O Microsoft Copilot para Microsoft 365 usa criptografia para proteger seus dados em repouso e em trânsito. Quando sua organização exige controle total sobre as chaves de criptografia, o Bring Your Own Key BYOK permite que você gerencie e gire suas próprias chaves mantidas no Azure Key Vault. Essa configuração adiciona uma camada de segurança, mas também introduz requisitos específicos de planejamento e operação. Este artigo explica o que é a criptografia BYOK, quais pré-requisitos são necessários e as principais considerações para uma implantação bem-sucedida com o Copilot.
Principais Conclusões: Planejando BYOK para o Copilot
- Criação de chave no Azure Key Vault e permissões: Você deve criar uma chave gerenciada pelo cliente CMK no Azure Key Vault e atribuir as funções RBAC corretas ao Microsoft 365 antes de habilitar o BYOK.
- Escopo da criptografia de dados do Copilot: O BYOK criptografa o conteúdo gerado pelo Copilot e os dados fundamentados em repouso, mas nem todos os recursos do Copilot honram chaves personalizadas imediatamente.
- Impacto da rotação e revogação da chave: Girar ou revogar a chave pode causar degradação do serviço ou perda de acesso aos dados para recursos do Copilot que dependem dos dados criptografados.
O que a Criptografia BYOK Significa para o Copilot
BYOK é um recurso de criptografia do Microsoft 365 que permite que você forneça e gerencie sua própria chave de criptografia armazenada no Azure Key Vault. A Microsoft ainda realiza as operações de criptografia e descriptografia, mas a chave raiz é de propriedade e controle da sua organização. Para o Copilot, isso significa que qualquer dado que o Copilot processe ou gere pode ser criptografado com sua chave em vez de uma chave gerenciada pela Microsoft.
A criptografia em repouso cobre prompts, respostas e os dados fundamentados recuperados de fontes do Microsoft Graph, como e-mails, arquivos e entradas de calendário. O BYOK não altera como o Copilot processa dados na memória ou durante o trânsito. O Transport Layer Security TLS ainda protege os dados em movimento.
Um equívoco comum é que o BYOK criptografa todas as interações do Copilot imediatamente. Na realidade, o BYOK se aplica apenas aos dados armazenados em serviços do Microsoft 365 que suportam chaves gerenciadas pelo cliente. Alguns recursos do Copilot, como o Copilot no Power BI ou o Copilot no Dynamics 365, usam armazenamentos de criptografia separados que podem exigir configuração adicional. Verifique quais cargas de trabalho do Microsoft 365 sua licença do Copilot cobre e confirme se cada uma suporta BYOK.
Pré-requisitos para BYOK com o Copilot
Antes de começar, certifique-se de que seu locatário atenda a estes requisitos:
- Uma assinatura ativa do Microsoft 365 que inclua o Copilot para Microsoft 365.
- Uma assinatura do Azure com Azure Key Vault Standard ou Premium.
- Permissões de Administrador Global ou Colaborador do Azure Key Vault para criar e gerenciar chaves.
- Sua organização deve usar o Azure Active Directory Azure AD para gerenciamento de identidade.
- Você deve ter o recurso BYOK habilitado no centro de administração do Microsoft 365. Esse recurso está disponível apenas para locatários nos ambientes Microsoft 365 Commercial, GCC, GCC High ou DoD.
Etapas para Configurar BYOK para o Copilot
O processo de configuração envolve duas fases principais: configurar a chave no Azure Key Vault e, em seguida, atribuí-la ao seu locatário do Microsoft 365. Siga estas etapas em ordem.
Fase 1: Criar e Configurar a Chave no Azure Key Vault
- Criar ou selecionar um Azure Key Vault
No portal do Azure, crie um novo Key Vault ou use um existente. Habilite a exclusão suave e a proteção contra purga para evitar a exclusão acidental da chave. Sem a proteção contra purga, uma chave excluída não pode ser recuperada e todos os dados criptografados se tornam inacessíveis. - Gerar uma chave gerenciada pelo cliente
Dentro do seu Key Vault, vá para Keys e crie uma nova chave. Escolha RSA 2048, RSA 3072 ou RSA 4096. Chaves protegidas por HSM são recomendadas para maior segurança. Dê à chave um nome descritivo, como copilot-byok-key. - Atribuir permissões ao Microsoft 365
Em Access policies no Key Vault, adicione uma nova política de acesso. Selecione o principal Microsoft 365 Encryption Service. O ID da entidade de serviço é exclusivo do seu locatário. Conceda as permissões Get, Unwrap Key e Wrap Key. Não conceda permissões Delete a essa entidade de serviço.
Fase 2: Atribuir a Chave ao Seu Locatário do Microsoft 365
- Abra o centro de administração do Microsoft 365
Vá para Settings > Org settings > Security & privacy > Customer Key. Selecione Customer-managed keys e depois Add key. - Insira o URI da chave
Copie o Key Identifier URI da sua chave do Azure Key Vault. O formato é https://yourvaultname.vault.azure.net/keys/yourkeyname/version. Cole este URI na página de configuração do Customer Key. - Habilitar a chave para cargas de trabalho do Copilot
Na mesma página de configuração, selecione as cargas de trabalho que o Copilot usa. No mínimo, selecione Exchange Online e SharePoint Online. Esses serviços armazenam prompts e respostas do Copilot. Se sua licença do Copilot incluir Teams, também selecione Microsoft Teams. - Verificar a ativação da chave
Aguarde até 30 minutos para a chave se propagar. Use o cmdlet Get-M365CustomerKey no Exchange Online PowerShell para confirmar que a chave está ativa. A saída deve mostrar o status da chave como In Use.
Problemas Comuns de Configuração e o que Evitar
Copilot Ainda Usa Chaves Gerenciadas pela Microsoft Após Configuração BYOK
Isso geralmente acontece quando a chave não é atribuída às cargas de trabalho corretas. O BYOK criptografa apenas os dados nas cargas de trabalho que você seleciona durante a configuração. Se você pular o SharePoint Online, as respostas do Copilot armazenadas no SharePoint permanecem criptografadas com uma chave gerenciada pela Microsoft. Volte às configurações do Customer Key e verifique se todas as cargas de trabalho relevantes estão selecionadas.
Rotação de Chave Causa Interrupção Temporária do Serviço
Quando você gira a chave no Azure Key Vault, o Microsoft 365 não adota imediatamente a nova versão. Pode levar até 72 horas para que a nova chave seja aplicada em todas as cargas de trabalho. Durante essa janela, o Copilot pode retornar erros ou falhar ao gerar respostas. Planeje as rotações de chave durante períodos de baixo uso e comunique a mudança ao seu help desk.
Revogar a Chave Quebra o Acesso ao Copilot
Se você revogar a chave excluindo a política de acesso ou desabilitando a chave no Azure Key Vault, o Copilot perde a capacidade de descriptografar dados existentes. Os usuários veem erros como “Copilot cannot access your organization data”. Para recuperar, reabilite a chave e reaplique a política de acesso. Dados criptografados com a chave antiga permanecem inacessíveis se a chave for excluída permanentemente.
BYOK Não Cobre Todos os Recursos do Copilot
O Copilot em aplicativos do Microsoft 365 como Word, Excel e PowerPoint usa a criptografia do documento subjacente. Se o documento estiver armazenado no OneDrive ou SharePoint, o BYOK se aplica. O Copilot no Power BI usa um armazenamento de chave de criptografia separado chamado Power BI encryption. Você deve configurar o BYOK para Power BI independentemente. Verifique a documentação da Microsoft para cada recurso do Copilot para confirmar o suporte BYOK.
BYOK vs Chaves Gerenciadas pela Microsoft para o Copilot
| Item | BYOK Chave Gerenciada pelo Cliente | Chave Gerenciada pela Microsoft |
|---|---|---|
| Propriedade da chave | Sua organização controla a chave no Azure Key Vault | A Microsoft gera e gerencia a chave |
| Controle de rotação da chave | Você decide quando e como girar a chave | A Microsoft gira as chaves automaticamente |
| Impacto da revogação da chave | Revogar a chave pode bloquear o acesso do Copilot aos dados criptografados | A Microsoft gerencia a revogação; nenhum controle direto do usuário |
| Complexidade da configuração | Requer configuração do Azure Key Vault e permissões | Nenhuma configuração necessária; habilitado por padrão |
| Escopo de conformidade | Atende aos requisitos de conformidade para controle de chaves | Não atende aos requisitos de controle de chaves |
O BYOK adiciona sobrecarga operacional, mas oferece controle total sobre as chaves de criptografia. As chaves gerenciadas pela Microsoft são mais simples e suficientes para a maioria das organizações. Escolha BYOK apenas se sua política de conformidade exigir chaves controladas pelo cliente.
Após configurar o BYOK para o Copilot, monitore o uso da chave nos logs do Azure Key Vault. Configure alertas para expiração da chave ou alterações de permissão. Teste a rotação de chaves em um locatário que não seja de produção primeiro. Se sua organização usar várias cargas de trabalho do Microsoft 365, verifique se cada uma suporta BYOK antes de implantar para usuários em produção.