Compartilhar via


Impedir o acesso de convidado a ficheiros enquanto as regras DLP são aplicadas

Quando novos ficheiros são adicionados ao SharePoint ou ao OneDrive no Microsoft 365, a política de Prevenção de Perda de Dados (DLP) do Microsoft Purview demora algum tempo a analisar o conteúdo e a aplicar regras para ajudar a proteger conteúdos confidenciais. Se a partilha externa estiver ativada, os conteúdos confidenciais podem ser partilhados e acedidos por convidados antes de a regra DLP concluir o processamento.

Em vez de desativar totalmente a partilha externa, pode marcar os ficheiros na sua organização como confidenciais por predefinição. Isto bloqueia o acesso de convidados a novos conteúdos até que seja analisado quanto à aplicação de conteúdos confidenciais e políticas DLP que incluam condições baseadas em conteúdo. Os convidados são notificados de que o ficheiro está a ser analisado se tentarem aceder ao mesmo durante este período de tempo.

Quando um ficheiro é pesquisado e não é detetado qualquer conteúdo que bloqueie a partilha por regras DLP, os convidados podem aceder ao ficheiro. Se a política identificar conteúdo confidencial no documento que corresponde às regras DLP, é aplicado o comportamento normal definido por essas regras DLP.

Esta funcionalidade não bloqueia o acesso a um ficheiro se:

  • o conteúdo já foi pesquisado e não foram encontrados conteúdos confidenciais que correspondam às condições em quaisquer regras DLP,
  • ou se o ficheiro tiver propriedades que correspondam a isenções nas regras DLP que permitem que seja partilhado.

Esta funcionalidade aplica-se aos ficheiros adicionados recentemente no SharePoint e no OneDrive. Ele não bloqueará o compartilhamento se um arquivo existente for alterado.

São necessárias regras DLP para que os conteúdos sejam partilhados com convidados

Quando esta funcionalidade está ativada, qualquer conteúdo que não seja explicitamente verificado numa política DLP é impedido de ser acedido externamente. Por outras palavras, para que o conteúdo seja partilhável externamente, tem de estar numa localização abrangida por uma política DLP e as políticas para essa localização têm de determinar, depois de o conteúdo ter sido pesquisado e identificado, que o ficheiro não corresponde a nenhuma regra que o impeça de ser partilhado. Isto ajuda a impedir que os utilizadores divulguem ficheiros confidenciais ao colocá-los numa localização não abrangida pelas políticas DLP.

Se quiser operar sob o princípio de que apenas as localizações explicitamente verificadas pelo DLP podem ser partilhadas externamente, não é necessária qualquer ação adicional.

Se quiser ativar a partilha externa em localizações não abrangidas atualmente pelas políticas DLP, pode criar uma regra DLP que inclua todas as localizações do SharePoint e do OneDrive que contenham, pelo menos, uma regra com a condição "conteúdo contém" (para qualquer conteúdo) e que não efetue qualquer ação (como limitar ou bloquear o conteúdo), acionar quaisquer alertas, ou gera quaisquer notificações ou relatórios. Esta política tem de ser movida para a parte superior da lista e não ter a opção parar de processar mais regras definida, pelo que só é eficaz para conteúdos que não correspondam a nenhuma outra regra DLP. Como resultado de tal regra, qualquer ficheiro em qualquer localização que não corresponda a outras regras DLP será permitido para partilha externa.

Para obter informações sobre como criar uma regra DLP, veja Saiba como criar e ativar uma política DLP.

Marcar ficheiros como confidenciais por predefinição

Esta funcionalidade está configurada com o PowerShell.

  1. Baixe o Shell de Gerenciamento do SharePoint Online mais recente.

    Observação

    Se você instalou uma versão anterior do Shell de Gerenciamento do SharePoint Online, vá até Adicionar ou remover programas e desinstale o "Shell de Gerenciamento do SharePoint Online".

  2. Ligue-se ao SharePoint como Administrador Global ou Administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.

  3. Execute o seguinte comando:

    Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing 
    

    Para desabilitar este recurso, execute o seguinte comando:

    Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
    

Observação

Esta nova definição pode demorar até 60 minutos a entrar em vigor.