Administradores do Microsoft 365 precisam rastrear quais arquivos o Copilot acessa no tenant para garantir conformidade e segurança dos dados. O Copilot pode ler arquivos do SharePoint, OneDrive e Microsoft Graph ao gerar respostas no Word, Excel, PowerPoint e Teams. Este artigo explica como usar o log de auditoria do Microsoft 365 para visualizar um registro completo de cada arquivo que o Copilot leu. Você aprenderá a configurar o log de auditoria, realizar pesquisas direcionadas e interpretar os resultados.
Principais Conclusões: Auditoria de Acesso a Arquivos pelo Copilot
- Portal de conformidade do Microsoft 365 Purview > Auditoria > Pesquisar: Local central para consultar todos os eventos de leitura de arquivos do Copilot.
- Filtro de carga de trabalho definido como “Copilot”: Isola os registros de auditoria gerados apenas por interações do Copilot.
- Operação “FileAccessed”: O nome específico do evento registrado quando o Copilot lê um arquivo do SharePoint ou OneDrive.
Como o Acesso a Arquivos pelo Copilot é Registrado
Quando um usuário interage com o Copilot em um aplicativo do Microsoft 365, o serviço pode ler arquivos dos dados do Microsoft Graph do usuário. Isso inclui documentos armazenados no SharePoint Online, OneDrive for Business e arquivos do Microsoft Teams. Cada arquivo lido pelo Copilot gera um registro de auditoria no log de auditoria do Microsoft 365. O registro de auditoria captura o usuário que acionou a ação, o caminho exato do arquivo, o timestamp e o ID da sessão do Copilot.
Por padrão, o log de auditoria está habilitado para todos os tenants do Microsoft 365 com assinaturas E5 ou G5. Tenants com E3, Business Standard ou Business Premium podem habilitar o log de auditoria através do portal de conformidade Purview. Sem o log de auditoria habilitado, nenhum registro de acesso a arquivos é criado e os administradores não podem visualizar retroativamente a atividade do Copilot.
O Que Dispara um Evento de Leitura de Arquivo
O Copilot lê um arquivo quando um usuário faz uma pergunta que requer dados de um documento específico. Por exemplo, pedir ao Copilot no Word para resumir um documento do SharePoint dispara um evento de leitura. O Copilot no Teams lendo uma transcrição de reunião também gera um registro de auditoria de leitura de arquivo. O log de auditoria não registra arquivos que o Copilot tenta ler, mas falha devido a restrições de permissão ou licenciamento.
Passos para Pesquisar o Log de Auditoria para Leituras de Arquivos do Copilot
Siga estes passos para extrair uma lista de todos os arquivos que o Copilot leu no seu tenant. Você deve ter a função de Log de Auditoria ou Log de Auditoria Somente Visualização atribuída no portal de conformidade Purview.
- Abra o portal de conformidade do Microsoft 365 Purview
Navegue até https://compliance.microsoft.com e faça login com uma conta que tenha a função de Log de Auditoria. Na navegação à esquerda, selecione Auditoria na seção Soluções. - Configure os parâmetros de pesquisa
Defina o intervalo de datas para o período que deseja auditar. Para a primeira pesquisa, defina Início como 90 dias atrás e Fim como hoje. Em Atividades, selecione Atividades de arquivo e página e marque Arquivo acessado. Não selecione outras atividades como Arquivo baixado ou Arquivo modificado. - Adicione um filtro de carga de trabalho para Copilot
Clique em Adicionar filtro e escolha Carga de trabalho. No menu suspenso, selecione Copilot. Esse filtro garante que os resultados mostrem apenas eventos gerados pelo Copilot e não por um usuário abrindo um arquivo manualmente. - Execute a pesquisa
Clique em Pesquisar na parte inferior do painel. O portal exibe uma lista de registros de auditoria. Cada registro mostra a data, o usuário, o endereço IP e a atividade. Clique em qualquer registro para abrir o painel de detalhes. - Revise o caminho do arquivo no painel de detalhes
No painel de detalhes, role até Itens afetados. O caminho do arquivo aparece como uma URL do SharePoint ou OneDrive. Copie a URL para confirmar a localização exata do arquivo. O painel de detalhes também mostra o ID da sessão do Copilot, que você pode usar para correlacionar várias leituras de arquivos em uma única conversa. - Exporte os resultados para análise
Clique em Exportar no topo da página de resultados da pesquisa. Escolha o formato CSV. O arquivo exportado contém todas as colunas, incluindo o caminho do arquivo, o usuário e o timestamp. Abra o CSV no Excel para filtrar, classificar e criar relatórios.
Se o Log de Auditoria Não Retornar Eventos do Copilot
Uma pesquisa que retorna zero registros não significa necessariamente que o Copilot não leu arquivos. Três razões comuns explicam resultados vazios.
O Log de Auditoria Está Desabilitado
Tenants sem assinaturas E5 ou G5 podem ter o log de auditoria desativado. No portal de conformidade Purview, vá para Auditoria > Retenção de auditoria. Se mostrar “A pesquisa de log de auditoria está desativada”, clique em Iniciar gravação de atividade de usuário e administrador. Pode levar até 24 horas para os registros de auditoria começarem a aparecer.
Seleção Incorreta de Atividade
Selecionar “Arquivo acessado” na categoria errada pode excluir eventos do Copilot. Certifique-se de selecionar Atividades de arquivo e página > Arquivo acessado. Não selecione o genérico “Arquivo acessado” em atividades do SharePoint, pois esse filtro pode não capturar registros específicos do Copilot.
Usuários Não Têm Licença do Copilot
Se nenhum usuário no tenant tiver uma licença do Copilot para Microsoft 365, o Copilot não pode ler nenhum arquivo. Verifique as licenças no centro de administração do Microsoft 365 em Cobrança > Licenças. Apenas usuários com uma licença do Copilot atribuída geram eventos de auditoria de leitura de arquivo.
Acesso a Arquivos pelo Copilot vs. Acesso Manual: Diferenças na Auditoria
| Item | Acesso pelo Copilot | Acesso Manual |
|---|---|---|
| Nome da operação de auditoria | FileAccessed | FileAccessed |
| Filtro de carga de trabalho | Copilot | SharePoint ou OneDrive |
| Campo de usuário | A pessoa que fez a pergunta ao Copilot | A pessoa que abriu o arquivo |
| Identificador de sessão | CopilotSessionId incluído no registro de auditoria | Nenhum ID de sessão |
| Motivo do acesso | Copilot gerando uma resposta | Usuário visualizando ou editando o arquivo |
Limitações do Log de Auditoria do Copilot
O log de auditoria não captura todos os arquivos que o Copilot lê durante uma única interação. Se o Copilot ler vários arquivos para responder a uma pergunta, cada arquivo gera um registro de auditoria separado. No entanto, o log não mostra quais partes do arquivo o Copilot usou ou se a resposta incluiu citações diretas do arquivo.
Os registros de auditoria são retidos com base na política de retenção de auditoria do seu tenant. A retenção padrão é de 90 dias para tenants E5 e 180 dias para E5 com licenças complementares. Para retenção mais longa, atribua uma licença de Auditoria (Premium) aos usuários que estão sendo auditados. Sem o Premium, registros com mais de 90 dias não estão disponíveis para pesquisa.
O log de auditoria não registra acesso a arquivos para o Copilot no Microsoft Edge ou no aplicativo móvel do Copilot. Esses ambientes usam um modelo de acesso a dados diferente que não gera eventos de auditoria no portal Purview. Para auditar a atividade do Copilot no Edge, você deve confiar no histórico do navegador e logs de rede, que não são abordados neste artigo.
Agora você pode executar pesquisas de auditoria direcionadas para ver exatamente quais arquivos o Copilot leu no seu tenant. Comece verificando se o log de auditoria está habilitado e, em seguida, use o filtro de carga de trabalho definido como Copilot para isolar eventos de leitura de arquivos. Para monitoramento contínuo, agende uma exportação CSV semanal e armazene-a em uma biblioteca segura do SharePoint para manter um registro histórico além do período de retenção padrão. Se precisar rastrear a atividade do Copilot em tempo real, considere habilitar alertas de Auditoria (Premium) para a operação FileAccessed em bibliotecas de documentos confidenciais.