Configurando o Microsoft Purview para Proteção de Dados em LLMs de Terceiros

Configurando o Microsoft Purview para Proteção de Dados em LLMs de Terceiros

18 de Fevereiro de 2026

Introdução: O Desafio da Governança de Dados na Era dos LLMs Externos

Em 2026, a adoção de Modelos de Linguagem Grandes (LLMs) e ferramentas de Inteligência Artificial (IA) generativa tornou-se uma realidade em muitas organizações. Embora soluções nativas como o Microsoft 365 Copilot ofereçam integrações seguras e governança de dados, muitas empresas também utilizam uma variedade de outros LLMs de terceiros, acessíveis via web ou APIs. Essa proliferação de ferramentas de IA externas, embora benéfica para a inovação e produtividade, introduz um risco significativo: a exposição não intencional ou maliciosa de dados sensíveis [1].

Funcionários, na busca por eficiência ou curiosidade, podem inadvertidamente colar segredos comerciais, informações de clientes, dados financeiros ou propriedade intelectual em interfaces de chat de IA públicas ou em LLMs de terceiros que não possuem as mesmas garantias de segurança e privacidade que as soluções corporativas. Esse comportamento pode levar a vazamentos de dados massivos, violações de conformidade e danos reputacionais severos. O risco de funcionários "treinarem" modelos de IA públicos com dados confidenciais da empresa é uma das maiores preocupações de segurança e governança de dados em 2026 [2].

Para enfrentar esse desafio, o Microsoft Purview em 2026 expandiu significativamente suas capacidades de Prevenção contra Perda de Dados (DLP). O Purview agora atua como um "gateway de segurança de IA", monitorando e bloqueando o envio de dados sensíveis para ferramentas de IA externas não autorizadas em tempo real. Ele inspeciona o tráfego de saída, identifica padrões de dados sensíveis e aplica políticas para impedir a exfiltração, garantindo que a inovação com IA não comprometa a segurança e a conformidade dos dados [3].

Este artigo técnico e educativo tem como objetivo guiar administradores de conformidade, analistas de segurança e líderes de TI na compreensão dos riscos associados aos LLMs de terceiros e na configuração das defesas do Microsoft Purview para proteger dados sensíveis. Abordaremos os princípios subjacentes, os pré-requisitos e um guia passo a passo detalhado para implementar políticas de DLP específicas para serviços de IA.

Os Riscos dos LLMs de Terceiros e a Necessidade de Governança

A facilidade de acesso e o poder dos LLMs de terceiros podem ser uma faca de dois gumes. Embora ofereçam benefícios, eles também apresentam riscos substanciais para a segurança dos dados corporativos:

  • Exfiltração de Dados Não Intencional: Funcionários podem, sem malícia, copiar e colar dados confidenciais em prompts de LLMs externos para resumir, analisar ou gerar conteúdo, sem perceber que esses dados podem ser armazenados ou usados para treinar o modelo de IA, tornando-os públicos ou acessíveis a terceiros.

  • Exfiltração de Dados Maliciosa: Um funcionário mal-intencionado pode usar um LLM de terceiros como um canal para exfiltrar dados confidenciais, contornando os controles de segurança tradicionais.

  • Violações de Conformidade: O envio de dados regulamentados (como PII, PHI, PCI) para LLMs externos pode violar leis de privacidade de dados (GDPR, LGPD) e regulamentações específicas do setor, resultando em multas pesadas e danos à reputação.

  • Propriedade Intelectual: Segredos comerciais, códigos-fonte proprietários e planos de negócios podem ser expostos se forem inseridos em LLMs de terceiros.

  • Falta de Visibilidade e Controle: Sem as ferramentas adequadas, as organizações não têm visibilidade sobre quais LLMs de terceiros estão sendo usados, quais dados estão sendo compartilhados e se esses serviços estão em conformidade com as políticas internas de segurança.

O Microsoft Purview aborda esses riscos ao estender suas capacidades de DLP para o domínio dos serviços de IA. Ele permite que as organizações identifiquem, monitorem e controlem o fluxo de dados sensíveis para esses serviços, garantindo que as políticas de governança de dados sejam aplicadas de forma consistente em todo o ecossistema digital [4].

Princípios da Proteção de Dados para IA no Microsoft Purview

A proteção eficaz de dados sensíveis em LLMs de terceiros no Microsoft Purview baseia-se nos seguintes princípios:

  1. Descoberta e Classificação de IA: Identificar quais serviços de IA de terceiros estão sendo acessados na rede e classificar seu nível de risco. Isso permite que as políticas de DLP sejam direcionadas e eficazes.

  2. Detecção de Dados Sensíveis em Tempo Real: Inspecionar o tráfego de saída em tempo real para identificar a presença de informações sensíveis (como números de cartão de crédito, CPFs, dados de saúde) antes que elas cheguem a um LLM externo.

  3. Controle de Acesso e Bloqueio: Aplicar políticas para bloquear ou alertar sobre tentativas de compartilhamento de dados sensíveis com LLMs não autorizados, garantindo que apenas canais aprovados sejam utilizados.

  4. Conscientização do Usuário: Fornecer feedback imediato aos usuários sobre violações de políticas, educando-os sobre o uso seguro de ferramentas de IA e os riscos associados ao compartilhamento de dados sensíveis.

  5. Auditoria e Relatórios: Manter um registro detalhado de todas as tentativas de violação de políticas e fornecer relatórios para análise e melhoria contínua da postura de segurança.

Pré-requisitos para a Implementação

Para configurar as proteções do Microsoft Purview para LLMs de terceiros, você precisará dos seguintes elementos:

  • Licenciamento Microsoft 365 E5 ou Microsoft Purview Compliance Suite: Esses planos incluem as capacidades avançadas de DLP e governança de IA necessárias.

  • Acesso Administrativo: Contas com permissões de Administrador de Conformidade, Administrador de Segurança ou Administrador Global no Microsoft Purview compliance portal (compliance.microsoft.com).

  • Conhecimento das Políticas de Dados: Familiaridade com os tipos de dados sensíveis da sua organização e as políticas de conformidade internas.

  • Implantação de Agentes de DLP: Para monitoramento de endpoint, os agentes de DLP do Microsoft Purview devem estar implantados nos dispositivos dos usuários.

Guia Passo a Passo: Configurando Políticas de DLP para IA no Microsoft Purview

A configuração das proteções contra o envio de dados sensíveis para LLMs de terceiros envolve a identificação de aplicativos de IA de risco e a criação de políticas de DLP direcionadas.

Etapa 1: Identificando Aplicativos de IA de Risco

O primeiro passo é obter visibilidade sobre quais serviços de IA de terceiros estão sendo acessados em sua rede e avaliar seu risco.

  1. Acesse o Microsoft Purview Compliance Portal: Abra seu navegador e navegue até compliance.microsoft.com. Faça login com uma conta que possua as permissões administrativas necessárias.

  2. Navegue até o AI Hub: No painel de navegação à esquerda, vá em AI Hub > Discovery. O AI Hub é a nova seção introduzida em 2026 para gerenciar a segurança e a conformidade de IA.

  3. Analise os Serviços de IA Descobertos: O Purview listará todos os sites e serviços de IA de terceiros que foram acessados na sua rede. Para cada serviço, ele atribuirá um "Risk Score" (Pontuação de Risco) com base em fatores como a reputação do provedor, as políticas de privacidade conhecidas, a localização dos dados e o tipo de dados que o serviço processa. Isso ajuda a identificar quais LLMs de terceiros representam o maior risco para sua organização.

  4. Classifique os Aplicativos: Com base na pontuação de risco e nas políticas internas, classifique os aplicativos de IA como "Aprovados", "Monitorados" ou "Não Autorizados".

Etapa 2: Criando Políticas de Bloqueio de DLP para LLMs de Terceiros

Com os aplicativos de IA de risco identificados, você pode criar políticas de DLP para controlar o fluxo de dados sensíveis.

  1. Crie uma Nova Política de DLP: No Microsoft Purview compliance portal, vá em Prevenção contra perda de dados > Políticas. Clique em + Criar política.

  2. Escolha um Modelo ou Personalize: Você pode começar com um modelo pré-existente (ex: "Dados Financeiros", "Dados de Saúde") ou criar uma política personalizada. Para LLMs de terceiros, uma política personalizada oferece maior flexibilidade.

  3. Defina os Locais: Na seção de locais, selecione "AI Services and Chatbots" (Serviços de IA e Chatbots). Esta é uma nova opção introduzida em 2026 que permite direcionar políticas especificamente para interações com LLMs de terceiros. Você também pode incluir outros locais, como dispositivos (endpoints), para monitorar o copiar/colar.

  4. Defina as Condições: Configure as condições que acionarão a política. Isso geralmente envolve a detecção de tipos de informações sensíveis (SITs) específicos, como:

  5. Dados Financeiros: Números de cartão de crédito, contas bancárias.

  6. Dados Pessoais: CPFs, números de identidade, endereços de e-mail corporativos.

  7. Propriedade Intelectual: Código-fonte, documentos com rótulos de sensibilidade específicos (ex: "Confidencial").

  8. Você pode refinar as condições para incluir palavras-chave ou expressões regulares que indicam dados proprietários.

  9. Defina as Ações: Para LLMs de terceiros não autorizados ou de alto risco, defina a ação como "Block with Policy Tip" (Bloquear com Dica de Política). A dica de política informará ao usuário que a ação foi bloqueada e por quê, educando-o sobre a política de segurança. Para LLMs monitorados, você pode optar por "Auditar" ou "Bloquear com substituição do usuário" (permitindo que o usuário justifique e prossiga).

  10. Salve e Ative a Política: Revise a política e ative-a. As políticas de DLP podem levar algum tempo para serem totalmente aplicadas em todo o ambiente.

Etapa 3: Monitoramento e Educação Contínua

O monitoramento é essencial para garantir a eficácia das políticas de DLP e para identificar áreas que precisam de educação adicional.

  1. Utilize os Relatórios do AI Hub: No Microsoft Purview AI Hub, você encontrará relatórios detalhados sobre as violações de políticas de DLP relacionadas a LLMs de terceiros. Esses relatórios mostrarão:

  2. Quais LLMs de terceiros estão sendo usados: Identifique os serviços mais populares e os que representam maior risco.

  3. Quais dados sensíveis estão sendo compartilhados: Entenda os tipos de informações que os usuários estão tentando enviar para LLMs externos.

  4. Quais usuários/departamentos estão violando as políticas: Identifique áreas que precisam de treinamento ou conscientização adicional.

  5. Investigação de Incidentes: Utilize o Explorador de Atividades (Activity Explorer) no Purview para investigar incidentes de DLP em detalhes, incluindo o usuário, o arquivo, o serviço de IA envolvido e o conteúdo que foi bloqueado.

  6. Educação e Conscientização: Use os dados dos relatórios para direcionar treinamentos de conscientização sobre segurança de IA. Explique aos funcionários os riscos de compartilhar dados confidenciais com LLMs de terceiros e promova o uso de ferramentas de IA aprovadas pela empresa.

  7. Revisão Periódica das Políticas: O cenário de IA está em constante evolução. Revise regularmente suas políticas de DLP para LLMs de terceiros para garantir que elas permaneçam relevantes e eficazes contra novas ameaças e serviços de IA emergentes.

Considerações Adicionais e Melhores Práticas

  • Classificação de Dados: Uma classificação de dados robusta é a base para políticas de DLP eficazes. Utilize rótulos de sensibilidade para classificar automaticamente ou manualmente os dados sensíveis.

  • Comunicação Clara: Comunique claramente as políticas de uso de IA aos funcionários. Explique o que é permitido e o que não é, e os riscos associados ao uso de LLMs não autorizados.

  • Abordagem em Fases: Considere implementar políticas de DLP em fases, começando com o modo de auditoria para entender o comportamento dos usuários antes de aplicar bloqueios rígidos.

  • Integração com SIEM/SOAR: Integre os alertas de DLP do Microsoft Purview com seu sistema SIEM (como o Microsoft Sentinel) para uma visão centralizada dos incidentes de segurança e para orquestrar respostas automatizadas.

  • Avaliação de Fornecedores de IA: Ao considerar o uso de LLMs de terceiros, realize uma avaliação de segurança e privacidade rigorosa dos fornecedores para garantir que eles atendam aos seus requisitos de conformidade.

Conclusão

A proteção de dados sensíveis em um mundo onde LLMs de terceiros são amplamente acessíveis é um desafio crítico para a segurança da informação em 2026. O Microsoft Purview, com suas capacidades aprimoradas de DLP e governança de IA, oferece uma solução robusta para mitigar os riscos de exfiltração de dados e violações de conformidade. Ao implementar políticas de DLP direcionadas, identificar aplicativos de IA de risco e educar os usuários, as organizações podem aproveitar os benefícios da inteligência artificial sem comprometer a segurança de seus ativos mais valiosos. A configuração eficaz do Microsoft Purview para proteção de dados em LLMs de terceiros não é apenas uma medida técnica, mas um pilar fundamental de uma estratégia de segurança de IA abrangente e proativa.

Referências

[1] Microsoft Data Security Index 2026. "Explore the future of data security, including emerging innovations and strategies, plus recommendations and best practices." Disponível em: https://info.microsoft.com/ww-landing-data-security-index-2026.html?lcid=en-us [2] Microsoft Security Blog. "Four priorities for AI-powered identity and network access security in 2026." Disponível em: https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/ [3] Microsoft 365 Roadmap. "The Microsoft 365 roadmap provides estimated release dates and descriptions for commercial features." Disponível em: https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] Microsoft Security. "Strengthen identity security with AI." Disponível em: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id