13-02-01 — Microsoft Purview para IA: DLP e Sensitivity Labels com Copilot
Por que Purview importa no contexto de IA
Sem Purview, o Copilot M365 funciona com base nas permissões do Microsoft 365 — se o usuário tem acesso a um arquivo, pode pedir ao Copilot para resumir, extrair dados, comparar com outros documentos. Com Purview, você adiciona uma camada semântica: mesmo com permissão de leitura, o Copilot pode ser impedido de colar dados de um documento "Highly Confidential" em um email enviado externamente.
Sensitivity Labels — Revisão Rápida
Labels são metadados persistentes aplicados a documentos, emails e Teams. Definem:
- Classificação: Public, Internal, Confidential, Highly Confidential
- Proteção: Criptografia, watermark visual, header/footer
- Escopo de acesso: Quem pode abrir, editar, encaminhar
🔷 Copilot + Labels: O Copilot M365 respeita sensitivity labels automaticamente. Se um documento tem label "Highly Confidential - No External Sharing", o Copilot não incluirá seu conteúdo em respostas que possam vazar externamente. A label "viaja" com o conteúdo — se o Copilot gerar um novo documento baseado em fontes confidenciais, herda a label mais restritiva.
DLP para IA
Data Loss Prevention no Purview pode ser configurado com condições específicas para Copilot e outras ferramentas de IA:
Políticas DLP para Copilot
- Impedir que o Copilot acesse arquivos com label "Confidential" para usuários sem role específica
- Bloquear resumos de documentos com PII (CPF, número de conta, dados de saúde) detectados automaticamente via classificadores
- Auditar todas as interações do Copilot que envolvam documentos classificados
- Aplicar políticas diferentes por workload: SharePoint, Teams, Exchange, OneDrive
Purview DSPM para IA
Data Security Posture Management para IA é o painel de visibilidade. Responde perguntas críticas:
- Quais arquivos sensíveis estão sendo acessados pelo Copilot? Por quem?
- Existem dados não classificados que o Copilot está usando?
- Quais usuários têm acesso amplo demais para o risco que representam?
- Há padrões suspeitos de uso do Copilot (exfiltração via perguntas)?
💡 Problema que ninguém percebe: Em muitas empresas, SharePoint tem arquivos compartilhados amplamente "para facilitar colaboração" sem labels. O Copilot consegue acessar tudo isso. DSPM para IA expõe essa superfície de risco — e frequentemente é um susto para o time de segurança.
Configuração Básica — Passo a Passo
- Ativar Purview DSPM para IA: Microsoft Purview portal → AI Hub → Data Security Posture Management
- Criar/revisar sensitivity labels: Purview → Information Protection → Labels
- Configurar auto-labeling: Regras automáticas que detectam CPF, CNPJ, dados financeiros e aplicam labels
- Criar política DLP para Copilot: Purview → Data Loss Prevention → Create Policy → Microsoft 365 Copilot
- Monitorar via AI Hub: Alertas, relatórios de acesso, anomalias
Comunicação Copilot ↔ Purview
graph TD
User[Usuário] -->|Pergunta ao Copilot| Copilot[M365 Copilot]
Copilot -->|Busca documentos| Graph[Microsoft Graph]
Graph -->|Verifica permissões| AAD[Entra ID]
Graph -->|Verifica labels| Purview[Microsoft Purview]
Purview -->|Label: Confidential| DLP{DLP Policy}
DLP -->|Permitido| Copilot
DLP -->|Bloqueado| Block[🚫 Acesso negado]
Copilot -->|Resposta filtrada| User
Purview -->|Log de auditoria| AIHub[AI Hub / DSPM]
Licenciamento
| Recurso | Licença necessária |
|---|---|
| Sensitivity Labels básicos | Microsoft 365 E3 |
| Auto-labeling, DLP avançado | Microsoft 365 E5 ou Purview add-on |
| DSPM para IA (AI Hub) | Microsoft 365 E5 Compliance |
| Copilot + Purview integrado | Microsoft 365 Copilot + E5 Compliance |
⚠️ Atenção ao E5: Para uma empresa de 500 pessoas, a diferença entre E3 e E5 Compliance é significativa no budget. Avalie se o DSPM para IA é necessário desde o dia 1 ou pode ser adicionado após estabilizar o uso do Copilot.