Você vê uma dica de política de DLP no OneDrive avisando que um arquivo contém informações confidenciais, mas o upload termina sem ser bloqueado. Esse comportamento é confuso porque a maioria dos usuários espera que uma dica de DLP impeça o upload completamente. A causa é que as dicas de política de DLP no OneDrive são apenas informativas por padrão — elas avisam, mas não aplicam um bloqueio a menos que a política seja configurada com uma ação de restrição. Este artigo explica por que a dica aparece, como a aplicação de DLP funciona no OneDrive e quais configurações controlam se o upload é permitido ou bloqueado.
Principais conclusões: Dicas de DLP no OneDrive — informativas vs bloqueio
- Configurações de dica de política de DLP no portal de conformidade do Microsoft Purview: Apenas uma dica não bloqueia uploads; a política deve incluir uma ação de restrição para impedir que o arquivo seja salvo ou compartilhado.
- Comportamento do aplicativo de sincronização do OneDrive vs upload na web: As dicas de DLP aparecem apenas na interface web do OneDrive, não no aplicativo de sincronização, então arquivos sincronizados pelo cliente desktop ignoram o bloqueio em linha.
- Configuração de log de auditoria e alertas: Para detectar uploads que disparam dicas, habilite alertas de DLP e revise os logs de auditoria no portal do Microsoft 365 Defender.
Por que uma dica de DLP aparece sem bloquear o upload
As políticas de Prevenção contra Perda de Dados no Microsoft 365 usam três ações possíveis: notificar o usuário, restringir o acesso ou bloquear a ação. Uma dica de política é uma ação de notificação — ela mostra um banner amarelo ou vermelho na página web do OneDrive que avisa sobre conteúdo confidencial. Sozinha, essa ação não impede o upload do arquivo. O upload é concluído porque a política não possui uma ação de restrição, como “Bloquear usuários de compartilhar e restringir acesso ao conteúdo” ou “Bloquear usuários de receber e-mail”.
Outro motivo é que a aplicação de DLP no OneDrive se aplica apenas a cenários específicos. Por exemplo, quando um arquivo é enviado para o OneDrive via navegador web, o mecanismo de DLP verifica o conteúdo. Se a política tiver apenas uma ação de notificação, o usuário vê a dica e pode continuar. Quando o arquivo é enviado pelo aplicativo de sincronização do OneDrive ou aplicativo móvel, nenhuma dica em linha aparece — o aplicativo de sincronização não exibe dicas de DLP. O arquivo é verificado após o upload, e qualquer violação é registrada, mas não bloqueada retroativamente. Essa lacuna frequentemente surpreende administradores que esperam uma aplicação consistente em todos os métodos de upload.
Passos para configurar o DLP para bloquear uploads após uma dica
Para fazer uma dica de DLP realmente impedir o upload, você deve editar a política no portal de conformidade do Microsoft Purview e adicionar uma ação de restrição. Siga estes passos para políticas específicas do OneDrive.
- Abra o portal de conformidade do Microsoft Purview
Faça login em compliance.microsoft.com com uma conta que tenha a função de Administrador de Prevenção contra Perda de Dados ou de Conformidade. - Localize a política de DLP para o OneDrive
Vá para Prevenção contra Perda de Dados > Políticas. Encontre a política que se aplica aos locais do OneDrive. Se você ainda não criou uma política, clique em Criar política e selecione OneDrive como local. - Edite as regras da política
Clique no nome da política e selecione Editar ao lado da regra que dispara a dica. Role até a seção Ações. - Adicione uma ação de restrição para conteúdo
Em Proteger conteúdo confidencial, marque a caixa Bloquear usuários de compartilhar e restringir acesso ao conteúdo. Essa ação impede que o arquivo seja salvo ou compartilhado. Opcionalmente, habilite Bloquear usuários de receber e-mail para cenários de e-mail. - Configure a mensagem da dica
Na mesma regra, expanda Notificações do usuário. Certifique-se de que Notificar usuários no serviço do Office 365 esteja selecionado. Personalize o texto da dica para informar ao usuário que o upload está bloqueado, não apenas avisado. - Salve e teste a política
Clique em Salvar e depois em Ativar se a política estava em modo de teste. Envie um arquivo contendo dados confidenciais, como um número de cartão de crédito, para o OneDrive via navegador web. Agora você deve ver uma dica vermelha informando que o arquivo não pode ser enviado.
Se o OneDrive ainda permitir uploads após adicionar uma ação de restrição
A política de DLP está em modo de teste com apenas dicas de política
Ao criar uma nova política de DLP, a configuração padrão é o modo de teste com dicas de política exibidas, mas nenhuma ação tomada. Mesmo se você adicionar uma ação de restrição, a política não a aplicará até que você altere o modo. Vá para Prevenção contra Perda de Dados > Políticas, selecione sua política, clique em Editar ao lado de Configurações da política e defina o modo como Ativar a política imediatamente. Se quiser testar sem bloquear, use o modo de teste com a ação de restrição desabilitada.
O arquivo é enviado pelo aplicativo de sincronização do OneDrive
O aplicativo de sincronização não exibe dicas de DLP nem aplica bloqueio em linha. Após o arquivo sincronizar com a nuvem, o DLP o verifica e registra a violação. Para bloquear o acesso ao arquivo, use a ação de restrição que se aplica após o upload. Essa ação oculta o arquivo de outros usuários e impede o compartilhamento, mas o arquivo permanece no OneDrive do usuário. Para remover o arquivo, configure uma política de DLP que acione um fluxo do Power Automate para excluir ou colocar o arquivo em quarentena.
Múltiplas políticas de DLP conflitam
Se duas políticas de DLP se aplicarem ao mesmo arquivo e local, a ação mais restritiva vence. No entanto, se uma política tiver uma ação de notificação e outra uma ação de bloqueio, a ação de bloqueio prevalece. Verifique a ordem de prioridade em Prevenção contra Perda de Dados > Políticas. Arraste uma política para uma posição mais alta para aplicar suas ações primeiro.
Comportamento da dica de DLP no OneDrive Web vs Aplicativo de Sincronização vs Mobile: Principais Diferenças
| Item | OneDrive Web | Aplicativo de Sincronização do OneDrive | Aplicativo Móvel do OneDrive |
|---|---|---|---|
| Exibição da dica de DLP | Banner amarelo ou vermelho no topo da página | Nenhuma dica exibida | Nenhuma dica exibida |
| Bloqueio de upload com ação de restrição | Bloqueado durante o upload | Não bloqueado; o arquivo sincroniza e pode ser restrito após a verificação | Não bloqueado; o arquivo é enviado e pode ser restrito após a verificação |
| Geração de log de auditoria | Registrado como FileUploaded com correspondência de regra de DLP | Registrado como FileSynced com correspondência de regra de DLP | Registrado como FileUploaded com correspondência de regra de DLP |
| Método de notificação ao usuário | Dica em linha no navegador | Notificação por e-mail se configurada | Notificação por e-mail se configurada |
Agora você entende por que uma dica de DLP pode aparecer sem interromper o upload. Para aplicar o bloqueio, adicione uma ação de restrição à sua política de DLP e certifique-se de que a política esteja ativada. Para arquivos enviados pelo aplicativo de sincronização, configure restrições e alertas pós-upload. Como etapa avançada, crie uma política de DLP que use um fluxo do Power Automate para mover automaticamente arquivos violadores para uma biblioteca de quarentena para revisão.