Quando sua organização usa barreiras de informação no Microsoft 365, o Copilot deve respeitar essas políticas para evitar comunicação não autorizada entre grupos. As barreiras de informação restringem a comunicação e colaboração entre grupos de usuários específicos, como departamentos que lidam com dados confidenciais. O Copilot herda essas restrições, o que significa que ele não pode acessar, resumir ou gerar conteúdo a partir de dados que pertencem a um grupo com o qual o usuário não tem permissão de interagir. Este artigo explica exatamente como o Copilot se comporta entre grupos, quais dados ele pode e não pode usar e como verificar se suas políticas de barreira estão aplicadas corretamente.
Principais Conclusões: Comportamento do Copilot Entre Grupos com Barreiras de Informação
- Políticas de barreira de informação no portal de conformidade do Microsoft Purview: Definem quais segmentos de usuários não podem se comunicar ou compartilhar dados; o Copilot aplica essas políticas em tempo de execução.
- Fundação de dados do Copilot no Microsoft Graph: O Copilot recupera apenas dados de arquivos, chats e e-mails aos quais o usuário tem acesso explícito; as políticas de barreira restringem esse acesso antes que o Copilot leia qualquer coisa.
- Consultas do Copilot entre grupos retornam resultados limitados ou nenhum: Se um usuário perguntar ao Copilot sobre conteúdo em um segmento restrito, o Copilot retorna uma resposta vazia ou conteúdo apenas do próprio segmento do usuário.
Como as Barreiras de Informação Afetam o Acesso a Dados do Copilot
As barreiras de informação são políticas definidas no portal de conformidade do Microsoft Purview. Elas impedem que segmentos específicos de usuários se comuniquem ou compartilhem dados com outros segmentos. Por exemplo, um segmento do departamento financeiro pode ser bloqueado de se comunicar com um segmento de recursos humanos que lida com dados confidenciais de funcionários. Quando um usuário interage com o Copilot, o serviço verifica a identidade do usuário e as políticas de barreira de informação para aquele usuário. O Copilot então restringe sua fundação de dados apenas aos recursos do Microsoft Graph que o usuário tem permissão para acessar.
O Copilot usa a fundação de dados para recuperar informações relevantes dos serviços do Microsoft 365, como SharePoint, OneDrive, chats do Teams e e-mails. Se as políticas de barreira de informação bloquearem o usuário de um segmento específico, o Copilot não pode recuperar nenhum dado desse segmento. Isso inclui arquivos, mensagens, itens de calendário e qualquer outro conteúdo armazenado no Exchange Online, SharePoint Online ou Teams. A restrição se aplica tanto à geração de novo conteúdo quanto à sumarização de conteúdo existente.
Escopo dos Recursos do Copilot Afetados
Todos os recursos do Copilot que dependem de dados do Microsoft Graph estão sujeitos às políticas de barreira de informação. Isso inclui o Copilot no Word, Excel, PowerPoint, Outlook, Teams e o painel do Copilot nos aplicativos do Microsoft 365. Por exemplo, se um usuário do segmento financeiro pedir ao Copilot no Word para resumir um documento armazenado em um site do SharePoint que pertence ao segmento de RH, o Copilot retorna um erro ou uma resposta vazia. O mesmo se aplica ao Copilot no Teams, onde ele não pode resumir mensagens de chat ou transcrições de reuniões de um segmento restrito.
Comportamento Entre Grupos: O Que o Copilot Faz e Não Faz
Quando um usuário tenta acessar dados entre grupos que são bloqueados por uma barreira de informação, o Copilot se comporta de uma das duas maneiras, dependendo do cenário:
- Consulta direta sobre conteúdo restrito
Se o usuário perguntar explicitamente ao Copilot sobre um arquivo, e-mail ou chat que pertence a um segmento restrito, o Copilot retorna uma resposta indicando que o conteúdo não está disponível ou que o usuário não tem acesso. O Copilot não revela nenhum detalhe sobre o conteúdo em si, incluindo título, autor ou resumo. - Consulta indireta que pode incluir dados restritos
Se o usuário fizer uma pergunta geral que poderia ser respondida com dados de vários segmentos, o Copilot usa apenas dados dos segmentos que o usuário tem permissão para acessar. A resposta é baseada exclusivamente nos dados do próprio segmento do usuário. O Copilot não indica que outros dados existem, mas foram excluídos.
Esse comportamento é proposital. Ele garante que as políticas de barreira de informação sejam aplicadas sem vazar qualquer informação sobre a existência ou natureza do conteúdo restrito. Os usuários não são informados sobre o que estão perdendo; eles simplesmente obtêm resultados de suas fontes de dados permitidas.
Como Verificar se as Políticas de Barreira de Informação Estão Sendo Aplicadas ao Copilot
Para confirmar que o Copilot respeita suas políticas de barreira de informação, você precisa testar a configuração e monitorar os logs de auditoria.
Teste com uma Consulta Controlada
- Crie um usuário de teste em cada segmento
Atribua o usuário a um segmento que está bloqueado de outro segmento. Certifique-se de que o usuário de teste tenha uma licença Microsoft 365 E5 ou uma licença do Copilot para Microsoft 365. - Coloque um arquivo conhecido no segmento restrito
Carregue um documento em um site do SharePoint que pertence ao segmento restrito. Anote o nome do arquivo e uma frase única no documento. - Pergunte ao Copilot sobre o arquivo usando a conta do usuário de teste
Abra o Copilot no Word ou no painel do Copilot e faça uma pergunta que inclua a frase única. Verifique se o Copilot retorna nenhum resultado ou uma mensagem de acesso negado. - Faça uma pergunta geral ao Copilot usando a conta do usuário de teste
Faça uma pergunta ampla que poderia ser respondida com dados de ambos os segmentos. Confirme que o Copilot retorna apenas resultados do próprio segmento do usuário de teste.
Verifique os Logs de Auditoria para Atividade do Copilot
- Abra o portal de conformidade do Microsoft Purview
Navegue até Auditoria na navegação à esquerda. - Pesquise eventos de interação do Copilot
Use o filtro Carga de trabalho: Copilot e defina um intervalo de tempo. Procure eventos em que o usuário consultou conteúdo bloqueado por uma barreira de informação. - Verifique os detalhes da entrada de auditoria
Na entrada do log de auditoria, verifique o campo Item. Se o item for de um segmento restrito, o log de auditoria mostra que o Copilot não conseguiu recuperar os dados. O usuário não vê esse log, mas os administradores podem revisá-lo.
Se o Copilot Ainda Retornar Dados Restritos
Se seus testes revelarem que o Copilot está retornando dados de um segmento restrito, a política de barreira de informação pode não estar aplicada corretamente à fonte de dados ou ao usuário. Revise as seguintes possibilidades.
Política de Barreira de Informação Não Aplicada ao SharePoint ou Teams
As políticas de barreira de informação devem ser definidas para cobrir os sites do SharePoint, canais do Teams e caixas de correio do Exchange que pertencem a cada segmento. Se um site ou canal não estiver atribuído a um segmento, o Copilot pode acessá-lo independentemente da associação de segmento do usuário. Verifique se cada site e canal está vinculado ao segmento correto, verificando as configurações de política do site no portal de conformidade do Microsoft Purview.
Usuário Não Atribuído ao Segmento Correto
Um usuário deve ser atribuído a um segmento no Azure Active Directory para que as barreiras de informação sejam aplicadas. Verifique o perfil do usuário no centro de administração do Microsoft 365 em Usuários ativos. Confirme se o atributo Barreira de informação está definido para o segmento correto. Se o atributo estiver ausente ou incorreto, atualize-o e aguarde a propagação da política, que pode levar até 24 horas.
Licença do Copilot Não Configurada Corretamente
Se um usuário não tiver uma licença do Copilot para Microsoft 365, o Copilot não está disponível e nenhum comportamento entre grupos ocorre. Certifique-se de que o usuário tenha a licença correta atribuída em Cobrança > Licenças no centro de administração do Microsoft 365.
| Item | Copilot Sem Barreiras de Informação | Copilot Com Barreiras de Informação |
|---|---|---|
| Escopo da fundação de dados | Todos os dados do Microsoft Graph aos quais o usuário tem acesso | Apenas dados de segmentos que o usuário tem permissão para acessar |
| Resultados de consultas entre grupos | Retorna conteúdo de qualquer segmento acessível | Retorna resposta vazia ou erro para segmentos restritos |
| Notificação ao usuário sobre dados restritos | Não se aplica | O Copilot não informa o usuário que dados foram excluídos |
| Visibilidade no log de auditoria | Eventos de auditoria padrão do Copilot | Inclui eventos para tentativas de acesso entre grupos bloqueadas |
| Ponto de aplicação da política | Apenas permissões em nível de usuário | Permissões em nível de usuário mais políticas de barreira de informação |
O Copilot com barreiras de informação aplica uma camada adicional de controle de acesso além das permissões padrão do usuário. Isso garante que, mesmo que um usuário tenha acesso de leitura a um site do SharePoint, o Copilot não possa recuperar dados desse site se uma barreira de informação bloquear o segmento do usuário do segmento do site.
Para confirmar que suas políticas de barreira de informação estão funcionando conforme o esperado para o Copilot, execute as consultas de teste descritas acima pelo menos uma vez por trimestre e após qualquer alteração de política. Monitore os logs de auditoria do Copilot em busca de eventos de acesso bloqueado para detectar vazamentos de dados não intencionais precocemente. Se precisar ajustar políticas, sempre teste primeiro com uma conta de usuário não produtiva para evitar interromper as operações de negócios.