Os alertas de Prevenção contra Perda de Dados (DLP) no Microsoft 365 são projetados para detectar conteúdo confidencial no OneDrive for Business, mas muitos administradores relatam que os alertas de DLP não disparam em arquivos que também estão marcados para limpeza de retenção. Essa lacuna ocorre porque as políticas de retenção e DLP operam em mecanismos de verificação e filas de metadados separados, fazendo com que o DLP ignore arquivos com rótulos de retenção pendentes ou em status de retenção. Este guia explica a causa raiz da incompatibilidade e fornece as etapas exatas de configuração para garantir que os alertas de DLP sejam acionados corretamente em arquivos do OneDrive que estão sob limpeza de retenção.
Principais conclusões: Corrigindo lacunas de alerta de DLP para arquivos de limpeza de retenção do OneDrive
- Portal de conformidade do Microsoft Purview > Prevenção contra perda de dados > Políticas > Editar política > Locais > Contas do OneDrive: Certifique-se de que o OneDrive esteja explicitamente selecionado e com escopo para incluir todos os usuários, não apenas grupos específicos que possam excluir arquivos com rótulos de retenção.
- Cmdlet do PowerShell Set-DlpComplianceRule -NotifyUser -NotifyPolicyTip: Substitui o comportamento padrão do DLP que ignora arquivos com rótulos de retenção ativos, forçando dicas de política e alertas mesmo quando um arquivo está em retenção.
- Central de administração do Microsoft 365 > Conformidade > Rótulos de retenção > Política de rotulagem automática > Modo de simulação: Teste os rótulos de retenção em simulação antes de aplicá-los para verificar se eles não suprimem a verificação de DLP no mesmo arquivo.
Por que os alertas de DLP ignoram arquivos do OneDrive em limpeza de retenção
A questão central é que as políticas de DLP e retenção no Microsoft 365 usam pipelines de verificação separados. Quando um arquivo no OneDrive recebe um rótulo de retenção ou é colocado em retenção para limpeza, o sistema de retenção marca o arquivo com metadados que instruem a verificação de DLP a ignorá-lo. Isso é proposital para evitar ações conflitantes de políticas no mesmo arquivo. No entanto, esse design faz com que o DLP perca arquivos que contêm dados confidenciais, mas também estão programados para limpeza de retenção.
O problema é mais visível em dois cenários. Primeiro, quando um rótulo de retenção é aplicado manualmente ou por rotulagem automática, o arquivo entra em um estado onde a verificação de DLP é pausada até que a ação de retenção seja concluída. Segundo, quando um arquivo está em retenção por litígio ou retenção de descoberta eletrônica, o DLP trata o arquivo como bloqueado e não o avalia para conteúdo confidencial. O resultado é que os alertas de DLP para números de cartão de crédito, informações de identificação pessoal ou outros dados confidenciais nunca aparecem para esses arquivos.
Outro fator contribuinte é o escopo da política de DLP. Se a política de DLP estiver configurada para aplicar apenas a pastas específicas do OneDrive ou a usuários específicos, arquivos com rótulos de retenção fora desse escopo são naturalmente ignorados. Além disso, a regra padrão de DLP no Microsoft 365 não inclui uma condição para substituir o comportamento de ignorar retenção, então os administradores devem adicionar essa condição manualmente.
Como os rótulos de retenção interagem com a verificação de DLP
Quando um rótulo de retenção é aplicado a um arquivo do OneDrive, o arquivo recebe uma tag de conformidade que instrui o DLP a excluí-lo da verificação. Essa exclusão se aplica tanto a rótulos manuais quanto automáticos. A exclusão permanece em vigor até que o período de retenção expire ou o rótulo seja removido. Durante esse período, os alertas de DLP são suprimidos mesmo que o arquivo contenha dados confidenciais que normalmente acionariam um alerta.
O papel da prioridade da política e das condições da regra
As políticas de DLP no Microsoft 365 são avaliadas em ordem de prioridade. Se uma política de retenção tiver prioridade maior que a política de DLP, a ação de retenção terá precedência e bloqueará a verificação de DLP. Na configuração padrão, as políticas de retenção recebem prioridade maior que as políticas de DLP. Essa ordenação não é visível na interface do usuário, mas é aplicada no nível do mecanismo. Para corrigir o problema, você deve criar uma regra de DLP personalizada com uma condição que force a verificação mesmo quando um rótulo de retenção estiver presente.
Etapas para configurar o DLP para alertar sobre arquivos de limpeza de retenção
Siga estas etapas para garantir que os alertas de DLP sejam acionados corretamente em arquivos do OneDrive que estão sob limpeza de retenção. Você precisa do portal de conformidade do Microsoft Purview e acesso ao PowerShell com o módulo Exchange Online Protection instalado.
- Abra a política de DLP no Microsoft Purview
Vá para o portal de conformidade do Microsoft Purview. Selecione Prevenção contra perda de dados e depois Políticas. Encontre a política de DLP que está perdendo alertas para arquivos de limpeza de retenção. Clique no nome da política para abrir suas propriedades. - Verifique se o OneDrive está selecionado como local
Nas configurações da política, clique em Locais. Confirme se Contas do OneDrive está marcado. Se não estiver marcado, selecione-o e escolha Incluir todos os usuários. Não limite o escopo a grupos específicos, a menos que você tenha certeza de que esses grupos incluem os arquivos com rótulos de retenção. - Crie uma regra de DLP personalizada com uma condição de substituição
Na mesma política, clique em Regras e depois em Criar regra. Dê à regra um nome como Substituição de DLP para Arquivos de Retenção. Em Condições, selecione O conteúdo contém informações confidenciais e escolha os tipos de informação confidenciais que deseja detectar. Em Exceções, não adicione nenhuma exceção que faça referência a rótulos de retenção. Em Ações, selecione Enviar alerta e escolha o nível de gravidade do alerta. - Adicione a substituição do PowerShell para forçar a verificação
Abra o Windows PowerShell como administrador. Execute Connect-IPPSSession para conectar-se ao centro de proteção do Exchange Online. Execute o seguinte comando para modificar a regra que você acabou de criar: Set-DlpComplianceRule -Identity “Substituição de DLP para Arquivos de Retenção” -NotifyUser $true -NotifyPolicyTip $true -NotifyAllowOverride None -NotifyUserType Recipients. Este comando força o DLP a avaliar o arquivo e enviar dicas de política mesmo quando um rótulo de retenção está presente. - Teste a regra com um arquivo com rótulo de retenção
Carregue um arquivo de teste no OneDrive que contenha um número de cartão de crédito ou um número de seguro social. Aplique um rótulo de retenção ao arquivo. Aguarde 15 minutos para que o rótulo seja propagado. Em seguida, verifique se um alerta de DLP aparece no painel de Alertas. Se o alerta não aparecer, verifique a prioridade da regra e certifique-se de que a regra personalizada esteja acima de quaisquer regras padrão. - Monitore a geração de alertas por 24 horas
Após a regra estar ativa, monitore a página de Alertas no Microsoft Purview por 24 horas. Procure por alertas acionados pelo nome da regra que você criou. Se os alertas aparecerem, a correção está funcionando. Se nenhum alerta aparecer, verifique novamente os parâmetros do comando do PowerShell e verifique se a regra está habilitada.
Se os alertas de DLP ainda ignorarem arquivos após a correção principal
Alertas de DLP disparam para alguns usuários, mas não para outros
Se os alertas de DLP funcionam para alguns usuários, mas não para outros, o problema provavelmente é o escopo de usuários na política de DLP. Abra a política de DLP e altere o local do OneDrive de usuários específicos para todos os usuários. Se precisar mantê-lo com escopo, verifique se os usuários excluídos não têm rótulos de retenção aplicados a seus arquivos. Você pode verificar isso executando Get-ComplianceRetentionLabel -User
Rótulos de retenção não são aplicados, mas o DLP ainda ignora arquivos
Se os rótulos de retenção não são aplicados, mas o DLP ainda ignora arquivos, verifique se os arquivos estão em retenção por litígio ou retenção de descoberta eletrônica. Ambos os tipos de retenção suprimem a verificação de DLP. Remova a retenção ou use a substituição do PowerShell descrita acima para forçar a verificação em arquivos retidos. Execute Get-Mailbox -Identity
Alertas de DLP aparecem, mas as dicas de política não são mostradas aos usuários
Se os alertas aparecem no portal de administração, mas os usuários não veem dicas de política no OneDrive, o problema é o parâmetro NotifyUser na regra de DLP. Execute Set-DlpComplianceRule -Identity “Substituição de DLP para Arquivos de Retenção” -NotifyUser $true -NotifyPolicyTip $true -NotifyAllowOverride None. Em seguida, peça ao usuário para atualizar a página da web do OneDrive e abrir o arquivo novamente.
| Item | Comportamento padrão do DLP | Comportamento do DLP corrigido com substituição |
|---|---|---|
| Verificação em arquivos com rótulos de retenção | Ignorada | Forçada |
| Dicas de política em arquivos retidos | Não exibidas | Exibidas |
| Geração de alertas para arquivos de limpeza | Suprimida | Gerada |
| Método de configuração | Apenas interface do usuário | Interface do usuário mais substituição do PowerShell |
| Requisito de prioridade da regra | Nenhum | A regra personalizada deve ter a prioridade mais alta |
Ao aplicar a substituição do PowerShell e ajustar o escopo da política de DLP, você pode agora garantir que os alertas de DLP sejam acionados em arquivos do OneDrive que estão sob limpeza de retenção. Em seguida, revise suas políticas de DLP existentes para ver se alguma outra política precisa da mesma substituição. Considere criar uma política de DLP separada especificamente para arquivos com rótulos de retenção, para que você possa monitorar a cobertura de alertas separadamente.