Dados, privacidade e segurança para o Microsoft 365 Copilot
O Microsoft 365 Copilot é um mecanismo de processamento e orquestração sofisticado que fornece recursos de produtividade da plataforma AI coordenando os seguintes componentes:
- LLMs (modelos de linguagem grandes)
- Conteúdo no Microsoft Graph, como emails, chats e documentos que você tem permissão para acessar.
- Os aplicativos de produtividade do Microsoft 365 que você usa todos os dias, como Word e PowerPoint.
Para obter uma visão geral de como esses três componentes funcionam juntos, consulte Visão geral do Microsoft 365 Copilot. Para obter links para outros conteúdos relacionados ao Microsoft 365 Copilot, consulte a documentação do Microsoft 365 Copilot.
Importante
- O Microsoft 365 Copilot está em conformidade com nossos compromissos de privacidade, segurança e conformidade existentes com clientes comerciais do Microsoft 365, incluindo a Regulamentação Geral de Proteção de Dados (GDPR) e o Limite de Dados da União Europeia (UE).
- Prompts, respostas e dados acessados por meio do Microsoft Graph não são usados para treinar os LLMs de base, incluindo aqueles usadas pelo Microsoft 365 Copilot.
- O Copilot para Microsoft 365 opera com várias proteções, que incluem, mas não se limitam a, bloquear conteúdo prejudicial, detectar material protegido e bloquear injeções de prompt (ataques de desbloqueio por jailbreak).
As informações neste artigo destinam-se a ajudar a fornecer respostas para as seguintes perguntas:
- Como o Microsoft 365 Copilot usa seus dados organizacionais proprietários?
- Como o Copilot para Microsoft 365 protege as informações e dados organizacionais?
- Quais dados são armazenados sobre interações do usuário com o Copilot para Microsoft 365?
- Quais compromissos de residência de dados o Copilot para Microsoft 365 faz?
- Quais opções de extensibilidade estão disponíveis para o Copilot para Microsoft 365
- Como o Copilot Microsoft 365 atende aos requisitos de conformidade regulatória?
- Os controles de privacidade para experiências conectadas no Microsoft 365 Apps se aplicam ao Copilot para Microsoft 365?
- Posso confiar no conteúdo que o Microsoft 365 Copilot cria? Quem é o proprietário desse conteúdo?
- Quais são os compromissos da Microsoft em usar a IA de forma responsável?
Observação
O Microsoft 365 Copilot continuará a evoluir ao longo do tempo com novas funcionalidades. Para se manter atualizado sobre o Copilot no Microsoft 365 ou fazer perguntas, acesse a comunidade do Microsoft 365 Copilot na Microsoft Tech Community.
Como o Microsoft 365 Copilot usa seus dados organizacionais proprietários?
O Microsoft 365 Copilot fornece valor conectando LLMs aos seus dados organizacionais. O Microsoft 365 Copilot acessa o conteúdo e o contexto através do Microsoft Graph. Ele pode gerar respostas ancoradas em seus dados organizacionais, como documentos do usuário, emails, calendário, chats, reuniões e contatos. O Copilot para Microsoft 365 combina esse conteúdo com o contexto de trabalho do usuário, como a reunião em que o usuário está agora, as trocas de email que o usuário teve sobre um tópico ou as conversas de chat que o usuário teve na semana passada. O Microsoft 365 Copilot usa essa combinação de conteúdo e contexto para ajudar a fornecer respostas precisas, relevantes e contextuais.
Importante
Prompts, respostas e dados acessados por meio do Microsoft Graph não são usados para treinar os LLMs de base, incluindo aqueles usadas pelo Microsoft 365 Copilot.
O Microsoft 365 Copilot só apresenta dados organizacionais aos quais os usuários individuais têm pelo menos permissões de exibição. É importante usar os modelos de permissão disponíveis nos serviços do Microsoft 365, como o SharePoint, para ajudar a garantir que os usuários ou os grupos adequados tenham o acesso correto ao conteúdo certo em sua organização. Isso inclui as permissões que você concede a usuários fora da sua organização por meio de soluções de colaboração entre locatários, como canais compartilhados no Microsoft Teams.
Quando você insere solicitações usando o Copilot para Microsoft 365, as informações contidas em suas solicitações, os dados que elas recuperam e as respostas geradas permanecem dentro do limite de serviço do Microsoft 365, em conformidade com nossos compromissos atuais de privacidade, segurança e conformidade. O Copilot para Microsoft 365 usa os serviços do OpenAI do Azure para processamento, não os serviços publicamente disponíveis do OpenAI. O OpenAI do Azure não armazena em cache o conteúdo da clientes e as solicitações modificadas do Copilot para Microsoft 365. Para mais informações, confira a seção Dados armazenados sobre interações do usuário com o Copilot para Microsoft 365 mais adiante neste artigo.
Observação
- Ao usar plug-ins para ajudar o Copilot para Microsoft 365 a fornecer informações mais relevantes, confira a política de privacidade e os Termos de uso do plug-in para saber como ele vai tratar os dados da sua organização. Para mais informações, confira Extensibilidade do Copilot para Microsoft 365.
- Ao usar o plug-in de conteúdo da Web, o Microsoft 365 Copilot analisa o prompt do usuário e identifica termos em que a pesquisa na Web melhoraria a qualidade da resposta. Com base nesses termos, o Copilot gera uma consulta de pesquisa que envia ao serviço Pesquisa do Microsoft Bing. Para mais informações, Dados, privacidade e segurança para consultas na Web no Copilot para Microsoft 365 e no Microsoft Copilot.
Embora o monitoramento de abuso, que inclui revisão humana do conteúdo, esteja ativo no Serviço OpenAI do Azure, os serviços do Copilot para Microsoft 365 optaram por não utilizá-lo. Para informações sobre filtragem de conteúdo, confira a seção Como o Copilot bloqueia conteúdo prejudicial? mais adiante neste artigo.
Observação
Podemos usar os Comentários da clientes, que é opcional, para aprimorar o Copilot para Microsoft 365, assim como usamos os Comentários para melhorar outros serviços do Microsoft 365 e aplicativos de Produtividade do Microsoft 365. Não usamos esses comentários para treinar os LLMs de base usados pelo Microsoft 365 Copilot. Os clientes podem gerenciar comentários por meio de controles de administrador. Para mais informações, confira Gerenciar Comentários da Microsoft para sua organização e Fornecer Comentários sobre o Microsoft Copilot com aplicativos do Microsoft 365.
Dados armazenados sobre as interações do usuário com o Copilot para Microsoft 365
Quando um usuário interage com o Copilot para Microsoft 365 (usando aplicativos como Word, PowerPoint, Excel, OneNote, Loop ou Whiteboard), armazenamos dados sobre essas interações. Os dados armazenados incluem o prompt do usuário e a resposta do Copilot, incluindo citações a qualquer informação utilizada para aterrar a resposta do Copilot. Nós nos referimos ao prompt do usuário e à resposta do Copilot a esse prompt como o "conteúdo das interações" e o registro dessas interações é o histórico de interações do Copilot do usuário. Por exemplo, esses dados armazenados fornecem aos Usuários o histórico de interação com o Copilot no Business Chat e reuniões no Microsoft Teams. Esses dados são processados e armazenados de acordo com os compromissos contratuais com outros conteúdos da sua organização no Microsoft 365. Os dados são criptografados enquanto armazenados e não são usados para treinar LLMs de base, incluindo aqueles usados pelo Copilot para Microsoft 365.
Para exibir e gerenciar esses dados armazenados, os administradores podem utilizar a Pesquisa de conteúdo ou o Microsoft Purview. Os administradores também podem utilizar o Microsoft Purview para definir políticas de retenção para os dados relacionados às interações de chat com Copilot. Para saber mais, confira os seguintes artigos:
- Visão geral da pesquisa de conteúdo
- Proteções de segurança e conformidade de dados do Microsoft Purview para o Microsoft Copilot
- Saiba sobre a retenção para o Copilot
Para chats do Microsoft Teams com o Copilot, os administradores também podem utilizar as APIs de exportação do Microsoft Teams para exibir os dados armazenados.
Excluindo o histórico de interações do usuário com o Copilot para Microsoft 365
Seus usuários podem excluir o histórico de interações com o Copilot, que inclui os prompts e as respostas retornadas pelo Copilot, acessando o portal Minha Conta. Para mais informações, confira Excluir seu histórico de interações com o Copilot para Microsoft 365.
Microsoft 365 Copilot e o Limite de Dados da UE
As chamadas do Microsoft 365 Copilot para o LLM são roteadas para os data centers mais próximos da região, mas também podem chamar para outras regiões com capacidade disponível durante períodos de alta uso.
Para os usuários da União Europeia (UE), tomamos medidas adicionais para cumprir a Fronteira de dados da UE. O tráfego da UE permanece dentro da Fronteira de Dados da UE, enquanto o tráfego mundial pode ser enviado para a Europa e outros países ou regiões para processamento de LLM.
Copilot para Microsoft 365 e residência de dados
O Copilot para Microsoft 365 está cumprindo os compromissos de residência de dados conforme descrito nos Termos do Produto da Microsoft e no Adendo de Proteção de Dados. O Copilot para Microsoft 365 foi adicionado como uma carga de trabalho coberta nos compromissos de residência de dados nos Termos do Produto da Microsoft em 1º de março de 2024.
As ofertas do Microsoft Advanced Data Residency (ADR) e Microsoft 365 Multi-Geo incluem compromissos de residência de dados para os clientes do Copilot para Microsoft 365 a partir de 1º de março de 2024. Para clientes da Europa, o Copilot para Microsoft 365 é um serviço da Fronteira de dados da UE. Os clientes fora da UE podem ter suas consultas processadas nos EUA, UE ou outras regiões.
Extensibilidade do Microsoft 365 Copilot
Enquanto o Copilot para Microsoft 365 já pode usar os aplicativos e dados dentro do ecossistema do Microsoft 365, muitas organizações ainda dependem de várias ferramentas e serviços externos para gerenciamento de trabalho e colaboração. As experiências do Copilot para Microsoft 365 podem referenciar ferramentas e serviços de terceiros ao responder a uma solicitação do usuário usando Conectores do Microsoft Graph ou plug-ins. Dados dos Conectores do Graph podem ser retornados nas respostas do Copilot para Microsoft 365 se o usuário tiver permissão para acessar essas informações.
Quando os plug-ins estão habilitados, o Copilot para Microsoft 365 determina se precisa usar um plug-in específico para ajudar a fornecer uma resposta relevante ao usuário. Se necessário, o Copilot para Microsoft 365 gera uma consulta de busca para enviar ao plug-in em nome do usuário. A consulta é baseada no prompt do usuário, no histórico de interações com o Copilot e nos dados aos quais o usuário tem acesso no Microsoft 365.
Na seção Aplicativos integrados do Centro de administração do Microsoft 365, os administradores podem exibir as permissões e o acesso aos dados exigidos por um plug-in, bem como os termos de uso e a política de privacidade do plug-in. Os administradores têm controle total para selecionar quais plug-ins são permitidos em sua organização. Um usuário só pode acessar os plug-ins permitidos pelo administrador e que o usuário instalou ou foi atribuído. O Copilot para Microsoft 365 só usa plug-ins ativados pelo usuário.
Para saber mais, confira os seguintes artigos:
- Gerenciar plug-ins para Copilot em aplicativos integrados
- Extender o Microsoft 365 Copilot
- Como o Copilot para Microsoft 365 pode trabalhar com seus dados externos
Como o Copilot para Microsoft 365 protege dados organizacionais?
O modelo de permissões dentro do locatário do Microsoft 365 pode ajudar a garantir que os dados não vazem involuntariamente entre usuários, grupos e locatários. O Microsoft 365 Copilot apresenta apenas dados que cada indivíduo pode acessar usando os mesmos controles subjacentes para acesso aos dados usados em outros serviços do Microsoft 365. O Índice Semântico respeita o limite de acesso baseado na identidade do usuário para que o processo de fundamentação acesse apenas o conteúdo que o usuário atual está autorizado a acessar. Para obter mais informações, consulte a política de privacidade e a documentação do serviço da Microsoft.
Quando você tem dados criptografados pelo Proteção de Informações do Microsoft Purview, o Copilot para Microsoft 365 respeita os direitos de uso concedidos ao usuário. Esta criptografia pode ser aplicada por rótulos de confidencialidade ou por permissões restritas em aplicativos do Microsoft 365 usando o Gerenciamento de Direitos de Informação (IRM). Para mais informações sobre o uso do Microsoft Purview com o Copilot para Microsoft 365, confira Proteções de segurança e conformidade de dados do Microsoft Purview para aplicativos de IA generativa.
Já implementamos várias formas de proteção para ajudar a impedir que os clientes comprometam os serviços e aplicativos do Microsoft 365 ou obtenham acesso não autorizado a outros locatários ou ao próprio sistema do Microsoft 365. Aqui estão alguns exemplos dessas formas de proteção:
O isolamento lógico do conteúdo do cliente em cada locatário dos serviços do Microsoft 365 é obtido por meio da autorização do Microsoft Entra e do controle de acesso baseado em função. Para obter mais informações, confira Controles de isolamento do Microsoft 365.
A Microsoft usa segurança física rigorosa, triagem em segundo plano e uma estratégia de criptografia em várias camadas para proteger a confidencialidade e integridade do conteúdo do cliente.
O Microsoft 365 usa tecnologias do lado do serviço que criptografam o conteúdo da clientes inativo e em trânsito, incluindo BitLocker, criptografia por arquivo, TLS e IPsec. Para obter detalhes específicos sobre criptografia no Microsoft 365, consulte Criptografia do Microsoft Cloud.
Seu controle sobre os dados é reforçado pelo compromisso da Microsoft de cumprir leis de privacidade amplamente aplicáveis, como o GDPR, e padrões de privacidade, como o ISO/IEC 27018, o primeiro código internacional de prática para privacidade na nuvem do mundo.
Para conteúdo acessado por meio de plug-ins do Copilot para Microsoft 365, a criptografia pode excluir o acesso programático, limitando assim o acesso do plug-in ao conteúdo. Para obter mais informações, consulte Configurar direitos de uso para Proteção de Informações do Azure.
Atender aos requisitos de conformidade regulatória
À medida que a regulação no espaço de IA evolui, a Microsoft continuará se adaptando e agindo para atender aos requisitos regulatórios futuros.
O Microsoft 365 Copilot se baseia nos compromissos atuais da Microsoft com a segurança e privacidade de dados na empresa. Não há nenhuma alteração nesses compromissos. O Microsoft 365 Copilot é integrado à Microsoft 365 e segue todos os compromissos existentes de privacidade, segurança e conformidade com Microsoft 365 clientes comerciais. Para saber mais, confira Conformidade da Microsoft.
Além de aderir às regulamentações, priorizamos um diálogo aberto com nossos clientes, parceiros e autoridades regulatórias para entender e resolver melhor as preocupações, promovendo assim um ambiente de confiança e cooperação. Reconhecemos que privacidade, segurança e transparência não são apenas recursos, mas pré-requisitos em um ambiente controlado por IA na Microsoft.
Informações adicionais
Copilot para Microsoft 365 e controles de privacidade para experiências conectadas
Alguns controles de privacidade para experiências conectadas nos Microsoft 365 Apps podem afetar a disponibilidade dos recursos do Copilot para Microsoft 365. Isso inclui os controles de privacidade para experiências conectadas que analisam seu conteúdo e o controle de privacidade para experiências conectadas opcionais. Para mais informações sobre esses controles de privacidade, confira Visão geral dos controles de privacidade do Microsoft 365 Apps para Grandes Empresas.
Configuração de privacidade para experiências conectadas que analisam seu conteúdo
Se você desativar experiências conectadas que analisam seu conteúdo em dispositivos Windows ou Mac da sua organização, os recursos do Copilot para Microsoft 365 não estarão disponíveis para seus usuários nos seguintes aplicativos:
- Excel
- PowerPoint
- OneNote
- Word
Há também um controle de privacidade que desativa todas as experiências conectadas, incluindo as que analisam seu conteúdo. Se você usar esse controle de privacidade, os recursos do Copilot para Microsoft 365 não estarão disponíveis para certos aplicativos em determinados dispositivos, conforme descrito acima.
Controle de privacidade para experiências conectadas opcionais
Se você desativar experiências conectadas opcionais na sua organização, os recursos do Copilot para Microsoft 365 que são experiências conectadas opcionais não estarão disponíveis para seus usuários. Por exemplo, pesquisa na web não estará disponível para seus usuários.
Há também um controle de privacidade que desativa todas as experiências conectadas, incluindo as opcionais. Se você usar esse controle de privacidade, os recursos do Copilot para Microsoft 365 que são experiências conectadas opcionais não estarão disponíveis.
Sobre o conteúdo que o Microsoft 365 Copilot cria
As respostas que a IA generativa produz não são garantidas como 100% factuais. Enquanto continuamos a melhorar as respostas, os usuários ainda devem analisar a saída antes de enviá-las para outras pessoas. Nossos recursos do Microsoft 365 Copilot fornecem rascunhos e resumos úteis para ajudá-lo a alcançar mais, dando a você a chance de revisar a IA gerada em vez de automatizar totalmente essas tarefas.
Continuamos aprimorando os algoritmos para resolver problemas de forma proativa, como desinformação, bloqueio de conteúdo, segurança de dados e prevenção da promoção de conteúdo prejudicial ou discriminatório de acordo com nossos princípios de IA responsável.
A Microsoft não reivindica a propriedade da saída do serviço. Dito isso, não determinamos se a produção de um cliente é protegida por direitos autorais ou aplicável contra outros usuários. Isso ocorre porque os sistemas de IA generativa podem produzir respostas semelhantes aos prompts ou consultas semelhantes de vários clientes. Consequentemente, vários clientes podem ter ou reivindicar direitos no conteúdo que seja o mesmo ou substancialmente semelhante.
Se um terceiro processar um cliente comercial por violação de direitos autorais pelo uso dos Copilots da Microsoft ou do resultado que eles geram, defenderemos o cliente e pagaremos o valor de quaisquer julgamentos adversos ou acordos resultantes da ação judicial, desde que o cliente tenha usado o grades de proteção e filtros de conteúdo que incorporamos em nossos produtos. Para obter mais informações, confira Microsoft anuncia novo Compromisso de Direitos Autorais do Copilot para clientes.
Como o Copilot bloqueia o conteúdo prejudicial?
O Serviço OpenAI do Azure inclui um sistema de filtragem de conteúdos que funciona juntamente com os modelos principais. Os modelos de filtragem de conteúdo para as categorias de Ódio e Justiça, Sexual, Violência e Automutilação foram especificamente capacitados e testados em vários idiomas. Esse sistema funciona executando tanto o prompt de entrada quanto a resposta com modelos de classificação projetados para identificar e bloquear a saída de conteúdo prejudicial.
Os danos relacionados a ódio e justiça referem-se a qualquer conteúdo que use linguagem pejorativa ou discriminatória com base em atributos como raça, etnia, nacionalidade, identidade e expressão de gênero, orientação sexual, religião, status de imigração, status de capacidade, aparência pessoal e tamanho do corpo. A justiça se preocupa em garantir que os sistemas de IA tratem todos os grupos de pessoas de forma equitativa, sem contribuir para as desigualdades sociais existentes. O conteúdo sexual envolve discussões sobre órgãos reprodutivos humanos, relacionamentos românticos, atos retratados em termos eróticos ou afetuosos, gravidez, atos sexuais físicos, inclusive aqueles retratados como agressão ou ato forçado de violência sexual, prostituição, pornografia e abuso. Violência descreve a linguagem relacionada a ações físicas que visam prejudicar ou matar, incluindo ações, armas e entidades relacionadas. A linguagem da Automutilação refere-se a ações deliberadas que visam ferir ou matar alguém.
Saiba mais sobre a filtragem de conteúdos do OpenAI do Azure.
O Copilot fornece detecção de material protegido?
Sim, o Copilot para Microsoft 365 fornece detecção para materiais protegidos, incluindo texto sujeito a direitos autorais e código com restrições de licença. Nem todas essas mitigação são relevantes para todos os cenários do Copilot para Microsoft 365.
O Copilot bloqueia injeções de prompt (ataques de desbloqueio por jailbreak)?
Os Ataques de desbloqueio por jailbreak são solicitações do usuário projetadas para fazer com que o modelo de IA generativa se comporte de maneiras que não foram ensinadas ou quebre as regras que ele foi instruído a seguir. O Copilot para Microsoft 365 é projetado para proteger contra ataques de injeção de prompt. Saiba mais sobre ataques de desbloqueio de jailbreak e como usar a Segurança de Conteúdo de IA do Azure para detectá-los.
Compromisso com a IA responsável
Como a IA está pronta para transformar nossas vidas, devemos definir coletivamente novas regras, normas e práticas para o uso e o impacto dessa tecnologia. A Microsoft está em uma jornada de IA responsável desde 2017, quando definimos nossos princípios e abordagem para garantir que essa tecnologia seja usada de uma maneira orientada por princípios éticos que priorizam as pessoas.
Na Microsoft, somos guiados por nossos princípios de IA, nosso Padrão de IA responsável e décadas de pesquisa sobre IA, fundamentação e aprendizado de máquina com preservação de privacidade. Uma equipe multidisciplinar de pesquisadores, engenheiros e especialistas em políticas analisa nossos sistemas de IA em busca de possíveis danos e mitigações — refinando dados de treinamento, filtrando para limitar conteúdo prejudicial, bloqueando tópicos sensíveis de consultas e resultados e aplicando tecnologias da Microsoft como InterpretML e Fairlearn para ajudar detectar e corrigir vieses de dados. Deixamos claro como o sistema toma decisões observando limitações, vinculando-se a fontes e levando os usuários a revisar, verificar os fatos e ajustar o conteúdo com base na experiência do assunto. Para obter mais informações, consulte Gerenciar IA: um blueprint para o futuro.
Nosso objetivo é ajudar nossos clientes a usar nossos produtos de IA de forma responsável, compartilhando nossos aprendizados e criando parcerias baseadas em confiança. Para esses novos serviços, queremos oferecer aos nossos clientes informações sobre uso, recursos e limitações pretendidos do nosso serviço de plataforma de IA, para que eles tenham o conhecimento necessário para fazer escolhas de implantação responsáveis. Também compartilhamos recursos e modelos com desenvolvedores dentro de organizações e com ISVs (fornecedores independentes de software), para ajudá-los a criar soluções de IA eficazes, seguras e transparentes.