Segurança para Microsoft 365 Copilot

A segurança é fundamental para a nossa abordagem na Microsoft; salvaguarda os dados dos clientes, suporta a integridade do sistema e inclui funcionalidades de segurança do utilizador. Este compromisso está alinhado com os nossos princípios mais amplos de privacidade, conformidade e confiança. Este artigo descreve a nossa abordagem para proteger Microsoft 365 Copilot e fornece orientações que pode utilizar para fortalecer a sua postura de segurança de IA.

O que a Microsoft faz para proteger Microsoft 365 Copilot

A Microsoft aplica uma estratégia de defesa em profundidade de várias camadas para proteger Microsoft 365 Copilot a todos os níveis, baseada em normas de segurança, privacidade e conformidade empresariais. Isto significa que, se uma camada for violada, outras ainda fornecem proteção. A abordagem da Microsoft é orientada pelos princípios de IA Responsável e é reforçada pela Iniciativa Secure Future recentemente expandida.

A nossa postura de segurança abrangente para IA inclui:

• Práticas seguras de engenharia e desenvolvimento
• Informações sobre ameaças e mitigação de riscos
• Privacidade e conformidade por predefinição

Cada aspeto desta base constitui um ecossistema digital mais seguro para adotar com confiança as funcionalidades e ferramentas de IA.

Além disso, a Microsoft incorpora a governação baseada em princípios de IA Responsável em todo o ciclo de vida de IA para ajudar a garantir que os sistemas são desenvolvidos e implementados de forma ética e segura. Esta estratégia ajuda a garantir que a IA se comporta de formas fidedignas, responsáveis e inclusivas. Uma parte fundamental do programa de IA Responsável foi concebida para identificar potenciais riscos, medir a sua propensão e criar mitigações para geri-los, descrito na nota transparência para Microsoft 365 Copilot: Mapeamento, medição e gestão de riscos.

Práticas seguras de engenharia e desenvolvimento

A segurança é integrada desde o zero através do nosso Ciclo de Vida de Desenvolvimento de Segurança (SDL). Esta integração ajuda a garantir que as vulnerabilidades são identificadas e mitigadas no início do processo de desenvolvimento. A Microsoft também fornece orientações de segurança personalizadas e melhores práticas para programadores, engenheiros e profissionais de segurança que trabalham com tecnologias de IA da Microsoft. Veja Criar uma postura de segurança forte para IA.

Avaliações e testes

A Microsoft realiza agrupamentos vermelhos internos e encomenda avaliações de terceiros que incluem testes de penetração. Estas avaliações ajudam a avaliar Microsoft 365 Copilot implementações contra vulnerabilidades tradicionais e o Open Web Application Security Project (OWASP) Top 10 para LLMs. Para ver as avaliações, visite o Portal de Confiança do Serviço.

Controlos de execução

Microsoft 365 Copilot impõe proteções de codificação e arquitetura seguras para evitar a utilização indevida, incluindo a geração de ransomware e a execução remota de código. Os padrões maliciosos são bloqueados através da inspeção rápida e da filtragem de conteúdos, enquanto o sandboxing ajuda a garantir que Microsoft 365 Copilot funciona dentro dos limites de execução restritos. Para obter mais informações, veja Microsoft 365 Copilot arquitetura e como funciona.

Informações sobre ameaças e mitigação de riscos

Microsoft 365 Copilot está protegida por uma estratégia de defesa de várias camadas que combina informações sobre ameaças, deteção específica de IA e contenção de arquitetura. A Microsoft utiliza informações sobre ameaças globais para monitorizar ataques adversos, manipulação de modelos e fuga de dados. Para ver as descobertas mais recentes, visite o blogue Microsoft Security: Threat intelligence (Segurança da Microsoft: Informações sobre ameaças).

As principais práticas incluem:

• Agrupamento vermelho interno e testes de penetração de terceiros
• Identificação proativa para bloquear entradas maliciosas
• Classificadores de machine learning
• Metaprompting
• Filtragem de conteúdo para detetar tentativas de injeção rápida, incluindo jailbreaks, ataques de injeção de pedidos eXternalizados (XPIAs) e vulnerabilidades agentes

Para ver os relatórios, documentos técnicos e outros recursos, visite o Portal de Confiança do Serviço.

Microsoft 365 Copilot mitiga vulnerabilidades XPIA e agente através de defesas em camadas, incluindo a limpeza de markdown, classificadores de pedidos maliciosos, proteção de sessão e políticas de segurança de conteúdo. Estas proteções ajudam a evitar ações não autorizadas e a transferência de dados não autorizados em superfícies Microsoft 365 Copilot e são implementadas automaticamente através da infraestrutura de cloud da Microsoft sem a necessidade de ação do cliente. Esta metodologia também inclui testes contínuos e estratégias de contenção.

Contenção por predefinição

Em caso de tentativa de injeção bem-sucedida, a arquitetura do Microsoft 365 Copilot ajuda a garantir a contenção por predefinição. Microsoft 365 Copilot opera no contexto de identidade e acesso do utilizador, limitando o raio de explosão de qualquer potencial compromisso.

• Microsoft 365 Copilot funciona no contexto de inquilino e identidade do utilizador
• Microsoft 365 Copilot só acede aos dados que o utilizador está autorizado a ver
• Todas as interações estão confinadas às permissões existentes, impedindo o movimento lateral ou o acesso não autorizado a dados

Defesas de injeção de pedidos

A Microsoft utiliza uma estratégia de defesa de várias camadas em todo o fluxo de pedidos de Microsoft 365 Copilot para mitigar os riscos de injeção rápida. Eis alguns exemplos de funcionalidades de proteção que estão ativas por predefinição e não necessitam de configuração:

• A estrutura do utilizador no ciclo permite que os utilizadores revejam, modifiquem ou rejeitem conteúdo gerado por IA.
• A filtragem de spam, esquemas fraudulentos e conteúdos suspeitos ajuda a bloquear instruções maliciosas, tentativas de phishing e material fraudulento em pedidos.
• Microsoft 365 Copilot ignora e-mails de lixo e conversas não fidedignos do Microsoft Teams, incluindo conversas de contactos externos.
• Microsoft 365 Copilot honra o bloqueio da Web do Bing para filtrar sites para adultos, de baixa autoridade e maliciosos durante a pesquisa na Web.
• Microsoft 365 Copilot funciona com uma arquitetura LLM sem estado. Os pedidos são processados em tempo real através da indexação semântica no âmbito do inquilino para ajudar a garantir que o acesso aos dados e a relevância estão estritamente limitados ao contexto organizacional do utilizador.

Para obter mais informações sobre como a Microsoft protege os dados, impõe controlos de privacidade e protege as operações de IA, consulte Dados, Privacidade e Segurança para Microsoft 365 Copilot.

Prevenção de transferência de dados não autorizada

O modelo de segurança em camadas da Microsoft 365 Copilot aborda ameaças tradicionais e emergentes, incluindo cenários com potencial para a transferência de dados não autorizada, como estes:

• URLs de imagem não autenticados, em que um utilizador gera uma imagem que contém dados confidenciais, extrai o URL com as ferramentas do browser e, em seguida, partilha a imagem externamente. Se a imagem estiver acessível sem autenticação, poderá ignorar os controlos empresariais, como o Acesso Condicional ou etiquetas de confidencialidade.
• Imagens maliciosas, como códigos QR, em que um utilizador num inquilino gera uma imagem maliciosa e partilha um URL anónimo com utilizadores noutro inquilino. Se um URL não estiver protegido pela autenticação, os controlos de acesso poderão não ser impostos.

Para ajudar a mitigar tais cenários, a Microsoft aplica a sua estratégia de defesa em profundidade. Esta estratégia inclui a monitorização contínua de vetores de fuga de dados, utilização indevida adversa e padrões de acesso não autorizado.

O conteúdo gerado por Microsoft 365 Copilot é regido pelos mesmos controlos de acesso e políticas de conformidade que outros conteúdos do Microsoft 365. Isto significa que as permissões de utilizador, as etiquetas de confidencialidade e as políticas de Acesso Condicional são impostas no ponto de geração e acesso de conteúdos.

Privacidade e conformidade por predefinição

Microsoft 365 Copilot cumpre as normas de privacidade e conformidade descritas em Dados, Privacidade e Segurança para Microsoft 365 Copilot. As proteções impostas através de controlos de segurança incluem:

• Imposição de acesso a dados
• Encriptação e isolamento
• Ferramentas de conformidade
• Salvaguardar dados em todo o ciclo de vida de IA
• Limite de dados da UE
• Governação entre clouds para cargas de trabalho de IA
• Integração e imposição de políticas

Para obter mais informações, veja Proteção de dados empresariais em Microsoft 365 Copilot e Microsoft 365 Copilot Chat.

Imposição de acesso a dados

Microsoft 365 Copilot respeita as permissões Microsoft Entra ID e as políticas do Microsoft Purview. O Microsoft 365 Copilot só apresenta dados organizacionais aos quais os usuários individuais têm pelo menos permissões de exibição. As políticas são impostas por Microsoft Entra ID, Microsoft Purview e Acesso Condicional.

Microsoft 365 Copilot conectores melhoram o valor de Microsoft 365 Copilot e mantêm as proteções empresariais.

Encriptação e isolamento

Os dados são encriptados em trânsito e inativos através de tecnologias compatíveis com FIPS 140-2, com isolamento ao nível do inquilino. A Encriptação de Chave Dupla (DKE) ajuda a garantir que a Microsoft não consegue aceder a conteúdos protegidos sem a chave do cliente e que o conteúdo não está acessível para Microsoft 365 Copilot.

Quando você tem dados criptografados pelo Proteção de Informações do Microsoft Purview, o Copilot para Microsoft 365 respeita os direitos de uso concedidos ao usuário. A encriptação pode ser aplicada por etiquetas de confidencialidade ou por permissões restritas em aplicações no Microsoft 365 através da Gestão de Direitos de Informação (IRM).

Para obter mais informações sobre como utilizar o Purview com Microsoft 365 Copilot, veja Proteções de conformidade e segurança de dados do Microsoft Purview para aplicações de IA geradas.

Governação entre clouds para cargas de trabalho de IA

O Microsoft Purview ajuda-o a governar a IA em ambientes híbridos e multicloud, como Azure, AWS e Google Cloud. Se tiver Microsoft Security Copilot, obterá mais informações de IA e capacidades de deteção de ameaças.

• O Purview permite uma classificação, etiquetagem e imposição de políticas consistentes entre clouds, com visibilidade sobre como os dados fluem para modelos de IA e plug-ins.
• Security Copilot deteta riscos relacionados com IA em várias plataformas, correlaciona ameaças e apresenta informações de postura da gestão da postura de segurança da cloud.

Integração e imposição de políticas

Microsoft 365 Copilot faz parte do programa de conformidade empresarial da Microsoft e beneficia de uma série de certificações e avaliações. Estas normas incluem (mas não estão limitadas a):

• FedRAMP
• HiTrust
• SOC 2 Tipo 1
• ISO/IEC 27001, 27701, 22301, 27018 e 42001

Microsoft Entra ID, Microsoft Purview e Microsoft 365 para empresas impõem o Acesso Condicional, etiquetas de confidencialidade e barreiras de informações.

Para obter mais informações, consulte os seguintes recursos:

• Atender aos requisitos de conformidade regulatória
• Proteções de segurança e conformidade de dados do Microsoft Purview para o Microsoft Copilot
• Utilizar o Microsoft Purview para gerir a conformidade & de segurança de dados para Microsoft 365 Copilot & Microsoft 365 Copilot Chat

Proteger os seus dados para Microsoft 365 Copilot

Proteger os seus dados para ferramentas de IA, como Microsoft 365 Copilot, é uma responsabilidade partilhada. Além do que a Microsoft faz para proteger Microsoft 365 Copilot, existem determinadas tarefas que a sua organização tem de fazer para gerir os seus dados e ajudar a garantir que está a utilizar a IA de forma segura e segura. Veja o modelo de responsabilidade partilhada de IA.

Saiba mais sobre as ferramentas e capacidades do Microsoft Purview

O Microsoft Purview fornece ferramentas para o ajudar a proteger e a governar os seus dados para utilização em ferramentas de IA e Microsoft 365 Copilot. Confira os seguintes artigos:

• Utilizar o Microsoft Purview para gerir a conformidade & de segurança de dados para Microsoft 365 Copilot & Microsoft 365 Copilot Chat
• Proteções de segurança e conformidade de dados do Microsoft Purview para o Microsoft Copilot
• Considerações para gerir Microsoft 365 Copilot e o Agente de Canal no Teams para segurança e conformidade
• Saiba como utilizar Prevenção Contra Perda de Dados do Microsoft Purview para proteger interações com Microsoft 365 Copilot e Copilot Chat

Transferir guias e modelos de implementação baseados em cenários

Transfira e reveja os nossos modelos, apresentações e guias de implementação baseados em cenários. Estes recursos descrevem como implementar rapidamente uma configuração segura por predefinição, resolver problemas de partilha excessiva e impedir a fuga de dados para a IA sombra. Veja Notas da engenharia: Modelos de implementação do Microsoft Purview.

Dashboard de segurança

Microsoft 365 Copilot inclui controlos de segurança incorporados do Microsoft Purview. O dashboard de segurança copilot fornece mais informações e controlos para o ajudar:

• Impedir fugas de dados com uma política de prevenção de perda de dados (DLP)
• Gerir a partilha de dados em excesso
• Reforçar a conformidade dos dados

Para ver o dashboard no Centro de administração do Microsoft 365, selecione Copilot OverviewSecurity (Segurança daDescrição Geral do> Copilot>). Para apresentar a secção Segurança , precisa da função Leitor Global . Para fazer alterações, é necessária a função de administrador de IA .

Confira também

• Perguntas mais frequentes sobre Copilot Chat
• Ficheiros gerados por Copilot: onde estão armazenados
• Ajuda para utilizadores finais: Introdução ao Microsoft 365 Copilot Chat