TL;DR: O artigo apresenta as novas capacidades de governança e segurança do Foundry IQ (Azure AI Search), incluindo sincronização incremental de permissões do SharePoint, propagação de rótulos de sensibilidade do Purview, auditoria de acessos elevados e conectividade privada via NSP. A conclusão principal é que a Microsoft está equipando a plataforma de busca para agentes de IA com controles de acesso e compliance alinhados às políticas corporativas, eliminando a necessidade de modelos de segurança paralelos.
Empresas brasileiras que estão adotando agentes de IA generativa sabem que a qualidade da recuperação de informação é apenas parte do desafio. O verdadeiro diferencial está em permitir que esses agentes acessem conteúdo crítico de negócio sem enfraquecer os controles já existentes: permissões de fonte, rótulos de sensibilidade, trilhas de auditoria, caminhos de rede privada e acesso baseado em identidade. A Microsoft acaba de anunciar um conjunto de atualizações para o Foundry IQ (anteriormente Azure AI Search) que endereça exatamente essa necessidade.
Estas são as principais novidades:
- Sincronização incremental de permissões do SharePoint para documentos indexados, listas do SharePoint e páginas ASPX.
- Rótulos de sensibilidade do Purview em knowledge bases do Foundry IQ.
- Auditoria via Purview para consultas administrativas elevadas.
- Suporte a conectividade privada entre Foundry IQ e recursos Foundry via Network Security Perimeter (NSP).
Para atualizações sobre pipeline de dados e recuperação multimodal (incluindo indexação do SharePoint, Content Understanding skill e serving de imagens), veja FoundryIQ-data.
Como a sincronização incremental de permissões do SharePoint mantém a segurança alinhada?
O SharePoint continua sendo uma fonte crítica de conteúdo empresarial — e as permissões mudam com frequência à medida que equipes, projetos e processos evoluem. Manter o alinhamento entre as permissões originais e o conteúdo indexado é essencial para que os sistemas de recuperação reflitam corretamente as fronteiras de acesso pretendidas.
A versão de preview 2026-05-01-preview da API do Azure AI Search melhora a sincronização de permissões do SharePoint em cenários de busca e recuperação agentica (agentic retrieval). Agora, atualizações incrementais de ACLs de documentos podem ser capturadas durante execuções agendadas do indexador, inclusive quando o agendamento é configurado por meio das configurações de knowledge source do Foundry IQ. Isso reduz o drift entre o SharePoint e as experiências de recuperação downstream.
Na prática, isso significa que times de engenharia brasileiros não precisam mais implementar pipelines customizados para atualizar permissões — o próprio Foundry IQ se encarrega de manter a autorização de recuperação alinhada com a fonte. Também foi adicionado suporte a grupos do SharePoint, embora exija configuração adicional. Esse recurso é particularmente útil em organizações que gerenciam acesso a intranets via grupos.
Outra novidade importante: o controle de acesso agora se estende além das bibliotecas de documentos tradicionais. Listas do SharePoint e páginas ASPX modernas podem carregar ACLs quando configuradas. Como o conhecimento operacional muitas vezes reside em páginas de intranet, dashboards e listas, essa capacidade é um passo significativo para que agentes de IA possam consultar essas fontes sem violar políticas de acesso.
Rótulos de sensibilidade do Purview agora fluem para knowledge bases e agentes
Sistemas de IA empresarial lidam cada vez mais com conteúdo classificado, rotulado, criptografado ou regulado. À medida que esse conteúdo passa pelos pipelines de indexação, recuperação e geração, o contexto de classificação precisa permanecer visível e acionável.
O Foundry IQ agora suporta propagação configurável de rótulos de sensibilidade do Microsoft Purview entre knowledge sources e fluxos de recuperação. Os rótulos podem fluir dos sistemas de origem para o índice, passando pelas knowledge bases e chegando às experiências de agente do Foundry que dependem dessas bases.
Em cenários Foundry IQ, conteúdo com rótulo de sensibilidade pode ser recuperado das knowledge bases e apresentado com o contexto do rótulo, sujeito à autorização do usuário. Isso se aplica a todos os fluxos de recuperação, incluindo interações baseadas em MCP (Model Context Protocol), e é exposto através do Foundry IQ (Knowledge) no portal Foundry para knowledge bases em serviços Azure AI Search com configurações Purview habilitadas.
Para empresas brasileiras sujeitas à LGPD ou a regulamentações setoriais, essa capacidade é um divisor de águas: evita que dados sigilosos sejam tratados como texto não classificado durante a geração de respostas, permitindo que o sistema incorpore o contexto de classificação no grounding e na resposta.
GitHub Repo: https://aka.ms/foundryiq-purview-sensitivity-labels-repo
Sample: https://aka.ms/FoundryIQ-security-samples
Acesso elevado com auditoria via Purview: como funciona?
Cenários operacionais exigem, ocasionalmente, acesso elevado para investigação, validação ou depuração de problemas de indexação e recuperação. Para índices habilitados para Purview, esse acesso precisa ser auditável. A auditoria é ativada por padrão para índices criados com a versão de API 2026-05-01-preview, para operações de acesso elevado.
Esta versão introduz acesso de leitura elevado para desenvolvedores e administradores autorizados, emparelhado com auditoria via Microsoft Purview. Os eventos de acesso são capturados como parte da experiência unificada de auditoria, proporcionando visibilidade sobre como conteúdo sensível é acessado durante a resolução de problemas.
Isso permite investigações controladas sem burlar a governança. Em vez de criar uma superfície de auditoria separada, a atividade de acesso é integrada aos fluxos de compliance e monitoramento existentes, junto com sinais gerenciados pelo Microsoft 365 e Purview.
Conectividade privada entre Search e Foundry: por que isso importa?
Em ambientes corporativos, especialmente em setores regulados como financeiro e saúde, as chamadas de modelo e o tráfego de enriquecimento devem permanecer dentro de limites de rede privada aprovados. Endpoints públicos não são aceitáveis para workloads que manipulam dados sensíveis ou regulados.
O Foundry IQ agora suporta conectividade privada entre serviços de search, knowledge bases e recursos Microsoft Foundry usando Shared Private Link e Network Security Perimeter. O Shared Private Link fornece um caminho privado de saída para recursos suportados, enquanto o Network Security Perimeter define um limite lógico entre serviços e aplica controles de tráfego.
Juntas, essas capacidades permitem que pipelines de ingestão, enriquecimento e recuperação operem dentro dos requisitos de isolamento de rede da empresa. Nota importante: a configuração de conectividade privada não está disponível diretamente no portal Foundry — deve ser habilitada via REST API ou portal do Azure.
Redução de segredos com managed identity e keyless billing
Pipelines seguros de IA devem minimizar a dependência de credenciais de longa duração. As user-assigned managed identities para pipelines de indexador agora estão em disponibilidade geral. Isso permite autenticação baseada em identidade para data sources, knowledge stores e cenários de criptografia, melhorando o controle sobre o ciclo de vida de credenciais.
O keyless billing para Foundry Tools também está em GA. Recursos do Microsoft Foundry podem ser anexados usando managed identities e acesso baseado em papel, eliminando a necessidade de armazenar chaves de API nas definições de skillset. Exceções: a Content Understanding skill e skills configuradas com modelos Azure OpenAI no Foundry (como Azure OpenAI embedding skill ou GenAI prompt skill) continuam usando o recurso configurado tanto para faturamento quanto para processamento.
Para empresas brasileiras que buscam adotar Microsoft Entra-based authentication e reduzir a sobrecarga de gerenciamento de segredos, essas atualizações são um convite para alinhar os pipelines de IA com as práticas de identidade e acesso corporativas.
O que vem a seguir?
- Security em nível de documento no Foundry IQ
- Novidades no Foundry IQ
- Melhore o recall em até 54% usando knowledge bases do Foundry IQ
Perguntas Frequentes
Como a sincronização incremental de permissões do SharePoint impacta a segurança dos agentes de IA?
Ela reduz o drift entre as permissões de origem e os índices de busca, garantindo que agentes de IA respeitem as mesmas regras de acesso que os usuários finais. Isso elimina a necessidade de um modelo de segurança paralelo e pipelines customizados de refresh de permissões.
O suporte a grupos do SharePoint no Foundry IQ exige configuração adicional?
Sim, a configuração extra é necessária, mas permite alinhar o controle de acesso com padrões baseados em grupos já usados para governar conteúdo de intranet. Isso é especialmente útil para empresas que gerenciam permissões por meio de grupos.
Os rótulos de sensibilidade do Purview são preservados durante a recuperação por agentes de IA?
Sim. Os rótulos fluem da fonte para o índice e são apresentados no contexto da recuperação, sujeitos à autorização do usuário. Isso permite que sistemas de IA incorporem o contexto de classificação na geração de respostas, em vez de tratar todo conteúdo como texto não classificado.
A auditoria de acessos elevados no Foundry IQ é ativada por padrão?
Sim, para índices criados com a versão de API 2026-05-01-preview, a auditoria via Microsoft Purview é habilitada por padrão para operações de acesso elevado. Os eventos são integrados ao fluxo unificado de auditoria, junto com sinais do Microsoft 365 e Purview.
A conectividade privada entre Foundry IQ e Foundry resources pode ser configurada pelo portal?
Não. A configuração de conectividade privada via Shared Private Link e Network Security Perimeter deve ser feita através da REST API ou do portal do Azure. O Foundry portal não oferece essa opção diretamente no momento.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
