Solução de problemas de alertas DLP do OneDrive for Business para descoberta legal: arquivos do OneDrive não detectados
🔍 WiseChecker

Solução de problemas de alertas DLP do OneDrive for Business para descoberta legal: arquivos do OneDrive não detectados

Quando sua organização executa varreduras de Prevenção contra Perda de Dados (DLP) para descoberta legal, os alertas DLP podem não detectar arquivos armazenados no OneDrive for Business. Esse problema geralmente ocorre porque o escopo da política DLP não inclui locais do OneDrive ou porque os arquivos estão em um estado que o scanner não consegue acessar. Este artigo explica por que os alertas DLP não detectam arquivos do OneDrive e fornece correções passo a passo para garantir cobertura completa para descoberta legal.

Entender a causa raiz ajuda a ajustar as políticas DLP e as configurações do OneDrive para que nenhum arquivo escape da detecção. Você aprenderá a verificar o escopo da política, habilitar recursos de varredura avançada e verificar os estados de disponibilidade dos arquivos. O objetivo é fazer com que seus alertas DLP capturem todos os documentos relevantes durante processos de retenção legal ou eDiscovery.

Principais conclusões: corrigindo alertas DLP que não detectam arquivos do OneDrive para descoberta legal

  • Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas > Editar política > Locais: Garante que as contas do OneDrive estejam incluídas no escopo da política DLP
  • Verificação do status de Arquivos sob Demanda do OneDrive: Arquivos marcados como somente online podem não ser varridos; defina os arquivos como disponíveis localmente antes de executar varreduras DLP
  • Regra da política DLP > Regras DLP avançadas > Conteúdo contém > Rótulos de confidencialidade: Aplica a varredura DLP a arquivos rotulados para retenção legal ou dados confidenciais

ADVERTISEMENT

Por que os alertas DLP não detectam arquivos do OneDrive durante descoberta legal

As políticas DLP do Microsoft 365 varrem conteúdo em repouso e em trânsito, mas dependem de o arquivo estar indexado e acessível. Quando um arquivo do OneDrive é armazenado apenas na nuvem e não sincronizado com um dispositivo local, o scanner DLP pode ignorá-lo se a política não estiver configurada para varrer anexos na nuvem ou se o arquivo não tiver um rótulo de confidencialidade. A descoberta legal exige que todos os arquivos no OneDrive de um custodiante sejam varridos, incluindo aqueles compartilhados externamente ou armazenados em subpastas. A causa técnica mais comum é uma política DLP com escopo apenas para Exchange ou SharePoint e não para contas do OneDrive. Outra causa é o arquivo estar em um estado que o scanner ignora, como um arquivo que nunca foi aberto ou que está em uma pasta com herança desabilitada.

Limitações de escopo da política

As políticas DLP no Microsoft Purview podem segmentar cargas de trabalho específicas: Exchange, SharePoint, OneDrive, Teams e dispositivos. Se sua política foi criada apenas para email ou SharePoint, os arquivos do OneDrive não são avaliados. Mesmo quando o OneDrive é selecionado, a política pode excluir determinados sites ou usuários se você aplicou um filtro de escopo incorretamente.

Disponibilidade de arquivos e lacunas de indexação

O OneDrive usa Arquivos sob Demanda para manter os arquivos somente online até que sejam abertos. Arquivos que permanecem somente online podem não ser totalmente indexados pelo serviço de pesquisa no qual o DLP se baseia. Se o arquivo nunca foi acessado ou sincronizado, o DLP pode não detectá-lo. Além disso, arquivos com permissões personalizadas ou armazenados em uma pasta que não herda rótulo podem ficar invisíveis para regras DLP que verificam rótulos de confidencialidade.

Etapas para garantir que os alertas DLP capturem todos os arquivos do OneDrive

Siga estas etapas em ordem para corrigir alertas DLP ausentes para arquivos do OneDrive. Você precisa de permissões de administrador global ou administrador de conformidade DLP.

  1. Verifique se o escopo da política DLP inclui o OneDrive
    Acesse o portal de conformidade do Microsoft Purview. Selecione Prevenção contra Perda de Dados e depois Políticas. Abra a política usada para descoberta legal. Em Locais, confirme se Contas do OneDrive está marcado. Se não estiver, marque-o e salve a política. Essa alteração se aplica a todos os arquivos novos e existentes.
  2. Verifique se a política varre todos os sites do OneDrive
    Ao editar a política, selecione Escolher locais em Contas do OneDrive. Certifique-se de que Todos os usuários e grupos ou o grupo específico de retenção legal esteja selecionado. Se você usou um grupo de distribuição, verifique se a associação ao grupo está atualizada. Salve a política após a atualização.
  3. Adicione uma regra que varra arquivos por rótulo de confidencialidade
    Na mesma política, selecione Configurações da política e depois Editar regras. Em Condições, escolha Conteúdo contém e depois Rótulos de confidencialidade. Selecione os rótulos usados para retenção legal ou dados confidenciais. Isso garante que, mesmo que o arquivo esteja somente online, o DLP varra seus metadados e rótulo.
  4. Habilite regras DLP avançadas para anexos na nuvem
    Na regra da política, em Regras DLP avançadas, ative a opção Examinar conteúdo em anexos na nuvem. Isso força o DLP a inspecionar arquivos compartilhados por links do OneDrive. Sem isso, compartilhamentos externos podem ser perdidos.
  5. Force a sincronização dos arquivos antes de uma varredura de descoberta
    No dispositivo do custodiante, abra as configurações do OneDrive. Vá para Sincronizar e backup e depois Gerenciar backup. Certifique-se de que todas as pastas em Este PC estejam com backup. Em seguida, clique com o botão direito na pasta do OneDrive no Explorador de Arquivos e selecione Manter sempre neste dispositivo. Isso baixa todos os arquivos, tornando-os indexáveis. Aguarde a conclusão da sincronização.
  6. Execute uma varredura de teste DLP para confirmar a detecção
    No portal de conformidade do Microsoft Purview, vá para Prevenção contra Perda de Dados e depois Políticas. Selecione sua política e escolha Testar política. Carregue um arquivo de teste com o rótulo de confidencialidade no OneDrive do custodiante. Verifique se um alerta aparece na guia Alertas. Se nenhum alerta aparecer, revise as condições da política novamente.

ADVERTISEMENT

Se o DLP ainda não detectar arquivos do OneDrive após a correção principal

Arquivos do OneDrive sem rótulo de confidencialidade não são varridos

Se sua regra DLP depende apenas de rótulos de confidencialidade, arquivos sem rótulo são ignorados. Para corrigir, adicione uma condição que varra arquivos com base em inspeção de conteúdo. Na regra da política, em Condições, selecione Conteúdo contém e depois escolha Lista de palavras personalizada ou Expressão regular. Insira palavras-chave relevantes para descoberta legal, como “privilegiado” ou “advogado-cliente”. Isso captura arquivos não rotulados que contenham termos confidenciais.

Alertas DLP não aparecem para arquivos compartilhados externamente

Quando um usuário compartilha um arquivo do OneDrive com um destinatário externo, o DLP pode não gerar um alerta se a política não monitorar o compartilhamento externo. Edite a regra da política e, em Ações, selecione Bloquear compartilhamento externo e notificar usuários. Além disso, habilite a opção Notificar administradores quando uma regra DLP corresponder a conteúdo compartilhado. Isso garante que compartilhamentos externos acionem alertas.

Arquivos em subpastas não são detectados

As políticas DLP varrem todas as subpastas dentro do OneDrive por padrão, mas se uma pasta tiver permissões personalizadas que quebrem a herança, o scanner pode ignorá-la. Para verificar, vá até a pasta do OneDrive em um navegador, selecione a pasta e depois Gerenciar acesso. Certifique-se de que a herança esteja habilitada. Se a herança estiver quebrada, redefina-a selecionando Herdar permissões do pai. Em seguida, execute uma nova varredura DLP.

Opções de escopo da política DLP: OneDrive vs SharePoint vs Exchange

Item Contas do OneDrive Sites do SharePoint Caixas de correio do Exchange
Descrição Varre arquivos armazenados nas bibliotecas do OneDrive dos usuários Varre arquivos em sites de equipe e comunicação do SharePoint Varre mensagens de email e anexos no Exchange Online
Melhor para descoberta legal Sim, inclui todos os arquivos pessoais do custodiante Sim, inclui documentos de equipe e bibliotecas compartilhadas Sim, inclui correspondência por email
Limitação de Arquivos sob Demanda Arquivos somente online podem ser ignorados sem sincronização Sem limitação; os arquivos estão sempre no servidor Não se aplica
Detecção de compartilhamento externo Suportada quando a varredura de anexos na nuvem está habilitada Suportada por padrão para compartilhamento de site Suportada para anexos de email

Ao configurar o DLP para descoberta legal, você deve incluir todos os três locais para garantir cobertura completa. O OneDrive sozinho captura arquivos pessoais, mas o SharePoint captura documentos colaborativos e o Exchange captura evidências de email.

Agora você pode verificar se sua política DLP inclui contas do OneDrive e usa rótulos de confidencialidade ou inspeção de conteúdo para capturar todos os arquivos. Em seguida, execute uma varredura de teste com um arquivo de amostra para confirmar se os alertas aparecem. Uma dica avançada é usar o log de auditoria do Microsoft 365 para pesquisar correspondências de regras DLP por ID de política, o que ajuda a confirmar quais arquivos acionaram alertas durante um período específico.

ADVERTISEMENT