À medida que as organizações adotam o Copilot no Microsoft 365, os administradores precisam de visibilidade sobre como o assistente de IA acessa e processa dados. Sem uma governança adequada, informações confidenciais podem ser expostas por meio das respostas do Copilot ou das solicitações dos usuários. O Microsoft Purview fornece as ferramentas de conformidade para auditar, monitorar e controlar a atividade do Copilot. Este artigo explica como configurar o Purview para governar o uso do Copilot de forma eficaz.
Principais Conclusões: Governando o Copilot com o Microsoft Purview
- Portal de conformidade do Microsoft Purview > Auditoria > Pesquisar: Permite pesquisar logs de interação do Copilot no Teams, Word, Excel e outros aplicativos do M365.
- Microsoft Purview > Prevenção contra Perda de Dados > Políticas > Copilot: Bloqueia ou alerta usuários quando o Copilot tenta acessar ou gerar conteúdo contendo informações confidenciais, como números de cartão de crédito ou dados de saúde.
- Microsoft Purview > Conformidade na Comunicação > Políticas > Copilot: Detecta solicitações e respostas inadequadas ou que violam políticas em conversas do Copilot.
O que o Microsoft Purview Oferece para a Governança do Copilot
O Microsoft Purview é o hub de conformidade do Microsoft 365. Ele inclui várias ferramentas que se aplicam diretamente à governança do Copilot. Os principais recursos são auditoria, prevenção contra perda de dados, conformidade na comunicação e políticas de retenção. Cada ferramenta atende a uma necessidade de conformidade diferente.
A auditoria no Purview registra cada interação do Copilot. Isso inclui a solicitação digitada pelo usuário, a resposta gerada pelo Copilot e as fontes de dados que o Copilot acessou. A auditoria deve ser ativada no portal do Purview antes que os logs apareçam.
As políticas de Prevenção contra Perda de Dados (DLP) podem inspecionar solicitações e respostas do Copilot em tempo real. Quando a DLP detecta dados confidenciais, como números de CPF ou nomes de projetos confidenciais, ela pode bloquear a ação, notificar o usuário ou disparar um alerta para os administradores.
As políticas de Conformidade na Comunicação monitoram conversas do Copilot em busca de linguagem inadequada, assédio ou compartilhamento de informações restritas. Essas políticas funcionam no Copilot no Teams e em outros aplicativos do M365. As políticas de retenção garantem que os logs de interação do Copilot sejam mantidos pelo período exigido por motivos legais ou regulatórios.
Pré-requisitos para Usar o Purview com o Copilot
Antes de configurar o Purview para a governança do Copilot, confirme os seguintes requisitos:
- Licenciamento: Seu locatário deve ter licenças do Microsoft 365 E5, Microsoft 365 E5 Compliance ou Microsoft 365 E5 Information Protection and Governance. Licenças do Copilot para Microsoft 365 também são necessárias para os usuários que geram atividade.
- Funções: Você precisa da função de Administrador de Conformidade ou Administrador de Dados de Conformidade para acessar as configurações do Purview. As funções de Administrador de Auditoria ou Visualizador de Auditoria são necessárias para visualizar os logs de auditoria.
- Registro de Auditoria: O registro de auditoria deve estar ativado no portal do Purview. Esta é uma configuração de todo o locatário encontrada em soluções de Auditoria.
Etapas para Ativar e Pesquisar Logs de Auditoria do Copilot
Os logs de auditoria são a base da governança do Copilot. Eles registram cada interação e permitem que os administradores investiguem usuários, datas ou fontes de dados específicos. Siga estas etapas para ativar o registro de auditoria e pesquisar a atividade do Copilot.
- Abra o portal de conformidade do Purview
Acesse https://compliance.microsoft.com e faça login com sua conta de administrador de conformidade. - Ative o registro de auditoria se ainda não estiver ativo
No painel de navegação esquerdo, selecione Auditoria. Se o banner superior mostrar que a auditoria está desativada, clique em Começar a gravar atividade de usuário e administrador. Aguarde até 24 horas para que os logs sejam preenchidos. - Pesquise a atividade do Copilot
Na página de pesquisa de Auditoria, em Atividades, digite ou selecione Copilot. Uma lista de atividades específicas do Copilot aparece, como CopilotInteraction, CopilotResponse e CopilotGeneratedContent. Selecione as atividades que deseja auditar. - Defina o intervalo de datas e o usuário
Escolha uma data de início e término. Para filtrar por um usuário específico, insira o email dele no campo Usuários. Deixe em branco para ver todos os usuários. - Execute a pesquisa e revise os resultados
Clique em Pesquisar. A tabela de resultados mostra cada interação do Copilot com a data, o usuário e o tipo de atividade. Clique em qualquer linha para ver os detalhes completos, incluindo o texto da solicitação e as fontes de dados que o Copilot acessou.
Etapas para Criar uma Política de DLP para o Copilot
As políticas de DLP protegem informações confidenciais contra exposição por meio do Copilot. Uma política de DLP pode impedir que o Copilot processe conteúdo que contenha números de cartão de crédito, dados de passaporte ou tipos de informações confidenciais personalizadas. Crie uma política de DLP direcionada às interações do Copilot.
- Navegue até Prevenção contra Perda de Dados
No portal do Purview, vá para Prevenção contra Perda de Dados e selecione Políticas. - Crie uma nova política
Clique em Criar política. Escolha Personalizado e depois Política personalizada. Dê um nome à política, como DLP Copilot – Dados Financeiros. - Selecione o local
Em Escolher locais para aplicar a política, selecione Interações do Copilot. Este local abrange solicitações e respostas em todos os aplicativos do M365 que usam o Copilot. Você também pode selecionar Exchange, SharePoint e OneDrive, se necessário. - Defina os tipos de informações confidenciais
Clique em Criar ou personalizar regras avançadas de DLP. Adicione uma regra. Em Condições, selecione O conteúdo contém e depois Tipos de informações confidenciais. Escolha os tipos que deseja bloquear, como Número de Cartão de Crédito ou Número de CPF. - Defina a ação
Em Ações, selecione Restringir acesso ou criptografar o conteúdo. Marque Bloquear usuários de interagir com o Copilot. Opcionalmente, ative notificações ao usuário e dicas de política para informar os usuários por que a ação foi bloqueada. - Teste e implante
Defina a política para Modo de teste primeiro. Revise os alertas e relatórios de DLP por alguns dias. Se não houver falsos positivos, altere o modo para Ativar imediatamente.
Etapas para Configurar a Conformidade na Comunicação para o Copilot
As políticas de Conformidade na Comunicação detectam violações de política em conversas do Copilot. Essas políticas são úteis para detectar assédio, compartilhamento de dados confidenciais ou uso de linguagem inadequada nas solicitações. Configure uma política para monitorar as interações do Copilot.
- Abra Conformidade na Comunicação
No portal do Purview, vá para Conformidade na Comunicação e selecione Políticas. - Crie uma nova política
Clique em Criar política. Escolha um modelo como Detectar texto inadequado ou Monitorar informações confidenciais. Dê um nome à política, como Política de Comunicação do Copilot. - Selecione o Copilot como canal
Em Escolher locais, marque Copilot. Isso inclui conversas do Copilot no Teams, Word, Excel, PowerPoint e Outlook. Você também pode adicionar Microsoft Teams e Exchange se quiser uma cobertura mais ampla. - Configure as condições
Em Condições, escolha o tipo de conteúdo a ser detectado. Para texto inadequado, selecione O conteúdo contém qualquer um desses classificadores e escolha classificadores como Ameaça, Assédio ou Palavrões. Para informações confidenciais, selecione O conteúdo contém tipos de informações confidenciais e escolha os tipos. - Atribua revisores e defina ações
Em Revisores, adicione os endereços de email dos oficiais de conformidade que revisarão os itens sinalizados. Em Ações, selecione Notificar revisor e, opcionalmente, Bloquear envio do usuário para impedir que o usuário envie a solicitação violadora. Clique em Criar política.
Se a Atividade do Copilot Não Aparecer nos Logs de Auditoria
O registro de auditoria está desativado
Se nenhuma interação do Copilot aparecer na pesquisa de Auditoria, confirme se o registro de auditoria está ativado. Vá para Purview > Auditoria e verifique o banner. Se disser que a auditoria está desativada, clique em Começar a gravar atividade de usuário e administrador. Os logs podem levar até 24 horas para aparecer após a ativação.
Licenças ausentes
Os eventos de auditoria do Copilot exigem uma licença do Copilot para Microsoft 365 para o usuário e uma licença E5 ou E5 Compliance para o locatário. Verifique no centro de administração do Microsoft 365 se os usuários têm as licenças necessárias atribuídas.
Filtro de atividade incorreto
Na página de pesquisa de Auditoria, certifique-se de ter selecionado as atividades corretas do Copilot. Use a caixa de pesquisa para digitar Copilot e selecione todas as atividades correspondentes. Não limite a pesquisa a apenas um tipo de atividade se quiser uma visão ampla.
Recursos de Governança do Copilot: Purview vs. Controles Nativos do Microsoft 365
| Item | Microsoft Purview | Controles Nativos do M365 |
|---|---|---|
| Registro de auditoria | Logs detalhados de solicitações, respostas e fontes de dados | Apenas logs básicos de login |
| Prevenção contra perda de dados | Bloqueio em tempo real de dados confidenciais no Copilot | Sem DLP específica para o Copilot |
| Conformidade na comunicação | Detecta violações de política em conversas do Copilot | Sem monitoramento específico para o Copilot |
| Políticas de retenção | Mantém logs do Copilot por períodos de retenção legal | Retenção padrão de 90 dias para auditoria |
| Alertas | Alertas personalizados para violações de DLP e conformidade | Alertas básicos de administrador |
O Microsoft Purview fornece os recursos avançados de governança que os controles nativos do M365 não possuem. Para organizações que precisam atender a requisitos regulatórios ou proteger dados confidenciais, o Purview é a solução recomendada.
Agora você tem as etapas para ativar o registro de auditoria, criar políticas de DLP e configurar a conformidade na comunicação para o Copilot. Comece ativando os logs de auditoria e executando uma pesquisa para confirmar se a atividade do Copilot está sendo registrada. Em seguida, crie uma política de DLP para os tipos de dados confidenciais mais comuns em sua organização. Para governança avançada, adicione uma política de retenção para manter os logs do Copilot pelo período exigido pela sua equipe de conformidade.