Sistema de controle do Copilot segurança e governação

Ao implementar o Microsoft 365 Copilot e agentes, poderá enfrentar riscos novos e amplificados relacionados com segurança, conformidade, privacidade e governação. Esta arquitetura de segurança e governação ajuda-o a mitigar estes problemas nos seguintes componentes:

• Microsoft 365 Copilot
• Microsoft 365 Copilot Chat
• Agentes pré-criados do Microsoft 365
• Agentes criados no Microsoft Copilot Studio e publicados nos canais do Microsoft 365

Este artigo refere-se a controlos fundamentais e otimizados . Em geral, estes termos referem-se aos seguintes produtos e serviços:

• Fundamental: controlos de segurança e governação no Centro de administração do Microsoft 365, Gerenciamento Avançado do SharePoint e Microsoft Purview com uma licença A3/E3/G3.

• Otimizado: controlos no Microsoft Purview e Microsoft Defender para Aplicativos de Nuvem com uma licença A5/E5/G5.

O pilar de segurança e governação do Sistema de controle do Copilot centra-se nas seguintes capacidades principais:

• Segurança de dados
• Segurança de IA
• Conformidade e privacidade

Segurança de dados

Acima de tudo, proteja as informações da sua organização. Consoante o seu licenciamento atual, utilize o Microsoft Purview e o Gerenciamento Avançado do SharePoint para avaliar riscos de partilha excessiva. Também pode utilizar o Microsoft Purview para recomendações de políticas e para tomar medidas corretivas. Estas ações ajudam-no a ter a certeza de que os dados confidenciais permanecem protegidos e o acesso está limitado apenas aos utilizadores que precisam dos mesmos, incluindo com o Copilot e os agentes.

Controlos de governação e segurança de dados fundamentais

No Gerenciamento Avançado do SharePoint e No Microsoft Purview com uma licença A3/E3/G3, obtém os seguintes controlos de governação e segurança de dados fundamentais:

• Identifique dados potencialmente sobrepartilhados em todo o Microsoft 365. Execute regularmente os seguintes relatórios:

  • Os relatórios de governação de acesso a dados para sites do SharePoint permitem-lhe identificar dados sobrepartilhados para sites. Também pode enviar uma revisão de acesso ao site aos proprietários de sites partilhados em excesso.

• Remova o acesso ao site ao nível da organização, conforme necessário.

  • Utilize o SharePoint para configurar manualmente este acesso ou automatizar a configuração com Windows PowerShell. Para obter mais informações, veja Restringir o acesso a sites do SharePoint com grupos de segurança Grupos do Microsoft 365 e Microsoft Entra.

  • Para restringir o acesso de utilizador, Copilot e agente a sites partilhados em excesso durante a remediação de riscos, utilize a deteção restrita de conteúdos do SharePoint ou o controlo de acesso restrito do SharePoint.

  • Utilize Proteção de Informações do Microsoft Purview etiquetas de confidencialidade do site. Para obter mais informações, consulte Utilizar etiquetas de confidencialidade com o Microsoft Teams, Grupos do Microsoft 365 e sites do SharePoint.

• Melhore as respostas do Copilot e do agente ao arquivar ou eliminar conteúdo desnecessário.

  • Para identificar e gerir sites sharePoint inativos ou sem proprietário e, em seguida, arquive-os ou elimine-os, utilize a gestão do ciclo de vida do site SharePoint.

  • Utilize Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview para identificar e eliminar ficheiros de que não precisa.

No Microsoft Purview com uma licença A3/E3/G3, obtém os seguintes controlos de segurança de dados fundamentais:

• Receba notificações quando ocorrer uma nova partilha excedida com opções de remediação. Para obter mais informações, veja Prevenção Contra Perda de Dados do Microsoft Purview.

• Proteger dados confidenciais através de controlos de acesso ao nível do ficheiro. Para obter mais informações, veja Aplicar encriptação com Proteção de Informações do Microsoft Purview etiquetas de confidencialidade.

• Veja relatórios de dados confidenciais e ficheiros desprotegidos referenciados nas interações copilot e agente. Para obter mais informações, veja os relatórios em Gerenciamento da Postura de Segurança de Dados do Microsoft Purview (DSPM) para IA.

• Utilize Proteção de Informações do Microsoft Purview etiquetas de confidencialidade para os seguintes controlos:

  • Detete quando o conteúdo contém dados confidenciais e peça ao utilizador para aplicar manualmente as proteções.

  • Proteja ficheiros mesmo que um utilizador os mova ou transfira.

Controlos de segurança de dados otimizados

No Microsoft Purview com uma licença A5/E5/G5, obtém os seguintes controlos de segurança de dados otimizados:

• Utilize a gestão da postura de segurança de dados (DSPM) do Microsoft Purview para IA para os seguintes controlos:

  • Crie avaliações de risco de dados direcionadas para localizações específicas do Microsoft 365, como sites do SharePoint e OneDrive.

  • Receba e aja com base em sugestões de políticas para mitigar os riscos específicos de partilha excessiva.

• Para detetar quando o conteúdo contém dados confidenciais e aplicar automaticamente proteções, utilize Proteção de Informações do Microsoft Purview etiquetas de confidencialidade.

• Utilize Gerenciamento de Risco Interno do Microsoft Purview para os seguintes controlos:

• Seja alertado para ações de utilizador arriscadas que se desviam do padrão de comportamento habitual. Para obter mais informações, veja Modelos de políticas de Gestão de Riscos Internos.

• Correlacione e sequencia alertas de risco para identificar padrões de risco de gravidade elevada para um utilizador. Para obter mais informações, veja Políticas de Gestão de Riscos Internos para deteção de sequências.

• Adicione automaticamente um utilizador a políticas de segurança mais rigorosas com base nos respetivos padrões de risco. Para obter mais informações, veja Proteção adaptável para gestão de riscos internos.

Segurança de IA

Também tem de salvaguardar as ferramentas com tecnologia de IA e os respetivos dados associados contra ameaças em evolução. O Sistema de controle do Copilot fornece controlos para monitorizar, detetar e responder a riscos relacionados com IA. Por exemplo, partilha excessiva de informações confidenciais, comportamento anómalo do utilizador e utilização indevida de capacidades de IA geradoras. Utilize estes controlos para garantir que as integrações de IA permanecem seguras, em conformidade e resilientes contra ameaças internas e externas.

Controlos de segurança de IA fundamentais

O Copilot já inclui proteções incorporadas contra ataques baseados em IA. Estas proteções incluem, mas não estão limitadas, as seguintes proteções:

• Bloquear ataques de injeção de pedidos

• Bloquear conteúdo prejudicial

• Detetar material protegido

No Microsoft Purview com uma licença A3/E3/G3, obtém os seguintes controlos de segurança de IA fundamentais:

• Para ver o texto de pedido e resposta e os ficheiros referenciados, pesquise e exporte com Descoberta Eletrônica do Microsoft Purview.

• Para respostas copilot e agentes e documentos criados pela Copilot e agentes para herdar etiquetas e proteções de confidencialidade, utilize Proteção de Informações do Microsoft Purview etiquetas de confidencialidade.

Controlos de segurança de IA otimizados

No Microsoft Purview com uma licença A5/E5/G5, obtém os seguintes controlos de segurança de IA otimizados:

• Para impedir que o Copilot e os agentes processem determinados ficheiros confidenciais e os utilizem em respostas, utilize Prevenção Contra Perda de Dados do Microsoft Purview para o Microsoft 365 Copilot e agentes.

• Para ser alertado para uma utilização de IA arriscada, como uma tentativa de ataque de injeção de pedidos ou a utilização de dados confidenciais, utilize Gerenciamento de Risco Interno do Microsoft Purview.

• Para impedir que os utilizadores de alto risco acedam a conteúdos confidenciais com o Copilot e agentes, utilize a Proteção adaptável para a gestão de riscos internos.

• Para ver texto de pedido e resposta, todas as consultas Web utilizadas durante a ligação à terra e os ficheiros referenciados utilizam o explorador de atividades no Gerenciamento da Postura de Segurança de Dados do Microsoft Purview para IA.

Conformidade e privacidade

O terceiro aspeto da segurança e governação no Sistema de controle do Copilot é garantir que pode monitorizar, auditar e gerir a forma como as interações copilot e agente cumprem as normas regulamentares e internas. Utilize o Microsoft Purview para fornecer uma supervisão abrangente das atividades da Copilot. Com estes controlos, pode proteger informações confidenciais, manter a privacidade e demonstrar conformidade regulamentar ao implementar e utilizar o Microsoft 365 Copilot e agentes.

Conformidade básica e controlos de privacidade

No Microsoft Purview com uma licença A3/E3/G3, obtém os seguintes controlos de privacidade e conformidade fundamentais:

• Para auditar as interações do Copilot e do agente, aceda a informações de registo detalhadas com Auditoria do Microsoft Purview para aplicações Copilot e IA.

• Para impor políticas de retenção e eliminação para as seguintes funcionalidades, utilize Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview:

  • Interações do Microsoft 365 Copilot e do agente

  • Gravações e transcrições de reuniões do Microsoft Teams

• Utilize Descoberta Eletrônica do Microsoft Purview para os seguintes controlos:

  • Inclua o Copilot de um utilizador e pedidos de agente e respostas numa suspensão legal. Para obter mais informações, veja Holds and hold policies (Reter e manter políticas).

  • Procure litígios ou uma investigação e inclua conteúdos gerados por Copilot e agentes.

Conformidade otimizada e controlos de privacidade

No Microsoft Purview com uma licença A5/E5/G5, obtém os seguintes controlos de privacidade e conformidade otimizados:

• Para receber um alerta se ocorrer uma possível conformidade ou violação ética e, em seguida, iniciar uma investigação, utilize Conformidade de Comunicações do Microsoft Purview.

• Para avaliar e controlar a adesão às arquiteturas regulamentares, utilize o Gestor de Conformidade do Microsoft Purview.

Confiança Zero

A Microsoft fornece documentação detalhada para implementar os princípios de Confiança Zero na sua organização e considerações específicas para o Microsoft 365 Copilot e Copilot Chat. Confiança Zero não é um produto ou serviço, mas sim uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança:

• Verificar explicitamente
• Usar o acesso de privilégio mínimo
• Assumir violação

Para obter mais informações, veja Utilizar Confiança Zero segurança para se preparar para o Copilot.

Conteúdo relacionado

• Dados, privacidade e segurança para o Microsoft 365 Copilot

• Gerenciamento Avançado do SharePoint

• Microsoft Purview

• Sistema de controle do Copilot - Adoção da Microsoft