Se você está olhando para Copilot/agents como “feature de produtividade”, você vai bater num muro em 2026: dados.
Prompt é canal de extração, RAG é “busca com consequência”, e agentes viram identidades que executam ações. Nesse cenário, o Microsoft Purview está evoluindo para ser menos “visibilidade” e mais postura + ação, um plano de controle para proteger e governar dados e interações com IA.
A referência mais útil para acompanhar a trilha oficial é o What’s new in Microsoft Purview (Microsoft Learn), que aponta também para os roadmaps do que está planejado.
1) DSPM: de dashboard para workflows guiados (e postura contínua)
O Purview está consolidando o Data Security Posture Management (DSPM) como ponto central para “secure data for AI” e monitorar uso de IA (Copilots, agents e apps com LLMs).
Um detalhe importante: a documentação deixa claro que o DSPM for AI “clássico” está sendo substituído por uma nova versão com guided workflows para gestão proativa de risco e operação mais simples, o que é um indicativo forte de direção para 2026: postura como processo contínuo, não auditoria pontual.
O que isso habilita (na prática):
- priorização por objetivo (reduzir oversharing, fechar gaps de proteção, etc.)
- remediação orientada por recomendação
- uma operação mais “business speed” sem perder governança
2) Agentes viram escopo de política: Purview para AI agents
O Purview já tem orientação específica para gerenciar segurança e compliance para AI agents.
Isso é mudança de paradigma: em vez de governar apenas usuários e arquivos, você passa a governar também interações e entidades agentic.
Para arquitetos, o impacto é direto:
- políticas precisam considerar identidade/escopo do agente
- accountability exige trilha de auditoria e evidência sobre ações executadas “em nome de”
3) O prompt entrou oficialmente no perímetro: DLP para Copilot (prompts e grounding)
O ponto mais “pé no chão” para 2026 é este: DLP direcionado ao Microsoft 365 Copilot e Copilot Chat pode ser configurado para:
- bloquear prompts que contenham Sensitive Information Types
- impedir resposta do Copilot quando o prompt viola política
- impedir que o dado sensível seja usado em buscas internas/externas (incluindo web).
Além disso, também existe a possibilidade de excluir arquivos/e-mails com sensitivity labels de serem usados como grounding (proteção já em GA, segundo a própria doc).
Tradução de negócio: dá para acelerar adoção de IA com risco controlado, desde que você tenha taxonomia de labels e política DLP bem desenhada.
4) “Security Copilot Agents” dentro do Purview: reduzir fila manual de alertas
O Purview também passa a incorporar agentes do Security Copilot voltados para tarefas específicas, como triagem e priorização de alertas em DLP e Insider Risk, com explicabilidade da categorização (útil para operação e auditoria).
Leitura de arquiteto: isso é um passo para transformar segurança em closed-loop operations (detectar, priorizar, agir e evidenciar), sem aumentar _headcount _na mesma proporção.
Checklist do arquiteto para entrar em 2026 “pronto para agentes”
Se você quer rodar Copilot e agentes com segurança de verdade, eu começaria por:
- Labels primeiro: taxonomia simples, aplicada em escala
- DLP para Copilot: prompts + grounding (com exceções bem governadas)
- DSPM como cockpit: postura, recomendações e workflows guiados
- Modelo de governança de agentes: identidade, escopo, auditoria, evidência
- Operação: triagem, resposta e métricas (reduzir dwell time de violação)
Obrigado pela sua leitura até aqui!
Top comments (0)