As interações do Microsoft Copilot geram logs de auditoria que registram cada prompt, resposta e evento de acesso a dados. Por padrão, o Microsoft 365 retém esses logs por apenas 90 dias para usuários com licença E5 e 180 dias para assinantes do complemento E5 Compliance. Se sua organização precisa manter registros de auditoria do Copilot para conformidade regulatória, investigações internas ou análise de segurança, o período de retenção padrão pode ser insuficiente. Este artigo explica como estender a retenção de logs de auditoria do Copilot além dos limites padrão usando políticas de retenção no portal de conformidade do Microsoft Purview.
Você aprenderá as etapas precisas para criar uma política de retenção direcionada aos dados de auditoria do Copilot, os requisitos de licenciamento envolvidos e o que fazer se os logs pararem de aparecer após a alteração. O guia aborda tanto o Log de Auditoria Unificado quanto os campos de esquema específicos do Copilot que são relevantes para eDiscovery.
Principais Conclusões: Estendendo a Retenção de Logs de Auditoria do Copilot
- Portal de conformidade do Microsoft Purview > Gerenciamento do ciclo de vida dos dados > Políticas de retenção > Nova política de retenção: Cria uma política que retém logs de auditoria do Copilot por até 10 anos.
- Filtro de carga de trabalho definido como Exchange (UnifiedAuditLog): Garante que a política de retenção capture eventos de interação do Copilot armazenados no Log de Auditoria Unificado.
- Requisito de licenciamento: Microsoft 365 E5 ou complemento E5 Compliance: Necessário para criar políticas de retenção para logs de auditoria além de 90 ou 180 dias.
Por que os Logs de Auditoria do Copilot Têm Limites de Retenção Padrão
O Microsoft 365 registra cada interação do Copilot no Log de Auditoria Unificado. Cada evento contém o usuário que enviou o prompt, o timestamp, o resumo da resposta do Copilot e as fontes de dados do Microsoft Graph acessadas. O período de retenção padrão depende da edição da sua licença:
- Microsoft 365 E3: 90 dias
- Microsoft 365 E5: 90 dias
- Complemento E5 Compliance: 180 dias
Esses padrões existem porque a Microsoft limita os custos de armazenamento e presume que a maioria das organizações revisa os logs dentro de um trimestre. No entanto, muitos setores exigem registros de auditoria por um ano ou mais. Serviços financeiros, saúde e agências governamentais frequentemente precisam reter logs do Copilot por três a dez anos para atender a mandatos regulatórios como SEC Rule 17a-4, HIPAA ou FedRAMP.
O Log de Auditoria Unificado armazena eventos do Copilot sob a carga de trabalho Copilot com a operação CopilotInteraction. Esses eventos incluem campos como PromptText, ResponseText, AppHost e AccessedResources. Uma política de retenção definida no log de auditoria mantém esses registros além do prazo de validade padrão.
Etapas para Estender a Retenção de Logs de Auditoria do Copilot Além do Padrão
Você deve ser Administrador de Conformidade, Administrador de Locatário ou ter a função apropriada no portal de conformidade do Microsoft Purview. As etapas a seguir criam uma política de retenção que se aplica a todas as entradas de log de auditoria do Copilot em seu locatário.
- Abra o portal de conformidade do Microsoft Purview
Acessehttps://compliance.microsoft.come faça login com uma conta que tenha privilégios de Administrador de Conformidade ou Administrador de Locatário. - Navegue até Gerenciamento do ciclo de vida dos dados
No painel de navegação esquerdo, selecione Gerenciamento do ciclo de vida dos dados na seção Soluções. Se você não vir esta opção, verifique se sua licença inclui o complemento E5 Compliance ou equivalente. - Vá para Políticas de retenção
Clique em Políticas de retenção para ver a lista de políticas existentes. Em seguida, clique em + Nova política de retenção para iniciar o assistente de criação. - Nomeie a política para logs de auditoria do Copilot
Insira um nome descritivo como Retenção de Logs de Auditoria do Copilot – 3 Anos. Na descrição, anote a duração da retenção e a carga de trabalho alvo. Clique em Avançar. - Selecione o escopo da carga de trabalho
Escolha Email do Exchange como a carga de trabalho. O Log de Auditoria Unificado é armazenado nos dados do Exchange Online, mesmo para eventos do Copilot. Não selecione SharePoint, OneDrive ou Teams — essas cargas de trabalho não contêm as entradas de log de auditoria do Copilot. - Configure a duração da retenção
Em Decida se deseja reter conteúdo, excluí-lo ou ambos, selecione Reter itens por um período específico. Defina a duração para o número de dias, meses ou anos que sua organização precisa. O máximo é 10 anos. Por exemplo, defina 3 anos para um requisito típico de conformidade. - Defina o ponto de início da retenção
Escolha Quando os itens foram criados como o início do período de retenção. Isso garante que a contagem regressiva comece a partir do momento em que a interação do Copilot foi registrada. - Revise e finalize
Clique em Avançar para revisar as configurações da política. Confirme que a carga de trabalho é Email do Exchange, o período de retenção está definido corretamente e nenhuma ação de exclusão está habilitada, a menos que você também queira a remoção automática após o término da retenção. Clique em Enviar para criar a política.
A política entra em vigor dentro de uma hora. Após isso, todas as novas entradas de log de auditoria do Copilot serão retidas pela duração especificada. As entradas de log existentes que ainda estão dentro de sua janela de retenção padrão também serão estendidas — entradas já excluídas antes da criação da política não podem ser recuperadas.
Se os Logs de Auditoria do Copilot Estiverem Ausentes ou Não Estiverem Sendo Estendidos
Logs de auditoria do Copilot desaparecem após criar a política de retenção
Se você parar de ver entradas de log de auditoria do Copilot após aplicar a política, verifique se a política não está excluindo logs inadvertidamente. Abra a política no portal do Purview e verifique a seção Ação. Se você selecionou Excluir itens após um período específico sem também selecionar Reter itens, os logs serão excluídos quando o período terminar. Altere a ação para Reter itens por um período específico e defina a exclusão como Nunca.
A política de retenção não se aplica a entradas de log existentes
As políticas de retenção se aplicam ao conteúdo que existe no momento da criação da política, mas apenas se o conteúdo ainda não tiver ultrapassado seu período de retenção. Se uma entrada de log de auditoria do Copilot foi criada há 95 dias e sua retenção padrão é de 90 dias, essa entrada já foi excluída e não pode ser estendida. Para evitar essa lacuna, crie a política de retenção antes que a janela de retenção padrão expire. Para locatários E3, crie a política dentro de 90 dias após a primeira implantação do Copilot.
A pesquisa de logs de auditoria do Copilot não retorna resultados
Se você executar uma pesquisa de log de auditoria e não vir eventos do Copilot, verifique se a auditoria está habilitada para seu locatário. Vá para Auditoria no portal do Purview em Soluções > Auditoria. Se o status mostrar Desativar auditoria, a auditoria já está ativada. Se mostrar Começar a gravar atividade de usuário e administrador, clique nesse botão para ativá-la. Confirme também que o intervalo de datas da pesquisa cobre o período após a criação da política de retenção.
Retenção de Logs de Auditoria do Copilot: Padrão vs. Estendida
| Item | Retenção Padrão (E3/E5) | Retenção Estendida (Política Purview) |
|---|---|---|
| Duração máxima | 90 dias (E3/E5) / 180 dias (complemento E5 Compliance) | Até 10 anos |
| Local da carga de trabalho | Log de Auditoria Unificado no Exchange Online | Mesmo – Log de Auditoria Unificado do Exchange Online |
| Licença necessária | Microsoft 365 E3 ou E5 | Microsoft 365 E5 ou complemento E5 Compliance |
| Função de administrador necessária | Visualizador de Log de Auditoria | Administrador de Conformidade ou Administrador de Locatário |
| Aplica-se a logs existentes | Automático para logs dentro da janela padrão | Sim – apenas se os logs ainda não foram excluídos |
| Suporta eDiscovery | Sim – dentro da janela de retenção | Sim – por todo o período estendido |
Agora você pode criar uma política de retenção que mantém logs de auditoria do Copilot por até 10 anos, cobrindo requisitos regulatórios que excedem os limites padrão de 90 ou 180 dias. Após a política estar ativa, verifique-a executando uma pesquisa de log de auditoria no portal do Purview para um evento do Copilot datado após a criação da política. Para fluxos de trabalho de conformidade avançados, combine a política de retenção com uma suspensão de litígio na mesma carga de trabalho para evitar qualquer exclusão acidental durante o período de retenção.