As equipes de conformidade dependem de alertas de Prevenção contra Perda de Dados (DLP) para detectar conteúdo confidencial em arquivos do OneDrive for Business. Quando os alertas de DLP não são acionados para arquivos armazenados no OneDrive, a organização enfrenta lacunas de conformidade e possíveis vazamentos de dados. Esse problema geralmente ocorre porque as regras de DLP têm escopo incorreto ou porque o OneDrive não está incluído no local da política. Este artigo explica a causa raiz, fornece instruções passo a passo para configurar políticas de DLP corretamente e aborda problemas relacionados que causam alertas perdidos.
Principais conclusões: Corrigir alertas de DLP que não detectam arquivos do OneDrive
- Microsoft 365 Defender > Data Loss Prevention > Policies: Abra cada política de DLP e confirme que os locais do OneDrive estão habilitados na guia Locations.
- Microsoft 365 Defender > Data Loss Prevention > Policies > Edit Policy > Locations: Selecione os sites específicos do OneDrive ou escolha “All” para aplicar a política ao OneDrive de todos os usuários.
- Microsoft 365 Defender > Data Loss Prevention > Policies > Edit Policy > Rules: Verifique se as condições da regra incluem detecção de conteúdo para tipos de informações confidenciais ou classificadores treináveis.
Por que os alertas de DLP não são acionados para arquivos do OneDrive
As políticas de DLP no Microsoft 365 podem ter escopo para Exchange, SharePoint, OneDrive, Teams e Dispositivos. Quando uma política é criada, o administrador seleciona quais locais a política monitora. Se o OneDrive não for selecionado como local, o DLP não examinará os arquivos no OneDrive for Business. A política ainda será aplicada ao SharePoint ou Exchange se esses locais tiverem sido selecionados, criando a falsa impressão de que o DLP está funcionando.
Outra causa comum é uma regra de política que usa uma condição com limitação de escopo. Por exemplo, se a regra for configurada para detectar conteúdo apenas em anexos de e-mail, os arquivos do OneDrive nunca acionarão o alerta. Além disso, as políticas de DLP têm uma ordem de prioridade padrão. Se uma política de prioridade mais alta bloquear ou permitir a ação antes que a política com escopo no OneDrive avalie o arquivo, o alerta pode não aparecer.
O DLP para OneDrive usa os mesmos tipos de informações confidenciais e classificadores treináveis que outras cargas de trabalho. O mecanismo de detecção examina os arquivos quando eles são carregados, modificados ou compartilhados. Arquivos que já estavam presentes no OneDrive antes da política ser habilitada não são examinados retroativamente. As equipes de conformidade devem acionar uma verificação manual ou aguardar um evento de modificação para aplicar a política aos arquivos existentes.
Escopo do local da política
Toda política de DLP tem uma guia Locations onde o administrador escolhe Exchange, SharePoint, OneDrive, mensagens de chat e canal do Teams e Dispositivos. O local do OneDrive inclui todos os sites do OneDrive for Business dos usuários. Se a política estiver definida como “Specific sites”, apenas os sites listados são monitorados. Arquivos em sites do OneDrive não listados não gerarão alertas.
Condições e ações da regra
Uma regra de DLP contém condições que definem qual conteúdo aciona a política. Para arquivos do OneDrive, a condição deve usar um tipo de informação confidencial, como Número de Cartão de Crédito ou Número de Seguro Social dos EUA, ou um classificador treinável, como Dados Financeiros. Se a regra for direcionada apenas a conteúdo de e-mail ou usar uma condição que não se aplica a arquivos, o conteúdo do OneDrive será ignorado.
Etapas para corrigir alertas de DLP para arquivos do OneDrive
Siga estas etapas para configurar políticas de DLP de modo que examinem arquivos do OneDrive for Business e gerem alertas para as equipes de conformidade.
- Abra o portal do Microsoft 365 Defender
Acessehttps://security.microsoft.come faça login com uma conta que tenha a função de Administrador de Conformidade ou Administrador de Segurança. - Navegue até as políticas de DLP
Na navegação à esquerda, selecione Data Loss Prevention e depois Policies. Uma lista de todas as políticas de DLP aparece. - Selecione a política que deve cobrir o OneDrive
Clique no nome da política de DLP que deseja editar. Se estiver criando uma nova política, clique em Create policy e escolha um modelo ou Custom. - Verifique se o local do OneDrive está habilitado
Na página de detalhes da política, clique em Edit policy. Vá para a guia Locations. Certifique-se de que OneDrive esteja alternado para On. Se estiver desligado, ligue-o. - Escolha o escopo do OneDrive
Na linha do OneDrive, clique em Choose sites. Selecione All para aplicar a política ao OneDrive de todos os usuários. Como alternativa, selecione Specific sites e insira as URLs dos sites do OneDrive que devem ser monitorados. Clique em Done. - Revise as condições da regra
Vá para a guia Rules. Clique no nome da regra para abri-la. Em Conditions, confirme que Content contains está definido como um tipo de informação confidencial ou classificador treinável. Se a condição estiver ausente, clique em Add condition e selecione Content contains. Escolha os tipos de informação apropriados da biblioteca. - Configure a ação para alertas
Em Actions, certifique-se de que Send alert to admin esteja habilitado. Selecione o nível de gravidade do alerta e adicione os endereços de e-mail da equipe de conformidade. Clique em Save. - Defina a prioridade da política se houver várias políticas
Se você tiver várias políticas de DLP, volte para a lista Policies. Clique em Priority e organize as políticas para que a política do OneDrive tenha prioridade mais alta do que qualquer política que possa bloquear sua avaliação. - Salve e teste a política
Clique em Save na página de edição da política. Aguarde até uma hora para a política ser aplicada. Carregue um arquivo de teste contendo dados confidenciais em um site do OneDrive monitorado. Verifique se um alerta aparece no portal do Microsoft 365 Defender em Data Loss Prevention > Alerts.
Se os alertas de DLP ainda não detectarem arquivos do OneDrive
A política de DLP está configurada apenas para auditoria
Uma política de DLP pode ser configurada no modo de teste sem gerar alertas. Vá para a guia Rules da política, clique na regra e, em Mode, selecione Turn it on immediately ou Test with notifications. Se o modo estiver definido como Test without notifications, os alertas não serão enviados.
O site do OneDrive é excluído por uma política de Acesso Condicional
As políticas de Acesso Condicional podem bloquear ou limitar o acesso ao OneDrive. Se um usuário não puder sincronizar ou carregar arquivos, o DLP não terá nada para examinar. Verifique as políticas de Acesso Condicional do Azure AD que afetam o OneDrive. Ajuste a política para permitir acesso aos usuários que precisam carregar arquivos que o DLP monitora.
Arquivos foram criados antes da política ser habilitada
O DLP não examina retroativamente arquivos existentes. Para examinar arquivos existentes, um usuário deve modificar e salvar novamente o arquivo, ou um administrador pode acionar uma verificação manual usando o recurso Content search no Centro de Conformidade do Microsoft 365. Execute uma pesquisa de conteúdo por tipos de informações confidenciais e exporte os resultados para revisar manualmente os arquivos que a política não detectou.
A licença de DLP é insuficiente
O DLP para OneDrive requer uma licença Microsoft 365 E5 ou E5 Compliance. Organizações com licenças Microsoft 365 E3 têm capacidades limitadas de DLP que podem não incluir a verificação do OneDrive. Verifique as atribuições de licença para todos os usuários que armazenam arquivos no OneDrive. Atualize as licenças se necessário.
Comparação de configuração de política de DLP: OneDrive vs SharePoint vs Exchange
| Item | OneDrive for Business | SharePoint | Exchange Online |
|---|---|---|---|
| Seleção de local | Selecionar todos os sites ou URLs específicos de sites do OneDrive | Selecionar todos os sites ou coleções de sites específicas do SharePoint | Selecionar todos os destinatários ou grupos de distribuição específicos |
| Detecção de conteúdo | Tipos de informações confidenciais, classificadores treináveis | Tipos de informações confidenciais, classificadores treináveis | Tipos de informações confidenciais, classificadores treináveis, condições específicas de e-mail |
| Ação padrão | Bloquear compartilhamento, notificar usuário, enviar alerta | Bloquear compartilhamento, notificar usuário, enviar alerta | Bloquear envio, notificar usuário, enviar alerta |
| Verificação retroativa | Não, apenas arquivos novos ou modificados | Não, apenas arquivos novos ou modificados | Não, apenas mensagens novas ou encaminhadas |
| Entrega de alerta | E-mail para administrador, alerta no portal | E-mail para administrador, alerta no portal | E-mail para administrador, alerta no portal |
As equipes de conformidade agora podem configurar políticas de DLP para monitorar arquivos do OneDrive for Business corretamente. Verifique se o local da política inclui o OneDrive, se as regras usam detecção de conteúdo e se a prioridade da política está definida adequadamente. Para arquivos existentes que não foram examinados, acione uma pesquisa de conteúdo manual. Uma dica avançada: use classificadores treináveis em vez de tipos de informações confidenciais estáticos para detectar padrões de dados personalizados exclusivos da sua organização.