Você configura políticas de Prevenção contra Perda de Dados (DLP) no Microsoft Purview para detectar quando usuários compartilham arquivos confidenciais externamente do OneDrive for Business. No entanto, você começa a ver alertas de DLP para uploads que são ações comerciais legítimas, como enviar um contrato para um cliente ou compartilhar um plano de projeto com um parceiro. Isso acontece porque as condições ou o escopo da política de DLP são muito amplos, ou porque os eventos de auditoria de compartilhamento externo estão sendo mal classificados pela política. Este artigo explica por que as políticas de DLP sinalizam uploads externos legítimos e fornece etapas para ajustar as condições, o escopo e as exceções da política para que os fluxos de trabalho reais não sejam interrompidos.
Principais conclusões: Corrigindo falsos positivos de DLP para compartilhamento externo no OneDrive
- Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas: Ajuste o escopo da política para excluir sites ou grupos específicos do OneDrive que lidam com compartilhamento com parceiros.
- Condições da regra de DLP > Conteúdo contém: Restrinja os tipos de informações confidenciais ou adicione exceções para remetentes ou domínios conhecidos como seguros.
- Ações da regra de DLP > Bloquear compartilhamento externo: Altere a ação de “Bloquear tudo” para “Bloquear com substituição” para permitir que os usuários justifiquem uploads legítimos.
Por que as políticas de DLP bloqueiam uploads externos legítimos do OneDrive
As políticas de Prevenção contra Perda de Dados no Microsoft Purview inspecionam arquivos em busca de informações confidenciais quando são compartilhados externamente do OneDrive for Business. A política é acionada em eventos de auditoria como “Arquivo compartilhado externamente” ou “Arquivo enviado para local externo”. Quando uma condição da política é correspondida, ela pode bloquear o upload ou enviar um alerta.
O motivo mais comum para falsos positivos é que a regra de DLP usa uma condição ampla como “Conteúdo contém qualquer tipo de informação confidencial” sem exceções. Por exemplo, uma política que bloqueia todos os arquivos que contêm números de cartão de crédito bloqueará um upload legítimo de arquivo para um site de parceiro se esse arquivo contiver um número de cartão de crédito usado como referência de pagamento. Outra causa é que o escopo da política inclui todos os sites do OneDrive sem excluir aqueles usados para colaboração regular com parceiros.
Os eventos de auditoria de compartilhamento externo no OneDrive são gerados sempre que um usuário envia um convite de compartilhamento para um endereço de e-mail externo ou envia um arquivo para uma pasta compartilhada com um usuário externo. As políticas de DLP veem esses eventos como possíveis vazamentos de dados, mesmo quando o compartilhamento faz parte de um processo comercial normal. Entender o que aciona o evento de auditoria ajuda a restringir a política para sinalizar apenas comportamentos realmente arriscados.
Etapas para ajustar as condições e o escopo da política de DLP para compartilhamento externo do OneDrive
Siga estas etapas para reduzir falsos positivos enquanto ainda monitora vazamentos reais de dados.
- Abra a política de DLP no Microsoft Purview
Vá para Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas. Selecione a política que está gerando os alertas falsos. Clique em Editar política. - Revise o escopo da política para locais do OneDrive
Em Locais, observe se a política se aplica a Todas as contas do OneDrive ou a contas específicas. Para excluir um site de parceiro confiável, clique em Escolher locais e depois em Excluir contas específicas do OneDrive. Insira os endereços de e-mail das contas de parceiros confiáveis. - Restrinja as condições da regra
Clique em Editar regra ao lado da regra que aciona o alerta. Em Condições, revise Conteúdo contém. Se a regra usar Qualquer um desses tipos de informação confidencial, considere alterar para Todos esses para exigir vários indicadores antes de acionar. Como alternativa, remova os tipos de informação confidencial que causam falsos positivos para o seu negócio. - Adicione exceções para remetentes ou domínios conhecidos como seguros
Em Exceções, clique em Adicionar exceção e escolha Domínio do remetente é ou Domínio do destinatário é. Insira o domínio das suas empresas parceiras, por exemplo empresaparceira.com. Isso impede que a regra bloqueie uploads para esse domínio. - Altere a ação de bloquear para bloquear com substituição
Em Ações, para Bloquear compartilhamento externo, selecione Bloquear com substituição. Isso permite que os usuários enviem o arquivo e forneçam uma justificativa comercial. O alerta ainda é gerado, mas o upload não é interrompido. Revise essas substituições no painel de alertas de DLP. - Salve e teste a política
Clique em Salvar e depois em Testar a política com um arquivo de amostra que foi bloqueado anteriormente. Verifique se o arquivo agora é permitido ou se o prompt de substituição aparece. Monitore os alertas de DLP nas próximas 24 horas para confirmar que os falsos positivos diminuíram.
Se os alertas de DLP ainda bloquearem uploads legítimos após o ajuste
A regra de DLP se aplica a arquivos já compartilhados externamente
Uma regra de DLP pode se aplicar a arquivos que foram compartilhados externamente antes da criação da política. Quando um usuário modifica esse arquivo, a política o reavalia e pode bloquear o upload. Para corrigir isso, edite a regra e, em Condições, defina Conteúdo está compartilhado como Somente com pessoas dentro da minha organização. Isso exclui arquivos já compartilhados externamente de serem reexaminados.
O usuário recebe o erro “Este arquivo não pode ser enviado devido a uma política”
A mensagem de erro é genérica e não informa ao usuário qual política bloqueou o upload. Para identificar a política, verifique o Explorador de atividades no Microsoft Purview. Vá para Prevenção contra Perda de Dados > Explorador de atividades. Filtre por Tipo de evento = Arquivo enviado e Carga de trabalho = OneDrive. Procure o evento com uma ação de Bloqueio e anote o nome da Política. Em seguida, volte para Políticas e ajuste essa política conforme descrito acima.
Alerta de DLP é gerado, mas nenhum bloqueio ocorreu
Isso acontece quando a regra usa a ação Auditar apenas em vez de Bloquear compartilhamento externo. O arquivo é enviado, mas um alerta é gerado. Se você quiser parar de receber esses alertas para uploads legítimos, edite a regra e, em Notificações do usuário, defina Notificar usuários no Office 365 com uma dica de política como Desligado. Isso impede que o alerta seja criado. Como alternativa, adicione exceções conforme mostrado anteriormente.
Ações da política de DLP para compartilhamento externo: Bloquear vs Bloquear com substituição vs Auditar apenas
| Item | Bloquear | Bloquear com substituição | Auditar apenas |
|---|---|---|---|
| Descrição | Impede o upload do arquivo e exibe um erro | Impede o upload, a menos que o usuário forneça uma justificativa | Permite o upload e apenas registra um alerta |
| Experiência do usuário | Upload falha com mensagem da política | Usuário vê uma caixa de diálogo para explicar por que o upload é necessário | Upload bem-sucedido sem notificação |
| Alerta gerado | Sim | Sim | Sim |
| Melhor caso de uso | Dados de alto risco, como PII ou segredos comerciais | Dados de risco moderado onde pode haver necessidade comercial | Dados de baixo risco ou teste de novas políticas |
Use Bloquear com substituição para a maioria dos cenários de compartilhamento externo para evitar bloquear uploads legítimos enquanto ainda mantém a visibilidade.
Após ajustar sua política de DLP, monitore o painel Alertas no Microsoft Purview na próxima semana para confirmar que os falsos positivos pararam. Se você ainda vir alertas para domínios de parceiros confiáveis, verifique se a exceção adicionada corresponde exatamente ao domínio usado no convite de compartilhamento. Por exemplo, se os parceiros usam um subdomínio como arquivos.empresaparceira.com, adicione esse domínio específico como exceção. Você também pode criar uma política de DLP separada com escopo restrito e limite de sensibilidade baixo especificamente para colaboração com parceiros, deixando a política mais ampla para todas as outras contas do OneDrive.