Organizações que usam o Microsoft Copilot para Microsoft 365 frequentemente precisam controlar suas próprias chaves de criptografia para conformidade ou políticas de segurança. As chaves gerenciadas pelo cliente (CMK) permitem criar e gerenciar sua própria chave de criptografia no Azure Key Vault em vez de depender das chaves gerenciadas pela Microsoft. Este artigo explica como configurar CMK para o Copilot, o que o recurso realmente faz e as importantes compensações que você deve avaliar antes de ativá-lo.
Principais Conclusões: Chaves Gerenciadas pelo Cliente para o Copilot
- Azure Key Vault + Azure Key Vault Managed HSM: Necessário para armazenar e controlar a chave gerenciada pelo cliente usada para criptografia dos dados do Copilot.
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Chaves gerenciadas pelo cliente: O caminho exato para iniciar e atribuir CMK para cargas de trabalho do Copilot.
- Rotação e revogação de chaves: Você controla a frequência de rotação da chave e pode revogar o acesso imediatamente, o que impede o Copilot de descriptografar dados.
O que as Chaves Gerenciadas pelo Cliente Fazem pelo Copilot
As chaves gerenciadas pelo cliente permitem criptografar dados em repouso para serviços do Copilot usando uma chave que você controla no Azure Key Vault. O Microsoft Copilot armazena prompts de usuários, respostas e dados fundamentados em serviços do Microsoft 365 como Exchange Online, SharePoint Online e Microsoft Teams. Por padrão, a Microsoft criptografa esses dados com chaves gerenciadas pela plataforma. Com CMK, você fornece sua própria chave, e a Microsoft usa essa chave para criptografar os dados em repouso. Você mantém a propriedade e o gerenciamento do ciclo de vida da chave, incluindo rotação, revogação e backup.
O CMK não criptografa dados em trânsito ou dados durante o processamento. Ele se aplica apenas a dados em repouso armazenados em serviços do Microsoft 365 que o Copilot acessa. O recurso requer uma assinatura do Azure com um Azure Key Vault Premium ou um Managed HSM. Você também deve atribuir as permissões corretas para que o Microsoft 365 possa usar a chave em seu nome. Sem esses pré-requisitos, a configuração falhará.
Pré-requisitos para Configurar CMK
Antes de iniciar o processo de configuração, confirme que seu locatário atende aos seguintes requisitos:
- Assinatura do Azure: Você precisa de uma assinatura ativa do Azure com pelo menos um Azure Key Vault ou Azure Key Vault Managed HSM.
- SKU do Key Vault: O Key Vault deve ser do tipo Standard ou Premium. O nível Gratuito não suporta CMK para Microsoft 365.
- Permissões: Você deve ter a função de Administrador Global no Microsoft 365 e a função de Colaborador ou Proprietário no Azure Key Vault.
- Tipo de chave: A chave deve ser uma chave RSA com tamanho mínimo de 2048 bits. Chaves protegidas por HSM são suportadas.
- Exclusão temporária e proteção contra purga: Ambos devem estar habilitados no Key Vault. Sem eles, a recuperação da chave não é possível após exclusão acidental.
Configuração Passo a Passo para Chaves Gerenciadas pelo Cliente
- Criar ou selecionar um Azure Key Vault
Acesse o portal do Azure e navegue até Key Vaults. Crie um novo cofre ou selecione um existente. Certifique-se de que o cofre tenha exclusão temporária e proteção contra purga habilitadas. Copie o URI do cofre. - Gerar ou importar sua chave
Dentro do Key Vault, vá em Keys e clique em Generate/Import. Escolha o tipo de chave RSA e defina o tamanho da chave como 2048 ou superior. Dê um nome à chave e defina uma data de ativação, se necessário. Não defina uma data de expiração, a menos que planeje rotacioná-la manualmente. - Atribuir as permissões de chave para o Microsoft 365
No Key Vault, vá em Access policies e adicione uma nova política. Selecione o principal Microsoft 365 Key Vault Service. Em key permissions, habilite Get, Unwrap Key e Wrap Key. Clique em Save. - Habilitar CMK no centro de administração do Microsoft 365
Faça login no centro de administração do Microsoft 365. Vá em Settings > Org settings > Customer-managed keys. Clique em Set up customer-managed keys. Cole o URI do Key Vault e o nome da chave. Clique em Submit. - Validar a atribuição da chave
Após o envio, o centro de administração exibirá um status de Key assigned. Isso pode levar até 24 horas para se propagar por todos os serviços do Microsoft 365. Você pode verificar o status retornando à página Customer-managed keys. - Testar a funcionalidade do Copilot
Abra o Copilot no Microsoft Teams ou Word e execute uma consulta de teste. O serviço deve responder normalmente. Se você vir um erro sobre criptografia, verifique as permissões do Key Vault e certifique-se de que a chave não está desabilitada ou expirada.
Compensações e Limitações do CMK
O Copilot Para de Funcionar Se a Chave For Revogada ou Expirada
Se você desabilitar, excluir ou expirar a chave no Azure Key Vault, os serviços do Microsoft 365, incluindo o Copilot, perdem o acesso aos dados criptografados. O Copilot falhará ao gerar respostas porque não consegue descriptografar os dados subjacentes. Você deve restaurar a chave ou criar uma nova e reatribuí-la. Este é um recurso de segurança intencional, mas pode causar interrupções inesperadas se o ciclo de vida da chave não for gerenciado com cuidado.
A Recuperação de Dados é Complexa Após a Perda da Chave
Se você excluir permanentemente a chave sem um backup, a Microsoft não poderá recuperar os dados criptografados. Não há opção de suporte para contornar a criptografia. Você deve manter backups da sua chave em um local seguro separado. A exclusão temporária do Azure Key Vault oferece uma janela de recuperação de 90 dias, mas apenas se a proteção contra purga estiver habilitada.
Não Há Suporte para Bring Your Own Key para Todos os Recursos do Copilot
O CMK atualmente se aplica apenas a dados em repouso no Exchange Online, SharePoint Online e OneDrive for Business. Os recursos do Copilot que dependem de conectores do Microsoft Graph ou fontes de dados de terceiros não são cobertos pelo CMK. Esses serviços continuam usando chaves gerenciadas pela Microsoft.
Sobrecarga de Desempenho Durante Operações de Chave
Toda vez que o Copilot acessa dados criptografados, o Microsoft 365 precisa chamar o Azure Key Vault para desembrulhar a chave. Isso adiciona uma pequena sobrecarga de latência, tipicamente alguns milissegundos por requisição. Em cenários de alta taxa de transferência, o efeito cumulativo pode ser perceptível. A Microsoft recomenda usar um Key Vault na mesma região do seu locatário do Microsoft 365 para minimizar a latência.
A Roração de Chaves Exige Scripts Manuais ou Automatizados
A Microsoft não rotaciona chaves gerenciadas pelo cliente automaticamente. Você deve criar uma nova versão da chave no Azure Key Vault e depois atualizar a atribuição da chave no centro de administração do Microsoft 365. Você pode automatizar isso com scripts do Azure PowerShell ou CLI, mas o processo de atualização pode levar até 24 horas para se propagar por todos os serviços.
Chaves Gerenciadas pelo Cliente vs Chaves Gerenciadas pela Microsoft
| Item | Chaves Gerenciadas pelo Cliente | Chaves Gerenciadas pela Microsoft |
|---|---|---|
| Propriedade da chave | Você controla a chave no Azure Key Vault | A Microsoft gera e gerencia a chave |
| Rotação de chave | Você deve rotacionar manualmente ou via automação | A Microsoft rotaciona automaticamente |
| Revogação de chave | Você pode revogar o acesso instantaneamente | Não se aplica |
| Recuperação de dados após perda da chave | Não é possível sem um backup | A Microsoft pode recuperar os dados |
| Custo adicional | Cobranças do Azure Key Vault se aplicam | Nenhum custo adicional |
| Latência | Pequena sobrecarga por operação de chave | Nenhuma sobrecarga |
| Escopo de conformidade | Apenas Exchange, SharePoint, OneDrive | Todos os serviços do Microsoft 365 |
Se a Configuração do CMK Falhar ou o Copilot Parar de Responder
Permissões do Key Vault Incorretas
A falha mais comum é a falta de permissões Get, Unwrap Key ou Wrap Key para o principal do Microsoft 365 Key Vault Service. Volte às políticas de acesso do Key Vault e verifique se o principal está listado com essas três permissões. Se você alterou as permissões recentemente, aguarde 10 minutos e tente a configuração novamente.
Chave Desabilitada ou Expirada
Verifique o status da chave no Azure Key Vault. Se a chave estiver desabilitada ou além da data de expiração, habilite-a ou crie uma nova versão da chave. Em seguida, atualize a atribuição da chave no centro de administração do Microsoft 365. O Copilot deve retomar a operação normal em até 30 minutos.
Região do Locatário Não Corresponde à Região do Key Vault
Os serviços do Microsoft 365 esperam que o Key Vault esteja na mesma região geográfica que seu locatário. Se as regiões forem diferentes, a configuração pode falhar ou o Copilot pode apresentar erros intermitentes. Mova a chave para um Key Vault na região correta ou crie um novo cofre na região do locatário.
Com chaves gerenciadas pelo cliente, você obtém controle total sobre a criptografia dos dados do Copilot em repouso. A configuração é direta se você atender aos pré-requisitos e seguir os passos exatamente. No entanto, o custo operacional, o impacto na latência e os riscos de recuperação significam que você só deve habilitar o CMK quando seus requisitos de conformidade exigirem explicitamente. Para a maioria das organizações, as chaves gerenciadas pela Microsoft fornecem segurança suficiente com menos sobrecarga de gerenciamento. Se você prosseguir, automatize a rotação de chaves e mantenha backups seguros para evitar interrupções no serviço.