As políticas de Prevenção contra Perda de Dados (DLP) no Microsoft Purview podem impedir que o Copitol processe ou exiba informações confidenciais. Sem controles de DLP, o Copilot pode expor dados sigilosos de e-mails, documentos ou conversas durante uma solicitação do usuário. Este artigo explica como as políticas de DLP se aplicam às interações do Copilot, o que aciona um bloqueio e como verificar se a proteção está funcionando corretamente.
Quando uma regra de DLP identifica conteúdo confidencial em uma solicitação ou resposta do Copilot, o Microsoft 365 pode bloquear a ação ou exibir uma dica de política. O mecanismo de bloqueio opera na camada do Microsoft Graph, não diretamente na janela de chat do Copilot. Entender essa integração ajuda os administradores a proteger o Copilot sem prejudicar fluxos de trabalho legítimos.
Este guia aborda as condições exatas que causam um bloqueio, a experiência do usuário final e como testar sua configuração de DLP com o Copilot.
Principais Conclusões: Como o DLP Bloqueia Ações do Copilot
- Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas: As políticas de DLP inspecionam os dados de solicitação e resposta do Copilot por meio dos conectores do Microsoft Graph.
- Tipos de informação confidencial e classificadores treináveis: O DLP bloqueia o Copilot quando o conteúdo corresponde a uma regra, como números de cartão de crédito ou rótulos confidenciais personalizados.
- Dica de política no Copilot: Os usuários veem uma faixa vermelha com a mensagem “Este conteúdo foi bloqueado pela política de DLP da sua organização” em vez da resposta gerada.
Como as Políticas de DLP Interceptam os Dados do Copilot
As políticas de DLP no Microsoft Purview não bloqueiam o Copilot em si. Elas bloqueiam os dados que o Copilot tenta ler ou exibir. Quando um usuário digita uma solicitação no Copilot para Microsoft 365, a requisição passa pelo Microsoft Graph. A camada do Graph avalia os dados em relação às regras de DLP ativas antes que o Copilot processe a resposta.
Se a solicitação contiver informações confidenciais, como um número de CPF, o mecanismo de DLP identifica a correspondência e interrompe a requisição antes que ela chegue ao Copilot. A mesma verificação é feita no lado da resposta. Se o Copilot gerar texto que inclua uma correspondência de dados confidenciais, o mecanismo de DLP bloqueia a saída e a substitui por uma dica de política.
Três componentes tornam isso possível:
- Microsoft Graph Data Connect: Transporta o conteúdo da solicitação e da resposta para inspeção.
- Tipos de informação confidencial: Padrões internos ou personalizados que o DLP usa para detectar cartões de crédito, números de passaporte ou IDs de documentos proprietários.
- Classificadores treináveis: Modelos de aprendizado de máquina que identificam conteúdo como contratos legais ou relatórios financeiros sem correspondência exata de padrões.
Onde o DLP se Aplica no Fluxo do Copilot
As políticas de DLP se aplicam ao Copilot nos aplicativos do Microsoft 365: Word, Excel, PowerPoint, Outlook, Teams e no painel lateral do Copilot no Edge. O escopo da política inclui:
- Solicitações digitadas pelo usuário
- Dados contextuais do arquivo, e-mail ou reunião atuais
- Respostas geradas pelo Copilot
As políticas não se aplicam a consultas do Copilot que usam dados públicos da web por meio do modo Copilot com proteção de dados comerciais. O DLP inspeciona apenas dados de serviços do Microsoft 365, como Exchange Online, SharePoint e OneDrive.
Etapas para Configurar uma Política de DLP que Bloqueia o Copilot
Antes de começar, confirme que você possui as licenças necessárias: Microsoft 365 E5 ou Microsoft 365 E5 Compliance. A política de DLP deve ter como alvo a carga de trabalho do Copilot especificamente.
- Abra o portal de conformidade do Microsoft Purview
Acessehttps://compliance.microsoft.come faça login com uma conta que tenha a função de Administrador de Conformidade ou Administrador de DLP. - Crie uma nova política de DLP
Navegue até Prevenção contra Perda de Dados > Políticas. Clique em Criar política. Escolha Personalizado para criar uma política direcionada ao Copilot. - Selecione o local do Copilot
Na etapa Locais, marque Dispositivos e Microsoft 365 Copilot. Não pule o local Dispositivos, pois a atividade do Copilot é registrada como dados de endpoint. - Defina o tipo de informação confidencial ou classificador
Clique em Criar ou personalizar regras avançadas de DLP. Adicione uma regra. Em Condições, selecione O conteúdo contém. Escolha tipos de informação confidencial internos, como Número de CPF, ou um classificador treinável personalizado, como Código Fonte. - Defina a ação para bloquear
Em Ações, selecione Bloquear e escolha Bloquear usuários de compartilhar e restringir acesso. Ative Notificar usuários com uma dica de política para que os usuários vejam o motivo do bloqueio. - Teste a política no modo de simulação primeiro
Antes de ativar a política, defina o modo como Teste. Execute solicitações de teste no Copilot com dados confidenciais de amostra. Revise os alertas de DLP na guia Alertas para confirmar a detecção. - Ative a política
Após o teste, defina o modo da política como Ativar imediatamente. Monitore os relatórios de DLP em busca de falsos positivos nas próximas 48 horas.
O que o Usuário Vê Quando o DLP Bloqueia o Copilot
Quando uma política de DLP bloqueia uma ação do Copilot, o usuário não vê a resposta gerada. Em vez disso, o Copilot exibe uma faixa vermelha no topo do painel de chat com a mensagem: Este conteúdo foi bloqueado pela política de DLP da sua organização. Nenhuma parte da resposta aparece no histórico do chat. A solicitação em si permanece visível, pois o DLP bloqueia a saída, não a entrada.
Se o bloqueio ocorrer no lado da solicitação, o Copilot mostra uma faixa semelhante antes de qualquer resposta começar. O usuário não consegue ver a resposta do Copilot. A ação bloqueada também gera um alerta no portal de conformidade do Microsoft Purview em Alertas > Alertas de DLP.
O que Acontece com os Dados Após um Bloqueio
O conteúdo bloqueado não é armazenado no histórico do Copilot nem nos logs de atividade. Os logs de auditoria do Microsoft 365 registram o evento com os seguintes campos:
- Operação: DlpBlocked
- Carga de trabalho: Copilot
- Nome da política: A política de DLP que acionou o bloqueio
- Tipo de informação confidencial: O padrão ou classificador correspondente
Os administradores podem pesquisar esses eventos no log de auditoria em Soluções > Auditoria. O log não contém o texto real da solicitação ou resposta.
Se o DLP Não Bloquear o Copilot como Esperado
O Copilot Responde com Dados Confidenciais Apesar da Política de DLP Ativa
Isso geralmente acontece quando a política de DLP não inclui o local do Copilot. Vá até a política no Microsoft Purview e confirme se Microsoft 365 Copilot está listado em Locais. Se estiver ausente, edite a política e adicione o local. Verifique também se a política está definida como Ativar imediatamente e não ainda no modo de teste.
A Dica de Política Não Aparece Quando Ocorre o Bloqueio
A dica de política só aparece quando você ativa a ação de notificação na regra de DLP. Edite a regra e, em Ações, verifique se Notificar usuários com uma dica de política está ativado. A dica também exige que o usuário esteja executando uma versão compatível dos aplicativos do Microsoft 365. Usuários em versões antigas do Word ou Outlook podem ver um erro genérico em vez da dica de política.
Bloqueios Falso Positivos em Solicitações Não Confidenciais
Classificadores treináveis podem classificar incorretamente conteúdo benigno. Revise os alertas de DLP para o falso positivo. Nos detalhes do alerta, observe o Item correspondente e o Classificador que foi acionado. Ajuste a sensibilidade do classificador ou adicione uma lista de exclusão à regra. Para tipos de informação confidencial internos, reduza o limite do nível de confiança para diminuir correspondências falsas.
Bloqueio de DLP no Copilot vs. DLP Padrão em E-mail e Arquivos
| Item | Bloqueio de DLP no Copilot | DLP Padrão em E-mail e Arquivos |
|---|---|---|
| Dados inspecionados | Texto da solicitação, dados contextuais do arquivo e resposta gerada | Corpo do e-mail, anexos e conteúdo de arquivos no SharePoint ou OneDrive |
| Comportamento do bloqueio | Resposta substituída por faixa de dica de política | E-mail bloqueado de envio ou upload de arquivo bloqueado |
| Notificação ao usuário | Faixa vermelha dentro do painel do Copilot | Notificação por e-mail ou dica de política no Outlook |
| Evento de auditoria | DlpBlocked com carga de trabalho Copilot | DlpBlocked com carga de trabalho Exchange ou SharePoint |
| Requisito de local da política | Locais Microsoft 365 Copilot e Dispositivos habilitados | Exchange, SharePoint, OneDrive ou Dispositivos conforme necessário |
O bloqueio de DLP para o Copilot usa o mesmo mecanismo de detecção do DLP padrão, mas aplica uma ação diferente. Em vez de bloquear uma operação de envio ou salvamento, ele bloqueia a renderização de conteúdo na interface do Copilot. Ambos os sistemas geram alertas e logs de auditoria no mesmo portal de conformidade.
Você pode reutilizar tipos de informação confidencial e classificadores existentes de suas políticas de DLP de e-mail ao criar regras específicas para o Copilot. Isso economiza tempo de configuração e garante proteção consistente entre as cargas de trabalho.
Agora você pode configurar políticas de DLP que bloqueiam dados confidenciais de aparecerem nas respostas do Copilot. Comece testando uma política no modo de simulação com um único tipo de informação confidencial, como números de cartão de crédito. Após confirmar a detecção, ative a política e monitore os alertas de DLP em busca de falsos positivos. Para proteção avançada, combine classificadores treináveis com listas de palavras-chave personalizadas para capturar termos confidenciais específicos da organização.