13-03-04 — Desafio: 10 Controles de Governance para Copilot M365 — Empresa 500+
TL;DR
Checklist prático: os 10 controles de governance que toda empresa com 500+ colaboradores deve implementar antes (ou logo após) implantar Copilot M365. Cada controle tem ferramenta Microsoft correspondente, prioridade e esforço estimado.
Contexto do Desafio
Você acabou de aprovar o deploy de Microsoft 365 Copilot para 500 colaboradores. O board quer começar em 30 dias. Qual é o mínimo de governance que você precisa ter em pé? Aqui estão os 10 controles, ordenados por impacto/risco.
Os 10 Controles
⚠️ Controle #1 — Sensitivity Labels em todos os documentos críticos
Ferramenta: Microsoft Purview — Information Protection
Por quê: O Copilot acessa tudo que o usuário pode acessar. Sem labels, não há como diferenciar "documento público" de "contrato confidencial" nas respostas.
Ação: Implementar auto-labeling para documentos em SharePoint com PII, financeiro e jurídico. Prazo: antes do go-live.
Esforço: 2-3 semanas (inventário + configuração + testes)
Ferramenta: Microsoft Purview — Information Protection
Por quê: O Copilot acessa tudo que o usuário pode acessar. Sem labels, não há como diferenciar "documento público" de "contrato confidencial" nas respostas.
Ação: Implementar auto-labeling para documentos em SharePoint com PII, financeiro e jurídico. Prazo: antes do go-live.
Esforço: 2-3 semanas (inventário + configuração + testes)
⚠️ Controle #2 — Política de uso aceitável do Copilot
Ferramenta: Documento + Treinamento
Por quê: Usuários precisam saber o que podem e não podem fazer: não colar dados de clientes em prompts para análise, não usar para comunicações legalmente vinculantes sem revisão humana, etc.
Ação: Política de 1 página + treinamento de 30 minutos para todos. Aceite digital rastreável.
Esforço: 1 semana
Ferramenta: Documento + Treinamento
Por quê: Usuários precisam saber o que podem e não podem fazer: não colar dados de clientes em prompts para análise, não usar para comunicações legalmente vinculantes sem revisão humana, etc.
Ação: Política de 1 página + treinamento de 30 minutos para todos. Aceite digital rastreável.
Esforço: 1 semana
💡 Controle #3 — DLP para Copilot configurado
Ferramenta: Microsoft Purview — Data Loss Prevention
Por quê: Impede automaticamente que o Copilot sirva conteúdo confidencial para quem não tem acesso.
Ação: Criar política DLP com condições de sensitivity label. Testar com usuários piloto antes do rollout geral.
Esforço: 1-2 semanas
Ferramenta: Microsoft Purview — Data Loss Prevention
Por quê: Impede automaticamente que o Copilot sirva conteúdo confidencial para quem não tem acesso.
Ação: Criar política DLP com condições de sensitivity label. Testar com usuários piloto antes do rollout geral.
Esforço: 1-2 semanas
💡 Controle #4 — Auditoria de Copilot ativada
Ferramenta: Microsoft Purview Audit (Premium)
Por quê: Sem auditoria, você não sabe o que o Copilot foi perguntado nem quais documentos foram usados para responder. Essencial para investigações e compliance.
Ação: Habilitar Audit Premium no Purview. Configurar retenção de 90 dias mínimo (ou conforme política de retenção da empresa).
Esforço: 1 dia
Ferramenta: Microsoft Purview Audit (Premium)
Por quê: Sem auditoria, você não sabe o que o Copilot foi perguntado nem quais documentos foram usados para responder. Essencial para investigações e compliance.
Ação: Habilitar Audit Premium no Purview. Configurar retenção de 90 dias mínimo (ou conforme política de retenção da empresa).
Esforço: 1 dia
🔷 Controle #5 — Inventário de agentes com Agent 365
Ferramenta: Agent 365 / Microsoft 365 Admin Center
Por quê: Depois de 3 meses com Copilot Studio disponível, você terá dezenas de agentes criados por usuários. Sem inventário, não sabe o que existe.
Ação: Ativar Agent 365, exigir owner para cada agente publicado, processo de aprovação para agentes que acessam dados sensíveis.
Esforço: 1-2 semanas de configuração + processo contínuo
Ferramenta: Agent 365 / Microsoft 365 Admin Center
Por quê: Depois de 3 meses com Copilot Studio disponível, você terá dezenas de agentes criados por usuários. Sem inventário, não sabe o que existe.
Ação: Ativar Agent 365, exigir owner para cada agente publicado, processo de aprovação para agentes que acessam dados sensíveis.
Esforço: 1-2 semanas de configuração + processo contínuo
🔷 Controle #6 — Shadow AI mapeado com MDCA
Ferramenta: Microsoft Defender for Cloud Apps
Por quê: Seus colaboradores já usam ChatGPT, Claude, etc. Você precisa saber o que está acontecendo antes de poder governar.
Ação: 30 dias de discovery, relatório de Shadow AI, política de sancionamento/bloqueio de apps não aprovados.
Esforço: 1 semana de configuração + 30 dias de coleta
Ferramenta: Microsoft Defender for Cloud Apps
Por quê: Seus colaboradores já usam ChatGPT, Claude, etc. Você precisa saber o que está acontecendo antes de poder governar.
Ação: 30 dias de discovery, relatório de Shadow AI, política de sancionamento/bloqueio de apps não aprovados.
Esforço: 1 semana de configuração + 30 dias de coleta
🔗 Controle #7 — Identidade de agentes com Entra Agent ID
Ferramenta: Microsoft Entra ID — Agent ID
Por quê: Agentes com permissões excessivas são um risco crítico. Cada agente deve ter o mínimo de acesso necessário.
Ação: Revisar permissões de todos os agentes existentes. Novos agentes: RBAC mínimo no momento da criação. Access review trimestral.
Esforço: 2-3 semanas inicial + processo contínuo
Ferramenta: Microsoft Entra ID — Agent ID
Por quê: Agentes com permissões excessivas são um risco crítico. Cada agente deve ter o mínimo de acesso necessário.
Ação: Revisar permissões de todos os agentes existentes. Novos agentes: RBAC mínimo no momento da criação. Access review trimestral.
Esforço: 2-3 semanas inicial + processo contínuo
🔗 Controle #8 — Content Safety em aplicações customizadas
Ferramenta: Azure AI Content Safety
Por quê: Copilot M365 já tem proteções embutidas. Mas se você desenvolveu chatbots customizados, é sua responsabilidade adicionar Content Safety.
Ação: Auditar todas as aplicações de IA desenvolvidas internamente/por parceiros. Adicionar Content Safety API em todas que fazem chamadas diretas a LLMs.
Esforço: Depende do número de apps; 1-3 dias por aplicação
Ferramenta: Azure AI Content Safety
Por quê: Copilot M365 já tem proteções embutidas. Mas se você desenvolveu chatbots customizados, é sua responsabilidade adicionar Content Safety.
Ação: Auditar todas as aplicações de IA desenvolvidas internamente/por parceiros. Adicionar Content Safety API em todas que fazem chamadas diretas a LLMs.
Esforço: Depende do número de apps; 1-3 dias por aplicação
💡 Controle #9 — Processo de AI Impact Assessment
Ferramenta: Template baseado em NIST RMF + Microsoft Responsible AI
Por quê: Antes de implantar qualquer novo sistema de IA, documentar riscos e mitigações. Necessário para EU AI Act e boas práticas.
Ação: Criar template de 2 páginas. Aplicar retrospectivamente aos sistemas existentes. Obrigatório para novos sistemas antes de go-live.
Esforço: 1 semana para criar template, recorrente por projeto
Ferramenta: Template baseado em NIST RMF + Microsoft Responsible AI
Por quê: Antes de implantar qualquer novo sistema de IA, documentar riscos e mitigações. Necessário para EU AI Act e boas práticas.
Ação: Criar template de 2 páginas. Aplicar retrospectivamente aos sistemas existentes. Obrigatório para novos sistemas antes de go-live.
Esforço: 1 semana para criar template, recorrente por projeto
🔷 Controle #10 — AI Owner nomeado (Chief AI Officer ou equivalente)
Ferramenta: Organizacional
Por quê: Sem ownership claro, governance é só papel. Alguém precisa ser accountable pelos riscos de IA, aprovar novos sistemas, e responder ao board.
Ação: Nomear AI Owner (pode ser CTO, CISO, ou dedicado). Definir responsabilidades. Estabelecer AI Committee com reuniões mensais.
Esforço: Decisão estratégica — 1 semana para estruturar, imediato para nomear
Ferramenta: Organizacional
Por quê: Sem ownership claro, governance é só papel. Alguém precisa ser accountable pelos riscos de IA, aprovar novos sistemas, e responder ao board.
Ação: Nomear AI Owner (pode ser CTO, CISO, ou dedicado). Definir responsabilidades. Estabelecer AI Committee com reuniões mensais.
Esforço: Decisão estratégica — 1 semana para estruturar, imediato para nomear
Roadmap de Implementação
| Semana | Controles | Prioridade |
|---|---|---|
| 1-2 | #2 (Política de uso), #4 (Auditoria), #10 (AI Owner) | 🔴 Crítico |
| 3-4 | #1 (Labels), #6 (Shadow AI discovery) | 🔴 Crítico |
| 5-6 | #3 (DLP), #8 (Content Safety apps) | 🟡 Alto |
| 7-8 | #5 (Agent 365), #7 (Agent ID) | 🟡 Alto |
| 9-12 | #9 (Impact Assessment), refinamento dos anteriores | 🟢 Médio |