Você configurou políticas de Prevenção contra Perda de Dados no Microsoft 365, mas os alertas de DLP não são disparados para arquivos do OneDrive que deveriam ser capturados pelas regras de limpeza de retenção. Isso acontece porque as políticas de DLP e os rótulos de retenção operam com gatilhos e escopos de verificação diferentes no OneDrive. Este artigo explica por que os alertas de DLP podem perder arquivos do OneDrive, fornece um checklist passo a passo para administradores alinharem a detecção de DLP com a limpeza de retenção e aborda padrões de falha relacionados.
Principais Conclusões: Fechando a Lacuna entre DLP e Retenção no OneDrive
- Central de conformidade do Microsoft 365 > Prevenção contra perda de dados > Política > Locais: Verifique se as contas do OneDrive estão explicitamente incluídas e se o escopo da política cobre todos os usuários no escopo da limpeza de retenção.
- Central de conformidade do Microsoft 365 > Governança de informações > Rótulos de retenção > Aplicar automaticamente: Garanta que as regras de DLP referenciem os mesmos tipos de informação confidenciais que a rotulagem automática de retenção usa para gatilhos de limpeza.
- Central de conformidade do Microsoft 365 > Auditoria > Pesquisar: Execute uma consulta no log de auditoria unificado para confirmar se as correspondências de regras de DLP estão sendo geradas para os arquivos do OneDrive em questão.
Por que os Alertas de DLP Perdem Arquivos do OneDrive Visados pela Limpeza de Retenção
As políticas de DLP no Microsoft 365 verificam o conteúdo em pontos específicos: quando um arquivo é criado, modificado, compartilhado externamente ou acessado de um dispositivo não aprovado. As políticas de retenção, por outro lado, aplicam rótulos com base na idade do conteúdo, metadados ou regras de classificação automática que são executadas em um cronograma separado. Quando um arquivo permanece no OneDrive sem acionar nenhum desses eventos de verificação de DLP, nenhum alerta é gerado, mesmo que o arquivo corresponda a um tipo de informação confidencial que faria com que um rótulo de retenção eventualmente o excluísse.
Uma causa raiz comum é que a política de DLP tem escopo para Exchange ou SharePoint Online, mas não para contas do OneDrive. Outra causa é que a regra de DLP usa uma condição, como “o conteúdo contém” um tipo confidencial específico, mas o arquivo não foi aberto ou compartilhado desde que a política de DLP foi implantada. As ações de limpeza de retenção, como excluir arquivos com mais de 90 dias, são executadas de forma independente e não forçam uma nova verificação de DLP. O resultado é um ponto cego: arquivos elegíveis para exclusão por retenção nunca são sinalizados pelo DLP.
Checklist do Administrador para Corrigir Lacunas de Alertas de DLP na Limpeza de Retenção do OneDrive
Use este checklist para auditar e reconfigurar suas políticas de DLP para que detectem os mesmos arquivos que a limpeza de retenção visa. Execute cada etapa na Central de conformidade do Microsoft 365.
- Abra a Central de conformidade do Microsoft 365
Faça login com uma conta que tenha a função de Administrador de Conformidade ou Administrador Global. Navegue até Prevenção contra perda de dados > Políticas. - Selecione a política de DLP que deve cobrir o OneDrive
Clique no nome da política. No painel de detalhes da política, clique em Editar política. - Verifique se o OneDrive está incluído nos locais
Em Locais, confirme se Contas do OneDrive está ativado. Se estiver desativado, ative-o e selecione Todos os usuários ou os grupos de usuários específicos que correspondem ao seu escopo de limpeza de retenção. - Verifique as condições da regra de DLP
Em Regras, clique no nome da regra e depois em Editar regra. Vá para Condições. Confirme se a condição O conteúdo contém tipos de informação confidenciais lista os mesmos tipos que sua regra de rotulagem automática de retenção usa. Adicione quaisquer tipos ausentes. - Ative regras avançadas de DLP para verificação de arquivos
Na mesma regra, role até Regras avançadas de DLP. Ative Verificar conteúdo do OneDrive for Business se ainda não estiver ativado. Isso força o DLP a verificar arquivos mesmo quando eles não estão sendo modificados ou compartilhados ativamente. - Defina a ação da regra de DLP para gerar um alerta
Em Ações, selecione Enviar alerta para o administrador e especifique o limite de alerta. Para limpeza de retenção, defina o limite como 1 evento para que cada correspondência dispare um alerta. - Revise a política de aplicação automática do rótulo de retenção
Vá para Governança de informações > Rótulos > Aplicar automaticamente. Abra a política de rótulo que executa a limpeza de retenção. Anote os tipos de informação confidenciais que ela usa. Compare-os com as condições da regra de DLP que você acabou de editar. Adicione quaisquer tipos ausentes à regra de DLP. - Execute um arquivo de teste no pipeline
Carregue um arquivo de teste contendo um tipo de informação confidencial conhecido, como um número de cartão de crédito ou número de passaporte, em uma conta do OneDrive no escopo. Aguarde 24 horas. Verifique a página de alertas de DLP na Central de conformidade para confirmar se um alerta foi gerado. - Verifique o log de auditoria unificado para correspondências de regras de DLP
Vá para Auditoria > Pesquisar. Execute uma pesquisa por DLPRuleMatch com o intervalo de datas cobrindo o upload de teste. Se nenhuma correspondência aparecer, sua política de DLP não está verificando os arquivos do OneDrive corretamente. Volte ao passo 3 e confirme o escopo do local.
Se os Alertas de DLP Ainda Perderem Arquivos do OneDrive
A política de DLP mostra o OneDrive como incluído, mas os alertas nunca disparam
Isso geralmente significa que a condição da regra de DLP usa um tipo de informação confidencial personalizado que não foi publicado no OneDrive. Abra o tipo de informação confidencial personalizado na Central de conformidade em Classificação > Tipos de informação confidenciais. Verifique se o status de publicação mostra Publicado no OneDrive. Caso contrário, edite o tipo e publique-o novamente. Aguarde até 48 horas para a alteração ser propagada.
A limpeza de retenção exclui arquivos que o DLP nunca verificou
As ações de limpeza de retenção não acionam uma verificação de DLP. Para capturar arquivos antes da exclusão, agende um script do PowerShell que seja executado semanalmente para forçar uma nova verificação de DLP. Use o cmdlet Start-DlpEvaluation do módulo do PowerShell de Segurança e Conformidade. Execute Start-DlpEvaluation -Identity "usuario@dominio.com" -Location OneDrive para cada usuário no escopo de retenção. Este cmdlet está disponível no Exchange Online PowerShell v2.
Alertas de DLP aparecem para o SharePoint, mas não para o OneDrive
A política de DLP pode ter escopo para sites do SharePoint, mas não para contas do OneDrive. Edite a política e, em Locais, adicione Contas do OneDrive. Se a política usar um escopo personalizado, garanta que as contas do OneDrive façam parte dos grupos incluídos.
Verificação de DLP vs. Rotulagem Automática de Retenção: Principais Diferenças para o OneDrive
| Item | Verificação de DLP | Rotulagem Automática de Retenção |
|---|---|---|
| Gatilho | Criação, modificação, compartilhamento ou acesso de dispositivo não aprovado | Baseado em cronograma ou alteração de metadados |
| Escopo | Exchange, SharePoint, OneDrive, mensagens de chat e canal do Teams | SharePoint, OneDrive, caixas de correio do Exchange, Teams |
| Frequência de verificação | Orientada a eventos; sem nova verificação periódica por padrão | Executada a cada 7 dias para rótulos de aplicação automática |
| Geração de alerta | Imediata quando a regra corresponde durante a verificação | Nenhum alerta; o rótulo é aplicado silenciosamente |
| Tipos de arquivo suportados | Documentos do Office, PDF, CSV, arquivos de texto, imagens com OCR | Mesmo que DLP, além de mensagens de email |
Para fechar a lacuna, ative a verificação avançada de DLP para o OneDrive e execute avaliações programadas de DLP usando o PowerShell. Isso garante que os arquivos visados pela limpeza de retenção também sejam capturados pelos alertas de DLP.
Agora você pode auditar suas políticas de DLP para incluir contas do OneDrive, alinhar os tipos de informação confidenciais com a rotulagem automática de retenção e ativar a verificação avançada. Em seguida, execute um script semanal do PowerShell usando Start-DlpEvaluation para forçar verificações de DLP em arquivos que a limpeza de retenção excluirá. Para proteção avançada, ative a correspondência de regras de DLP para todos os tipos de arquivo do OneDrive, incluindo PDF e imagens com texto incorporado.