Proteções de segurança e conformidade de dados do Microsoft Purview para o Microsoft Copilot

  • Artigo

Diretrizes de licenciamento do Microsoft 365 para conformidade de & de segurança

Embora as ferramentas de produtividade alimentadas por IA desbloqueiem insights valiosos e aumentem a produtividade do usuário, elas também introduzem novas atividades do usuário e produzem muitos dados. Assim como outras atividades corporativas e dados, eles exigem gerenciamento de segurança e conformidade.

Os seguintes recursos do Microsoft Purview reforçam sua segurança de dados e conformidade para Microsoft Copilot para Microsoft 365:

Observação

Para marcar se os planos de licenciamento da sua organização dão suporte a esses recursos, consulte o link de diretrizes de licenciamento na parte superior da página. Para obter informações de licenciamento para Microsoft Copilot para Microsoft 365 em si, consulte a descrição do serviço para Microsoft Copilot para Microsoft 365.

Use as seções a seguir para saber mais sobre como esses recursos do Microsoft Purview fornecem controles adicionais de segurança de dados e conformidade para acelerar a adoção do Microsoft Copilot pela sua organização. Se você for novo no Microsoft Purview, também poderá encontrar uma visão geral do produto útil: saiba mais sobre o Microsoft Purview.

Para obter informações mais gerais sobre requisitos de segurança e conformidade para Copilot para Microsoft 365, consulte Dados, Privacidade e Segurança para Microsoft Copilot para Microsoft 365.

Microsoft Purview reforça proteção de informações para Copilot

O Copilot usa controles existentes para garantir que os dados armazenados em seu locatário nunca sejam retornados ao usuário ou usados por um LLM (modelo de idioma grande) se o usuário não tiver acesso a esses dados. Quando os dados têm rótulos de confidencialidade de sua organização aplicados ao conteúdo, há uma camada extra de proteção:

  • Quando um arquivo é aberto em Word, Excel, PowerPoint ou da mesma forma um evento de email ou calendário é aberto do Outlook, a confidencialidade dos dados é exibida aos usuários no aplicativo com o nome do rótulo e marcas de conteúdo (como cabeçalho ou texto rodapé) que foram configurados para o rótulo.

  • Quando o rótulo de confidencialidade aplica criptografia, os usuários devem ter o uso EXTRACT correto, bem como VIEW, para que Copilot retorne os dados.

  • Essa proteção se estende a dados armazenados fora do locatário do Microsoft 365 quando abertos em um aplicativo do Office (dados em uso). Por exemplo, armazenamento local, compartilhamentos de rede e armazenamento em nuvem.

Dica

Se você ainda não tiver, é recomendável habilitar rótulos de confidencialidade para SharePoint e OneDrive e também se familiarizar com os tipos de arquivo e configurações de rótulo que esses serviços podem processar. Quando os rótulos de confidencialidade não estão habilitados para esses serviços, os arquivos criptografados que Copilot para Microsoft 365 podem acessar são limitados a dados em uso de aplicativos do Office no Windows.

Para obter instruções, consulte Habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive.

Além disso, quando você usa o chat aterrado do Microsoft Copilot Graph (anteriormente Microsoft 365 Chat) que pode acessar dados de uma ampla gama de conteúdo, a confidencialidade dos dados rotulados retornados pelo Copilot para Microsoft 365 fica visível para os usuários com o rótulo de confidencialidade exibido para citações e os itens listados na resposta. Usando o número de prioridade dos rótulos de confidencialidade definido no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, a resposta mais recente em Copilot exibe o rótulo de confidencialidade de prioridade mais alta dos dados usados para esse chat copilot.

Embora os administradores de conformidade definam a prioridade de um rótulo de confidencialidade, um número de prioridade mais alto geralmente denota maior confidencialidade do conteúdo, com permissões mais restritivas. Como resultado, as respostas Copilot são rotuladas com o rótulo de confidencialidade mais restritivo.

Observação

Se os itens forem criptografados por Proteção de Informações do Microsoft Purview mas não tiverem um rótulo de confidencialidade, Microsoft Copilot para Microsoft 365 também não retornará esses itens aos usuários se a criptografia não incluir os direitos de uso EXTRACT ou VIEW para o usuário.

Se você ainda não estiver usando rótulos de confidencialidade, consulte Introdução aos rótulos de confidencialidade.

Embora as políticas DLP ainda não ofereçam suporte a interações para Microsoft Copilot para Microsoft 365, há suporte à classificação de dados para tipos de informações confidenciais e classificadores treináveis para identificar dados confidenciais em prompts de usuário para Copilot e respostas.

Proteção de copiloto com herança de rótulo de confidencialidade

Quando você usa Copilot para criar um novo conteúdo com base em um item que tem um rótulo de confidencialidade aplicado, o rótulo de confidencialidade do arquivo de origem é herdado automaticamente, com as configurações de proteção do rótulo.

Por exemplo, um usuário seleciona Rascunho com Copilot em Word e, em seguida, Referenciar um arquivo. Ou um usuário seleciona Create apresentação do arquivo no PowerPoint. O conteúdo de origem tem o rótulo de confidencialidade Confidencial\Alguém (irrestrito) aplicado e esse rótulo é configurado para aplicar um rodapé que exibe "Confidencial". O novo conteúdo é automaticamente rotulado confidencial\qualquer pessoa (irrestrito) com o mesmo rodapé.

Para ver um exemplo disso em ação, watch a demonstração a seguir da sessão Ignite 2023, preparando sua empresa para o Microsoft 365 Copilot. A demonstração mostra como o rótulo de confidencialidade padrão de Geral é substituído por um rótulo Confidencial quando um usuário elabora com Copilot e faz referência a um arquivo rotulado. A barra de informações sob a faixa de opções informa ao usuário que o conteúdo criado pelo Copilot resultou na aplicação automática do novo rótulo:

Se vários arquivos forem usados para criar um novo conteúdo, o rótulo de confidencialidade com a maior prioridade será usado para herança de rótulo.

Assim como acontece com todos os cenários de rotulagem automática, o usuário sempre pode substituir e substituir um rótulo herdado (ou remover, se você não estiver usando rotulagem obrigatória).

Proteção do Microsoft Purview sem rótulos de confidencialidade

Mesmo que um rótulo de confidencialidade não seja aplicado ao conteúdo, serviços e produtos poderão usar os recursos de criptografia do serviço de Gerenciamento de Direitos do Azure. Como resultado, Copilot para Microsoft 365 ainda pode marcar para os direitos de uso VIEW e EXTRACT antes de retornar dados e links para um usuário, mas não há herança automática de proteção para novos itens.

Dica

Você terá a melhor experiência de usuário quando sempre usar rótulos de confidencialidade para proteger seus dados, e a criptografia é aplicada por um rótulo.

Exemplos de produtos e serviços que podem usar os recursos de criptografia do serviço de Gerenciamento de Direitos do Azure sem rótulos de confidencialidade:

  • Criptografia de Mensagem do Microsoft Purview
  • Gerenciamento de Direitos de Informações da Microsoft (IRM)
  • Conector do Microsoft Rights Management
  • SDK de Gerenciamento de Direitos da Microsoft

Para outros métodos de criptografia que não usam o serviço de Gerenciamento de Direitos do Azure:

  • Os emails protegidos por S/MIME não serão retornados pelo Copilot e o Copilot não está disponível no Outlook quando um email protegido por S/MIME estiver aberto.

  • Documentos protegidos por senha não podem ser acessados por Copilot para Microsoft 365 a menos que já sejam abertos pelo usuário no mesmo aplicativo (dados em uso). As senhas não são herdadas por um item de destino.

Assim como acontece com outros serviços do Microsoft 365, como descoberta eletrônica e pesquisa, itens criptografados com a Chave do Cliente do Microsoft Purview ou sua própria chave raiz (BYOK) têm suporte e são qualificados para serem retornados por Copilot para Microsoft 365.

Copilot honra a proteção existente com o direito de uso EXTRACT

Embora você possa não estar muito familiarizado com os direitos de uso individuais para conteúdo criptografado, eles existem há muito tempo. Do Windows Server Rights Management, ao Active Directory Rights Management, à versão de nuvem que se tornou o Azure Proteção de Informações com o serviço Azure Rights Management.

Se você já recebeu um email "Não encaminhar", ele está usando os direitos de uso para impedir que você encaminhe o email depois de ter sido autenticado. Assim como acontece com outros direitos de uso empacotados que mapeiam para cenários comerciais comuns, um email Não Encaminhar concede aos destinatários direitos de uso que controlam o que podem fazer com o conteúdo e não inclui o direito de uso FORWARD. Além de não encaminhar, você não pode imprimir este email Não Encaminhar ou copiar texto dele.

O direito de uso que concede permissão para copiar texto é EXTRACT, com o nome mais fácil de usar e comum de Copiar. É esse direito de uso que determina se Copilot para Microsoft 365 pode exibir texto para o usuário a partir de conteúdo criptografado.

Observação

Como o direito de uso do OWNER (controle completo) inclui todos os direitos de uso, o EXTRACT é incluído automaticamente com controle total.

Quando você usa o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview para configurar um rótulo de confidencialidade para aplicar criptografia, a primeira opção é atribuir as permissões agora ou permitir que os usuários atribuam as permissões. Se você atribuir agora, configure as permissões selecionando um nível de permissão predefinido com um grupo predefinido de direitos de uso, como Co-Author ou Revisor. Ou você pode selecionar permissões personalizadas nas quais você pode selecionar individualmente os direitos de uso disponíveis.

No portal, o direito de uso do EXTRACT é exibido como Copiar e extrair conteúdo (EXTRACT). Por exemplo, o nível de permissão padrão selecionado é Coautor, onde você vê Copiar e extrair conteúdo (EXTRACT) está incluído. Como resultado, o conteúdo protegido com essa configuração de criptografia pode ser retornado por Copilot para Microsoft 365:

Configuração de direitos de uso para um rótulo de confidencialidade em que as permissões incluem EXTRACT.

Se você selecionar Personalizado na caixa suspensa e, em seguida, Controle completo (OWNER) na lista, essa configuração também concederá o direito de uso EXTRACT.

Observação

A pessoa que aplica a criptografia sempre tem o direito de uso EXTRACT, pois é o proprietário do Rights Management. Essa função especial inclui automaticamente todos os direitos de uso e algumas outras ações, o que significa que o conteúdo que um usuário criptografado é sempre elegível para ser retornado a eles por Copilot para Microsoft 365. As restrições de uso configuradas se aplicam a outras pessoas autorizadas a acessar o conteúdo.

Como alternativa, se você selecionar a configuração de criptografia para permitir que os usuários atribuam permissões para o Outlook, essa configuração inclui permissões predefinidas para Não Encaminhar e Criptografar somente. A opção Encrypt-Only, ao contrário de Não Encaminhar, inclui o direito de uso EXTRACT.

Ao selecionar permissões personalizadas para Word, Excel e PowerPoint, os usuários selecionam suas próprias permissões no aplicativo do Office quando aplicam o rótulo de confidencialidade. Eles são informados de que, das duas seleções, Read não inclui a permissão para copiar conteúdo, mas a Alteração inclui. Essas referências para copiar referem-se ao direito de uso do EXTRACT. Se o usuário selecionar Mais Opções, ele poderá adicionar o direito de uso EXTRACT à Leitura selecionando Permitir usuários com acesso de leitura para copiar conteúdo.

Caixa de diálogo do usuário para selecionar permissões que incluem o uso do EXTRACT corretamente.

Dica

Se você precisar marcar se um documento autorizado a exibir inclui o uso do EXTRACT corretamente, abra-o no aplicativo do Windows Office e personalize a barra de status para mostrar Permissões. Selecione o ícone ao lado do nome do rótulo de confidencialidade para exibir Minha Permissão. Exiba o valor de Copy, que mapeia para o uso extract direito e confirme se ele exibe Sim ou Não.

Para emails, se as permissões não forem exibidas na parte superior da mensagem no Outlook para Windows, selecione a faixa de informações com o nome do rótulo e selecione Exibir Permissão.

Copilot honra o direito de uso EXTRACT para um usuário, no entanto, ele foi aplicado ao conteúdo. Na maioria das vezes, quando o conteúdo é rotulado, os direitos de uso concedidos ao usuário correspondem aos da configuração do rótulo de confidencialidade. No entanto, há algumas situações que podem fazer com que os direitos de uso do conteúdo sejam diferentes da configuração do rótulo aplicado:

Para obter mais informações sobre como configurar um rótulo de confidencialidade para criptografia, consulte Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia.

Para obter detalhes técnicos sobre os direitos de uso, consulte Configurar direitos de uso para o Azure Proteção de Informações.

O Microsoft Purview dá suporte ao gerenciamento de conformidade para Copilot

Use os recursos de conformidade do Microsoft Purview para dar suporte aos seus requisitos de risco e conformidade para Copilot para Microsoft 365.

As interações com Copilot podem ser monitoradas para cada usuário em seu locatário. Como tal, você pode usar a classificação do Purview (tipos de informações confidenciais e classificadores treináveis), pesquisa de conteúdo, conformidade de comunicação, auditoria, descoberta eletrônica e recursos automáticos de retenção e exclusão usando políticas de retenção.

Para conformidade com a comunicação, você pode analisar prompts de usuário e respostas Copilot para detectar interações inadequadas ou arriscadas ou compartilhamento de informações confidenciais. Para obter mais informações, consulte Configurar uma política de conformidade de comunicação a ser detectada para Copilot para Microsoft 365 interações.

communication-compliance-microsoft-365-copilot.

Para auditoria, os detalhes são capturados quando os usuários interagem com Copilot. Os eventos incluem como e quando os usuários interagem com o Copilot, no qual o serviço microsoft 365 ocorreu, e referências aos arquivos armazenados no Microsoft 365 que foram acessados durante a interação. Se esses arquivos tiverem um rótulo de confidencialidade aplicado, isso também será capturado. Na solução Auditoria do portal do Microsoft Purview ou do portal de conformidade do Microsoft Purview, selecione Atividades do Copilot e Interação com Copilot. Você também pode selecionar Copilot como uma carga de trabalho. Por exemplo, no portal de conformidade:

Opções de auditoria para identificar interações do usuário com Microsoft Copilot para Microsoft 365.

Para pesquisa de conteúdo, como as solicitações do usuário para Copilot e as respostas do Copilot são armazenadas na caixa de correio de um usuário, elas podem ser pesquisadas e recuperadas quando a caixa de correio do usuário é selecionada como a origem de uma consulta de pesquisa. Selecione e recupere esses dados da caixa de correio de origem selecionando Adicionarinterações copilotos detipo> de condição>.

Da mesma forma para descoberta eletrônica, você usa o mesmo processo de consulta para selecionar caixas de correio e recuperar prompts de usuário para Copilot e respostas de Copilot. Depois que a coleção é criada e originada para a fase de revisão no eDiscovery (Premium), esses dados estão disponíveis para executar todas as ações de revisão existentes. Essas coleções e conjuntos de revisão podem ser colocados em espera ou exportados. Se você precisar excluir esses dados, consulte Pesquisa para e excluir dados para Microsoft Copilot para Microsoft 365.

Para políticas de retenção que dão suporte à retenção e exclusão automáticas, os prompts do usuário para Copilot e as respostas do Copilot são identificados pelos chats de localização do Teams e interações copilot. Previamente nomeados apenas chats do Teams, os usuários não precisam usar o chat do Teams para que essa política se aplique a eles. Todas as políticas de retenção existentes configuradas anteriormente para chats do Teams agora incluem automaticamente prompts e respostas do usuário de e para Microsoft Copilot para Microsoft 365:

O local de retenção de chats do Teams atualizado para incluir interações para Microsoft Copilot para Microsoft 365.

Para obter informações detalhadas sobre esse trabalho de retenção, consulte Saiba mais sobre retenção para Microsoft Copilot para Microsoft 365.

Como acontece com todas as políticas de retenção e retenção, se mais de uma política para o mesmo local se aplicar a um usuário, os princípios de retenção resolve quaisquer conflitos. Por exemplo, os dados são retidos pela maior duração de todas as políticas de retenção aplicadas ou de proteção eletrônica.

Para que os rótulos de retenção mantenham automaticamente os arquivos referenciados em Copilot, selecione a opção para anexos de nuvem com uma política de rótulo de retenção de aplicação automática: aplicar rótulo a anexos de nuvem e links compartilhados no Exchange, Teams, Viva Engage e Copilot. Como acontece com todos os anexos de nuvem retidos, a versão do arquivo no momento em que é referenciada é mantida.

Opção de anexos de nuvem atualizados para o rótulo de retenção de aplicação automática para incluir interações para Copilot.

Para obter informações detalhadas sobre como essa retenção funciona, consulte Como a retenção funciona com anexos de nuvem.

Para instruções de configuração:

Outra documentação para Copilot

Para obter informações mais detalhadas, confira Considerações para implantar proteções de conformidade e segurança de dados do Microsoft Purview para Copilot.

Para saber mais sobre Copilot para Microsoft 365 e como sua organização pode usar esse co-piloto para trabalhar, consulte a documentação Microsoft Copilot para Microsoft 365.

Para saber como aplicar a Confiança Zero ao Copilot para Microsoft 365, consulte Aplicar os princípios de Confiança Zero ao Microsoft Copilot para Microsoft 365.