Quando usuários de departamentos regulados como finanças, jurídico ou compliance fazem upload de arquivos legítimos para o OneDrive for Business, alertas de DLP podem bloquear esses uploads incorretamente. Isso geralmente acontece quando uma política de DLP contém condições muito amplas, rótulos de confidencialidade mal configurados ou regras de exceção insuficientes. Este guia explica por que os falsos positivos de DLP ocorrem, como identificar a política de bloqueio e as etapas exatas para ajustar as configurações de DLP do Microsoft 365 para que o trabalho legítimo não seja interrompido.
Principais conclusões: Corrigir falsos positivos de DLP no OneDrive for Business
- Microsoft 365 Defender > Data Loss Prevention > Policies: Revise a política que está gerando alertas falsos e verifique suas condições, ações e exceções.
- Rótulos de confidencialidade no portal de conformidade do Microsoft Purview: Verifique se o rótulo aplicado ao arquivo corresponde aos critérios de detecção da política; arquivos com rótulos incorretos frequentemente causam falsos positivos.
- Exceções da política de DLP > Adicionar grupos excluídos ou tipos de informação confidenciais: Crie exceções para grupos de usuários confiáveis, tipos de arquivo específicos ou padrões de dados seguros conhecidos para permitir uploads legítimos.
Por que os alertas de DLP bloqueiam uploads legítimos no OneDrive
As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam arquivos enviados ao OneDrive for Business em busca de conteúdo confidencial. Quando uma política detecta uma correspondência — por exemplo, um arquivo contendo números de cartão de crédito, números de conta bancária ou registros de saúde — ela pode bloquear o upload, notificar o usuário ou disparar um alerta. Em departamentos regulados, os funcionários lidam regularmente com dados confidenciais, mas legítimos. Uma política muito ampla ou sem exceções adequadas tratará esses uploads de rotina como violações.
As causas raiz comuns incluem:
- Condições muito amplas: A política detecta qualquer ocorrência de um tipo de informação confidencial sem exigir uma contagem mínima ou nível de confiança.
- Rótulos de confidencialidade mal configurados: O arquivo possui um rótulo que a política trata como gatilho, mesmo quando o conteúdo é seguro.
- Sem exceções de usuário ou grupo: A política se aplica a todos os usuários no locatário, incluindo aqueles em departamentos que precisam lidar com dados confidenciais.
- Ordem de prioridade incorreta: Uma política de prioridade mais alta substitui uma política de prioridade mais baixa mais permissiva, causando bloqueios.
Entender essas causas é o primeiro passo para criar uma correção direcionada que não enfraqueça a segurança para outras partes da organização.
Etapas para identificar e corrigir a política de DLP que está bloqueando
Siga estas etapas em ordem. Cada etapa se baseia na anterior. Não pule a fase de investigação.
- Abra o portal do Microsoft 365 Defender
Acesse https://security.microsoft.com e faça login com uma conta que tenha a função de Prevenção contra Perda de Dados ou Administrador de Conformidade. Na navegação à esquerda, selecione Data Loss Prevention e depois Políticas. - Identifique a política que disparou o alerta
Clique na guia Alertas. Encontre o alerta que bloqueou o upload legítimo. Anote o nome da política, o usuário que foi bloqueado e o nome do arquivo. Clique no alerta para ver os detalhes completos, incluindo o tipo de informação confidencial que foi correspondido. - Revise as condições e ações da política
Volte à lista de Políticas. Clique no nome da política. Em Configurações da política, revise a seção Condições. Verifique quais tipos de informação confidencial estão selecionados. Veja a seção Ação para saber se a política está configurada para bloquear ou apenas notificar. Se a ação for bloquear, você precisará modificá-la ou adicionar uma exceção. - Adicione uma exceção para o departamento regulado
No mesmo editor de política, role até Exceções. Clique em Adicionar exceção. Escolha O usuário é membro de e selecione o grupo de segurança que contém o departamento regulado. Você também pode adicionar exceções para tipos específicos de informação confidencial que são conhecidos por serem seguros neste contexto. Clique em Salvar. - Teste a alteração na política
Peça a um usuário do departamento regulado que faça upload do mesmo arquivo que foi bloqueado anteriormente. Monitore a guia Alertas para ver se novos alertas aparecem. Se nenhum alerta aparecer e o upload for bem-sucedido, a correção funciona. Se um alerta ainda aparecer, volte à etapa 3 e verifique condições adicionais. - Ajuste o rótulo de confidencialidade, se necessário
Se a política usar rótulos de confidencialidade como condição, verifique se o arquivo possui um rótulo que corresponda aos critérios de detecção da política. No portal de conformidade do Microsoft Purview, vá para Information protection > Rótulos. Edite o rótulo ou crie um novo para arquivos que devem ser isentos da verificação de DLP. Aplique o novo rótulo aos arquivos no departamento regulado. - Valide com um segundo usuário e tipo de arquivo
Teste com um usuário diferente no mesmo departamento e um tipo de arquivo diferente. Por exemplo, se o primeiro teste usou um documento do Word, agora teste com um PDF. Isso garante que a exceção funcione em todos os formatos de arquivo.
Criando uma política de DLP apenas para departamentos regulados
Se ajustar a política existente causar muitas alterações, crie uma política separada que se aplique apenas ao departamento regulado. Na página de Políticas de DLP, clique em Criar política. Escolha um modelo ou comece do zero. Em Locais, selecione Contas do OneDrive e depois escolha o grupo de usuários específico. Defina as condições e ações para permitir os uploads legítimos. Salve e habilite a política. Desabilite a política antiga após o teste.
Se os alertas de DLP ainda bloquearem uploads após a correção principal
Alerta de DLP do OneDrive diz “correspondência de política”, mas o arquivo não contém dados confidenciais
A política de DLP pode estar usando um tipo de informação confidencial personalizado muito amplo. Por exemplo, um tipo personalizado que corresponde a qualquer número de 16 dígitos sinalizará códigos de produto como números de cartão de crédito. Edite o tipo de informação confidencial personalizado no portal de conformidade do Microsoft Purview em Data classification > Tipos de informação confidencial. Aumente a contagem mínima ou adicione um requisito de palavra-chave.
Alerta de DLP dispara apenas para certas extensões de arquivo
A política pode ter uma condição que visa tipos de arquivo específicos. No editor de política, verifique a seção Condições para A extensão do arquivo é. Se a condição for muito restritiva, remova-a ou adicione a extensão de arquivo ausente à lista de permitidos.
Alerta de DLP aparece após a aplicação de um rótulo de confidencialidade
O rótulo de confidencialidade pode estar configurado para disparar o DLP automaticamente. No portal de conformidade do Microsoft Purview, vá para Information protection > Rotulagem automática. Verifique se uma política de rotulagem automática está aplicando um rótulo que a política de DLP detecta. Ajuste a política de rotulagem automática para excluir o departamento regulado ou altere a política de DLP para ignorar esse rótulo.
Alerta de DLP mostra “Bloqueado por política”, mas nenhum nome de política é listado
Isso pode acontecer quando uma política pai de um centro de conformidade de nível superior substitui as políticas locais. Verifique se seu locatário usa um centro de conformidade do Microsoft 365 que possui uma política de DLP padrão para todos os usuários. Entre em contato com seu administrador de conformidade para revisar a política padrão e adicionar uma exceção para seu departamento.
Ações da política de DLP vs. Alertas de DLP: Principais diferenças
| Item | Ação de Bloqueio | Ação de Apenas Alerta |
|---|---|---|
| Descrição | Impede que o arquivo seja enviado ao OneDrive | Envia uma notificação, mas não interrompe o upload |
| Impacto no usuário | Upload falha com uma mensagem de erro | Upload bem-sucedido; usuário vê um aviso |
| Melhor caso de uso | Dados de alto risco, como informações de cartão de pagamento ou dados pessoais de saúde | Dados de baixo risco ou quando você deseja educar os usuários sem bloquear o trabalho |
| Local da configuração | Política de DLP > Ações > Restringir acesso ou criptografar conteúdo | Política de DLP > Ações > Enviar notificação ao usuário |
| Dica de teste | Use um grupo de usuários de teste para verificar antes de habilitar o bloqueio | Use apenas alerta durante a implantação inicial para medir a taxa de falsos positivos |
Ao alternar uma política de DLP de bloqueio para apenas alerta para um departamento regulado, você pode monitorar falsos positivos sem interromper o trabalho. Após duas semanas, revise os dados do alerta e ajuste as condições da política antes de habilitar a ação de bloqueio.
Agora você pode identificar a política de DLP específica que está bloqueando uploads legítimos no OneDrive for Business e adicionar exceções para departamentos regulados. Teste suas alterações com vários usuários e tipos de arquivo antes de implementar a correção em todo o departamento. Como etapa avançada, configure uma política de DLP no modo somente auditoria por um mês e use os dados do alerta para ajustar seus tipos de informação confidencial e exceções antes de mudar para o modo de bloqueio.