Sua equipe de conformidade depende de alertas de Prevenção contra Perda de Dados (DLP) para detectar dados confidenciais em arquivos do OneDrive. Quando os alertas de DLP não disparam para arquivos armazenados no OneDrive, sua organização pode estar exposta a exfiltração de dados sem visibilidade. Este artigo explica por que os alertas de DLP podem perder arquivos do OneDrive e fornece um checklist passo a passo para verificar e corrigir a configuração. Você aprenderá como verificar o escopo da política, licenciamento e registro de auditoria para que suas políticas de DLP cubram todo o conteúdo do OneDrive.
Principais Conclusões: Cobertura de Alertas de DLP para Arquivos do OneDrive
- Microsoft 365 Defender > DLP > Políticas > Editar política > Locais: Verifique se as contas do OneDrive estão selecionadas no escopo da política. Se o OneDrive não estiver listado, os alertas não serão disparados.
- Centro de administração do Microsoft 365 > Cobrança > Licenças: Confirme se todos os usuários possuem licenças E5, A5 ou G5. O DLP para OneDrive exige esses SKUs ou uma licença complementar.
- Centro de administração do Microsoft 365 > Auditoria > Pesquisa de log de auditoria: Habilite o registro de auditoria. Os alertas de DLP dependem de eventos de auditoria; sem auditoria, os alertas são suprimidos.
Por que os Alertas de DLP Perdem Arquivos do OneDrive
As políticas de DLP no Microsoft 365 examinam o conteúdo em repouso e em trânsito. Quando uma política é criada, o administrador deve especificar quais cargas de trabalho são cobertas. Por padrão, uma nova política de DLP inclui email do Exchange, sites do SharePoint e contas do OneDrive. Se um administrador remover o OneDrive do escopo da política ou criar uma política personalizada que exclua o OneDrive, os alertas de DLP não serão disparados para arquivos no OneDrive.
Outra causa comum são lacunas de licenciamento. O DLP para OneDrive exige que os usuários tenham uma licença E5, A5 ou G5, ou o complemento de conformidade Microsoft 365 E5 Compliance. Usuários com licenças E3 ou Business Premium não podem acionar alertas de DLP para conteúdo do OneDrive, mesmo que a política inclua o OneDrive.
Uma terceira causa é o registro de auditoria desabilitado. Os alertas de DLP dependem de registros de auditoria gerados quando um usuário carrega, compartilha ou modifica um arquivo. Se o registro de auditoria estiver desligado no locatário, o DLP não poderá detectar violações de política no OneDrive.
Configuração Incorreta do Escopo da Política
Ao criar uma política de DLP no portal do Microsoft 365 Defender, a etapa Locais permite escolher email do Exchange, sites do SharePoint, contas do OneDrive e mensagens de chat e canal do Teams. Se as contas do OneDrive não estiverem marcadas, a política não avaliará arquivos no OneDrive. Este é o motivo mais frequente pelo qual os alertas de DLP perdem arquivos do OneDrive.
Requisitos de Licença para DLP no OneDrive
O DLP em conteúdo do OneDrive é um recurso premium de conformidade. O Microsoft 365 E3 e o Business Premium incluem DLP apenas para email do Exchange e Teams. Para estender o DLP ao OneDrive, cada usuário deve ter uma licença E5, A5 ou G5, ou o complemento Microsoft 365 E5 Compliance. Um administrador pode verificar as licenças no centro de administração do Microsoft 365 em Cobrança > Licenças.
Dependência do Log de Auditoria
O DLP gera alertas processando eventos do log de auditoria. Quando um usuário carrega um arquivo contendo dados confidenciais no OneDrive, o sistema grava um evento de auditoria. O DLP avalia esse evento em relação às políticas ativas. Se o registro de auditoria estiver desabilitado, nenhum evento é gravado e o DLP não pode produzir alertas. O registro de auditoria deve estar ativado no centro de administração do Microsoft 365 em Auditoria > Pesquisa de log de auditoria.
Checklist para Corrigir Alertas de DLP para Arquivos do OneDrive
Use este checklist para verificar e corrigir cada camada de configuração. Execute as etapas em ordem.
- Confirme se o OneDrive está incluído no escopo da política de DLP
Faça login no Microsoft 365 Defender em security.microsoft.com. Vá para Prevenção contra Perda de Dados > Políticas. Abra a política de DLP que deve cobrir o OneDrive. Clique em Editar na etapa Locais. Em Contas do OneDrive, selecione Todas as contas ou escolha usuários específicos. Clique em Avançar e salve a política. - Verifique as licenças dos usuários para DLP no OneDrive
Vá para o Centro de administração do Microsoft 365 em admin.microsoft.com. Selecione Cobrança > Licenças. Filtre a lista para mostrar usuários que armazenam arquivos no OneDrive. Verifique se cada usuário possui uma licença E5, A5 ou G5, ou o complemento Microsoft 365 E5 Compliance. Se um usuário não tiver a licença necessária, atribua uma na página Licenças ou compre licenças adicionais. - Habilite o registro de auditoria no locatário
No Centro de administração do Microsoft 365, vá para Auditoria > Pesquisa de log de auditoria. Se a auditoria não estiver habilitada, clique em Começar a gravar atividade de usuário e administrador. Aguarde até 24 horas para que os dados de auditoria sejam preenchidos. - Teste a política de DLP com um arquivo de exemplo
Crie um arquivo de texto contendo um padrão de dados confidenciais de teste, por exemplo, um número de cartão de crédito como 4111-1111-1111-1111. Salve o arquivo no OneDrive de um usuário de teste licenciado. Aguarde até 30 minutos. Em Microsoft 365 Defender > Prevenção contra Perda de Dados > Alertas, confirme se um alerta aparece. Se nenhum alerta aparecer, revise as condições e ações da política na próxima etapa. - Verifique as condições e ações da política de DLP
No editor de políticas de DLP, abra a etapa Regras. Verifique se a condição O conteúdo contém inclui os tipos de informações confidenciais corretos, por exemplo, Número de cartão de crédito. Confirme se a ação Enviar alerta para o administrador está selecionada. Se a regra usar ações de Bloquear, certifique-se de que a opção Substituição pelo usuário não está ignorando os alertas. - Revise o modo da política de DLP
No editor de políticas, verifique a configuração Modo. Se a política estiver definida como Teste sem notificações, os alertas não serão gerados. Altere o modo para Ativar imediatamente ou Teste com notificações.
Se os Alertas de DLP Ainda Perdem Arquivos do OneDrive
Arquivos do OneDrive Compartilhados Externamente Não Disparam Alertas
O compartilhamento externo cria um cenário único. O DLP avalia arquivos com base no conteúdo, não no status de compartilhamento. Se um arquivo for compartilhado externamente, mas não contiver dados confidenciais, nenhum alerta será disparado. Se o arquivo contiver dados confidenciais, o alerta deve ser disparado independentemente do compartilhamento. Para solucionar problemas, verifique se a condição da regra de DLP inclui O conteúdo é compartilhado com pessoas fora da minha organização se você quiser alertas apenas para compartilhamento externo.
Alertas de DLP Aparecem, mas Nenhum Arquivo do OneDrive é Listado
Quando um alerta de DLP é disparado, a página de detalhes do alerta mostra o local do arquivo afetado. Se o local mostrar SharePoint em vez de OneDrive, o arquivo pode ter sido movido ou sincronizado para uma biblioteca do SharePoint. Verifique o caminho do arquivo no alerta. Se o caminho contiver /personal/, é um arquivo do OneDrive. Se contiver /sites/, é um arquivo do SharePoint.
Novos Usuários do OneDrive Não São Cobertos
As políticas de DLP com escopo para Todas as contas incluem automaticamente novos usuários. Políticas com escopo para usuários específicos exigem atualizações manuais. Quando um novo funcionário é adicionado, edite a política e adicione o usuário à lista de contas do OneDrive. Use grupos de distribuição dinâmicos ou grupos do Azure AD para automatizar a inclusão.
A Política de DLP Demora Muito para ser Aplicada
As alterações de política podem levar até 24 horas para serem propagadas para todas as contas do OneDrive. Se você acabou de habilitar o OneDrive no escopo da política, aguarde 24 horas antes de testar. Para acelerar a propagação, force uma sincronização da política saindo e entrando novamente no OneDrive no cliente.
Escopo da Política de DLP vs. Requisitos de Licença vs. Registro de Auditoria
| Item | Escopo da Política | Requisito de Licença | Registro de Auditoria |
|---|---|---|---|
| Descrição | Quais cargas de trabalho a política de DLP monitora | Licença de usuário necessária para DLP no OneDrive | Registra a atividade do usuário para avaliação de DLP |
| Estado padrão | OneDrive está incluído em novas políticas | E5, A5, G5 ou complemento E5 Compliance | Desabilitado por padrão em novos locatários |
| Como verificar | Defender > DLP > Políticas > Editar > Locais | Centro de administração > Cobrança > Licenças | Centro de administração > Auditoria > Pesquisa de log de auditoria |
| Correção se ausente | Selecionar contas do OneDrive na política | Atribuir licença correta ao usuário | Clicar em Começar a gravar |
Todos os três itens devem estar configurados corretamente para que os alertas de DLP sejam disparados em arquivos do OneDrive. A falta de qualquer um deles causará violações de política silenciosas.
Agora você pode verificar sistematicamente o escopo da política de DLP, o licenciamento do usuário e o registro de auditoria para garantir que os arquivos do OneDrive acionem alertas. Execute o teste com um arquivo de amostra confidencial após cada alteração de configuração. Para conformidade contínua, crie uma tarefa de revisão mensal no centro de conformidade do Microsoft 365 para verificar se novos usuários têm a licença correta e se o registro de auditoria permanece ativado. Como dica avançada, use a API de Alertas de DLP para exportar dados de alerta para uma ferramenta SIEM para monitoramento centralizado.