13-02-01 — Microsoft Purview para IA: DLP e Sensitivity Labels com Copilot

⏱ 12 minFontes validadas em: 2026-04-29

TL;DR

Microsoft Purview é a plataforma de governança de dados que entende sensitivity labels e aplica DLP também no Copilot M365. Um arquivo marcado como "Confidencial" não pode ser resumido pelo Copilot para quem não tem permissão de lê-lo. O Purview Data Security Posture Management (DSPM) para IA dá visibilidade sobre o que o Copilot está acessando na sua organização.

Por que Purview importa no contexto de IA

Sem Purview, o Copilot M365 funciona com base nas permissões do Microsoft 365 — se o usuário tem acesso a um arquivo, pode pedir ao Copilot para resumir, extrair dados, comparar com outros documentos. Com Purview, você adiciona uma camada semântica: mesmo com permissão de leitura, o Copilot pode ser impedido de colar dados de um documento "Highly Confidential" em um email enviado externamente.

Sensitivity Labels — Revisão Rápida

Labels são metadados persistentes aplicados a documentos, emails e Teams. Definem:

  • Classificação: Public, Internal, Confidential, Highly Confidential
  • Proteção: Criptografia, watermark visual, header/footer
  • Escopo de acesso: Quem pode abrir, editar, encaminhar
🔷 Copilot + Labels: O Copilot M365 respeita sensitivity labels automaticamente. Se um documento tem label "Highly Confidential - No External Sharing", o Copilot não incluirá seu conteúdo em respostas que possam vazar externamente. A label "viaja" com o conteúdo — se o Copilot gerar um novo documento baseado em fontes confidenciais, herda a label mais restritiva.

DLP para IA

Data Loss Prevention no Purview pode ser configurado com condições específicas para Copilot e outras ferramentas de IA:

Políticas DLP para Copilot

  • Impedir que o Copilot acesse arquivos com label "Confidential" para usuários sem role específica
  • Bloquear resumos de documentos com PII (CPF, número de conta, dados de saúde) detectados automaticamente via classificadores
  • Auditar todas as interações do Copilot que envolvam documentos classificados
  • Aplicar políticas diferentes por workload: SharePoint, Teams, Exchange, OneDrive

Purview DSPM para IA

Data Security Posture Management para IA é o painel de visibilidade. Responde perguntas críticas:

  • Quais arquivos sensíveis estão sendo acessados pelo Copilot? Por quem?
  • Existem dados não classificados que o Copilot está usando?
  • Quais usuários têm acesso amplo demais para o risco que representam?
  • Há padrões suspeitos de uso do Copilot (exfiltração via perguntas)?
💡 Problema que ninguém percebe: Em muitas empresas, SharePoint tem arquivos compartilhados amplamente "para facilitar colaboração" sem labels. O Copilot consegue acessar tudo isso. DSPM para IA expõe essa superfície de risco — e frequentemente é um susto para o time de segurança.

Configuração Básica — Passo a Passo

  1. Ativar Purview DSPM para IA: Microsoft Purview portal → AI Hub → Data Security Posture Management
  2. Criar/revisar sensitivity labels: Purview → Information Protection → Labels
  3. Configurar auto-labeling: Regras automáticas que detectam CPF, CNPJ, dados financeiros e aplicam labels
  4. Criar política DLP para Copilot: Purview → Data Loss Prevention → Create Policy → Microsoft 365 Copilot
  5. Monitorar via AI Hub: Alertas, relatórios de acesso, anomalias

Comunicação Copilot ↔ Purview

graph TD User[Usuário] -->|Pergunta ao Copilot| Copilot[M365 Copilot] Copilot -->|Busca documentos| Graph[Microsoft Graph] Graph -->|Verifica permissões| AAD[Entra ID] Graph -->|Verifica labels| Purview[Microsoft Purview] Purview -->|Label: Confidential| DLP{DLP Policy} DLP -->|Permitido| Copilot DLP -->|Bloqueado| Block[🚫 Acesso negado] Copilot -->|Resposta filtrada| User Purview -->|Log de auditoria| AIHub[AI Hub / DSPM]

Licenciamento

RecursoLicença necessária
Sensitivity Labels básicosMicrosoft 365 E3
Auto-labeling, DLP avançadoMicrosoft 365 E5 ou Purview add-on
DSPM para IA (AI Hub)Microsoft 365 E5 Compliance
Copilot + Purview integradoMicrosoft 365 Copilot + E5 Compliance
⚠️ Atenção ao E5: Para uma empresa de 500 pessoas, a diferença entre E3 e E5 Compliance é significativa no budget. Avalie se o DSPM para IA é necessário desde o dia 1 ou pode ser adicionado após estabilizar o uso do Copilot.

Como isso se conecta

  • 13-01-01 — data leakage é o risco que Purview mitiga diretamente
  • 13-02-02 — Defender for Cloud Apps complementa com visibilidade de apps de terceiros
  • 13-03-04 — sensitivity labels fazem parte dos 10 controles de governance recomendados

Fontes

  1. Microsoft Purview for AI — Documentação oficial
  2. DLP para Microsoft 365 Copilot
  3. AI Hub e DSPM para IA
  4. DSPM para IA — Microsoft Tech Community