Seus departamentos regulamentados de finanças, jurídico ou RH estão relatando que uploads no OneDrive estão sendo bloqueados por alertas de Prevenção contra Perda de Dados (DLP). Esses bloqueios ocorrem mesmo quando os arquivos não contêm dados confidenciais reais. A causa raiz geralmente são regras de política DLP muito amplas, rótulos de confidencialidade mal configurados ou padrões de classificação de arquivos incorretos. Este artigo fornece um checklist sistemático para administradores do Microsoft 365 identificarem por que uploads legítimos disparam alertas DLP e aplicarem correções direcionadas sem reduzir a segurança.
Principais Conclusões: Auditoria de Política DLP para Uploads no OneDrive
- Portal de conformidade do Microsoft Purview > Políticas DLP: Revise o escopo, as regras e as ações da política para confirmar que elas visam apenas os tipos corretos de informações confidenciais.
- Central de administração do OneDrive > Compartilhamento > Tipos de arquivo: Verifique se as regras de bloqueio de tipo de arquivo não se sobrepõem às condições DLP para evitar bloqueios duplos.
- Modo de teste da política DLP: Execute as políticas em modo de teste com notificações antes de alternar para o modo de bloqueio para detectar falsos positivos precocemente.
Por que os Alertas DLP Bloqueiam Uploads Legítimos no OneDrive
As políticas DLP no Microsoft 365 verificam arquivos em busca de tipos de informações confidenciais, como números de cartão de crédito, IDs de passaporte ou números de contas bancárias. Quando uma política detecta uma correspondência, ela pode bloquear o upload ou alertar o usuário. O problema ocorre quando o padrão de detecção é muito genérico. Por exemplo, uma política que bloqueia qualquer arquivo contendo um número de nove dígitos pode sinalizar um número de fatura padrão como um número de Seguro Social. Outra causa comum é usar os modelos de regra DLP padrão sem ajustar o nível de confiança. O nível de confiança padrão para muitos tipos confidenciais é 75, o que significa que o sistema sinalizará uma correspondência mesmo quando o contexto ao redor não confirmar o tipo de dado. Além disso, as políticas DLP que se aplicam a todos os sites do SharePoint e contas do OneDrive por padrão verificarão os arquivos de todos os usuários, incluindo aqueles em departamentos regulamentados onde certos padrões numéricos são rotineiros.
Os rótulos de confidencialidade também desempenham um papel. Se um rótulo for configurado para aplicar classificação ou criptografia automática, o mecanismo DLP pode tratar o arquivo rotulado como suspeito, mesmo quando o conteúdo é inofensivo. Por fim, as restrições de tipo de arquivo definidas na central de administração do OneDrive podem interagir com as regras DLP. Quando ambos os sistemas bloqueiam o mesmo tipo de arquivo, o usuário vê uma mensagem de erro confusa que parece ser um bloqueio DLP, mas pode se originar de uma configuração separada.
Checklist Passo a Passo para Identificar e Corrigir Bloqueios DLP Falso-Positivos
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de Administrador de Conformidade. Selecione Prevenção contra Perda de Dados na navegação à esquerda e clique em Políticas. - Revise cada política DLP que se aplica ao OneDrive
Clique no nome da política para abrir seus detalhes. Em Locais, confirme se a política cobre contas do OneDrive. Em Regras, anote os tipos de informações confidenciais listados. Clique em Editar ao lado da regra para ver as condições e ações específicas. - Verifique os tipos de informações confidenciais e os níveis de confiança
Para cada tipo confidencial, clique no link para ver sua definição. Procure tipos que usam padrões genéricos, como Número de Seguro Social dos EUA (SSN), que corresponde a qualquer sequência de nove dígitos. Aumente o Nível mínimo de confiança de 75 para 85 ou 90 nas configurações da regra. Essa alteração reduz falsos positivos ao exigir evidências contextuais mais fortes. - Use o modo de teste para validar as alterações
Nas configurações da regra, defina Modo de teste como Testar com notificações. Aplique a alteração e peça a um usuário do departamento regulamentado que faça upload de um arquivo que foi bloqueado anteriormente. Verifique o explorador de atividades DLP no portal de conformidade para ver se o arquivo agora é apenas sinalizado em vez de bloqueado. - Exclua tipos de arquivo ou sites específicos, se necessário
Se um departamento faz upload regular de arquivos com um padrão que corresponde a um tipo confidencial, crie uma exclusão. Na regra DLP, em Exceções, adicione Extensão de arquivo é e insira a extensão, como.csvou.xlsx. Alternativamente, em Locais, remova contas específicas do OneDrive do escopo da política. - Audite a configuração dos rótulos de confidencialidade
Vá para Microsoft Purview > Proteção de Informações > Rótulos. Selecione qualquer rótulo aplicado a arquivos no departamento afetado. Em Rótulo automático, verifique se a classificação automática não está acionando verificações DLP. Se o rótulo aplicar criptografia, confirme se a criptografia não interfere na inspeção DLP. Você pode definir o rótulo como Manual em vez de Automático para interromper acionamentos não intencionais. - Verifique as restrições de tipo de arquivo na central de administração do OneDrive
Abra a central de administração do OneDrive em https://admin.onedrive.com. Vá para Compartilhamento e role até Tipos de arquivo. Se algum tipo de arquivo estiver bloqueado, anote a lista. Compare essa lista com as extensões de arquivo usadas pelo departamento regulamentado. Remova quaisquer tipos de arquivo que devam ser permitidos. - Monitore os alertas DLP no portal de conformidade
Vá para Prevenção contra Perda de Dados > Alertas. Filtre por data e nome da política. Revise cada alerta gerado para um upload legítimo. Clique no alerta para ver o tipo confidencial correspondente e o local do arquivo. Use esses dados para refinar ainda mais as regras. - Comunique as alterações aos usuários e à equipe de suporte
Após ajustar as políticas, envie um e-mail breve ao departamento afetado explicando que os bloqueios DLP falso-positivos foram reduzidos. Inclua instruções para relatar quaisquer bloqueios restantes. Atualize sua documentação interna com os novos níveis de confiança e exceções.
Se os Bloqueios DLP Continuarem Após os Ajustes na Política
A política DLP ainda bloqueia arquivos que contêm números em formato padrão
O tipo de informação confidencial pode ser muito amplo. Crie um tipo de informação confidencial personalizado que use um padrão mais específico. Por exemplo, em vez de corresponder a qualquer número de nove dígitos, crie um padrão que exija que o número seja precedido pelo texto “SSN” ou “Social Security”. Vá para Prevenção contra Perda de Dados > Classificadores > Tipos de informações confidenciais e clique em Criar. Defina sua própria regex e palavras-chave e defina o nível de confiança para 85 ou superior.
Arquivos são bloqueados tanto pelo DLP quanto pelas restrições de compartilhamento do OneDrive
Os usuários veem duas mensagens de erro separadas. Primeiro, resolva a restrição de compartilhamento do OneDrive seguindo o passo 7 acima. Em seguida, teste a política DLP novamente. Se o bloqueio persistir, a regra DLP é a causa principal e precisa de refinamento adicional usando as etapas do checklist.
Alertas DLP aparecem para arquivos que foram permitidos no passado
Uma nova política DLP foi implantada recentemente sem teste. Mude a nova política para o modo de teste imediatamente. Revise os tipos de informações confidenciais na política e compare-os com os tipos usados nas políticas existentes. Remova quaisquer regras duplicadas ou sobrepostas. Em seguida, habilite gradualmente a política em modo de teste por pelo menos duas semanas antes de alternar para o modo de bloqueio.
Modos de Política DLP e Seu Efeito nos Uploads do OneDrive
| Item | Modo de teste com notificações | Modo de bloqueio |
|---|---|---|
| Descrição | O DLP verifica arquivos e envia alertas, mas não bloqueia uploads | O DLP verifica arquivos e bloqueia uploads que correspondem a tipos confidenciais |
| Melhor para | Validar novas políticas ou ajustar regras existentes sem interromper os usuários | Aplicação em produção após a taxa de falsos positivos ser confirmada como baixa |
| Experiência do usuário | O usuário vê uma notificação de aviso, mas ainda pode fazer upload do arquivo | O usuário vê uma mensagem de bloqueio e não pode fazer upload do arquivo |
| Ação do administrador | Revisar alertas no explorador de atividades DLP e refinar regras | Monitorar alertas e responder a problemas escalados do help desk |
Usar o modo de teste por pelo menos uma semana permite coletar dados sobre falsos positivos antes de aplicar bloqueios. Essa abordagem é recomendada para qualquer nova política DLP que tenha como alvo contas do OneDrive em departamentos regulamentados.
Após concluir este checklist, você pode identificar a regra DLP específica, o tipo de informação confidencial ou a configuração do OneDrive que causou o bloqueio de uploads legítimos. Ajuste os níveis de confiança, crie exceções ou alterne para o modo de teste para reduzir falsos positivos. Para monitoramento contínuo, configure revisões semanais do explorador de atividades DLP e ajuste as políticas à medida que os padrões de arquivos do departamento mudarem. Como etapa final, considere habilitar dicas de política DLP no Outlook para informar os usuários sobre conteúdo bloqueado antes que eles tentem um upload no OneDrive.