Quando equipes de RH enviam documentos confidenciais de investigação para o OneDrive, as políticas de Prevenção contra Perda de Dados do Microsoft Purview podem bloquear o upload ou gerar alertas falsos positivos. Isso acontece porque as regras de DLP examinam o conteúdo do arquivo em busca de padrões como números de CPF, números de conta bancária ou palavras-chave confidenciais — padrões comuns em arquivos de casos de RH. O resultado é um upload bloqueado, uma notificação de dica de política ou um alerta enviado à equipe de conformidade, mesmo que o upload seja totalmente autorizado.
Este artigo explica por que o DLP bloqueia uploads legítimos de RH e fornece três métodos para corrigir o problema: criar uma substituição de política de DLP para o site de RH, usar uma ação de prioridade para isentar usuários específicos e configurar uma exceção em nível de arquivo com exclusões de tipo de informação confidencial.
Principais conclusões: Corrigindo alertas falsos positivos de DLP para uploads de RH
- Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas: Crie uma substituição de política para a biblioteca de documentos do SharePoint do site de RH para excluí-la da verificação.
- Centro de administração do Exchange > Fluxo de emails > Regras: Adicione uma ação de prioridade para isentar membros da equipe de investigação de RH da aplicação da política de DLP durante uploads.
- Política de DLP > Regras avançadas de DLP > Condições > O conteúdo contém: Adicione uma exceção em nível de arquivo excluindo tipos específicos de informações confidenciais que disparam alertas falsos.
Por que o DLP bloqueia uploads legítimos de investigações de RH
As políticas de DLP do Microsoft Purview inspecionam o conteúdo de arquivos no OneDrive, SharePoint e Exchange. Quando um arquivo contém dados que correspondem a um tipo de informação confidencial interno ou personalizado, a política pode bloquear o upload, enviar uma dica de política ou gerar um alerta. Documentos de investigação de RH geralmente incluem identificadores de funcionários, valores salariais, informações médicas e anotações disciplinares — todos correspondendo a vários tipos de informações confidenciais por padrão.
A causa raiz é que as políticas de DLP têm escopo amplo — elas se aplicam a todos os sites ou todos os usuários em um locatário. Sem exclusões em nível de site ou usuário, todo upload que contenha um número de CPF, número de carteira de motorista ou número de cartão de crédito dispara uma ação de DLP. Equipes de RH que realizam investigações autorizadas têm uma necessidade legítima de negócios para enviar esses documentos, mas a política os trata como violações.
Um segundo fator contribuinte é o uso do modelo de política de DLP padrão chamado Informações de Identificação Pessoal (PII) dos EUA. Este modelo inclui 14 tipos de informações confidenciais, muitos dos quais se sobrepõem ao conteúdo de documentos de RH. Quando a política está configurada para bloquear o acesso ou criptografar o conteúdo, uploads legítimos falham com uma dica de política que diz “Este arquivo está bloqueado pela política de segurança da sua organização.”
Três métodos para corrigir falsos positivos de DLP para uploads de RH
Escolha o método que corresponde às suas permissões administrativas e ao escopo do problema. O Método 1 requer direitos de administrador do SharePoint ou administrador global. O Método 2 requer direitos de administrador do Exchange ou administrador de conformidade. O Método 3 requer direitos de editor de política de DLP no portal de conformidade do Microsoft Purview.
Método 1: Criar uma substituição de política de DLP para o site de RH
Este método exclui toda a biblioteca de documentos de RH da verificação de DLP. Use quando o site de RH for um site dedicado do SharePoint apenas para arquivos de investigação.
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta de administrador global ou administrador de conformidade. - Navegue até Prevenção contra Perda de Dados
Selecione Prevenção contra Perda de Dados na navegação à esquerda e escolha Políticas. - Selecione a política de DLP ativa
Clique no nome da política que está bloqueando os uploads de RH. Se você tiver várias políticas, identifique aquela com a prioridade mais alta que se aplica a sites do SharePoint ou contas do OneDrive. - Edite o escopo dos locais
No editor de políticas, vá para Locais e clique em Editar. Em Escolher locais, selecione Sites do SharePoint ou Contas do OneDrive. Clique em Escolher sites ou Escolher contas. - Adicione o site de RH como exclusão
Selecione Excluir sites específicos e clique em Adicionar site. Insira a URL do site do SharePoint de RH (por exemplo,https://yourtenant.sharepoint.com/sites/HRInvestigations). Clique em Adicionar. - Salve e aplique a política
Clique em Avançar nas páginas restantes e clique em Enviar. Aguarde de 15 a 30 minutos para a alteração ser propagada.
Método 2: Usar uma ação de prioridade para isentar usuários específicos
Este método mantém a verificação de DLP ativa para todos os usuários, mas permite que membros específicos da equipe de RH enviem arquivos sem disparar alertas. Use quando quiser manter a proteção de DLP para outros usuários.
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta de administrador de conformidade. - Navegue até Prevenção contra Perda de Dados
Selecione Prevenção contra Perda de Dados na navegação à esquerda e escolha Políticas. - Selecione a política de DLP ativa
Clique no nome da política que está bloqueando os uploads de RH. - Edite as regras da política
Em Configurações da política, clique em Editar ao lado de Regras. Encontre a regra que dispara o bloqueio (por exemplo, “Bloquear acesso a conteúdo confidencial”). Clique no nome da regra para abri-la. - Adicione uma condição de exclusão de usuário
No editor de regras, role até Condições. Clique em Adicionar condição e selecione Exceto se. Escolha O remetente é na lista. Insira os endereços de email dos membros da equipe de investigação de RH (por exemplo,hr.investigator@yourcompany.com). - Defina a ação para permitir
Em Ações, altere a ação de Bloquear para Permitir ou Notificar apenas. Isso garante que, mesmo que o arquivo corresponda a um tipo de informação confidencial, o upload prossiga e apenas uma dica de política seja exibida. - Salve a regra e a política
Clique em Salvar para fechar o editor de regras, clique em Avançar nas páginas restantes e clique em Enviar.
Método 3: Configurar uma exceção em nível de arquivo com exclusões de tipo de informação confidencial
Este método mantém a aplicação total de DLP, mas exclui tipos específicos de informações confidenciais que estão causando falsos positivos. Use quando souber quais tipos de dados (por exemplo, números de CPF) são a causa do bloqueio.
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta de administrador de conformidade. - Navegue até Prevenção contra Perda de Dados
Selecione Prevenção contra Perda de Dados na navegação à esquerda e escolha Políticas. - Selecione a política de DLP ativa
Clique no nome da política que está bloqueando os uploads de RH. - Edite a regra que dispara o bloqueio
Em Configurações da política, clique em Editar ao lado de Regras. Clique no nome da regra que contém a ação de bloqueio. - Adicione uma exceção de conteúdo contém
No editor de regras, role até Condições. Clique em Adicionar condição e selecione Exceto se. Escolha O conteúdo contém tipo de informação confidencial. Clique em Adicionar e selecione os tipos de informações confidenciais que estão causando falsos positivos (por exemplo, Número de CPF dos EUA (SSN)). Clique em Adicionar para confirmar. - Salve a regra e a política
Clique em Salvar para fechar o editor de regras, clique em Avançar nas páginas restantes e clique em Enviar.
Se os alertas de DLP ainda bloquearem uploads de RH após a correção
Dicas de política de DLP ainda aparecem para usuários excluídos
Se você usou o Método 2, mas as dicas de política ainda aparecem, verifique a prioridade da regra. As políticas de DLP processam as regras em ordem da prioridade mais alta (número mais baixo) para a mais baixa (número mais alto). Se uma regra de prioridade mais alta não tiver a exclusão de usuário, ela ainda bloqueará o upload. Mova a regra com a exclusão para uma prioridade mais alta editando a política e arrastando a regra para o topo da lista.
Uploads são bloqueados em contas pessoais do OneDrive
O Método 1 exclui apenas sites do SharePoint, não sites pessoais do OneDrive. Se membros da equipe de RH enviarem arquivos de investigação para seu OneDrive pessoal, a política de DLP ainda se aplica. Use o Método 2 para isentar as contas de usuário ou configure a política de DLP para excluir contas específicas do OneDrive seguindo as mesmas etapas de exclusão do Método 1, mas selecionando Contas do OneDrive em vez de Sites do SharePoint.
Soluções de DLP de terceiros também bloqueiam uploads
Se sua organização usa uma solução de DLP de terceiros junto com o Microsoft Purview, a política de terceiros pode ser a causa. Verifique o console de DLP de terceiros em busca de políticas que se aplicam ao SharePoint ou OneDrive. Configure uma exclusão para o site ou usuário de RH nesse console separadamente.
Substituição de política vs. Isenção de usuário vs. Exclusão de tipo de informação confidencial: Principais diferenças
| Item | Substituição de política (Método 1) | Isenção de usuário (Método 2) | Exclusão de tipo de informação (Método 3) |
|---|---|---|---|
| Escopo | Site inteiro do SharePoint ou conta do OneDrive | Usuários ou endereços de email específicos | Tipos específicos de informações confidenciais em todos os locais |
| Efeito na proteção de DLP | Nenhuma verificação de DLP no site ou conta excluída | A verificação de DLP permanece ativa para usuários não isentos | A verificação de DLP permanece ativa, mas ignora tipos de informação excluídos |
| Melhor para | Site de investigação de RH dedicado sem outros dados confidenciais | Membros da equipe de RH que precisam enviar para vários sites | Quando apenas um ou dois tipos de informação causam falsos positivos |
| Tempo de propagação | 15 a 30 minutos | 15 a 30 minutos | 15 a 30 minutos |
| Permissão de administrador necessária | Administrador global ou administrador do SharePoint | Administrador de conformidade ou administrador global | Administrador de conformidade ou administrador global |
Agora você pode configurar uma substituição de política de DLP, isenção de usuário ou exclusão de tipo de informação confidencial para interromper alertas falsos positivos para uploads de investigação de RH. Teste a correção fazendo com que um membro da equipe de RH envie um arquivo de amostra que anteriormente disparava o bloqueio. Para gerenciamento contínuo, revise os relatórios de alerta de DLP semanalmente no portal de conformidade do Microsoft Purview em Prevenção contra Perda de Dados > Alertas. Uma dica final: use o modo Teste no editor de políticas de DLP antes de mudar para Aplicar para confirmar que as exclusões funcionam conforme o esperado.