Copilot Cowork: Governar Plugins, Modelos IA e Browser Use para Sysadmins
✎ Duarte Spínola | 2026-07-17
O Copilot Cowork chegou à disponibilidade geral em Junho de 2026 com um modelo de facturação baseado em consumo que já cobrimos em detalhe (artigo sobre consumos e créditos). Desde então, a Microsoft actualizou a página oficial de governança (Microsoft Learn — Manage Copilot Cowork for your organization, actualizada 2026-07-03) com três capacidades administrativas que mudam a forma como um sysadmin configura o Cowork: gestão de plugins a partir da Microsoft 365 App Store, controlo granular de modelos de IA incluindo Claude Fable 5 em preview e Imagen 2 para geração de imagens, e o browser use que permite ao Cowork executar tarefas web no Microsoft Edge do utilizador.
Este artigo é o complemento de governança: assume que já activou o usage-based billing e configurou limites de spending, e foca-se em como controlar o que os utilizadores podem fazer dentro do Cowork — quais plugins, quais modelos, que sites podem aceder via browser, e como auditar tudo isto com Microsoft Purview. Se ainda não configurou os créditos e limites, comece pelo artigo anterior e regresse aqui.
⚠️ Atenção: O Cowork está desactivado por defeito. Antes de o activar para os utilizadores, configure as políticas de plugins, modelos e browser descritas neste artigo. Activar Cowork sem governança é deixar utilizadores escolher modelos frontier e executar tarefas web sem restrições.
Neste artigo
- Entender as Novas Capacidades de Governança do Cowork
- Pré-requisitos e Licenciamento
- Passo 1 — Activar Cowork e Torná-lo Descobrível
- Passo 2 — Gerir Plugins da Microsoft 365 App Store
- Passo 3 — Configurar Modelos de IA (Claude, GPT, Imagen 2)
- Passo 4 — Activar e Restringir o Browser Use no Microsoft Edge
- Passo 5 — Configurar Segurança e Compliance com Microsoft Purview
- Passo 6 — Desactivar a Família Anthropic se Necessário
- Passo 7 — Auditar Actividade do Cowork no Unified Audit Log
- Erros Comuns
- Checklist Rápido de Verificação
1. Entender as Novas Capacidades de Governança do Cowork
A página de governança do Cowork foi reorganizada em cinco áreas que o sysadmin precisa de configurar antes ou imediatamente após activar o Cowork para a organização. Cada área responde a uma pergunta prática:
Plugins — O Cowork suporta plugins da Microsoft 365 App Store que adicionam skills e conectores ao Cowork, estendendo o que o agente consegue fazer. Como admin, controla quais plugins estão disponíveis, como são implantados e quem os pode usar. Isto significa que pode autorizar o plugin do SharePoint mas bloquear um plugin de terceiros que envia dados para um serviço externo. A documentação completa está em Microsoft Learn — Manage plugins for Cowork e no guia de gestão de plugins no admin center.
Modelos de IA — O Cowork traz vários modelos: variantes Claude Opus e Sonnet da Anthropic, Claude Fable 5 (Preview), o emparelhamento Sonnet+Opus Advisor, GPT 5.5 e Imagen 2 para geração de imagens. O Claude Fable 5 está desactivado por defeito e requer activação manual no admin center. Alguns modelos, como o Claude Fable 5, requerem retenção de dados — o que significa que os prompts e respostas do utilizador para esse modelo são retidos pelo fornecedor do modelo. O admin pode desactivar toda a família Anthropic no admin center se a política de dados da organização o exigir (Microsoft Learn — AI models overview).
Browser use — O Cowork pode completar tarefas web no Microsoft Edge no dispositivo do utilizador, usando as sessões autenticadas existentes e as políticas da organização. Como o separador do browser corre na máquina do utilizador, as tarefas de browser herdam as mesmas políticas de conditional access, DLP e políticas de navegação do tenant que já aplica aos utilizadores. O admin controla se o browser use está disponível, que sites os utilizadores podem aceder (via allowlist/blocklist do Edge) e cada tarefa de browser é registada no unified audit log (Microsoft Learn — Cowork governance).
Segurança e compliance — O Microsoft Purview está disponível para proteger e governar o Cowork, cobrindo DLP, retention, information barriers e insider risk management. A integração do Purview com o Cowork está documentada em Microsoft Learn — Purview for Copilot Cowork.
Data residency — O Copilot Cowork segue o mesmo modelo de data residency do Copilot. Para detalhes, ver Microsoft Learn — Data residency for Microsoft 365 Copilot.
2. Pré-requisitos e Licenciamento
Antes de configurar a governança do Cowork, verifique os seguintes pré-requisitos:
| Pré-requisito | Detalhe |
|---|---|
| Licença Microsoft 365 Copilot | $30/utilizador/mês por utilizador com acesso ao Cowork |
| Usage-based billing activo | Necessário para que o Cowork execute tarefas (consome Copilot Credits) |
| Microsoft Edge | Versão actual instalada nos dispositivos dos utilizadores para browser use |
| Microsoft Purview | Licença adequada (E5 ou add-on) para DLP e auditoria avançada |
| Acesso ao Microsoft 365 admin center | Função Global Admin ou Copilot Administrator |
O browser use requer Microsoft Edge no dispositivo do utilizador — não funciona noutros browsers porque depende das políticas do tenant aplicadas via Edge. Se a organização usa Chrome ou Firefox como browser principal, o browser use do Cowork não estará disponível para esses utilizadores.
3. Passo 1 — Activar Cowork e Torná-lo Descobrível
Para permitir que os utilizadores acedam ao Cowork, o admin precisa de activar o usage-based billing. Sem isto, o Cowork não executa tarefas. O processo completo de configuração do usage-based billing está em Microsoft Learn — Managing AI experiences enabled by usage-based billing.
O admin pode controlar a descoberta do Cowork para os utilizadores finais. Se tornar o Cowork descobrível mas não activar o usage-based billing, os utilizadores finais podem pedir acesso ao Cowork directamente na aplicação. Os admins precisam de rever e aprovar pedidos com base na política, custo e compliance.
Para configurar a descoberta:
- No Microsoft 365 admin center, navegue para Copilot settings
- Procure a secção de AI experiences e discovery settings
- Active ou desactive a descoberta do Cowork para a organização
- Se activar a descoberta sem billing, defina um processo de aprovação de pedidos
4. Passo 2 — Gerir Plugins da Microsoft 365 App Store
O Cowork suporta plugins da Microsoft 365 App Store que adicionam skills e conectores. Como admin, controla quais plugins estão disponíveis, como são implantados e quem os usa. O guia completo de deployment de plugins, controlos de disponibilidade, autenticação de conectores e monitorização está em Microsoft Learn — Manage plugins for Cowork.
Para gerir plugins no admin center:
- No Microsoft 365 admin center, navegue para Copilot settings > Plugins
- Reveja os plugins disponíveis na Microsoft 365 App Store
- Para cada plugin, decida: implantar para todos, para grupos específicos, ou bloquear
- Configure a autenticação de conectores — alguns plugins exigem credenciais de serviços externos
- Monitorize o uso de plugins no dashboard de Copilot
⚠️ Atenção: Plugins de terceiros podem enviar dados para serviços externos fora do tenant. Antes de aprovar um plugin, verifique a política de dados do fornecedor e confirme que cumpre com a política de compliance da organização. O Microsoft Purview pode monitorizar dados em trânsito, mas a partilha propositada via plugin exige revisão manual.
5. Passo 3 — Configurar Modelos de IA (Claude, GPT, Imagen 2)
O Cowork suporta múltiplos modelos de IA, cada um com características distintas de custo, capacidade e retenção de dados:
| Modelo | Família | Estado | Retenção de Dados | Caso de Uso Principal |
|---|---|---|---|---|
| Claude Opus | Anthropic | Disponível | Não | Tarefas complexas, raciocínio profundo |
| Claude Sonnet | Anthropic | Disponível | Não | Tarefas rápidas, equilíbrio custo/performance |
| Claude Fable 5 | Anthropic | Preview (off por defeito) | Sim — retido pelo fornecedor | Tarefas experimentais, capacidades preview |
| Sonnet+Opus Advisor | Anthropic | Disponível | Não | Emparelhamento que escolhe o modelo certo por tarefa |
| GPT 5.5 | Microsoft (OpenAI) | Disponível | Não | Tarefas gerais, geração de conteúdo |
| Imagen 2 | Disponível | Não | Geração de imagens |
O Claude Fable 5 está desactivado por defeito. Para o activar, aceda ao Microsoft 365 admin center em Copilot settings e ligue o modelo. A Microsoft alerta que modelos em preview têm limitações documentadas em Microsoft Learn — Manage preview AI models.
A retenção de dados é o ponto crítico aqui. Modelos que requerem retenção de dados mantêm os prompts e respostas do utilizador retidos pelo fornecedor do modelo — no caso do Claude Fable 5, pela Anthropic. Para organizações com políticas estritas de confidencialidade, isto pode ser inaceitável. Verifique a política de dados da organização antes de activar qualquer modelo com retenção.
A Microsoft pode também implementar outros modelos de IA para o Microsoft 365 Copilot que são hospedados e operados pela própria Microsoft. Estes modelos são governados pelos mesmos compromissos contratuais e de protecção de dados já em vigor, incluindo que nenhum dado sai da Microsoft. Para mais informação sobre o uso de modelos GPT hospedados no Azure, visite Microsoft Learn — Understanding AI functionality and models. Para informação sobre o uso de modelos Anthropic como subprocessor, visite Microsoft Learn — Anthropic as a subprocessor.
6. Passo 4 — Activar e Restringir o Browser Use no Microsoft Edge
O browser use é a capacidade mais sensível do Cowork do ponto de vista de segurança. Permite ao Cowork completar tarefas web no Microsoft Edge no dispositivo do utilizador, usando as sessões autenticadas existentes. Isto significa que o Cowork pode navegar para sites internos, preencher formulários, descarregar ficheiros e executar acções em nome do utilizador — tudo no browser local.
Como o separador do browser corre na máquina do utilizador, as tarefas herdam as mesmas políticas de conditional access, DLP e políticas de navegação do tenant que já aplica. Isto é uma vantagem de segurança significativa: não precisa de configurar políticas novas para o browser use — as existentes aplicam-se automaticamente.
O admin controla três aspectos:
Disponibilidade — A definição de tenant “Cowork Browsing” no Microsoft 365 admin center liga ou desliga a capacidade para a organização. Se desactivar, nenhum utilizador pode usar o browser use no Cowork.
Sites permitidos — O Cowork respeita qualquer allowlist, blocklist e políticas view-only que a organização aplica à navegação web no Microsoft Edge. Se já tem uma allowlist de sites corporativos no Edge, o Cowork não pode aceder a sites fora dessa lista. Se tem uma blocklist de sites de risco, o Cowork respeita-a automaticamente.
Auditoria — Cada tarefa de browser que o Cowork inicia em nome de um utilizador é registada no unified audit log juntamente com outra actividade do Cowork. Isto permite investigar que sites foram acedidos, quando, e por quem.
Para configurar o browser use:
- No Microsoft 365 admin center, navegue para Copilot settings > Cowork Browsing
- Active ou desactive a definição de tenant
- Verifique as políticas de navegação do Edge (allowlist/blocklist) — o Cowork respeita-as
- Confirme que o conditional access está configurado para sessões de Edge
- Teste com um utilizador piloto antes de activar para toda a organização
ℹ️ Nota: O browser use só funciona no Microsoft Edge. Se a organização usa Chrome ou Firefox como browser principal, os utilizadores não terão acesso ao browser use no Cowork. Considere Edge como browser padrão se o browser use for uma capacidade necessária.
7. Passo 5 — Configurar Segurança e Compliance com Microsoft Purview
O Microsoft Purview fornece as ferramentas para proteger e governar o Cowork. A integração cobre DLP (Data Loss Prevention), retention policies, information barriers, insider risk management e auditoria. A documentação completa da integração do Purview com o Cowork está em Microsoft Learn — Use Microsoft Purview to manage data security and compliance for Copilot Cowork.
As capacidades do Purview aplicáveis ao Cowork incluem:
- DLP policies — Detectam e bloqueiam partilha de informações sensíveis (números de cartão de crédito, dados pessoais) em prompts e respostas do Cowork
- Retention policies — Controlam quanto tempo as conversas e artefactos do Cowork são retidos
- Information barriers — Impedem que o Cowork partilhe informação entre grupos que não deviam comunicar
- Insider risk management — Detecta padrões de uso arriscado do Cowork (ex: volume anormal de pedidos a sites externos)
- Audit — Regista actividade do Cowork no unified audit log para investigação
Para activar a governança do Purview para o Cowork, verifique que tem a licença adequada (E5 ou add-on de Purview) e configure as políticas no portal do Purview. As políticas aplicam-se automaticamente ao Cowork sem configuração adicional no admin center.
8. Passo 6 — Desactivar a Família Anthropic se Necessário
Se a política de dados da organização proibir o uso de modelos de IA de fornecedores externos (Anthropic, Google), o admin pode desactivar a família Anthropic inteira no Microsoft 365 admin center em Copilot settings. Isto remove todos os modelos Claude (Opus, Sonnet, Fable 5) da seleção disponível para os utilizadores.
Para desactivar a família Anthropic:
- No Microsoft 365 admin center, navegue para Copilot settings
- Procure a secção de modelos de IA
- Desactive o toggle da família Anthropic
- Confirme — os utilizadores verão apenas modelos hospedados pela Microsoft (GPT 5.5, Imagen 2 se aplicável)
⚠️ Atenção: Desactivar a família Anthropic não afecta modelos já implementados pela Microsoft que possam usar infraestrutura Azure. Os modelos hospedados pela Microsoft são governados pelos mesmos compromissos contratuais, incluindo que nenhum dado sai da Microsoft. Para organizações que exigem que todos os dados permaneçam dentro do tenant Microsoft, desactivar Anthropic é uma opção válida, mas verifique se os modelos Microsoft hospedados cobrem as necessidades de capacidade dos utilizadores.
9. Passo 7 — Auditar Actividade do Cowork no Unified Audit Log
Todas as actividades do Cowork — incluindo tarefas de browser, chamadas de modelos, uso de plugins e geração de imagens — são registadas no unified audit log. Isto permite investigar quem usou o Cowork, que modelos escolheu, que sites acedeu via browser e que plugins executou.
Para aceder aos logs de auditoria:
- No Microsoft Purview compliance portal, navegue para Audit
- Filtre por actividade “Copilot” ou “Cowork”
- Para browser use, filtre por “Cowork browser task” para ver sites acedidos
- Exporte os resultados para análise offline ou reporting
Cada tarefa de browser que o Cowork inicia em nome de um utilizador é registada individualmente, incluindo o URL acedido, o timestamp, o utilizador e o resultado da tarefa. Isto fornece uma trilha de auditoria completa para investigações de segurança ou compliance.
Erros Comuns
| Problema | Causa | Solução |
|---|---|---|
| Utilizadores não veem o Cowork | Descoberta desactivada no admin center | Active a descoberta em Copilot settings ou active o usage-based billing |
| Browser use não funciona | Utilizador não usa Microsoft Edge | Instale Edge ou defina-o como browser padrão; browser use não funciona noutros browsers |
| Claude Fable 5 não aparece | Modelo em preview, desactivado por defeito | Active em Copilot settings; note a retenção de dados pelo fornecedor |
| Plugins não carregam | Autenticação de conector não configurada | Configure as credenciais do serviço externo no admin center antes de implantar o plugin |
| Consumo de créditos elevado | Modelos frontier (Opus, GPT 5.5) seleccionados por defeito | Configure política de spending com limites; considere Sonnet como padrão |
| Auditoria não mostra browser tasks | Browser use desactivado ou Purview não configurado | Active o Cowork Browsing e verifique a licença Purview |
| Erro de data residency | Tenant em região sem suporte Cowork | Verifique o modelo de data residency em Microsoft Learn; Cowork segue o mesmo modelo do Copilot |
Checklist Rápido de Verificação
- Confirmar que o usage-based billing está activo no tenant
- Verificar que a descoberta do Cowork está configurada (activa ou por aprovação)
- Listar e aprovar plugins da Microsoft 365 App Store individualmente
- Decidir se Claude Fable 5 (Preview) deve ser activado — verificar retenção de dados
- Desactivar a família Anthropic se a política de dados exigir modelos Microsoft apenas
- Activar ou desactivar o Cowork Browsing no admin center
- Verificar que as políticas de allowlist/blocklist do Edge cobrem os sites corporativos
- Confirmar que o Microsoft Purview está licenciado e configurado para DLP e auditoria
- Testar com um utilizador piloto antes de activar para toda a organização
- Configurar alertas no Cost Management para consumos anormais
