Seu departamento regulamentado depende de políticas de Prevenção contra Perda de Dados (DLP) para proteger conteúdo confidencial. Mas os alertas DLP no Microsoft 365 às vezes não detectam arquivos armazenados no OneDrive for Business, deixando lacunas de conformidade. Isso geralmente acontece devido a configuração incorreta do escopo da política, lacunas de licenciamento ou limitações de detecção em nível de arquivo. Este artigo explica por que os alertas DLP do OneDrive falham, fornece correções passo a passo e aborda padrões de falha relacionados para equipes de conformidade em finanças, saúde e departamentos jurídicos.
Principais conclusões: corrigindo alertas DLP que não detectam arquivos do OneDrive
- Central de conformidade do Microsoft 365 > Prevenção contra perda de dados > Políticas: Verifique se o local da política inclui contas do OneDrive para todos os usuários direcionados.
- Central de administração do Microsoft 365 > Cobrança > Licenças: Confirme se cada usuário regulamentado possui uma licença E5 ou Office 365 E5, ou uma E3 com o complemento Microsoft 365 E5 Compliance.
- Central de conformidade do Microsoft 365 > Prevenção contra perda de dados > Alertas: Verifique as configurações de limite e agregação de alertas que podem suprimir notificações.
Por que os alertas DLP não detectam arquivos do OneDrive em departamentos regulamentados
As políticas de Prevenção contra Perda de Dados no Microsoft 365 examinam o conteúdo em repouso e em trânsito. Quando uma política DLP não dispara um alerta para um arquivo do OneDrive, geralmente uma de três causas raiz é responsável.
Primeiro, o escopo da política pode não incluir locais do OneDrive. Muitos administradores de conformidade criam políticas DLP para Exchange e SharePoint, mas esquecem de adicionar contas do OneDrive. A política então se aplica apenas a e-mail e sites de equipe, deixando as bibliotecas pessoais do OneDrive sem monitoramento.
Segundo, o usuário pode não ter a licença necessária. O alerta DLP para arquivos do OneDrive requer Microsoft 365 E5, Office 365 E5 ou Microsoft 365 E5 Compliance. Usuários com licenças E3 ou Business Premium não são cobertos para alertas DLP avançados, mesmo que a política esteja configurada corretamente.
Terceiro, o tipo de arquivo ou padrão de conteúdo pode estar fora da definição da política. O DLP usa tipos de informação confidenciais e classificadores de aprendizado de máquina. Se o arquivo contiver um padrão de regex personalizado que não está incluído na política, o arquivo passa sem alerta. Além disso, arquivos criptografados ou com formatação complexa podem não ser totalmente examinados.
Etapas para solucionar e corrigir alertas DLP ausentes para o OneDrive
Siga estas etapas em ordem. Após cada etapa, teste com um arquivo que contenha um padrão de dados confidenciais conhecido, como um número de cartão de crédito ou CPF, salvo no OneDrive de um usuário monitorado.
- Verifique se a política DLP inclui locais do OneDrive
Acesse a Central de conformidade do Microsoft 365 em compliance.microsoft.com. Selecione Prevenção contra perda de dados > Políticas. Abra a política que você espera que cubra arquivos do OneDrive. Em Locais, confirme se Contas do OneDrive está ativado. Se estiver desativado, ative-o e selecione usuários ou grupos específicos do seu departamento regulamentado. Salve a política. - Verifique o licenciamento do usuário
Na Central de administração do Microsoft 365 em admin.microsoft.com, vá para Cobrança > Licenças. Selecione cada usuário no departamento regulamentado. Confirme se eles possuem uma licença E5 ou o complemento Microsoft 365 E5 Compliance. Se um usuário tiver uma licença E3 sem o complemento, atribua a licença correta. Os alertas DLP para o OneDrive não serão disparados sem a licença adequada. - Revise as configurações de limite e agregação de alertas
Na mesma política DLP, role até a seção Ações. Clique em Editar configurações de alerta. Certifique-se de que Enviar alerta para o administrador esteja ativado. Verifique os valores de Número mínimo de eventos e Janela de tempo. Se o limite estiver definido como 10 eventos em 60 minutos, um único arquivo confidencial não disparará um alerta. Reduza o mínimo para 1 evento e defina a janela de tempo para 1 minuto para teste. Após o teste, restaure os limites apropriados. - Confirme se os tipos de informação confidenciais estão configurados corretamente
Na política DLP, clique em Editar regras. Revise as condições. Se você usar um tipo de informação confidencial personalizado, verifique o padrão regex e a lista de palavras-chave. Teste o tipo personalizado usando a opção Testar na Central de conformidade. Se o teste falhar, corrija o padrão e publique novamente a política. - Verifique conflitos de precedência de políticas
As políticas DLP são avaliadas em ordem. Uma política com prioridade mais baixa que bloqueia alertas pode substituir uma política de prioridade mais alta. Na Central de conformidade, vá para Prevenção contra perda de dados > Políticas. Revise a coluna de prioridade. Se uma política com número mais baixo tiver prioridade mais alta e não incluir o OneDrive, ela pode bloquear alertas. Ajuste a ordem de prioridade para que a política que cobre arquivos do OneDrive tenha a prioridade mais alta. - Teste com um arquivo confidencial conhecido
Crie um arquivo de texto contendo um número de cartão de crédito válido, como 4111111111111111. Salve o arquivo no OneDrive de um usuário monitorado. Aguarde até 15 minutos para a avaliação da política. Verifique a Central de conformidade em Prevenção contra perda de dados > Alertas. Se nenhum alerta aparecer, repita as etapas 1 a 5.
Se os alertas DLP do OneDrive ainda não aparecerem
Alertas DLP disparam para Exchange, mas não para o OneDrive
Isso indica um problema de escopo de local. Volte à política DLP e verifique se Contas do OneDrive está selecionado. Verifique também se o usuário não está excluído por meio de um filtro de grupo. Se a política se aplicar a todos os usuários, mas um usuário específico estiver em um grupo excluído, os arquivos do OneDrive desse usuário não serão examinados.
Alertas aparecem horas após o arquivo ser salvo
A avaliação DLP para arquivos do OneDrive pode levar até 15 minutos sob carga normal. Se os alertas atrasarem horas, verifique a integridade do serviço na Central de administração do Microsoft 365 em Saúde > Integridade do serviço. Procure algum aviso sobre latência de verificação DLP.
Arquivos com rótulos de confidencialidade personalizados não são sinalizados
As políticas DLP podem ser configuradas para disparar apenas em conteúdo que tenha um rótulo de confidencialidade específico. Se sua política usar a condição O conteúdo contém rótulo de confidencialidade, mas o arquivo não tiver rótulo ou tiver um rótulo diferente, nenhum alerta será gerado. Adicione uma segunda regra que detecte tipos de informação confidenciais sem exigir um rótulo, ou garanta que sua política de rotulagem aplique o rótulo correto a todos os arquivos no departamento regulamentado.
Arquivos do Office criptografados ou protegidos por senha não são detectados
O DLP do Microsoft 365 não pode examinar o conteúdo de arquivos criptografados. Se um usuário aplicar uma senha a um arquivo do Office antes de salvá-lo no OneDrive, o DLP não inspecionará o conteúdo. A única solução alternativa é bloquear o upload de arquivos criptografados usando uma política de acesso condicional ou uma configuração de administrador do SharePoint que impeça salvar arquivos criptografados no OneDrive.
Capacidades de alerta DLP para o OneDrive: DLP baseado em política vs. DLP de endpoint vs. rotulagem automática
| Item | DLP baseado em política | DLP de endpoint |
|---|---|---|
| Escopo de detecção | Arquivos em repouso no OneDrive | Arquivos antes de serem salvos no OneDrive |
| Licença necessária | E5 ou complemento E5 Compliance | E5 ou complemento E5 Compliance |
| Manipulação de arquivos criptografados | Não pode examinar conteúdo criptografado | Pode bloquear upload de arquivos criptografados |
| Latência de alerta | Até 15 minutos | Quase em tempo real |
| Local de configuração | Políticas DLP da Central de conformidade | Integração de dispositivos DLP de endpoint |
O DLP baseado em política examina arquivos já armazenados no OneDrive. O DLP de endpoint monitora a atividade de arquivos em dispositivos Windows 10 e 11 antes que o arquivo chegue ao OneDrive. Para departamentos regulamentados, usar ambos fornece cobertura sobreposta.
Uma terceira abordagem é a rotulagem automática. Você pode criar uma política de rotulagem automática na Central de conformidade que aplica um rótulo de confidencialidade a arquivos contendo dados confidenciais. Uma vez rotulados, uma regra DLP separada pode disparar alertas para arquivos com esse rótulo. Este método é útil para departamentos que precisam de rotulagem consistente antes do alerta.
Após verificar o escopo da política, licenciamento e limites, seus alertas DLP devem capturar arquivos do OneDrive de forma confiável. Teste mensalmente colocando um arquivo de teste com dados confidenciais conhecidos em uma pasta do OneDrive monitorada. Para lacunas persistentes, habilite o log de auditoria para correspondências de regras DLP e revise os logs na Central de conformidade em Auditoria. Este log mostra qual política avaliou o arquivo e por que nenhum alerta foi gerado.