As políticas de Prevenção contra Perda de Dados (DLP) no Microsoft Purview são projetadas para detectar e restringir informações confidenciais. Mas muitos administradores descobrem que uma política DLP não bloqueia o compartilhamento externo no SharePoint ou OneDrive. Isso acontece porque as políticas DLP para compartilhamento externo exigem configuração específica no local da política e nas ações. Este artigo explica os motivos técnicos pelos quais a DLP não bloqueia o compartilhamento externo por padrão e fornece as etapas exatas para configurá-la corretamente.
Principais conclusões: Configurando a DLP para bloquear o compartilhamento externo
- Local da política DLP definido como SharePoint e OneDrive: A DLP só avalia o compartilhamento externo quando a política tem escopo para essas cargas de trabalho.
- Ação definida para bloquear compartilhamento: A política deve incluir a ação “Restringir acesso ou criptografar o conteúdo” com a opção de bloquear compartilhamento ativada.
- Modo da política definido como Impor: A DLP deve estar no modo de imposição, não no modo de teste, para bloquear ativamente os eventos de compartilhamento.
Por que a política DLP não detecta o compartilhamento externo por padrão
Uma política DLP no Microsoft Purview verifica o conteúdo em busca de tipos de dados confidenciais, como números de cartão de crédito ou informações de identificação pessoal. Por padrão, uma política DLP não é configurada para monitorar ou bloquear o compartilhamento externo. A política deve ser explicitamente definida para a carga de trabalho do SharePoint e OneDrive, e a ação de restringir o compartilhamento deve estar ativada. Sem essas duas condições, a política apenas gerará alertas ou notificará os usuários sem impedir o ato de compartilhamento. A causa raiz é que as políticas DLP têm locais separados para Exchange, Teams e SharePoint, e as configurações padrão não incluem a restrição de acesso externo.
Local e escopo da política DLP
A política DLP pode ser aplicada a e-mail do Exchange, mensagens de chat e canal do Teams e sites do SharePoint ou contas do OneDrive. Para que o compartilhamento externo seja bloqueado, a política deve incluir o local do SharePoint e OneDrive. Se a política for aplicada apenas ao Exchange, ela não avaliará eventos de compartilhamento no SharePoint. Além disso, a política deve ter escopo para sites específicos ou todos os sites. Uma política com escopo para um subconjunto de sites pode não cobrir o site onde o compartilhamento ocorre.
Configuração da ação
Mesmo com o local correto, a política deve ter a ação “Restringir acesso ou criptografar o conteúdo” ativada. Dentro dessa ação, há uma caixa de seleção para “Bloquear usuários de compartilhar o conteúdo”. Se essa caixa não estiver marcada, a DLP apenas notificará o usuário ou enviará um alerta ao administrador. Ela não bloqueará a tentativa de compartilhamento. Muitos administradores perdem essa caixa de seleção, e é por isso que o compartilhamento continua apesar da política estar ativa.
Modo da política
As políticas DLP podem ser executadas em modo de teste com ou sem dicas de política. No modo de teste, a política registra violações, mas não impõe nenhuma ação. Para bloquear o compartilhamento externo, a política deve estar no modo de imposição. Se a política estiver em modo de teste, os usuários podem compartilhar conteúdo confidencial sem interrupção. Verificar o modo da política no portal de conformidade do Microsoft Purview é uma maneira rápida de confirmar a imposição.
Etapas para configurar a política DLP para bloquear o compartilhamento externo
Siga estas etapas para criar ou modificar uma política DLP que bloqueie o compartilhamento externo de conteúdo confidencial no SharePoint e OneDrive.
- Entre no portal de conformidade do Microsoft Purview
Acessehttps://compliance.microsoft.come entre com uma conta que tenha a função de Administrador de Conformidade ou Administrador DLP. - Navegue até as políticas de Prevenção contra Perda de Dados
Selecione Prevenção contra perda de dados na navegação à esquerda e, em seguida, escolha Políticas no menu. - Crie uma nova política ou edite uma existente
Clique em Criar política para iniciar uma nova política. Para editar uma política existente, clique no nome da política e selecione Editar. - Escolha o modelo de política ou política personalizada
Selecione um modelo que corresponda aos seus dados confidenciais, como Dados de Informações de Identificação Pessoal (PII) dos EUA. Como alternativa, escolha Personalizado para definir suas próprias regras. - Nomeie a política e defina o local
Dê um nome à política, como “Bloquear Compartilhamento Externo para PII”. Na página Locais, selecione Sites do SharePoint e Contas do OneDrive. Não selecione Exchange ou Teams, a menos que também precise de proteção de e-mail ou chat. - Defina o escopo da política para sites
Escolha Todos os sites para cobrir todos os sites do SharePoint e contas do OneDrive. Para limitar o escopo, escolha Escolher sites e adicione URLs de sites específicos. - Crie uma regra com a ação de bloquear compartilhamento
Na página Regras da política, clique em Criar regra. Defina condições para detectar tipos de informações confidenciais, como O conteúdo contém tipos de informações confidenciais e selecione os tipos que deseja bloquear. - Ative a ação de restringir acesso
Em Ações, marque Restringir acesso ou criptografar o conteúdo. Em seguida, marque Bloquear usuários de receber o conteúdo e Bloquear usuários de compartilhar o conteúdo. Opcionalmente, exija que os usuários justifiquem o compartilhamento marcando Exigir uma justificativa comercial. - Defina o modo da política como Impor
Na página Modo da política, selecione Ativar a política imediatamente para impô-la. Se quiser testar primeiro, escolha Testar primeiro, mas lembre-se de que o modo de teste não bloqueia o compartilhamento. - Revise e envie
Revise as configurações da política e clique em Enviar. A política será aplicada em alguns minutos. O compartilhamento externo de conteúdo que corresponda aos tipos de informações confidenciais será bloqueado.
Se a política DLP ainda não bloquear o compartilhamento externo
Após configurar a política corretamente, o compartilhamento ainda pode prosseguir. Os problemas a seguir são comuns e têm correções específicas.
O escopo da política DLP não cobre o site
Se a política tiver escopo para sites específicos, verifique se o site onde o compartilhamento ocorre está incluído. Para verificar, vá até a política DLP, clique em Editar e revise a página Locais. Adicione a URL do site se estiver faltando. Para cobertura ampla, use Todos os sites.
O tipo de link de compartilhamento ignora a DLP
A DLP bloqueia o compartilhamento com base no conteúdo em si, não no tipo de link de compartilhamento. No entanto, se o link de compartilhamento estiver definido como Pessoas com acesso existente ou Pessoas específicas, a DLP pode não ser acionada porque o conteúdo não é compartilhado externamente. A DLP só é acionada quando o link de compartilhamento concede acesso a usuários externos. Certifique-se de que o tipo de link de compartilhamento esteja definido como Qualquer pessoa ou Novos usuários externos para que a DLP avalie o evento de compartilhamento.
Dicas de política não aparecem
As dicas de política informam aos usuários que o compartilhamento está bloqueado. Se as dicas de política não aparecerem, a política DLP pode estar em modo de teste sem dicas de política. Vá até a regra da política, selecione Notificações do usuário e certifique-se de que Notificar usuários com uma dica de política esteja marcado. Confirme também que o site do SharePoint tenha o recurso de dicas de política DLP ativado.
A política DLP é substituída por outra política
Várias políticas DLP podem ser aplicadas ao mesmo site. Se uma política permitir o compartilhamento e outra bloqueá-lo, a ação mais restritiva pode não ser aplicada. Revise todas as políticas DLP no portal de conformidade. Remova ou modifique políticas conflitantes para garantir que a ação de bloqueio seja imposta.
Comparação de configurações da política DLP: Bloquear vs. Apenas alertar
| Configuração | Bloquear Compartilhamento | Apenas Alertar |
|---|---|---|
| Ação | Restringir acesso ou criptografar o conteúdo com bloqueio de compartilhamento ativado | Enviar alerta ao administrador |
| Experiência do usuário | O compartilhamento é impedido; dica de política exibida | O compartilhamento é bem-sucedido; dica de política pode aparecer |
| Modo da política necessário | Impor | Teste ou impor |
| Requisito de local | SharePoint e OneDrive | SharePoint e OneDrive (ou Exchange) |
Uma política DLP que bloqueia o compartilhamento externo exige a ação de restringir acesso e o modo da política definido como impor. Uma política apenas de alerta notificará o administrador, mas não interromperá o evento de compartilhamento. Use a tabela para verificar a configuração da sua política.
Agora você pode configurar uma política DLP para bloquear o compartilhamento externo de conteúdo confidencial no SharePoint e OneDrive. Comece revisando suas políticas existentes no portal de conformidade do Microsoft Purview. Certifique-se de que a política inclua o local do SharePoint e OneDrive, a ação de restringir acesso com bloqueio de compartilhamento marcado e o modo da política definido como impor. Para proteção avançada, combine a DLP com rótulos de confidencialidade para criptografar o conteúdo automaticamente antes do compartilhamento.