Considerações para gerir Microsoft 365 Copilot e o Agente de Canal no Teams para segurança e conformidade

Orientações de licenciamento do Microsoft 365 para conformidade com & de segurança

Quando compreender como pode utilizar o Microsoft Purview para gerir proteções de conformidade e segurança de dados para o Microsoft 365 Copilot e o Agente de Canal no Teams, utilize as seguintes informações detalhadas para quaisquer pré-requisitos, considerações e isenções que possam aplicar-se à sua organização. Certifique-se de que os lê em conjunto com os requisitos de Microsoft 365 Copilot e a Proteção de dados empresariais no chat do Microsoft 365 Copilot e do Microsoft Copilot 365.

Para obter informações de licenciamento para utilizar estas capacidades para a Copilot, veja as ligações de licenciamento e descrição do serviço na parte superior da página. Para obter informações de licenciamento da Copilot, veja a descrição do serviço para Microsoft 365 Copilot.

Considerações sobre a proteção de informações para Microsoft 365 Copilot

Microsoft 365 Copilot, Microsoft 365 Copilot Chat e agentes têm a capacidade de aceder aos dados armazenados no seu inquilino do Microsoft 365, incluindo caixas de correio em Exchange Online e documentos no SharePoint ou no OneDrive.

Além de aceder a conteúdos do Microsoft 365, a Copilot e os agentes também podem utilizar conteúdos do ficheiro específico em que está a trabalhar no contexto de uma sessão de aplicações do Office, independentemente do local onde esse ficheiro está armazenado. Por exemplo, armazenamento local, compartilhamentos de rede, armazenamento em nuvem ou um pen drive. Quando os ficheiros são abertos por um utilizador numa aplicação, o acesso é frequentemente referido como dados em utilização.

Antes de implementar licenças para o Copilot, certifique-se de que está familiarizado com os seguintes detalhes que o ajudam a fortalecer as suas soluções de proteção de dados:

• Se o conteúdo conceder direitos de utilização VIEW a um utilizador, mas não EXTRAÇÃO:

  • Quando um utilizador tem este conteúdo aberto numa aplicação, não poderá utilizar o Copilot.
  • O Copilot não resume este conteúdo, mas pode referenciá-lo com uma ligação para que o utilizador possa abrir e ver o conteúdo fora do Copilot.

• Pode impedir ainda mais o Copilot e os agentes de resumirem ficheiros e e-mails etiquetados (encriptados ou não) que são identificados por uma política de Proteção contra Perda de Dados do Microsoft Purview. O Copilot e os agentes não resumem este conteúdo, mas podem referenciá-lo com uma ligação para que o utilizador possa abrir e ver o conteúdo fora do Copilot.

• Tal como as suas aplicações do Office, o Copilot e os agentes podem aceder a etiquetas de confidencialidade da sua organização, mas não de outras organizações. Para obter mais informações sobre o suporte à rotulagem entre organizações, consulte suporte para usuários externos e conteúdo rotulado.

• Uma definição avançada do PowerShell para etiquetas de confidencialidade pode impedir que as aplicações do Office enviem conteúdo para algumas experiências ligadas, incluindo Microsoft 365 Copilot e agentes.

• O Copilot e os agentes não podem aceder a documentos não abertos no SharePoint e no OneDrive quando são etiquetados e encriptados com permissões definidas pelo utilizador, a menos que a etiqueta seja utilizada como uma etiqueta de confidencialidade predefinida que expanda as permissões do SharePoint para documentos transferidos ou que sejam diretamente referenciadas ao escrever "/" (e em ambos os casos, o utilizador tem permissões DE EXTRAÇÃO). O Copilot e os agentes podem sempre aceder a estes documentos para um utilizador quando estão abertos na aplicação (dados em utilização).

• As etiquetas de confidencialidade que são aplicadas a grupos e sites (também conhecidos como "etiquetas de contentor") não são herdadas por itens nesses contentores. Como resultado, os itens não apresentarão a etiqueta de contentor no Copilot e não podem suportar a herança de etiquetas de confidencialidade. Por exemplo, as mensagens de chat do canal do Teams que são resumidas de uma equipa identificada como Confidencial não apresentarão essa etiqueta para contexto de confidencialidade no Microsoft 365 Copilot Chat. Da mesma forma, os conteúdos de páginas e listas de sites do SharePoint não apresentarão a etiqueta de confidencialidade da respetiva etiqueta de contentor.

• Se estiver a utilizar definições de biblioteca de gestão de direitos de informação (IRM) do SharePoint que restringem os utilizadores de copiar texto, tenha em atenção que os direitos de utilização são aplicados quando os ficheiros são transferidos e não quando são criados ou carregados para o SharePoint. Se não quiser que o Copilot e os agentes resumam estes ficheiros quando estão inativos, utilize etiquetas de confidencialidade que apliquem encriptação sem o direito de utilização EXTRACT.

• Ao contrário de outros cenários de etiquetagem automática, uma etiqueta herdada quando cria novos conteúdos substituirá uma etiqueta de prioridade inferior que foi aplicada manualmente.

• Quando não é possível aplicar uma etiqueta de confidencialidade herdada, o texto não será adicionado ao item de destino. Por exemplo:

  • O item de destino é só de leitura
  • O item de destino já está encriptado e o utilizador não tem permissões para alterar a etiqueta (requer direitos de utilização EXPORTAR ou CONTROLO TOTAL)
  • A etiqueta de confidencialidade herdada não é publicada para o utilizador

• Se um utilizador pedir a Copilot ou agentes para criar novos conteúdos a partir de itens etiquetados e encriptados, a herança de etiquetas não é suportada quando a encriptação está configurada para permissões definidas pelo utilizador ou se a encriptação foi aplicada independentemente da etiqueta. O utilizador não poderá enviar estes dados para o item de destino.

• Uma vez que a Encriptação de Chave Dupla (DKE) se destina aos seus dados mais confidenciais que estão sujeitos aos requisitos de proteção mais rigorosos, a Copilot e os agentes não podem aceder a estes dados. Como resultado, os itens protegidos pelo DKE não serão devolvidos pela Copilot e, se um item DKE estiver aberto (dados em utilização), não poderá utilizar o Copilot na aplicação.

• As etiquetas de confidencialidade que protegem as reuniões e o chat do Teams não são atualmente reconhecidas pelo Copilot e pelos agentes. Por exemplo, os dados devolvidos de um chat de reunião ou chat de canal não apresentarão uma etiqueta de confidencialidade associada, a cópia dos dados de chat não pode ser impedida para um item de destino e a etiqueta de confidencialidade não pode ser herdada. Essa limitação não se aplica a convites de reunião, respostas e eventos de calendário protegidos por rótulos de confidencialidade.

• Para Microsoft 365 Copilot Chat (anteriormente conhecido como Chat de Negócios, chat com base no Grafo e Microsoft 365 Chat):

  • Quando os convites de reunião têm um rótulo de confidencialidade aplicado, o rótulo é aplicado ao corpo do convite da reunião, mas não aos metadados, como data e hora ou destinatários. Como resultado, as perguntas baseadas apenas nos metadados devolvem dados sem a etiqueta. Por exemplo, "Quais reuniões eu tenho na segunda-feira?" Perguntas que incluem o corpo da reunião, como a agenda, retornam os dados como rotulados.
  • Se o conteúdo for criptografado independentemente de seu rótulo de confidencialidade aplicado e essa criptografia não conceder ao usuário direitos de uso EXTRACT (mas incluir o direito de uso VIEW), o conteúdo poderá ser retornado pelo Copilot e, portanto, enviado para um item de origem. Um exemplo de quando esta configuração pode ocorrer se um utilizador tiver aplicado restrições do Office à Gestão de Direitos de Informação quando um documento é identificado como "Geral" e essa etiqueta não aplicar encriptação.
  • Quando o conteúdo devolvido tiver uma etiqueta de confidencialidade aplicada, os utilizadores não verão a opção Editar no Outlook porque esta funcionalidade não é atualmente suportada para dados etiquetados.
  • Se estiver a utilizar as capacidades de extensão que incluem plug-ins e o Conector do Microsoft Graph, as etiquetas de confidencialidade e a encriptação aplicadas a estes dados a partir de origens externas não são reconhecidas pelo Microsoft 365 Copilot Chat. Na maioria das vezes, esta limitação não se aplicará porque é pouco provável que os dados suportem etiquetas de confidencialidade e encriptação, embora uma exceção seja os dados do Power BI. Pode sempre desligar as origens de dados externas ao utilizar o Centro de administração do Microsoft 365 para desativar esses plug-ins para os utilizadores e desligar as ligações que utilizam um conector API do Graph.

Exceções específicas da aplicação:

• Microsoft 365 Copilot no Outlook: tem de ter uma versão mínima do Outlook para utilizar Microsoft 365 Copilot para itens encriptados no Outlook:

  • Outlook (Clássico) para Windows: a partir da versão 2408 no Canal Atual e no Canal Empresarial Mensal
  • Outlook para Mac: Versão 16.86.609 e superior
  • Outlook para iOS: Versão 4.2420.0 e superior
  • Outlook para Android: Versão 4.2420.0 e superior
  • Outlook na Web: Sim
  • Novo Outlook para Windows: Sim

• Microsoft 365 Copilot no Edge, Microsoft 365 Copilot no Windows: a menos que a prevenção de perda de dados (DLP) seja utilizada no Edge, a Copilot pode referenciar conteúdo encriptado a partir do separador ativo do browser no Edge quando esse conteúdo não conceder direitos de utilização de EXTRAÇÃO do utilizador. Por exemplo, o conteúdo criptografado é do Office para a Web ou do Outlook para a Web.

Será substituída uma etiqueta existente para herança de etiquetas de confidencialidade?

Resumo dos resultados quando Microsoft 365 Copilot aplica automaticamente a proteção com herança de etiquetas de confidencialidade:

O Copilot honra a proteção existente com o direito de utilização EXTRACT

Embora possa não estar muito familiarizado com os direitos de utilização individuais dos conteúdos encriptados, estes já existem há muito tempo. Do Windows Server Rights Management, ao Active Directory Rights Management, à versão na cloud que se tornou Azure Proteção de Informações com o serviço Azure Rights Management.

Se alguma vez tiver recebido um e-mail "Não Reencaminhar", está a utilizar direitos de utilização para o impedir de reencaminhar o e-mail depois de ter sido autenticado. Tal como acontece com outros direitos de utilização agrupados que mapeiam para cenários empresariais comuns, um e-mail Não Reencaminhar concede aos destinatários direitos de utilização que controlam o que podem fazer com o conteúdo e não inclui o direito de utilização REENcaminhar. Além de não reencaminhar, não pode imprimir este e-mail Não Reencaminhar nem copiar texto do mesmo.

O direito de utilização que concede permissão para copiar texto é EXTRAÇÃO, com o nome comum mais amigável e amigável de Copiar. É este direito de utilização que determina se o Copilot ou os agentes podem apresentar texto ao utilizador a partir de conteúdo encriptado.

Quando utiliza o portal do Microsoft Purview para configurar uma etiqueta de confidencialidade para aplicar a encriptação, a primeira opção é atribuir as permissões agora ou permitir que os utilizadores atribuam as permissões. Se atribuir agora, configure as permissões ao selecionar um nível de permissão predefinido com um grupo predefinido de direitos de utilização, como Co-Author ou Revisor. Em alternativa, pode selecionar permissões personalizadas onde pode selecionar individualmente os direitos de utilização disponíveis.

No portal do Microsoft Purview, o direito de utilização EXTRAIR é apresentado como Copiar e extrair conteúdo (EXTRACT). Por exemplo, o nível de permissão predefinido selecionado é Editor, onde vê Copiar e extrair conteúdo (EXTRACT) incluído. Como resultado, o conteúdo protegido com esta configuração de encriptação pode ser devolvido por Copilot e agentes

Se selecionar Personalizado na caixa pendente e, em seguida, Controlo total (PROPRIETÁRIO) na lista, esta configuração também concederá o direito de utilização EXTRAÇÃO.

Em alternativa, se selecionar a configuração de encriptação para permitir que os utilizadores atribuam permissões para o Outlook, esta configuração inclui permissões predefinidas para Não Reencaminhar e Encriptar Apenas. A opção Encrypt-Only, ao contrário de Não Reencaminhar, inclui o direito de utilização EXTRAIR.

Quando seleciona permissões personalizadas para Word, Excel e PowerPoint, os utilizadores selecionam as suas próprias permissões na aplicação do Office quando aplicam a etiqueta de confidencialidade. Atualmente, existem duas versões da caixa de diálogo. Na versão mais antiga, são informados de que, a partir das duas seleções, a opção Ler não inclui a permissão para copiar conteúdo, mas a opção Alterar inclui. Estas referências a copiar referem-se ao direito de utilização EXTRACT. Se o utilizador selecionar Mais Opções, pode adicionar o direito DE EXTRAIR utilização a Ler ao selecionar Permitir que os utilizadores com acesso de leitura copiem conteúdo.

Na versão mais recente da caixa de diálogo, Ler e Alterar é substituído por níveis de permissão em que as descrições que a cópia de estado não é permitida não incluirão o direito de utilização EXTRAÇÃO. Os níveis de permissão que incluem EXTRACT são Editor e Proprietário. Por exemplo:

Copilot e agentes honram o direito de utilização EXTRACT para um utilizador, no entanto, foi aplicado ao conteúdo. Na maioria das vezes, quando o conteúdo é etiquetado, os direitos de utilização concedidos ao utilizador correspondem aos da configuração da etiqueta de confidencialidade. No entanto, existem algumas situações que podem fazer com que os direitos de utilização do conteúdo sejam diferentes da configuração da etiqueta aplicada:

• A etiqueta de confidencialidade é aplicada após os direitos de utilização já serem aplicados
• Os direitos de utilização são aplicados após a aplicação de uma etiqueta de confidencialidade

Para obter mais informações sobre como configurar uma etiqueta de confidencialidade para encriptação, veja Restringir o acesso ao conteúdo através de etiquetas de confidencialidade para aplicar a encriptação.

Para obter detalhes técnicos sobre os direitos de utilização, veja Configurar direitos de utilização para o serviço Azure Rights Management.

Considerações sobre a proteção de informações para o Agente de Canal no Teams

O Agente de Canal no Teams utiliza informações etiquetadas de confidencialidade para responder a perguntas dos utilizadores que podem derivar dos respetivos ficheiros de canal no SharePoint, mensagens de canal e reuniões e reuniões padrão. Para estas etiquetas de confidencialidade, têm muitas das mesmas considerações de proteção de informações que as listadas na secção anterior para Microsoft 365 Copilot. Por exemplo:

• A etiqueta de prioridade mais alta é apresentada no chat e é utilizada para a herança de etiquetas quando é criado novo conteúdo gerado pela IA.
• O conteúdo de itens encriptados com permissões definidas pelo utilizador e Encriptação de Chave Dupla não está acessível.
• As etiquetas de confidencialidade aplicadas ao canal a partir dos grupos de etiquetas e da configuração de sites não são utilizadas pelo Agente de Canal no Teams.

No entanto, ao contrário das etiquetas de confidencialidade no Microsoft 365 Copilot:

• Embora o Agente de Canal no Teams honre a permissão EXTRACT, como o Copilot faz para o utilizador que pede, as permissões não são verificadas para todos os utilizadores no canal. Como resultado, o Agente de Canal pode resumir o conteúdo dos itens que um ou mais utilizadores no canal não têm permissões para abrir. O utilizador requerente é avisado deste risco e os administradores têm a capacidade de desativar o Agente de Canal no Teams.
• Não pode impedir o Agente de Canal de resumir ficheiros etiquetados que são identificados por uma política de Proteção contra Perda de Dados do Microsoft Purview.
• Não pode impedir que os utilizadores copiem as respostas de chat do Agente do Canal ou impeçam que estas respostas sejam utilizadas por outro agente de canal nos canais do Teams.
• As barreiras de informação não são suportadas para o Agente de Canal e, como resultado, podem devolver informações que ultrapassam barreiras.
• O Agente de Canal no Teams não é suportado com a Chave de Cliente do Microsoft Purview.

Considerações de gestão de conformidade para Microsoft 365 Copilot

A gestão de conformidade para interações com Microsoft 365 Copilot e agentes estende-se pelas seguintes aplicações: Word, Excel, PowerPoint, Outlook, Teams, Loop e Copilot Pages, Whiteboard, OneNote e Microsoft 365 Copilot Chat (anteriormente Conversa de Negócios, chat baseado em gráficos e Microsoft 365 Chat).

As ferramentas de conformidade identificam a origem Microsoft 365 Copilot interações pelo nome da aplicação. Por exemplo, Copilot no Word, Copilot no Teams e Microsoft 365 Chat (por Microsoft 365 Copilot Chat).

Antes de a sua organização utilizar Microsoft 365 Copilot, certifique-se de que está familiarizado com os seguintes detalhes para suportar as suas soluções de gestão de conformidade:

• Os dados de auditoria foram concebidos para fins de conformidade e segurança de dados e fornecem uma visibilidade abrangente das interações Microsoft 365 Copilot para estes casos de utilização. Por exemplo, para detetar riscos de partilha excessiva de dados ou para recolher interações para fins legais ou de conformidade regulamentar. Não se destina a ser utilizado como base para relatórios de utilização do Copilot.

  Observação

  Todas as métricas agregadas que criar sobre estes dados de auditoria, como "contagem de pedidos" ou "contagem de utilizadores ativos" poderão não ser consistentes com os pontos de dados correspondentes nos relatórios oficiais de utilização do Copilot fornecidos pela Microsoft. A Microsoft não pode fornecer orientações sobre como utilizar dados de registo de auditoria como base para relatórios de utilização, nem a Microsoft pode garantir que as métricas de utilização agregadas criadas com base nos dados de registo de auditoria corresponderão a métricas de utilização semelhantes comunicadas noutras ferramentas.

  Para aceder a informações precisas sobre a utilização do Copilot, utilize um dos seguintes relatórios: o Microsoft 365 Copilot relatório de utilização no Centro de Administração Microsoft 365 ou no Dashboard copilot nas Informações Viva.

• A auditoria captura a atividade Microsoft 365 Copilot da pesquisa, mas não o pedido ou resposta do utilizador real. Para obter estas informações, utilize a Deteção de Dados Eletrónicos. Em alternativa, a partir de Gerenciamento da Postura de Segurança de Dados do Microsoft Purview para IA, utilize a interação de IA a partir da página Explorador de atividades.

• Administração alterações relacionadas com a auditoria copilot ainda não são suportadas.

• As informações de identificação do dispositivo não estão atualmente incluídas nos detalhes da auditoria.

• As políticas de retenção para interações copilot não informam os utilizadores quando as mensagens são eliminadas como resultado de uma política de retenção.

Exceções específicas da aplicação:

• Microsoft 365 Copilot no Teams:
  • Se as transcrições estiverem desativadas, as capacidades de auditoria, Deteção de Dados Eletrónicos e retenção não são suportadas
  • Se as transcrições forem referenciadas, esta ação não é capturada para auditoria
  • Para Microsoft 365 Copilot Chat, atualmente, a Copilot não pode reter como anexos na nuvem, ficheiros referenciados que devolve aos utilizadores. Os ficheiros referenciados pelos utilizadores são suportados para serem mantidos como anexos na nuvem.