do Conhecimento. Vá para Configurações > Copilot > Fontes de dados. Esta página mostra todos os conectores que o Copilot pode ler. - Revise cada entrada de conector
Para cada conector, observe o Nome, Tipo, Status e Última sincronização. Um status “Conectado” significa que o conector está ativo e fornecendo dados ao Copilot. Clique no nome do conector para ver os sites, bibliotecas ou pastas específicos aos quais ele se conecta. - Identifique fontes de dados sensíveis com o Microsoft Purview
Abra o portal de conformidade do Microsoft Purview em https://compliance.microsoft.com. Vá para Classificação de dados > Explorador de Conteúdo. Esta ferramenta mostra arquivos que contêm tipos de informações sensíveis em todo o seu locatário. - Filtre pelo local da fonte do conector
No Explorador de Conteúdo, use o painel de filtros para selecionar a URL do site do SharePoint ou a pasta do OneDrive que aparece nos detalhes do conector da etapa 2. O Explorador de Conteúdo exibirá todos os arquivos nesse local que contêm tipos de dados sensíveis, como Número de Seguro Social dos EUA, Número de Cartão de Crédito ou Cadeia de Conexão do SQL do Azure. - Documente cada arquivo sensível encontrado
Exporte os resultados usando o botão Exportar no Explorador de Conteúdo. Salve o arquivo CSV para seus registros de auditoria. Este arquivo lista o nome do arquivo, local, tipo de informação sensível e nível de confiança. - Faça referência cruzada das permissões do conector
Para cada fonte de conector que contém dados sensíveis, verifique as configurações de permissão. Vá para o site do SharePoint ou pasta do OneDrive, selecione Configurações > Permissões do site e revise quais grupos ou usuários têm acesso. Se um grupo como “Todos exceto usuários externos” tiver acesso, o conector exporá esses dados sensíveis a todos os membros desse grupo por meio do Copilot.
Usando PowerShell para Auditoria Automatizada
Para locatários com muitos conectores, a revisão manual é demorada. Use o módulo do PowerShell do Exchange Online para recuperar metadados do conector programaticamente.
- Instale o módulo de Gerenciamento do Exchange Online
Abra o PowerShell como administrador e executeInstall-Module -Name ExchangeOnlineManagement. Após a instalação, executeConnect-ExchangeOnline -UserPrincipalName admin@seudominio.come faça login com suas credenciais de administrador. - Execute Get-CopilotConnector
ExecuteGet-CopilotConnector | Format-List Name, Type, Status, SourceUrl. Este cmdlet retorna todos os conectores, seus tipos e as URLs das fontes de dados às quais se conectam. - Exporte os resultados
ExecuteGet-CopilotConnector | Export-Csv -Path "C:\auditoria\conectores.csv" -NoTypeInformation. Abra o CSV no Excel para filtrar e classificar conectores por status e URL da fonte. - Verifique cada URL de fonte em busca de dados sensíveis
Para cada URL de fonte única no CSV, use o Explorador de Conteúdo do Microsoft Purview ou o cmdletGet-DlpSensitiveInformationTypepara verificar esse local. O cmdletGet-DlpSensitiveInformationType | Where-Object {$_.Name -like "Social Security"}lista todos os tipos de informações sensíveis disponíveis em seu locatário.
Se o Acesso do Conector Expuser Dados Sensíveis
Conector Mostra Dados Sensíveis no Explorador de Conteúdo, mas o Copilot Não Deveria Acessá-los
A correção é restringir as permissões no local da fonte. Remova o grupo amplo do site do SharePoint ou pasta do OneDrive e adicione apenas os usuários ou grupos específicos que precisam de acesso. Após a alteração, o conector respeitará as novas permissões e o Copilot não exibirá os dados sensíveis para usuários que não têm mais acesso.
Conector Tem Escopo ou Destino Incorreto
Se o conector estiver apontando para o site ou pasta errada, exclua o conector e crie um novo com o escopo correto. No centro de administração do Microsoft 365, vá para Configurações > Copilot > Fontes de dados, selecione o conector e clique em Remover. Em seguida, clique em Adicionar uma fonte de dados e escolha o site ou serviço correto.
Conector de Terceiros Expõe Dados Sensíveis
Para conectores de terceiros, como ServiceNow ou Salesforce, a própria fonte de dados pode conter campos sensíveis. Revise a configuração do conector no painel de administração do serviço de terceiros. A maioria dos conectores permite selecionar tabelas, objetos ou campos específicos para sincronizar. Remova quaisquer campos que contenham informações sensíveis, como salário, avaliações de desempenho ou detalhes de contato pessoal.
Auditoria de Conectores do Copilot: Revisão Manual vs Automação com PowerShell
| Item | Revisão Manual no Centro de Administração | Automação com PowerShell |
|---|---|---|
| Tempo necessário para 10 conectores | 30 a 60 minutos | 5 a 10 minutos |
| Detalhes do conector recuperados | Nome, tipo, status, última sincronização | Nome, tipo, status, URL da fonte, permissões |
| Verificação de dados sensíveis | Manual no Explorador de Conteúdo | Automatizada via PowerShell e exportação do Explorador de Conteúdo |
| Melhor para | Locatários pequenos com menos de 5 conectores | Locatários grandes com 10 ou mais conectores |
Conclusão
Agora você pode auditar cada conector do Copilot em seu locatário e determinar se ele expõe dados sensíveis. Use o centro de administração do Microsoft 365 para visualizar conectores ativos e seus locais de origem. Use o Explorador de Conteúdo do Microsoft Purview para verificar esses locais em busca de tipos de informações sensíveis, como números de cartão de crédito ou números de seguro social. Para ambientes maiores, automatize a auditoria com o cmdlet Get-CopilotConnector do PowerShell e exporte os resultados para um arquivo CSV. Após identificar conectores arriscados, restrinja as permissões da fonte ou reconfigue o escopo do conector. Como próximo passo, configure uma auditoria mensal recorrente usando um script PowerShell que executa Get-CopilotConnector e verifica cada URL de fonte contra uma lista de tipos de dados sensíveis.