Microsoft 365 · Copilot · Governance · Administração · Segurança

Duarte Spínola · 10 de Julho de 2026

Copilot Cowork no Microsoft 365: Governance e Administração para IT

O Copilot Cowork está desactivado por defeito e requer configuração administrativa antes de estar disponível para os utilizadores. O IT admin precisa de activar usage-based billing, controlar a descoberta do Cowork, gerir plugins e modelos, configurar browser use, e garantir compliance. Este guia percorre toda a governação do Cowork do ponto de vista do administrador, com base na documentação oficial da Microsoft (Microsoft Learn — Manage Cowork for your organization).

⚠ ⚠️ **Atenção

O Cowork está desactivado por defeito**. Activar sem configurar limites, políticas e governação é entregar um cartão de crédito sem teto a toda a organização. Configurar governance ANTES de activar para os utilizadores.

Neste artigo

  1. Entender a Governação do Cowork
  2. Pré-requisitos e Funções Administrativas
  3. Passo 1 — Permitir Acesso ao Cowork
  4. Passo 2 — Controlar Descoberta para Utilizadores
  5. Passo 3 — Gerir Plugins da Organização
  6. Passo 4 — Gerir Modelos e Data Retention
  7. Passo 5 — Configurar Browser Use (Local Edge)
  8. Passo 6 — Configurar Usage-Based Billing e Limites
  9. Passo 7 — Segurança, Compliance e Microsoft Purview
  10. Erros Comuns
  11. Checklist Rápido de Verificação

1. Entender a Governação do Cowork

A governação do Cowork assenta em cinco pilares que o IT admin controla no Microsoft 365 admin center:

Pilar O que controla Onde
Acesso Quem pode usar o Cowork Copilot > Cost Management
Descoberta Se o Cowork aparece para utilizadores Copilot > Settings
Plugins Que plugins estão disponíveis e para quem M365 admin center > Plugins
Modelos Que modelos de IA estão permitidos Copilot > Settings
Browser use Se o Cowork pode usar Edge local Copilot > Settings > Browsing

Analogia: O Cowork é como um novo empregado com acesso a todos os sistemas. Antes de o deixar trabalhar, defines: que ferramentas pode usar (plugins), que nível de autonomia tem (modelos), onde pode navegar (browser use), quanto pode gastar (billing limits), e quem pode ver o que faz (compliance/audit).

2. Pré-requisitos e Funções Administrativas

Função Permissões no Cowork
Global administrator Acesso total: activar billing, configurar métodos, criar/editar políticas, tudo
Billing administrator Configurar métodos de facturação, comprar créditos P3
AI administrator Criar políticas de spending, gerir limites e alertas, ver dashboards
License administrator Criar políticas de spending, ver dashboards (não pode alterar billing)
Utilizador Sem acesso administrativo; usa o Cowork conforme políticas definidas

💡 ℹ️ **Nota

** A Microsoft recomenda usar funções com o mínimo de permissões necessário. Global administrator é altamente privilegiado e deve ser reservado para cenários de emergência. Para gestão diária do Cowork, AI administrator ou License administrator são suficientes (Microsoft Learn — Admin roles).

3. Passo 1 — Permitir Acesso ao Cowork

Para permitir que os utilizadores acedam ao Cowork, o administrador deve:

  1. Activar usage-based billing no Microsoft 365 admin center
  2. Ir a Copilot > Cost Management
  3. Seleccionar Get Started para desbloquear experiências de IA com usage-based billing
  4. Configurar o billing method (subscrição Azure ou P3 pré-pago)
  5. Definir limite mensal da organização e limite por utilizador
  6. Configurar alertas de consumo
  7. Activar a política de spending

Para detalhes completos do billing, ver o artigo Copilot Cowork: Consumos e Créditos.

⚠ ⚠️ **Atenção

** Sem usage-based billing activo, o Cowork não funciona. O billing e o acesso são interligados — não é possível activar o Cowork sem configurar o Cost Management primeiro.

4. Passo 2 — Controlar Descoberta para Utilizadores

O IT admin pode controlar se o Cowork é visível para os utilizadores finais (Microsoft Learn — Admin governance):

  1. Ir ao Microsoft 365 admin center > Copilot > Settings
  2. Encontrar AI experiences enabled by usage-based billing
  3. Seleccionar Allow users to discover and use AI experiences
  4. Se o admin tornar o Cowork descoberto mas não activar usage-based billing:
  • Os utilizadores podem solicitar acesso ao Cowork directamente na app
  • O admin precisa de rever e aprovar pedidos com base em política, custo e compliance
  • Os pedidos aparecem no Cost Management > Credit Requests
Cenário Descoberta Billing Resultado
Cowork activo Sim Sim Utilizadores usam directamente
Cowork descoberto, sem billing Sim Não Utilizadores pedem acesso; admin aprova
Cowork não descoberto Não Utilizadores não vêem o Cowork

5. Passo 3 — Gerir Plugins da Organização

O admin controla que plugins estão disponíveis, como são deployados e quem os pode usar (Microsoft Learn — Manage plugins):

  1. No Microsoft 365 admin center, navegar para a gestão de plugins
  2. Procurar plugins no Microsoft 365 App Store
  3. Deployar plugins para toda a organização ou grupos específicos
  4. Restringir plugins visíveis na App Store
  5. Configurar conectores com autenticação apropriada

Comportamento dos plugins admin-deployed:

  • Automaticamente disponíveis — aparecem sem que o utilizador precise de instalar
  • Não removíveis — só o admin pode remover; o utilizador pode desactivar mas não remover
  • Visibilidade scoped — toda a organização ou grupos específicos conforme config

⚠ ⚠️ **Atenção

Plugins Dynamics 365 Customer Service e Sales estão activos por defeito**. Se a organização não usa Dynamics 365, desactivá-los no admin center para evitar confusão e connectors não autorizados.

6. Passo 4 — Gerir Modelos e Data Retention

O admin controla que modelos de IA estão disponíveis para os utilizadores (Microsoft Learn — Cowork models):

Modelo Estado por defeito Acção admin necessária
Auto Disponível Nenhuma
Claude Sonnet 5 Disponível Pode desactivar a família Anthropic
Claude Opus 4.8 Disponível Pode desactivar a família Anthropic
GPT 5.5 (Frontier) Disponível (Frontier) Necessita programa Frontier
Claude Fable 5 (Preview) Desactivado Activar em Copilot > Settings
Sonnet + Opus Advisor Disponível Nenhuma

Desactivar família Anthropic

Se a organização tem requisitos de compliance que proíbem subprocessadores externos:

  1. Ir ao Microsoft 365 admin center > Copilot > Settings
  2. Desactivar a família de modelos Anthropic
  3. O Cowork passa a usar apenas modelos Microsoft hospedados no Azure (dados não saem da Microsoft)

⚠ ⚠️ **Atenção — Fable 5 e data retention

Claude Fable 5 (Preview) requer retenção de dados** — prompts e respostas são retidos pelo provider do modelo. Avaliar com DPO/Legal antes de activar. O banner de retenção aparece para o utilizador quando Fable 5 está seleccionado.

7. Passo 5 — Configurar Browser Use (Local Edge)

O Cowork pode completar tarefas web em Microsoft Edge no dispositivo do utilizador, usando os sign-ins e políticas da organização (Microsoft Learn — Local browser use).

Como funciona

  1. Quando o Cowork precisa de um website, abre um tab hidden no Edge
  2. O tab corre na cópia local do Edge do utilizador — usa SSO, cookies e sessões existentes
  3. O utilizador fica na conversação do Cowork e vê progresso via chat e painel lateral
  4. O agente tem exactamente o mesmo acesso a sites que o utilizador — nem mais nem menos
  5. Credenciais, cookies e tokens de sessão ficam no dispositivo

Controlos administrativos

Controlo O que faz Onde
Cowork Browsing tenant setting Liga/desliga browser use para a organização M365 admin center > Copilot > Settings
Allowlist/blocklist de sites O Cowork respeita políticas de allow/block de web browsing do Edge Políticas Edge existentes
View-only policies Sites marcados como view-only respeitam a política Políticas Edge existentes
Conditional Access Tarefas de browser herdam as mesmas políticas CA do utilizador Entra ID Conditional Access
DLP Tarefas de browser herdam políticas DLP do tenant Microsoft Purview DLP
Audit visibility Cada tarefa de browser é registada no unified audit log Microsoft Purview Audit

💡 ℹ️ **Nota

** Browser use está disponível apenas no Cowork na web (m365.cloud.microsoft) usando Microsoft Edge. Não funciona no desktop app nem no mobile. Se o utilizador não tem Edge instalado, o Cowork completa os passos que não precisam de browser e indica quais precisam.

Requisitos para browser use

  • Tenant admin activou Cowork Browsing
  • Utilizador está no Cowork na web (não desktop/mobile)
  • Microsoft Edge instalado e actualizado (não precisa de ser o browser predefinido)
  • Mesma conta work/school no Edge e no Cowork
  • Sem InPrivate windows ou guest profiles (não têm sessões)

8. Passo 6 — Configurar Usage-Based Billing e Limites

O billing do Cowork é baseado em consumo — Copilot Credits. O admin configura no Cost Management dashboard:

Ordem de consumo de créditos

  1. Capacity packs (se existirem)
  2. P3 prepaid credits (se existirem)
  3. Pay-as-you-go (sempre activo como fallback)

Limites configuráveis

Nível O que limita Recomendação
Tenant Gasto total mensal Definir teto realista
Grupo (política) Gasto do grupo por mês Segmentar por persona
Utilizador (cap) Gasto individual dentro da política Sempre definir — 200-500 créditos iniciais

Pedidos de créditos pelos utilizadores

Quando um utilizador atinge o seu limite, pode solicitar créditos adicionais directamente do Cowork. O admin vê o pedido em Cost Management > Credit Requests com:

  • App solicitante
  • Estado da licença
  • Política actual
  • Identificação do utilizador bloqueado

Para detalhes completos, ver Copilot Cowork: Consumos e Créditos.

9. Passo 7 — Segurança, Compliance e Microsoft Purview

O Cowork herda as políticas de segurança e compliance do Microsoft 365:

Área Como se aplica ao Cowork
Permissões O Cowork herda as permissões do utilizador — se não tens acesso, o Cowork também não
Sensitivity labels Ficheiros e emails com sensitivity label mostram a label na conversação; a label mais elevada é exibida
DLP Tarefas de browser herdam políticas DLP do tenant
Conditional Access Tarefas de browser herdam políticas CA do Entra ID
Audit log Cada tarefa do Cowork (incluindo browser) é registada no unified audit log
Microsoft Purview Integração para discovery, classification e risk management
Anthropic subprocessor Modelos Anthropic processados como subprocessor; ver Anthropic subprocessor info

⚠ ⚠️ **Atenção

** O Cowork só acede a ficheiros e emails que o utilizador já pode aceder. Se uma sensitivity label restringe acesso, o Cowork respeita essa restrição. No entanto, a label mais elevada da conversação é exibida — garantir que os utilizadores entendem que o conteúdo da conversação herda a classificação mais alta dos ficheiros referenciados.

10. Erros Comuns

Problema Causa Solução
Cowork não aparece para utilizadores Usage-based billing não activado Activar em Copilot > Cost Management
Utilizadores não conseguem pedir acesso Cowork não tornado descoberto Activar discovery em Copilot > Settings
Plugins Dynamics 365 aparecem sem config Activos por defeito Desactivar se não há Power Platform environment
Fable 5 aparece sem avaliação de compliance Admin activou sem consultar DPO Desactivar Fable 5; avaliar data retention com Legal
Browser use não funciona Edge não instalado ou desactualizado Instalar Edge actualizado; usar Cowork na web
Conector não autentica em plugin admin-deployed Sign-in individual não feito Utilizador precisa de autenticar individualmente
Gasto descontrolado Limite por utilizador não definido Definir sempre user-level cap (200-500 créditos iniciais)
Pedidos de créditos acumulam Admin não rever Credit Requests Verificar semanalmente Cost Management > Credit Requests
Audit logs não mostram browser tasks Unified audit log não activado Activar em Purview > Audit
Sensitivity labels não respeitadas Permissões do utilizador incluem acesso Verificar permissões do ficheiro; o Cowork herda as mesmas

11. Checklist Rápido de Verificação

  • [ ] Usage-based billing activado em Copilot > Cost Management
  • [ ] Cowork descoberto para utilizadores (ou intencionalmente oculto)
  • [ ] Política de spending predefinida com limite mensal
  • [ ] Limite por utilizador definido (200-500 créditos iniciais)
  • [ ] Alertas configurados a 70% e 90%
  • [ ] Funções administrativas atribuídas correctamente (AI admin para gestão diária)
  • [ ] Plugins Dynamics 365 desactivados se não usados
  • [ ] Fable 5 avaliado com DPO/Legal antes de activar
  • [ ] Família Anthropic avaliada para requisitos de data sovereignty
  • [ ] Browser use activado/desactivado conforme política organizacional
  • [ ] Políticas Edge (allowlist/blocklist) aplicáveis ao Cowork
  • [ ] Audit logging activado no Purview
  • [ ] Credit Requests revistos semanalmente
  • [ ] Cost Management dashboard verificado semanalmente nos primeiros 60 dias

Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário