Segurança e autenticação para APIs Microsoft 365 Copilot

As APIs Microsoft 365 Copilot utilizam o mesmo modelo de autenticação e autorização que outras APIs do Microsoft Graph. Quando cria um agente de motor personalizado ou integra capacidades copilot na sua própria aplicação, os controlos de segurança existentes da sua organização são impostos por predefinição. Não precisa de criar uma camada separada de conformidade ou controlo de acesso sobre as APIs.

Depois de ler este artigo, irá compreender como as APIs copilot autenticam os pedidos, quais as políticas organizacionais que são impostas automaticamente e como funciona a base segura com o índice de conhecimento do Microsoft 365.

Autenticação através de Microsoft Entra ID

Os tipos de permissão que cada API copilot suporta variam consoante a API, pelo que marcar a documentação de referência da API específica que chama. A API de Obtenção, por exemplo, suporta apenas permissões delegadas. Com permissões delegadas, Microsoft Entra ID autentica a aplicação de chamada e o utilizador com sessão iniciada e a API impõe as permissões do utilizador com sessão iniciada em cada pedido.

As APIs estão disponíveis como pontos finais REST padrão no espaço de nomes do Microsoft Graph:

  • https://graph.microsoft.com/v1.0/copilot
  • https://graph.microsoft.com/beta/copilot

Uma vez que as APIs do Copilot seguem o mesmo fluxo de autenticação que outras APIs do Microsoft Graph, pode utilizar bibliotecas e padrões familiares para adquirir tokens e chamar os pontos finais.

Para obter detalhes sobre como adquirir tokens de autenticação e autorizar a sua aplicação, veja Noções básicas de autenticação e autorização para o Microsoft Graph.

Políticas organizacionais impostas por predefinição

Quando a sua aplicação chama uma API Copilot, as políticas existentes da sua organização são aplicadas automaticamente ao pedido. Não precisa de configurar a imposição adicional como programador.

Identidade e acesso condicional

Uma vez que as APIs do Copilot são pontos finais do Microsoft Graph, todas as políticas de Acesso Condicional já configuradas na sua organização aplicam-se automaticamente aos pedidos da API Copilot. Se a sua organização necessitar de autenticação multifator, conformidade do dispositivo ou restrições baseadas na localização para acesso aos recursos do Microsoft 365, esses requisitos também se aplicam quando os utilizadores interagem com as APIs copilot através da sua aplicação.

Rótulos de confidencialidade

As etiquetas de confidencialidade aplicadas ao conteúdo do Microsoft 365 são respeitadas quando as APIs copilot acedem a esse conteúdo. Se um documento, e-mail ou outro item tiver uma etiqueta de confidencialidade que restrinja o acesso ou aplique encriptação, a API respeitará essas restrições e devolverá conteúdo apenas de acordo com as definições de proteção da etiqueta. Para obter mais informações, veja Microsoft 365 Copilot apIs overview and sensitivity labels (Descrição geral e etiquetas de confidencialidade das APIs de Microsoft 365 Copilot).

Limitação de permissões

Os resultados da API são reduzidos apenas ao conteúdo ao qual o utilizador com sessão iniciada tem permissão para aceder. Se o utilizador não tiver acesso a um ficheiro, transcrição de reunião ou outro recurso, esse conteúdo não será apresentado nas respostas da API, mesmo que o conteúdo seja relevante para o pedido. Este comportamento é consistente com a forma como as permissões funcionam no Microsoft Graph. Para obter mais informações, veja Descrição geral APIs do Microsoft 365 Copilot.

Bases seguras com o índice de conhecimento do Microsoft 365

Quando as APIs copilot acedem ao índice de conhecimento do Microsoft 365 para obter respostas básicas em dados organizacionais, esse acesso é seguro por predefinição. O índice de conhecimento herda os mesmos controlos de governação, conformidade, auditoria, registo, monitorização e imposição de políticas que protegem os conteúdos do Microsoft 365 noutras partes da plataforma.

Isto significa que a sua aplicação beneficia da segurança de nível empresarial quando utiliza as APIs copilot para obter ou fundamentar os conhecimentos organizacionais, sem que tenha de replicar esses controlos na sua própria infraestrutura. Para obter mais informações, veja Descrição geral APIs do Microsoft 365 Copilot.

Conformidade, auditoria e registo

Os controlos de conformidade, o registo de auditoria e a monitorização aplicam-se às interações da API copilot. Estes controlos ajudam a sua organização a cumprir os requisitos regulamentares e a manter a visibilidade sobre a forma como as capacidades de IA são utilizadas. O registo de auditoria para interações de Copilot e IA está disponível através do Microsoft Purview.

Para obter informações detalhadas sobre controlos de governação, prevenção de perda de dados, políticas de retenção e definições de administração para agentes, consulte Dados, privacidade e segurança para Microsoft 365 Copilot extensibilidade.