Você configurou uma política de Prevenção contra Perda de Dados no Microsoft Purview para bloquear o compartilhamento externo no SharePoint, mas o compartilhamento externo ainda funciona. Esse problema ocorre porque as políticas DLP avaliam o conteúdo em repouso ou em trânsito, não a ação de compartilhamento em si. A regra DLP pode bloquear o compartilhamento somente após detectar conteúdo sensível sendo compartilhado externamente. Este artigo explica por que a política não interrompe o convite de compartilhamento inicial e fornece a configuração correta para aplicar o bloqueio.
Principais Conclusões: Política DLP e Bloqueio de Compartilhamento Externo
- Ação da política DLP “Bloquear Compartilhamento Externo”: Essa ação é acionada somente após a detecção de conteúdo sensível em um e-mail ou link de compartilhamento, não quando o usuário clica em Compartilhar.
- Configurações de compartilhamento do SharePoint no centro de administração: Os controles de compartilhamento globais e de nível de site são a porta de entrada principal para impedir totalmente o compartilhamento externo.
- Portal de conformidade do Microsoft Purview > DLP > Política: Configure a regra para ser acionada nos locais “Site do SharePoint” e “Exchange” com a ação “Bloquear compartilhamento externo para informações confidenciais”.
Por que a Política DLP Não Bloqueia o Compartilhamento Externo Imediatamente
A causa raiz é um mal-entendido sobre quando a DLP avalia o conteúdo. Uma política DLP com a ação “Bloquear compartilhamento externo” não impede que um usuário envie um convite de compartilhamento. A política verifica o conteúdo depois que o usuário o compartilha. Se o documento compartilhado contiver informações confidenciais, a regra DLP bloqueia o acesso externo ou envia uma notificação. Mas a ação de compartilhamento inicial é bem-sucedida. Esse design protege os dados que já foram compartilhados externamente, não o ato de compartilhar em si. Para interromper o compartilhamento externo no nível do site, você deve usar as configurações de compartilhamento do SharePoint no centro de administração do SharePoint ou no centro de administração do Microsoft 365.
Ação da Política DLP: Bloquear Compartilhamento Externo
A ação da regra DLP chamada “Bloquear compartilhamento externo para informações confidenciais” funciona detectando tipos de dados confidenciais no conteúdo que está sendo compartilhado. Quando um usuário compartilha um arquivo que contém um número de cartão de crédito ou informações de identificação pessoal, o mecanismo DLP intercepta o compartilhamento e bloqueia o destinatário externo de acessar o arquivo. O usuário que compartilhou o arquivo vê uma dica de política ou recebe uma notificação por e-mail. No entanto, o convite de compartilhamento em si já foi enviado. O usuário externo não pode abrir o arquivo, mas o convite permanece na caixa de entrada dele. Esse comportamento é proposital. A regra DLP não audita nem bloqueia a ação de compartilhamento antes que ela ocorra.
Configurações de Compartilhamento do SharePoint como Porta de Entrada Principal
O SharePoint tem seus próprios controles de compartilhamento que determinam se usuários externos podem ser adicionados a um site ou receber um link de compartilhamento. Essas configurações estão localizadas no centro de administração do SharePoint em Políticas > Compartilhamento. A configuração global permite escolher entre “Qualquer pessoa”, “Novos e convidados existentes”, “Convidados existentes” ou “Somente pessoas da sua organização”. As configurações de compartilhamento no nível do site substituem o padrão global. Se a configuração global permitir o compartilhamento externo, uma política DLP não pode bloquear a ação de compartilhamento inicial. A política DLP apenas restringe o acesso a conteúdo que contém dados confidenciais após o compartilhamento ser feito.
Etapas para Configurar a Política DLP para Bloquear Corretamente o Compartilhamento Externo
Para fazer a DLP bloquear o compartilhamento externo de conteúdo confidencial, você deve configurar a política para ser acionada nos locais do SharePoint e do Exchange. O local do Exchange garante que a política inspecione o e-mail de compartilhamento que contém o link. O local do SharePoint inspeciona o documento em si. Siga estas etapas.
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de Gerenciamento de Conformidade DLP. Na navegação à esquerda, selecione Prevenção contra Perda de Dados > Políticas. - Crie ou edite uma política DLP
Clique em Criar política para iniciar uma nova política ou selecione uma política existente e clique em Editar política. Escolha um modelo ou selecione Política personalizada para definir sua própria regra. - Adicione sites do SharePoint e Exchange como locais
Na etapa Locais, selecione Sites específicos e adicione as URLs dos sites do SharePoint que deseja proteger. Selecione também E-mail do Exchange. Ambos os locais são necessários para que a ação de bloquear compartilhamento externo funcione completamente. - Defina a regra com tipos de informações confidenciais
Na etapa Regras da política, clique em Criar regra. Dê um nome à regra. Em Condições, selecione O conteúdo contém tipos de informações confidenciais. Escolha os tipos que deseja bloquear, como Número de cartão de crédito ou Número de Seguro Social dos EUA (SSN). - Adicione a ação para bloquear o compartilhamento externo
Em Ações, selecione Bloquear compartilhamento externo para informações confidenciais. Defina a ação como Bloquear usuários de compartilhar conteúdo com todos. Opcionalmente, ative Notificar usuários com uma dica de política e notificação por e-mail. - Defina a regra para o modo de teste primeiro
Na etapa Modo da política, selecione Testar primeiro. Isso permite revisar os alertas DLP antes de aplicar a regra. Depois de confirmar que a regra é acionada corretamente, altere o modo para Ativar imediatamente. - Revise e envie a política
Revise as configurações da política e clique em Enviar. A política pode levar até 24 horas para ser aplicada a todo o conteúdo.
Se a DLP Ainda Não Bloquear o Compartilhamento Externo
Mesmo após a configuração correta, você pode descobrir que o compartilhamento externo continua. Os problemas a seguir são as causas mais comuns.
O SharePoint Permite Compartilhamento Externo no Nível do Site
Se a configuração de compartilhamento do site do SharePoint estiver definida como “Qualquer pessoa”, qualquer usuário pode compartilhar arquivos com usuários externos. A política DLP pode bloquear o acesso a arquivos confidenciais, mas o convite de compartilhamento ainda é enviado. Para impedir totalmente o compartilhamento externo, altere a configuração de compartilhamento do site para “Somente pessoas da sua organização” no centro de administração do SharePoint. Vá para Sites ativos, selecione o site e clique em Compartilhamento. Escolha o nível apropriado.
A Política DLP Está em Modo de Teste
Uma política em modo de teste gera alertas, mas não bloqueia o compartilhamento. Verifique o status da política na lista de Políticas DLP. Se a política estiver em modo de teste, altere para modo de imposição. Aguarde até 24 horas para que a alteração entre em vigor.
O Usuário é Administrador ou Tem Permissões Elevadas
As políticas DLP não se aplicam a usuários que têm a função de Gerenciamento de Conformidade DLP ou função de administrador global. Se um administrador compartilhar um arquivo externamente, a regra DLP não bloqueia a ação. Para testar a política, use uma conta que não seja de administrador.
O Tipo de Informação Confidencial Não é Detectado
A regra DLP exige que o conteúdo compartilhado contenha um tipo de informação confidencial. Se o documento não contiver um padrão correspondente, a regra não é acionada. Verifique se o documento contém o tipo de dados exato que você configurou. Use a página Alertas DLP para ver se a regra foi acionada.
Bloqueio de Compartilhamento Externo pela DLP vs. Configurações de Compartilhamento do SharePoint
| Item | Bloqueio de Compartilhamento Externo pela DLP | Configurações de Compartilhamento do SharePoint |
|---|---|---|
| Escopo | Bloqueia o acesso a conteúdo confidencial após o compartilhamento | Impede que usuários externos sejam adicionados a um site ou recebam um link |
| Acionador | Tipo de informação confidencial detectado no conteúdo compartilhado | Ação de compartilhamento em si |
| Notificação ao usuário | Dica de política ou e-mail | Mensagem de erro durante a tentativa de compartilhamento |
| Local de configuração | Portal de conformidade do Microsoft Purview > DLP | Centro de administração do SharePoint > Políticas > Compartilhamento |
| Efeito em compartilhamentos existentes | Revoga o acesso ao arquivo específico | Não afeta usuários externos existentes |
A política DLP é uma camada secundária. Ela bloqueia o acesso a arquivos confidenciais depois que eles são compartilhados externamente. Para impedir totalmente que o compartilhamento externo ocorra, configure as configurações de compartilhamento do SharePoint para não permitir usuários externos. Use a DLP como uma rede de segurança para conteúdo que acidentalmente seja compartilhado com dados confidenciais.
Após concluir a configuração, teste a política compartilhando um documento que contenha um tipo de informação confidencial com um endereço de e-mail externo. Verifique se o usuário externo não consegue abrir o arquivo. Verifique também se a dica de política aparece para o usuário que compartilhou o arquivo. Para proteção total, combine a política DLP com restrições de compartilhamento do SharePoint e treinamento dos usuários sobre práticas seguras de compartilhamento.