Você precisa entender como o Microsoft Copilot protege seus dados quando eles estão armazenados em servidores e quando trafegam entre seu dispositivo e a nuvem. A criptografia é o mecanismo central de segurança que impede o acesso não autorizado aos seus prompts, respostas e arquivos. Este artigo explica a diferença entre criptografia em repouso e criptografia em trânsito, as tecnologias específicas que a Microsoft usa para cada uma e como essas proteções se aplicam às interações com o Copilot. Ao final, você saberá exatamente onde a criptografia é aplicada e quais configurações pode verificar em seu locatário do Microsoft 365.
Principais Conclusões: Criptografia de Dados do Copilot no Microsoft 365
- Criptografia do Serviço de Armazenamento do Azure com AES de 256 bits: Protege todos os dados do Copilot em repouso nos servidores da Microsoft.
- Protocolos TLS 1.2 e 1.3: Criptografam todos os dados que trafegam entre seu dispositivo e os serviços do Microsoft 365 durante o uso do Copilot.
- Portal de conformidade do Microsoft Purview > Configurações de criptografia de dados: Permite que administradores do locatário revisem as políticas de criptografia e as opções de chave gerenciada pelo cliente.
O Que Criptografia em Repouso e em Trânsito Significam para o Copilot
A criptografia em repouso protege dados armazenados em discos rígidos físicos, unidades de estado sólido ou sistemas de armazenamento em nuvem. Quando você envia um prompt ao Copilot, o prompt, a resposta gerada e quaisquer metadados relacionados são salvos temporariamente nos servidores do Azure. A Criptografia do Serviço de Armazenamento do Azure criptografa automaticamente esses dados usando o Advanced Encryption Standard de 256 bits antes de gravá-los em disco. Nenhuma ação do usuário é necessária, e as chaves de criptografia são gerenciadas pela Microsoft, a menos que você habilite chaves gerenciadas pelo cliente por meio do Azure Information Protection.
A criptografia em trânsito protege os dados enquanto eles se movem pelas redes. Quando sua solicitação ao Copilot sai do seu dispositivo, ela viaja pela internet até os datacenters do Microsoft 365. Os protocolos Transport Layer Security criptografam esse fluxo de dados para que qualquer pessoa que intercepte o tráfego de rede veja apenas texto cifrado embaralhado. A Microsoft exige TLS 1.2 ou superior para todas as conexões do Copilot. Protocolos mais antigos, como TLS 1.0 e SSL, são bloqueados no nível do serviço.
Ambas as camadas de criptografia funcionam juntas. Os dados são criptografados antes de sair do seu dispositivo, permanecem criptografados enquanto atravessam a internet, continuam criptografados no servidor e são descriptografados apenas quando o serviço Copilot precisa processar a solicitação. Após o processamento, a resposta é re-criptografada para a viagem de volta ao seu dispositivo.
Como o Copilot Usa Chaves de Criptografia
A Microsoft usa hierarquias de chaves separadas para criptografia em repouso e em trânsito. Para criptografia em repouso, a Criptografia do Serviço de Armazenamento do Azure usa uma chave raiz armazenada no Azure Key Vault. Essa chave raiz criptografa uma chave de criptografia de dados, que por sua vez criptografa os blocos de armazenamento individuais que contêm seus dados do Copilot. Para criptografia em trânsito, chaves de sessão TLS são geradas por conexão e trocadas usando criptografia de chave pública. Essas chaves de sessão são de curta duração e descartadas após o término de cada sessão.
Onde os Dados do Copilot São Armazenados
Os dados do Copilot são armazenados na mesma região geográfica do seu locatário do Microsoft 365. Por exemplo, se seu locatário estiver hospedado nos Estados Unidos, os dados do Copilot permanecem em datacenters do Azure nos Estados Unidos. Esse vínculo geográfico faz parte dos compromissos de residência de dados da Microsoft. A criptografia em repouso se aplica em todas as regiões, e o mesmo padrão AES de 256 bits é usado globalmente.
Etapas para Verificar as Configurações de Criptografia do Copilot no Seu Locatário
Você não precisa configurar a criptografia manualmente para o uso padrão do Copilot. A Microsoft ativa a criptografia em repouso e em trânsito por padrão. No entanto, os administradores do locatário podem verificar as políticas de criptografia e, opcionalmente, habilitar chaves gerenciadas pelo cliente. Siga estas etapas para verificar as configurações.
- Abra o portal de conformidade do Microsoft Purview
Faça login no centro de administração do Microsoft 365 em admin.microsoft.com. Na navegação à esquerda, selecione Conformidade. Isso abre o portal de conformidade do Microsoft Purview, onde as configurações de proteção de dados são gerenciadas. - Navegue até as configurações de criptografia de dados
No portal Purview, expanda Gerenciamento do ciclo de vida dos dados e selecione Criptografia de dados do Microsoft 365. Esta página mostra o status da criptografia para todas as cargas de trabalho do Microsoft 365, incluindo o Copilot. - Revise o resumo da criptografia
Procure a seção Criptografia em repouso. Ela exibe o algoritmo de criptografia e a origem da chave. Por padrão, a origem da chave é Gerenciada pela Microsoft. Se sua organização exigir chaves gerenciadas pelo cliente, selecione Chaves gerenciadas pelo cliente e siga o assistente de importação ou geração de chaves no Azure Key Vault. - Verifique os requisitos do protocolo TLS
No mesmo portal, vá para Gerenciamento do ciclo de vida dos dados > Criptografia de dados em trânsito. Verifique se a Versão mínima do TLS está definida como 1.2. Isso garante que todo o tráfego do Copilot use o protocolo de criptografia exigido. - Habilite o log de auditoria para alterações de criptografia
Para rastrear quaisquer alterações nas configurações de criptografia, vá para Auditoria > Pesquisa de log de auditoria. Ative a auditoria se ainda não estiver ativa. Pesquise atividades como Definir configuração de criptografia ou Atualizar política de chave para monitorar ações administrativas.
Equívocos Comuns Sobre a Criptografia do Copilot
Criptografia em repouso significa que os dados são criptografados apenas quando ociosos
Alguns usuários acreditam que os dados são descriptografados quando o Copilot processa um prompt e permanecem descriptografados até a próxima operação de gravação. Na realidade, a Criptografia do Serviço de Armazenamento do Azure descriptografa os dados apenas na memória pelo tempo exato necessário para processar a solicitação. Os dados descriptografados nunca tocam o disco. Assim que o processamento é concluído, os dados são imediatamente re-criptografados antes de serem gravados de volta no armazenamento.
A criptografia em trânsito usa a mesma chave para todas as conexões
Cada sessão TLS usa uma chave de sessão única gerada por meio da troca de chaves Diffie-Hellman. Mesmo que um invasor capture a chave privada do servidor, ele não pode descriptografar sessões passadas porque a chave de sessão é derivada de parâmetros efêmeros. Essa propriedade é chamada de sigilo de encaminhamento.
Chaves gerenciadas pelo cliente fornecem criptografia mais forte do que chaves gerenciadas pela Microsoft
Ambas as opções de gerenciamento de chaves usam o mesmo algoritmo de criptografia AES de 256 bits. A diferença está no controle da chave, não na força da criptografia. As chaves gerenciadas pelo cliente permitem que você gire, revogue ou audite o uso da chave de forma independente, o que pode ajudar a atender aos requisitos de conformidade regulatória. A cifra subjacente e o comprimento da chave são idênticos.
Criptografia do Copilot em Repouso vs. em Trânsito: Principais Diferenças
| Item | Criptografia em Repouso | Criptografia em Trânsito |
|---|---|---|
| Estado dos dados | Dados armazenados em disco ou armazenamento em nuvem | Dados em movimento pela rede |
| Tecnologia de criptografia | Criptografia do Serviço de Armazenamento do Azure usando AES de 256 bits | TLS 1.2 ou 1.3 com sigilo de encaminhamento |
| Gerenciamento de chaves | Chaves gerenciadas pela Microsoft por padrão; chaves gerenciadas pelo cliente opcionais | Chaves de sessão efêmeras geradas por conexão |
| Quando a criptografia é aplicada | Antes de gravar em disco; após ler do disco | Antes de sair do dispositivo de origem; após chegar ao destino |
| Configuração do usuário necessária | Nenhuma para configurações padrão | Nenhuma para configurações padrão |
| Escopo | Todos os prompts, respostas e metadados do Copilot armazenados no Azure | Todo o tráfego de rede entre o cliente e os datacenters do Microsoft 365 |
Agora você pode explicar como a criptografia protege os dados do Copilot em dois estados distintos. Use o portal de conformidade do Purview para verificar se o TLS 1.2 está em vigor e se a criptografia em repouso está ativa com sua opção de gerenciamento de chaves preferida. Para um controle mais profundo, considere habilitar chaves gerenciadas pelo cliente no Azure Key Vault, o que permite girar as chaves em seu próprio cronograma e atender a estruturas de conformidade específicas, como FedRAMP ou HIPAA.