Como Verificar o Escopo da Política de DLP para Contas do OneDrive

As políticas de Prevenção contra Perda de Dados no Microsoft 365 podem proteger arquivos confidenciais armazenados no OneDrive, bloqueando ou alertando usuários quando compartilham dados como números de cartão de crédito ou informações pessoais. No entanto, uma política de DLP com escopo incorreto não se aplicará aos documentos do OneDrive, mesmo que esteja ativa. Este artigo explica como verificar se uma política de DLP inclui locais do OneDrive e como confirmar as configurações de escopo no portal de conformidade do Microsoft 365.

Você pode descobrir que as regras de DLP não estão sendo acionadas em arquivos compartilhados do OneDrive, ou pode estar configurando uma nova política e precisa verificar se o escopo cobre os usuários e sites corretos. A causa raiz é quase sempre uma configuração incorreta de escopo, onde o OneDrive nunca foi adicionado como local ou a política tem como alvo um grupo de distribuição que não inclui os usuários afetados.

Este guia mostra as etapas exatas para inspecionar e ajustar o escopo da política de DLP para contas do OneDrive, incluindo o uso do portal Purview e comandos de verificação do PowerShell.

O que é o escopo da política de DLP e por que ele é importante para o OneDrive

O escopo da política de DLP define quais locais, usuários e grupos uma regra de DLP se aplica. No Microsoft 365, uma única política de DLP pode ter como alvo e-mail do Exchange, sites do SharePoint, contas do OneDrive, mensagens de chat e canal do Teams e dispositivos. Se o escopo não incluir contas do OneDrive, a política nunca examinará ou protegerá arquivos armazenados no OneDrive.

As contas do OneDrive são listadas em Locais como um item separado com seu próprio botão de alternância e regras de inclusão. Ao criar ou editar uma política de DLP, a guia Locais mostra cada tipo de local. O local das contas do OneDrive pode ser definido como Todos os usuários, usuários específicos, grupos de segurança específicos ou desativado completamente.

O escopo também inclui configurações avançadas, como se a política se aplica apenas a conteúdo compartilhado ou a todo o conteúdo. Se a política estiver configurada para detectar o compartilhamento de informações confidenciais, mas o escopo excluir cenários de compartilhamento externo, a política pode não ser acionada em arquivos compartilhados com convidados externos.

Como o escopo da política de DLP difere da prioridade da política

O escopo determina onde uma política é executada. A prioridade determina qual política vence quando várias políticas podem ser aplicadas ao mesmo item. Uma política de alta prioridade que não inclui locais do OneDrive nunca será executada em arquivos do OneDrive, independentemente do número de prioridade. Sempre verifique o escopo antes de ajustar a prioridade.

Etapas para verificar o escopo da política de DLP para contas do OneDrive

Siga estas etapas para confirmar se uma política de DLP inclui contas do OneDrive e verificar se as configurações de escopo estão corretas. Você precisa do portal de conformidade do Microsoft Purview e, opcionalmente, do módulo PowerShell de Segurança e Conformidade.

1. Abra o portal de conformidade do Microsoft Purview
   Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de administrador de Prevenção contra Perda de Dados ou administrador de Conformidade.
2. Navegue até Prevenção contra Perda de Dados
   No menu à esquerda, selecione Prevenção contra Perda de Dados e depois Políticas. Uma lista de todas as políticas de DLP do seu locatário será exibida.
3. Selecione a política a ser inspecionada
   Clique no nome da política que deseja verificar. Não clique no botão de alternância. A página de detalhes da política será aberta.
4. Abra a guia Locais
   Na página de detalhes da política, selecione a guia Locais. Esta guia mostra todos os tipos de locais que a política tem como alvo.
5. Verifique o botão de alternância das contas do OneDrive
   Procure a linha chamada Contas do OneDrive. O botão de alternância deve estar Ativado. Se estiver Desativado, a política não se aplica a nenhum arquivo do OneDrive.
6. Revise as regras de inclusão
   Se o botão de alternância estiver Ativado, clique em Editar ao lado de Contas do OneDrive. O painel de inclusão mostra se a política se aplica a Todos os usuários ou a usuários e grupos específicos. Verifique se os usuários afetados estão listados aqui. Se você não vir nenhum usuário listado e a opção estiver definida como Usuários ou grupos específicos, a política não se aplicará a ninguém.
7. Verifique as configurações avançadas de escopo
   Na mesma guia Locais, role até Regras avançadas de DLP, se presente. Algumas políticas têm uma condição que restringe o escopo a conteúdo compartilhado com pessoas fora da organização. Confirme se a condição corresponde à sua intenção. Por exemplo, se você deseja que a política bloqueie todo o compartilhamento de números de cartão de crédito, a condição não deve limitar a detecção apenas ao compartilhamento externo.
8. Use o PowerShell para verificar o escopo programaticamente
   Abra o módulo PowerShell de Segurança e Conformidade como administrador. Execute Connect-IPPSSession para autenticar. Em seguida, execute Get-DlpCompliancePolicy -Identity "Nome da Política" | Format-List ExchangeLocation, SharePointLocation, OneDriveLocation. A saída mostra o escopo exato para cada local. Um valor de All para OneDriveLocation significa que todos os usuários estão incluídos. Um GUID específico significa que apenas aquele usuário ou grupo está incluído.

Testando o escopo da política de DLP com um arquivo de exemplo

Após verificar as configurações de escopo, execute um teste para confirmar se a política é acionada em um arquivo real do OneDrive. Carregue um arquivo de texto contendo um número de cartão de crédito de teste, como 4111111111111111, em uma conta do OneDrive que esteja no escopo. Compartilhe o arquivo com um usuário externo. Em alguns minutos, a política deve gerar um alerta ou bloquear o compartilhamento. Se nenhuma ação ocorrer, verifique novamente o escopo e certifique-se de que a política não está no modo de teste sem notificações.

Configurações incorretas comuns de escopo e como corrigi-las

Mesmo quando o botão de alternância das contas do OneDrive está Ativado, vários problemas relacionados ao escopo podem impedir que uma política de DLP proteja arquivos. As seções a seguir descrevem os problemas mais frequentes e suas soluções.

O botão de alternância das contas do OneDrive está Ativado, mas nenhum usuário está selecionado

Quando você define a regra de inclusão como Usuários ou grupos específicos, mas deixa a lista vazia, a política não se aplica a nenhuma conta do OneDrive. Edite a política, vá para Locais, clique em Editar ao lado de Contas do OneDrive e selecione Todos os usuários ou adicione os usuários ou grupos corretos. Se precisar incluir todos os usuários, mude o botão de opção para Todos os usuários.

O escopo da política inclui o OneDrive, mas apenas para compartilhamento interno

Algumas políticas de DLP são configuradas com uma condição que restringe a detecção a conteúdo compartilhado com pessoas fora da organização. Se a política se destina a bloquear o compartilhamento interno de dados confidenciais, essa condição impedirá que a política seja acionada em compartilhamentos internos. Edite a política, vá para Regras, selecione a regra e remova a condição que limita o escopo ao compartilhamento externo.

A política de DLP está no modo de teste e não bloqueia

Uma política no modo de teste gerará alertas, mas não bloqueará o compartilhamento. Isso não é um problema de escopo, mas parece ser porque nenhuma ação é tomada. Verifique o status da política na página Políticas. Se o status mostrar Teste, edite a política e altere o modo para Ativar imediatamente se desejar a aplicação.

A conta do OneDrive não está licenciada ou é uma conta pessoal

As políticas de DLP se aplicam apenas a contas do OneDrive for Business que fazem parte de uma assinatura do Microsoft 365. Contas pessoais do OneDrive não são cobertas. Verifique se o usuário tem uma licença ativa do OneDrive for Business atribuída no centro de administração do Microsoft 365.

Opções de escopo da política de DLP: Todos os usuários vs. Usuários específicos vs. Grupos

Item	Todos os Usuários	Usuários ou Grupos Específicos
Descrição	A política se aplica a todas as contas do OneDrive no locatário	A política se aplica apenas às contas do OneDrive de usuários selecionados ou membros do grupo
Carga administrativa	Baixa – não é necessário atualizar quando usuários entram ou saem	Alta – é necessário atualizar a lista quando usuários mudam de equipe ou saem da organização
Risco de perder usuários	Nenhum	Alto se um usuário não for adicionado ao grupo ou lista
Melhor para	Políticas de conformidade em todo o locatário para dados regulamentados	Políticas que se aplicam apenas a departamentos específicos, como Finanças ou RH
Impacto no desempenho	Maior carga de verificação, mas a Microsoft lida com a escala	Menor carga de verificação porque menos contas são verificadas

O escopo da política de DLP é o motivo mais comum pelo qual uma política não se aplica a arquivos do OneDrive. As configurações de escopo controlam todos os aspectos de onde e quando a política é executada, desde o botão de alternância do local até as regras de inclusão e condições avançadas.

Agora você pode abrir qualquer política de DLP no portal Purview, verificar o botão de alternância das contas do OneDrive e confirmar se a lista de inclusão contém os usuários ou grupos corretos. Use o cmdlet Get-DlpCompliancePolicy do PowerShell para auditar o escopo em várias políticas de uma só vez. Como próxima etapa, revise as políticas de DLP do seu locatário trimestralmente para garantir que o escopo ainda corresponda à sua estrutura organizacional e requisitos de conformidade.