Os alertas de Prevenção contra Perda de Dados (DLP) no Microsoft 365 são projetados para detectar e sinalizar conteúdo confidencial em arquivos do OneDrive for Business. Quando os alertas de DLP não detectam arquivos que seu processo de descoberta legal exige, as pesquisas de eDiscovery retornam resultados incompletos. Essa lacuna geralmente ocorre porque as políticas de DLP não são aplicadas aos locais corretos ou porque os arquivos existem em locais não indexados, como pastas compartilhadas ou contas do OneDrive de usuários externos. Este guia explica por que os alertas de DLP podem não detectar arquivos do OneDrive para descoberta legal e fornece as etapas exatas de configuração para corrigir o problema.
Principais conclusões: Corrigir alertas de DLP que não detectam arquivos do OneDrive para descoberta legal
- Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas > Editar política > Locais: Garanta que as políticas de DLP incluam contas do OneDrive para todos os usuários, não apenas para um subconjunto.
- Portal de conformidade > eDiscovery > Pesquisa de conteúdo > Adicionar condições de pesquisa: Inclua tipos de arquivo e rótulos de confidencialidade para restringir o escopo da pesquisa para descoberta legal.
- Central de administração do OneDrive > Configurações > Sincronização > Bloquear sincronização de tipos de arquivo específicos: Impede a sincronização de arquivos que o DLP sinalizaria, mas não substitui a configuração de alertas de DLP.
Por que os alertas de DLP não detectam arquivos do OneDrive na descoberta legal
As políticas de DLP no Microsoft 365 verificam conteúdo no Exchange, SharePoint, OneDrive e Teams. Quando uma política é criada, o administrador seleciona quais locais monitorar. Se o local do OneDrive estiver configurado para incluir apenas usuários específicos em vez de todos os usuários, os arquivos armazenados em contas do OneDrive de usuários não incluídos na política não acionarão alertas de DLP. Os processos de descoberta legal dependem de alertas de DLP para identificar arquivos potencialmente relevantes. Quando os alertas estão ausentes, as pesquisas de eDiscovery podem não retornar arquivos que contenham dados confidenciais, como informações de identificação pessoal, registros financeiros ou segredos comerciais.
Outra causa comum é que as políticas de DLP se aplicam apenas a arquivos armazenados no local principal do OneDrive do usuário. Arquivos compartilhados por meio do OneDrive ou armazenados em contas do OneDrive de usuários externos não são verificados, a menos que a política de DLP inclua explicitamente esses locais. Além disso, se a política de DLP usar uma condição personalizada que não corresponda aos metadados ou ao conteúdo do arquivo, o alerta não será disparado. As equipes de descoberta legal devem garantir que as políticas de DLP estejam configuradas para cobrir todas as contas do OneDrive e que as políticas usem condições apropriadas para detectar os tipos de dados específicos relevantes para o caso.
Etapas para configurar políticas de DLP para cobertura completa do OneDrive
Siga estas etapas para garantir que as políticas de DLP verifiquem todos os arquivos do OneDrive para descoberta legal.
- Abra o portal do Microsoft 365 Defender
Acesse https://security.microsoft.com e faça login com uma conta que tenha a função de Administrador de Conformidade ou a função de Gerenciamento de Conformidade de DLP. - Navegue até as políticas de DLP
No menu à esquerda, selecione Prevenção contra Perda de Dados e depois Políticas. A lista de políticas de DLP existentes será exibida. - Edite a política de DLP relevante
Clique no nome da política que deve se aplicar à descoberta legal. Se não houver política, clique em Criar política e selecione Personalizada. - Defina os locais para incluir todas as contas do OneDrive
Na página Locais, ative a opção Contas do OneDrive. Em seguida, clique em Escolher locais e selecione Todos os usuários. Não selecione usuários específicos, a menos que a política precise ser restrita a um subconjunto por razões legais. - Configure as condições para conteúdo confidencial
Na página Configurações da política, clique em Criar ou personalizar regras avançadas de DLP. Adicione condições como O conteúdo contém tipo de informação confidencial e selecione os tipos relevantes, como Número de Cartão de Crédito ou Número de Seguro Social dos EUA. Para descoberta legal, adicione também O conteúdo contém rótulo de confidencialidade e escolha os rótulos usados pela sua organização para retenção legal ou documentos confidenciais. - Defina a ação para alertas de DLP
Em Ações, selecione Enviar alerta para o administrador e escolha o nível de gravidade. Certifique-se de que Notificar usuários esteja ativado se você quiser rastrear a notificação ao usuário como parte do processo de descoberta. - Teste a política
Carregue um arquivo de teste com o tipo de conteúdo confidencial em uma conta do OneDrive. Verifique se um alerta de DLP aparece no portal do Microsoft 365 Defender em Incidentes.
Etapas para executar uma pesquisa de conteúdo de eDiscovery para arquivos do OneDrive
Mesmo com alertas de DLP configurados, a descoberta legal pode exigir uma pesquisa de conteúdo direta. Use estas etapas para garantir que a pesquisa cubra todos os locais do OneDrive.
- Abra o portal de conformidade do Microsoft 365
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de Gerente de eDiscovery. - Crie uma nova pesquisa de conteúdo
No menu à esquerda, selecione eDiscovery e depois Pesquisa de conteúdo. Clique em Nova pesquisa. - Nomeie a pesquisa
Insira um nome descritivo, como Descoberta Legal – OneDrive – Q1 2025. - Adicione o local
Na página Locais, ative a opção Contas do OneDrive. Clique em Escolher usuários, grupos ou equipes e selecione Todos os usuários. - Adicione condições de pesquisa
Na página Condições, adicione Confidencialidade e selecione os rótulos usados para retenção legal. Adicione Tipo de arquivo e inclua .docx, .xlsx, .pptx e .pdf para capturar a maioria dos documentos. - Execute a pesquisa
Clique em Enviar para iniciar a pesquisa. Após a conclusão, revise os resultados na guia Pesquisas.
Se os alertas de DLP ainda não detectarem arquivos após a configuração
Alertas de DLP não aparecem para arquivos compartilhados com usuários externos
As políticas de DLP não verificam arquivos armazenados no OneDrive de um usuário externo, a menos que o usuário externo faça parte do seu locatário. Para incluir arquivos compartilhados externamente, certifique-se de que o local da política de DLP inclua Mensagens de chat e canal do Teams e Sites do SharePoint onde o arquivo pode ser compartilhado. Para descoberta legal, execute uma pesquisa de conteúdo que inclua todos os sites do SharePoint associados ao caso.
Alertas de DLP são disparados, mas a pesquisa de eDiscovery não retorna os mesmos arquivos
Essa incompatibilidade ocorre quando a política de DLP usa uma condição que a pesquisa de eDiscovery não replica. Por exemplo, uma política de DLP pode verificar um tipo de informação confidencial personalizada que a pesquisa de eDiscovery não inclui. Para corrigir, exporte as regras da política de DLP do portal do Microsoft 365 Defender e use as mesmas condições na pesquisa de conteúdo de eDiscovery.
Arquivos do OneDrive não estão indexados para pesquisa
Arquivos com extensões não suportadas ou arquivos corrompidos podem não ser indexados pela pesquisa do Microsoft 365. Os alertas de DLP dependem do mesmo índice. Para verificar o status da indexação, vá para o portal de conformidade > Pesquisa de conteúdo > selecione a pesquisa > Exibir resultados > Arquivos com erros. Recarregue ou converta tipos de arquivo não suportados para um formato suportado, como .docx ou .pdf.
Políticas de DLP vs Pesquisa de Conteúdo de eDiscovery: Principais Diferenças para Descoberta Legal
| Item | Políticas de DLP | Pesquisa de Conteúdo de eDiscovery |
|---|---|---|
| Finalidade | Detectar e evitar perda de dados em tempo real | Pesquisar e exportar conteúdo para casos legais ou de conformidade |
| Escopo | OneDrive, SharePoint, Exchange, Teams | OneDrive, SharePoint, Exchange, Teams e outros locais |
| Geração de alertas | Gera incidentes no Microsoft 365 Defender | Sem alertas; retorna apenas resultados de pesquisa |
| Notificação ao usuário | Pode notificar usuários quando a política é acionada | Sem notificação ao usuário |
| Capacidade de exportação | Não é possível exportar arquivos diretamente | Exporta arquivos para um arquivo .csv ou PST |
| Retenção | Alertas retidos por 30 dias | Resultados de pesquisa retidos até serem excluídos |
As políticas de DLP e a pesquisa de conteúdo de eDiscovery têm funções diferentes. Os alertas de DLP são proativos e projetados para evitar vazamentos de dados. As pesquisas de eDiscovery são reativas e usadas para coletar evidências. Para descoberta legal, use ambas as ferramentas juntas. Configure políticas de DLP para gerar alertas para conteúdo confidencial e, em seguida, use a pesquisa de conteúdo de eDiscovery para exportar os arquivos sinalizados.
Para verificar se os alertas de DLP estão funcionando para descoberta legal, execute um teste com um arquivo confidencial conhecido. Carregue um documento contendo um número de cartão de crédito em uma conta do OneDrive. Verifique o portal do Microsoft 365 Defender em Incidentes para o alerta. Se o alerta aparecer, execute uma pesquisa de conteúdo de eDiscovery para o mesmo arquivo. Se ambos retornarem o arquivo, sua configuração está correta. Caso contrário, revise os locais e as condições da política de DLP. Para cenários avançados, considere usar o Microsoft Purview Data Lifecycle Management para aplicar rótulos de retenção que acionam automaticamente retenções de eDiscovery em arquivos do OneDrive.