O Copilot Studio roda com a segurança do Microsoft 365, respeita permissões do AD, oferece logs, rastreamento e controle sobre o que seu copilot acessa e como ele responde. Neste post, mostro os pontos-chave de segurança e o que todo dev/solução precisa considerar.
Onde roda o Copilot Studio?
Tudo acontece dentro da infraestrutura Microsoft Cloud, ou seja:
- Está sob o mesmo guarda-chuva de segurança do Microsoft 365
- É integrado com Azure Active Directory (AAD)
- Os dados são mantidos dentro do tenant da organização
- Nada é enviado para fora (ex: não vai pro ChatGPT público)
Quem vê o quê? Acesso e Permissões
O Copilot Studio respeita:
- Permissões do Dataverse, SharePoint, Teams, etc
- Se o usuário não tem acesso a uma fonte (ex: biblioteca interna), o Copilot também não verá esses dados
- Você pode limitar quais usuários podem usar ou editar determinado copilot
Dica: sempre configure permissões explícitas nos conectores e no próprio bot publicado.
Logs e monitoramento
Onde ver tudo isso?
- Power Platform Admin Center
- Azure Monitor (com integração via diagnósticos)
- Exportação de conversas (útil para análise, debugging e melhoria de UX)
Você consegue ver:
- Quando o copilot foi usado
- Quais fluxos foram chamados
- Quais respostas foram entregues
- Se houve falhas de execução em Power Automate, APIs externas, etc
Privacidade de dados e IA
Pontos importantes:
- Nenhum conteúdo das conversas é usado para re-treinar os modelos de IA
- O modelo não “lembra” de conversas anteriores a menos que você implemente isso via variável/contexto
- Se você usa Azure OpenAI Service, pode conectar seu próprio modelo com regras personalizadas
E se eu estiver usando APIs externas?
Você precisa cuidar de:
- Autenticação segura (OAuth, API key, etc)
- Limpeza de logs com dados sensíveis
- Respostas de erro tratadas (não retornar stack trace, JSON completo, etc)
- Uso de variáveis protegidas no Power Automate (inputs do usuário, tokens, etc)
Ferramentas de governança disponíveis
- Data Loss Prevention (DLP) para limitar o uso de conectores críticos
- Microsoft Purview para rastrear dados sensíveis
- Conditional Access + MFA para proteger o acesso aos copilots
- Power Platform Environment Policies para segmentar copilots por área/departamento
Boas práticas para devs
- Use ambientes separados (dev, homolog, produção) no Power Platform
- Evite usar contas de serviço sem rastreamento
- Valide todo input vindo do usuário antes de enviar pra uma API externa
- Defina limites de uso e fallback inteligente no seu copilot
- Use variáveis do tipo “segura” no Power Automate
Links úteis
https://learn.microsoft.com/en-us/microsoft-copilot-studio/security-overview
https://learn.microsoft.com/en-us/power-platform/admin/wp-data-loss-prevention
https://learn.microsoft.com/en-us/azure/ai-services/openai/tutorials/integrate-power-virtual-agents
Conclusão
Copilot Studio é poderoso, mas com grandes poderes vem grandes responsabilidades (sim, tio Ben 👴). Como devs e arquitetos, a gente precisa garantir que a IA seja segura, auditável e controlada. E felizmente, a Microsoft entrega as ferramentas pra isso.
Obrigado pela sua leitura!
Top comments (0)