Microsoft 365 · Copilot · Governance · Administração · Segurança
Duarte Spínola · 10 de Julho de 2026
Copilot Cowork no Microsoft 365: Governance e Administração para IT
O Copilot Cowork está desactivado por defeito e requer configuração administrativa antes de estar disponível para os utilizadores. O IT admin precisa de activar usage-based billing, controlar a descoberta do Cowork, gerir plugins e modelos, configurar browser use, e garantir compliance. Este guia percorre toda a governação do Cowork do ponto de vista do administrador, com base na documentação oficial da Microsoft (Microsoft Learn — Manage Cowork for your organization).
⚠ ⚠️ **Atenção
O Cowork está desactivado por defeito**. Activar sem configurar limites, políticas e governação é entregar um cartão de crédito sem teto a toda a organização. Configurar governance ANTES de activar para os utilizadores.
Neste artigo
- Entender a Governação do Cowork
- Pré-requisitos e Funções Administrativas
- Passo 1 — Permitir Acesso ao Cowork
- Passo 2 — Controlar Descoberta para Utilizadores
- Passo 3 — Gerir Plugins da Organização
- Passo 4 — Gerir Modelos e Data Retention
- Passo 5 — Configurar Browser Use (Local Edge)
- Passo 6 — Configurar Usage-Based Billing e Limites
- Passo 7 — Segurança, Compliance e Microsoft Purview
- Erros Comuns
- Checklist Rápido de Verificação
1. Entender a Governação do Cowork
A governação do Cowork assenta em cinco pilares que o IT admin controla no Microsoft 365 admin center:
| Pilar | O que controla | Onde |
|---|---|---|
| Acesso | Quem pode usar o Cowork | Copilot > Cost Management |
| Descoberta | Se o Cowork aparece para utilizadores | Copilot > Settings |
| Plugins | Que plugins estão disponíveis e para quem | M365 admin center > Plugins |
| Modelos | Que modelos de IA estão permitidos | Copilot > Settings |
| Browser use | Se o Cowork pode usar Edge local | Copilot > Settings > Browsing |
Analogia: O Cowork é como um novo empregado com acesso a todos os sistemas. Antes de o deixar trabalhar, defines: que ferramentas pode usar (plugins), que nível de autonomia tem (modelos), onde pode navegar (browser use), quanto pode gastar (billing limits), e quem pode ver o que faz (compliance/audit).
2. Pré-requisitos e Funções Administrativas
| Função | Permissões no Cowork |
|---|---|
| Global administrator | Acesso total: activar billing, configurar métodos, criar/editar políticas, tudo |
| Billing administrator | Configurar métodos de facturação, comprar créditos P3 |
| AI administrator | Criar políticas de spending, gerir limites e alertas, ver dashboards |
| License administrator | Criar políticas de spending, ver dashboards (não pode alterar billing) |
| Utilizador | Sem acesso administrativo; usa o Cowork conforme políticas definidas |
💡 ℹ️ **Nota
** A Microsoft recomenda usar funções com o mínimo de permissões necessário. Global administrator é altamente privilegiado e deve ser reservado para cenários de emergência. Para gestão diária do Cowork, AI administrator ou License administrator são suficientes (Microsoft Learn — Admin roles).
3. Passo 1 — Permitir Acesso ao Cowork
Para permitir que os utilizadores acedam ao Cowork, o administrador deve:
- Activar usage-based billing no Microsoft 365 admin center
- Ir a Copilot > Cost Management
- Seleccionar Get Started para desbloquear experiências de IA com usage-based billing
- Configurar o billing method (subscrição Azure ou P3 pré-pago)
- Definir limite mensal da organização e limite por utilizador
- Configurar alertas de consumo
- Activar a política de spending
Para detalhes completos do billing, ver o artigo Copilot Cowork: Consumos e Créditos.
⚠ ⚠️ **Atenção
** Sem usage-based billing activo, o Cowork não funciona. O billing e o acesso são interligados — não é possível activar o Cowork sem configurar o Cost Management primeiro.
4. Passo 2 — Controlar Descoberta para Utilizadores
O IT admin pode controlar se o Cowork é visível para os utilizadores finais (Microsoft Learn — Admin governance):
- Ir ao Microsoft 365 admin center > Copilot > Settings
- Encontrar AI experiences enabled by usage-based billing
- Seleccionar Allow users to discover and use AI experiences
- Se o admin tornar o Cowork descoberto mas não activar usage-based billing:
- Os utilizadores podem solicitar acesso ao Cowork directamente na app
- O admin precisa de rever e aprovar pedidos com base em política, custo e compliance
- Os pedidos aparecem no Cost Management > Credit Requests
| Cenário | Descoberta | Billing | Resultado |
|---|---|---|---|
| Cowork activo | Sim | Sim | Utilizadores usam directamente |
| Cowork descoberto, sem billing | Sim | Não | Utilizadores pedem acesso; admin aprova |
| Cowork não descoberto | Não | — | Utilizadores não vêem o Cowork |
5. Passo 3 — Gerir Plugins da Organização
O admin controla que plugins estão disponíveis, como são deployados e quem os pode usar (Microsoft Learn — Manage plugins):
- No Microsoft 365 admin center, navegar para a gestão de plugins
- Procurar plugins no Microsoft 365 App Store
- Deployar plugins para toda a organização ou grupos específicos
- Restringir plugins visíveis na App Store
- Configurar conectores com autenticação apropriada
Comportamento dos plugins admin-deployed:
- Automaticamente disponíveis — aparecem sem que o utilizador precise de instalar
- Não removíveis — só o admin pode remover; o utilizador pode desactivar mas não remover
- Visibilidade scoped — toda a organização ou grupos específicos conforme config
⚠ ⚠️ **Atenção
Plugins Dynamics 365 Customer Service e Sales estão activos por defeito**. Se a organização não usa Dynamics 365, desactivá-los no admin center para evitar confusão e connectors não autorizados.
6. Passo 4 — Gerir Modelos e Data Retention
O admin controla que modelos de IA estão disponíveis para os utilizadores (Microsoft Learn — Cowork models):
| Modelo | Estado por defeito | Acção admin necessária |
|---|---|---|
| Auto | Disponível | Nenhuma |
| Claude Sonnet 5 | Disponível | Pode desactivar a família Anthropic |
| Claude Opus 4.8 | Disponível | Pode desactivar a família Anthropic |
| GPT 5.5 (Frontier) | Disponível (Frontier) | Necessita programa Frontier |
| Claude Fable 5 (Preview) | Desactivado | Activar em Copilot > Settings |
| Sonnet + Opus Advisor | Disponível | Nenhuma |
Desactivar família Anthropic
Se a organização tem requisitos de compliance que proíbem subprocessadores externos:
- Ir ao Microsoft 365 admin center > Copilot > Settings
- Desactivar a família de modelos Anthropic
- O Cowork passa a usar apenas modelos Microsoft hospedados no Azure (dados não saem da Microsoft)
⚠ ⚠️ **Atenção — Fable 5 e data retention
Claude Fable 5 (Preview) requer retenção de dados** — prompts e respostas são retidos pelo provider do modelo. Avaliar com DPO/Legal antes de activar. O banner de retenção aparece para o utilizador quando Fable 5 está seleccionado.
7. Passo 5 — Configurar Browser Use (Local Edge)
O Cowork pode completar tarefas web em Microsoft Edge no dispositivo do utilizador, usando os sign-ins e políticas da organização (Microsoft Learn — Local browser use).
Como funciona
- Quando o Cowork precisa de um website, abre um tab hidden no Edge
- O tab corre na cópia local do Edge do utilizador — usa SSO, cookies e sessões existentes
- O utilizador fica na conversação do Cowork e vê progresso via chat e painel lateral
- O agente tem exactamente o mesmo acesso a sites que o utilizador — nem mais nem menos
- Credenciais, cookies e tokens de sessão ficam no dispositivo
Controlos administrativos
| Controlo | O que faz | Onde |
|---|---|---|
| Cowork Browsing tenant setting | Liga/desliga browser use para a organização | M365 admin center > Copilot > Settings |
| Allowlist/blocklist de sites | O Cowork respeita políticas de allow/block de web browsing do Edge | Políticas Edge existentes |
| View-only policies | Sites marcados como view-only respeitam a política | Políticas Edge existentes |
| Conditional Access | Tarefas de browser herdam as mesmas políticas CA do utilizador | Entra ID Conditional Access |
| DLP | Tarefas de browser herdam políticas DLP do tenant | Microsoft Purview DLP |
| Audit visibility | Cada tarefa de browser é registada no unified audit log | Microsoft Purview Audit |
💡 ℹ️ **Nota
** Browser use está disponível apenas no Cowork na web (m365.cloud.microsoft) usando Microsoft Edge. Não funciona no desktop app nem no mobile. Se o utilizador não tem Edge instalado, o Cowork completa os passos que não precisam de browser e indica quais precisam.
Requisitos para browser use
- Tenant admin activou Cowork Browsing
- Utilizador está no Cowork na web (não desktop/mobile)
- Microsoft Edge instalado e actualizado (não precisa de ser o browser predefinido)
- Mesma conta work/school no Edge e no Cowork
- Sem InPrivate windows ou guest profiles (não têm sessões)
8. Passo 6 — Configurar Usage-Based Billing e Limites
O billing do Cowork é baseado em consumo — Copilot Credits. O admin configura no Cost Management dashboard:
Ordem de consumo de créditos
- Capacity packs (se existirem)
- P3 prepaid credits (se existirem)
- Pay-as-you-go (sempre activo como fallback)
Limites configuráveis
| Nível | O que limita | Recomendação |
|---|---|---|
| Tenant | Gasto total mensal | Definir teto realista |
| Grupo (política) | Gasto do grupo por mês | Segmentar por persona |
| Utilizador (cap) | Gasto individual dentro da política | Sempre definir — 200-500 créditos iniciais |
Pedidos de créditos pelos utilizadores
Quando um utilizador atinge o seu limite, pode solicitar créditos adicionais directamente do Cowork. O admin vê o pedido em Cost Management > Credit Requests com:
- App solicitante
- Estado da licença
- Política actual
- Identificação do utilizador bloqueado
Para detalhes completos, ver Copilot Cowork: Consumos e Créditos.
9. Passo 7 — Segurança, Compliance e Microsoft Purview
O Cowork herda as políticas de segurança e compliance do Microsoft 365:
| Área | Como se aplica ao Cowork |
|---|---|
| Permissões | O Cowork herda as permissões do utilizador — se não tens acesso, o Cowork também não |
| Sensitivity labels | Ficheiros e emails com sensitivity label mostram a label na conversação; a label mais elevada é exibida |
| DLP | Tarefas de browser herdam políticas DLP do tenant |
| Conditional Access | Tarefas de browser herdam políticas CA do Entra ID |
| Audit log | Cada tarefa do Cowork (incluindo browser) é registada no unified audit log |
| Microsoft Purview | Integração para discovery, classification e risk management |
| Anthropic subprocessor | Modelos Anthropic processados como subprocessor; ver Anthropic subprocessor info |
⚠ ⚠️ **Atenção
** O Cowork só acede a ficheiros e emails que o utilizador já pode aceder. Se uma sensitivity label restringe acesso, o Cowork respeita essa restrição. No entanto, a label mais elevada da conversação é exibida — garantir que os utilizadores entendem que o conteúdo da conversação herda a classificação mais alta dos ficheiros referenciados.
10. Erros Comuns
| Problema | Causa | Solução |
|---|---|---|
| Cowork não aparece para utilizadores | Usage-based billing não activado | Activar em Copilot > Cost Management |
| Utilizadores não conseguem pedir acesso | Cowork não tornado descoberto | Activar discovery em Copilot > Settings |
| Plugins Dynamics 365 aparecem sem config | Activos por defeito | Desactivar se não há Power Platform environment |
| Fable 5 aparece sem avaliação de compliance | Admin activou sem consultar DPO | Desactivar Fable 5; avaliar data retention com Legal |
| Browser use não funciona | Edge não instalado ou desactualizado | Instalar Edge actualizado; usar Cowork na web |
| Conector não autentica em plugin admin-deployed | Sign-in individual não feito | Utilizador precisa de autenticar individualmente |
| Gasto descontrolado | Limite por utilizador não definido | Definir sempre user-level cap (200-500 créditos iniciais) |
| Pedidos de créditos acumulam | Admin não rever Credit Requests | Verificar semanalmente Cost Management > Credit Requests |
| Audit logs não mostram browser tasks | Unified audit log não activado | Activar em Purview > Audit |
| Sensitivity labels não respeitadas | Permissões do utilizador incluem acesso | Verificar permissões do ficheiro; o Cowork herda as mesmas |
11. Checklist Rápido de Verificação
- [ ] Usage-based billing activado em Copilot > Cost Management
- [ ] Cowork descoberto para utilizadores (ou intencionalmente oculto)
- [ ] Política de spending predefinida com limite mensal
- [ ] Limite por utilizador definido (200-500 créditos iniciais)
- [ ] Alertas configurados a 70% e 90%
- [ ] Funções administrativas atribuídas correctamente (AI admin para gestão diária)
- [ ] Plugins Dynamics 365 desactivados se não usados
- [ ] Fable 5 avaliado com DPO/Legal antes de activar
- [ ] Família Anthropic avaliada para requisitos de data sovereignty
- [ ] Browser use activado/desactivado conforme política organizacional
- [ ] Políticas Edge (allowlist/blocklist) aplicáveis ao Cowork
- [ ] Audit logging activado no Purview
- [ ] Credit Requests revistos semanalmente
- [ ] Cost Management dashboard verificado semanalmente nos primeiros 60 dias
Artigos Relacionados
- Copilot Cowork: Consumos e Créditos — Modelo de créditos, billing, e Cost Management detalhado
- Copilot Cowork: Primeiros Passos e Como Usar — Guia do utilizador
- Copilot Cowork: Modelos de IA Disponíveis — Modelos, data retention e escolha
- Copilot Studio no Microsoft 365: O que Fazer Após Subscrever a Licença — Configuração do Copilot Studio
