Você precisa garantir que os arquivos compartilhados do OneDrive não violem as políticas de classificação de dados da sua organização. O Microsoft 365 permite que administradores de TI apliquem rótulos de confidencialidade e regras de prevenção contra perda de dados em documentos armazenados no OneDrive. Quando os usuários compartilham arquivos externamente ou com o público errado, o conteúdo classificado pode ser exposto. Este artigo explica como revisar a atividade de compartilhamento do OneDrive em relação aos seus rótulos de classificação de dados usando as ferramentas do Microsoft Purview.
Principais Conclusões: Auditando o Compartilhamento do OneDrive com Rótulos de Confidencialidade
- Portal de conformidade do Microsoft Purview > Classificação de dados > Explorador de conteúdo: Visualize todos os arquivos com rótulos de confidencialidade e seu status de compartilhamento no OneDrive.
- Microsoft Purview > Prevenção contra perda de dados > Alertas: Revise as correspondências de política de DLP acionadas pelo compartilhamento de arquivos classificados do OneDrive.
- Microsoft Purview > Auditoria > Pesquisar: Consulte o log de auditoria unificado para eventos de “FileShared” combinados com IDs de rótulos de confidencialidade.
Como a Classificação de Dados Funciona com o Compartilhamento do OneDrive
A classificação de dados no Microsoft 365 usa rótulos de confidencialidade aplicados a arquivos e emails. Esses rótulos definem o nível de confidencialidade, como Interno, Confidencial ou Altamente Confidencial. Quando um usuário compartilha um arquivo do OneDrive, o rótulo permanece com o arquivo. O Microsoft Purview pode monitorar eventos de compartilhamento e compará-los com a política do rótulo. Por exemplo, um rótulo pode bloquear totalmente o compartilhamento externo ou exigir criptografia antes de compartilhar externamente. A verificação que você realiza envolve duas partes: verificar quais arquivos têm quais rótulos e, em seguida, examinar com quem esses arquivos estão sendo compartilhados. Esse processo usa o Explorador de Conteúdo, alertas de Prevenção contra Perda de Dados e o log de auditoria unificado. Você precisa de pelo menos a função de Administrador de Proteção de Informações ou permissões equivalentes para acessar essas ferramentas.
Etapas para Verificar o Compartilhamento do OneDrive em Relação à Classificação de Dados
Use os seguintes métodos para auditar a atividade de compartilhamento de arquivos com rótulos de confidencialidade específicos. Cada método cobre um ângulo diferente: inspeção direta de arquivos, alertas de violação de política e registros de auditoria granulares.
Método 1: Usar o Explorador de Conteúdo para Encontrar Arquivos Classificados Compartilhados
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com sua conta de administrador. - Navegue até Classificação de dados > Explorador de conteúdo
Na navegação à esquerda, selecione Classificação de dados e depois Explorador de conteúdo. Esta ferramenta mostra todos os arquivos rotulados no Exchange, SharePoint e OneDrive. - Filtre por local e rótulo
Clique em Adicionar filtro e escolha Local. Selecione OneDrive. Em seguida, adicione outro filtro para Rótulo de confidencialidade e escolha o rótulo que deseja auditar, por exemplo Confidencial. - Revise o status de compartilhamento
Na lista de resultados, cada arquivo mostra uma coluna Compartilhado. Ela exibe Interno, Externo ou Não compartilhado. Clique em uma linha de arquivo para abrir o painel de detalhes. O painel lista usuários ou grupos específicos com quem o arquivo está compartilhado. Verifique esta lista em relação aos requisitos da sua política de rótulos. - Exporte o relatório para revisão offline
Clique em Exportar no topo da lista para baixar um arquivo CSV. O CSV inclui o caminho do arquivo, o rótulo e o status de compartilhamento. Use isso para auditorias de conformidade periódicas.
Método 2: Revisar Alertas de DLP para Violações de Compartilhamento
- Vá para Prevenção contra perda de dados > Alertas
No portal do Microsoft Purview, expanda Prevenção contra perda de dados e selecione Alertas. - Filtre alertas por carga de trabalho
Clique em Filtrar e escolha Carga de trabalho depois OneDrive. Isso mostra todas as correspondências de regras de DLP que ocorreram no OneDrive. - Abra um alerta relacionado ao compartilhamento
Procure alertas com a atividade Arquivo compartilhado com usuário externo ou Arquivo compartilhado com domínio. Clique em um alerta para ver o nome do arquivo, o rótulo de confidencialidade detectado e o usuário que o compartilhou. - Verifique a política que acionou o alerta
Os detalhes do alerta incluem o nome da política de DLP e a regra. Verifique se a regra corresponde à sua política de classificação pretendida. Por exemplo, uma regra pode dizer “Bloquear compartilhamento de arquivos Confidenciais com usuários externos.”
Método 3: Pesquisar o Log de Auditoria Unificado para Eventos de Compartilhamento com Rótulos
- Abra Auditoria no Purview
No portal do Microsoft Purview, vá para Auditoria em Soluções. - Pesquise eventos FileShared
Em Atividades, selecione Atividades de arquivo e página e marque Arquivo compartilhado. Defina um intervalo de datas de pelo menos 30 dias. - Adicione um filtro para rótulo de confidencialidade
Clique em Adicionar filtro e escolha Rótulo de confidencialidade. Insira o ID ou nome do rótulo. Para encontrar IDs de rótulos, vá para Proteção de informações > Rótulos e copie o GUID das propriedades de cada rótulo. - Execute a pesquisa e revise os resultados
Clique em Pesquisar. Cada resultado mostra o usuário, o arquivo, os usuários ou grupos de destino e o rótulo de confidencialidade aplicado no momento do compartilhamento. Clique em um registro para visualizar o JSON completo do AuditData, que inclui o campo SensitivityLabelId. - Exporte o log de auditoria
Clique em Exportar para baixar todos os resultados como CSV. Use isso para análises avançadas no Excel ou Power BI.
Problemas Comuns e Limitações ao Verificar o Compartilhamento Contra a Classificação
Explorador de Conteúdo não mostra arquivos para um rótulo específico
Se o Explorador de Conteúdo retornar zero resultados para um rótulo, o rótulo pode não estar publicado para os usuários. Verifique em Proteção de informações > Rótulos > Publicar rótulos se o rótulo está atribuído aos usuários ou grupos corretos. Confirme também se os usuários aplicaram o rótulo aos arquivos no OneDrive. Rótulos aplicados apenas no SharePoint não aparecerão sob o filtro de local OneDrive.
Alertas de DLP não aparecem para eventos de compartilhamento
As regras de DLP só são acionadas se a regra incluir o OneDrive como um local. Abra a política de DLP em Prevenção contra perda de dados > Políticas e verifique se OneDrive está selecionado em Locais. Verifique também se a condição da regra menciona rótulos de confidencialidade. Por exemplo, a condição deve dizer “O conteúdo contém o rótulo de confidencialidade Confidencial.” Se a regra usar apenas condições baseadas em modelo, pode não corresponder a arquivos rotulados.
Log de auditoria não mostra o campo SensitivityLabelId
O log de auditoria registra o rótulo apenas se ele foi aplicado no momento do evento de compartilhamento. Se o rótulo foi adicionado após o arquivo ser compartilhado, o registro de auditoria não conterá um SensitivityLabelId. Para capturar eventos futuros, instrua os usuários a aplicar rótulos antes de compartilhar. Você também pode usar uma política de aplicação automática de rótulo de retenção para rotular arquivos proativamente.
Explorador de Conteúdo vs Alertas de DLP vs Log de Auditoria: Principais Diferenças
| Item | Explorador de Conteúdo | Alertas de DLP | Pesquisa no Log de Auditoria |
|---|---|---|---|
| Objetivo principal | Visualizar todos os arquivos rotulados e seu status atual de compartilhamento | Detectar violações de política em tempo real | Pesquisar eventos históricos de compartilhamento com contexto de rótulo |
| Atualização dos dados | Quase em tempo real, atualizado em algumas horas | Tempo real quando a regra de DLP é acionada | Atraso de até 24 horas para ingestão de eventos de auditoria |
| Detalhe do compartilhamento | Mostra Interno / Externo / Não compartilhado além de usuários específicos | Mostra usuário externo ou domínio no alerta | Mostra usuários e grupos de destino no JSON do AuditData |
| Visibilidade do rótulo | Mostra nome e ID do rótulo de confidencialidade | Mostra nome do rótulo nos detalhes do alerta | Mostra o GUID do SensitivityLabelId no JSON |
| Formato de exportação | CSV | CSV ou JSON para alertas individuais | CSV |
| Permissão necessária | Administrador de Proteção de Informações ou Visualizador | Gerenciamento de Conformidade de DLP ou Administrador de Conformidade | Visualizador de Log de Auditoria ou Log de Auditoria Somente Visualização |
Agora você pode usar o Explorador de Conteúdo, alertas de DLP e o log de auditoria para verificar se o compartilhamento do OneDrive está alinhado com seus rótulos de classificação de dados. Comece executando um relatório do Explorador de Conteúdo para seus rótulos de maior confidencialidade. Em seguida, configure uma revisão recorrente de alertas de DLP para eventos de compartilhamento externo. Para investigações mais aprofundadas, consulte o log de auditoria com o ID do rótulo específico. Lembre-se de que os rótulos devem ser aplicados antes dos eventos de compartilhamento para aparecerem nos registros de auditoria. Use políticas de rotulagem automática para garantir uma cobertura consistente de rótulos no OneDrive.