O Microsoft Copilot processa prompts e dados usando serviços do Microsoft 365. Para organizações com requisitos rigorosos de residência de dados e criptografia, a Microsoft oferece o Copilot com Azure Confidential Computing. Essa configuração adiciona um ambiente de execução confiável baseado em hardware para proteger dados em uso. Este artigo explica o que o Azure Confidential Computing faz pelo Copilot, quais regiões e planos o suportam e quais limitações você deve considerar antes de ativá-lo.
Principais Conclusões: Disponibilidade do Copilot com Azure Confidential Computing
- Azure Confidential Computing (ACC) com Intel SGX: Criptografa dados na memória durante o processamento do Copilot, impedindo o acesso do provedor de nuvem.
- Copilot for Microsoft 365 com ACC: Disponível apenas no limite de dados da União Europeia, especificamente nas regiões do Azure Europa Ocidental e Europa Setentrional.
- Licença Microsoft 365 E5 ou E5 Compliance: Necessária para habilitar o Copilot com ACC, além de uma licença do Copilot for Microsoft 365.
O que o Azure Confidential Computing faz pelo Copilot
O Azure Confidential Computing usa ambientes de execução confiáveis baseados em hardware, especificamente o Intel Software Guard Extensions (SGX). Quando o Copilot processa um prompt, os dados são criptografados dentro do enclave de memória da CPU. O provedor de nuvem, Microsoft, não pode acessar os dados em texto simples, mesmo com privilégios administrativos. Isso atende a uma preocupação importante para organizações que precisam manter os dados criptografados o tempo todo, inclusive durante a computação.
Para o Copilot, o ACC protege os seguintes fluxos de dados:
- Prompts de usuário enviados de aplicativos do Microsoft 365
- Dados de ancoragem recuperados do Microsoft Graph (e-mails, documentos, reuniões)
- Resultados de inferência do modelo retornados ao usuário
- Quaisquer dados de processamento intermediário dentro do serviço Copilot
A criptografia ocorre automaticamente quando o ACC está habilitado. Nenhuma alteração nos fluxos de trabalho do usuário ou comandos do Copilot é necessária. O recurso é transparente para os usuários finais.
Produtos Copilot Suportados
O Azure Confidential Computing é suportado apenas para o Copilot for Microsoft 365. Não se aplica ao Copilot no Windows, Copilot no Bing ou Copilot no Edge. Esses produtos são executados em infraestrutura diferente e não oferecem ACC como opção.
Regiões de Disponibilidade e Requisitos de Licenciamento
O Copilot com Azure Confidential Computing não está disponível em todas as regiões do Azure ou para todos os locatários do Microsoft 365. O serviço é restrito ao limite de dados da União Europeia. As duas regiões do Azure suportadas são Europa Ocidental (Países Baixos) e Europa Setentrional (Irlanda).
Para habilitar esta configuração, seu locatário deve atender aos seguintes requisitos de licenciamento:
- Licença Microsoft 365 E5 ou E5 Compliance
Cada usuário que usará o Copilot com ACC deve ter uma licença Microsoft 365 E5 ou um complemento Microsoft 365 E5 Compliance. Licenças E3 não são suficientes. - Licença do Copilot for Microsoft 365
Cada usuário também precisa de uma licença do Copilot for Microsoft 365, adquirida separadamente ou como parte de um pacote. - Assinatura do Azure com capacidade ACC
O locatário deve ter uma assinatura do Azure que suporte SKUs de Confidential Computing. O serviço Copilot usa esses recursos do Azure automaticamente.
A Microsoft exige que a localização de dados padrão do locatário seja definida para uma das regiões da UE suportadas. Se seu locatário armazena dados nos Estados Unidos ou na Ásia, o ACC para Copilot não está disponível.
Passos para Habilitar o Copilot com Azure Confidential Computing
Habilitar o ACC para o Copilot não é uma opção nas configurações do Copilot. Requer coordenação entre o administrador do Microsoft 365 e o administrador do Azure. Siga estes passos:
- Verifique a residência de dados do locatário
Acesse o centro de administração do Microsoft 365 em admin.microsoft.com. Navegue até Configurações > Configurações da organização > Perfil da organização > Localização dos dados. Confirme que a localização de dados padrão do seu locatário está definida como Europa Ocidental ou Europa Setentrional. Caso contrário, você não pode habilitar o ACC para o Copilot. - Atribua as licenças necessárias
No centro de administração do Microsoft 365, vá para Cobrança > Licenças. Atribua licenças Microsoft 365 E5 ou E5 Compliance a todos os usuários que usarão o Copilot com ACC. Em seguida, atribua licenças do Copilot for Microsoft 365 aos mesmos usuários. - Envie uma solicitação de suporte para a Microsoft
O ACC para Copilot não é autoatendimento. Abra um ticket de suporte no centro de administração do Microsoft 365. Em Tipo de serviço, selecione Copilot for Microsoft 365. Na descrição, escreva: “Solicitação para habilitar o Azure Confidential Computing para o Copilot for Microsoft 365 para o ID do locatário [seu ID do locatário].” A Microsoft validará sua elegibilidade de licenciamento e região. - Aguarde a confirmação e monitore a implantação
A Microsoft responderá com um cronograma. Após o ACC ser habilitado, teste o Copilot no Word, Excel ou Teams. Verifique se os prompts e respostas são processados dentro do limite de dados da UE. Use o Centro de Mensagens do Microsoft 365 para acompanhar o status da implantação.
Limitações Comuns e Equívocos
ACC Não se Aplica a Todos os Recursos do Copilot
O Azure Confidential Computing protege apenas o pipeline de inferência principal do Copilot. Recursos que dependem de serviços externos não são cobertos. Por exemplo, plugins do Copilot que chamam APIs de terceiros, o conector do Graph do Copilot e a ancoragem na web (resultados de pesquisa do Bing) não são criptografados pelo ACC. A Microsoft recomenda que você desabilite plugins e ancoragem na web se precisar de proteção total do ACC.
ACC Não Altera as Políticas de Retenção de Dados
Os dados criptografados pelo ACC ainda estão sujeitos às mesmas políticas de retenção e exclusão que os dados padrão do Copilot. O ACC não oferece a capacidade de excluir dados mais rapidamente ou impedir que a Microsoft armazene logs. Revise as configurações de retenção de dados da sua organização no portal de conformidade do Microsoft Purview.
ACC Não Está Disponível para o Copilot em Regiões Fora da UE
Algumas organizações presumem que podem solicitar o ACC em qualquer região do Azure. A Microsoft não anunciou planos para expandir o ACC para o Copilot além do limite de dados da UE. Se seu locatário estiver nos Estados Unidos, Canadá ou Ásia, você não pode usar este recurso.
Habilitar o ACC Pode Aumentar a Latência
O processo de criptografia e descriptografia dentro do enclave Intel SGX adiciona uma pequena sobrecarga de processamento. Os usuários podem notar tempos de resposta ligeiramente maiores em comparação com o Copilot padrão. A Microsoft afirma que o aumento de latência é tipicamente inferior a 200 milissegundos para a maioria dos prompts.
Copilot Padrão vs Copilot com Azure Confidential Computing
| Item | Copilot Padrão | Copilot com ACC |
|---|---|---|
| Criptografia de dados em uso | Baseada em software, visível para a Microsoft | Baseada em hardware (Intel SGX), opaca para a Microsoft |
| Regiões suportadas | Todas as regiões de datacenter do Microsoft 365 | Apenas Europa Ocidental e Europa Setentrional |
| Licença necessária | Copilot for Microsoft 365 | Copilot for Microsoft 365 + Microsoft 365 E5 ou E5 Compliance |
| Proteção de plugins e ancoragem na web | Não criptografado | Não criptografado |
| Mudança na experiência do usuário | Nenhuma | Nenhuma visível para os usuários finais |
| Impacto na latência | Linha de base | Até 200 ms adicionais |
| Habilitação por autoatendimento | Sim | Ticket de suporte necessário |
Agora você pode avaliar se o Copilot com Azure Confidential Computing atende às necessidades de conformidade da sua organização. Comece verificando a localização de dados padrão do seu locatário no centro de administração do Microsoft 365. Se você estiver na UE e tiver licenças E5, envie uma solicitação de suporte para iniciar o processo de habilitação. Para locatários fora da UE, considere usar o recurso Customer Lockbox do Microsoft 365 como uma alternativa para limitar o acesso da Microsoft aos seus dados do Copilot.