13-02-02 — Microsoft Defender for Cloud Apps + Copilot

⏱ 10 minFontes validadas em: 2026-04-29

TL;DR

Microsoft Defender for Cloud Apps (MDCA) é o CASB (Cloud Access Security Broker) da Microsoft. No contexto de IA, resolve dois problemas: (1) visibilidade e controle sobre ferramentas de IA de terceiros que os colaboradores usam sem aprovação (Shadow AI), e (2) monitoramento de comportamento anômalo no Microsoft 365 Copilot via integração nativa.

Shadow AI — O Problema Real

Funcionários já estão usando ChatGPT, Claude, Gemini, Perplexity para trabalho — com ou sem aprovação corporativa. Dados da empresa são colados nesses chats diariamente. O MDCA resolve isso com visibilidade e controle granular.

⚠️ Dados de 2024: Gartner estimou que 40% dos colaboradores usam ferramentas de IA não aprovadas para tarefas corporativas. Em empresas de tecnologia, esse número chega a 70%. Proibir não funciona — governar é a única saída prática.

Funcionalidades Principais

1. Cloud App Discovery

Analisa logs de firewall/proxy e identifica todos os apps de IA em uso na organização. Classifica por risco (score 1-10), volume de uso, dados transferidos. Você vê: "50 usuários estão usando ChatGPT, 20 estão no Claude, 8 no Perplexity".

2. Sanctioning e Blocking

Para cada app descoberto, você pode:

  • Sanctioned: Aprovado — permite acesso livre
  • Unsanctioned: Bloqueado — gera alerta ou block via integração com proxy/firewall
  • Monitored: Permitido com auditoria reforçada

3. Session Controls para IA

Via proxy reverso, o MDCA pode intermediar sessões com apps aprovados e aplicar controles em tempo real:

  • Bloquear upload de arquivos com sensitivity labels "Confidential"
  • Prevenir copiar/colar de conteúdo sensível para ChatGPT Business
  • Watermark em downloads de respostas geradas por IA

4. Integração com M365 Copilot

O MDCA tem integração nativa com Microsoft 365 Copilot para detecção de anomalias:

  • Usuário que nunca usou Copilot começa a fazer 500 queries/hora → alerta
  • Padrão de perguntas similar a exfiltração de dados (muitas perguntas sobre "todos os contratos com cliente X")
  • Acesso a documentos fora do padrão histórico do usuário
🔷 Políticas Predefinidas para IA: O MDCA já inclui templates de policy para ferramentas de IA populares. Você pode ativar "Block upload to generative AI apps" em minutos, sem configuração manual de cada app.

Configuração Rápida

  1. Acesse: Microsoft Defender XDR → Cloud Apps → Cloud App Catalog
  2. Filtre por categoria: Generative AI → veja todos os apps identificados
  3. Exporte relatório: Shadow AI report para apresentar ao board
  4. Crie política: App Discovery Policy → Category = Generative AI → Risk score ≤ 5 → Unsanctioned
  5. Integre com Entra: Conditional Access + MDCA para session controls em apps sancionados

Licenciamento

MDCA está incluído no Microsoft 365 E5 Security. Para uso com Copilot M365, a integração de anomaly detection está disponível com licença Copilot.

💡 Estratégia recomendada para 500+ colaboradores: Não comece bloqueando tudo. Comece com 30 dias de discovery apenas para entender o Shadow AI real. Depois sancione as ferramentas aprovadas (ex: ChatGPT Enterprise com contrato de dados) e bloqueie as não aprovadas. Comunicar antes de bloquear evita conflito desnecessário.

Como isso se conecta

  • 13-02-01 — Purview controla dados Microsoft; MDCA controla apps externos
  • 13-02-03 — Entra Agent ID complementa com identidade de agentes
  • 13-03-04 — MDCA é um dos 10 controles de governance recomendados

Fontes

  1. Defender for Cloud Apps — Generative AI Governance
  2. Microsoft Defender for Cloud Apps — Documentação
  3. Session Controls com Microsoft Entra ID
  4. Governing Shadow AI — Microsoft Security Blog