Migrar políticas de prevenção contra perda de dados do Exchange para portal de conformidade do Microsoft Purview

  • Artigo

As políticas de DLP (prevenção contra perda de dados do Exchange) estão sendo preteridas. A funcionalidade DLP muito mais rica, incluindo o Exchange DLP, é oferecida no portal de conformidade do Microsoft Purview. Você pode usar o assistente de migração de política DLP para ajudá-lo a levar suas políticas de DLP do Exchange para o portal de conformidade em que você as gerenciará.

O assistente de migração funciona lendo a configuração de suas políticas DLP no Exchange e criando políticas duplicadas no portal de conformidade. Por padrão, o assistente cria as novas versões das políticas em Executar a política no modo de simulação, para que você possa ver o impacto que elas teriam em seu ambiente sem impor nenhuma das ações. Depois de estar pronto para fazer a transição completa para as versões do portal de conformidade, você deve:

  1. Desativar ou excluir a política de origem no EAC (Exchange Administração Center).
  2. Edite a versão do portal de conformidade da política e altere seu status de Executar a política no modo de simulação para Ativá-la imediatamente.

Aviso

Se você não excluir ou desativar a política de origem no EAC antes de definir a versão do Centro de Conformidade para Impor ambos os conjuntos de políticas, tentará impor ações e receberá eventos duplicados. Essa é uma configuração sem suporte.

O assistente de migração migra apenas políticas de DLP do Exchange e regras de fluxo de email associadas. As regras autônomas de fluxo de email do Exchange não são migradas.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Fluxo de trabalho de migração

Há quatro fases para migrar políticas DLP do Exchange para o console de gerenciamento de DLP Unificado no portal de conformidade.

  1. Preparar para migração
    1. Avalie e compare as políticas de DLP do Exchange Online (EXO) e as políticas DLP do portal de conformidade para a funcionalidade duplicada.
    2. Decida quais políticas DLP exo você deseja trazer exatamente como elas são, você pode usar o assistente para migrar essas políticas.
    3. Decida quais políticas DLP exo você deseja consolidar e consolidá-las no centro de administração do Exchange e use o assistente de migração para trazê-las para o portal de conformidade.
  2. Executar a migração – use o assistente
  3. Teste e validação – examine os resultados
  4. Ativar as políticas migradas

Antes de começar

SKU/assinaturas e licenciamento

Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.

Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.

Permissões

A conta que você usa para executar o assistente de migração deve ter acesso à página DLP do Console do Exchange Administração e ao console DLP unificado no portal de conformidade.

Preparar para migração

  1. Se você não estiver familiarizado com o DLP, o console DLP do portal de conformidade ou o console DLP central do Exchange Administração, você deve se familiarizar antes de tentar uma migração de política.
    1. políticas de DLP (prevenção contra perda de dados) Exchange Online
    2. Saiba mais sobre a Prevenção contra perda de dados do ponto de extremidade
    3. Criar e implantar políticas de prevenção contra perda de dados
  2. Avalie suas políticas do Exchange DLP e do portal de conformidade fazendo estas perguntas:
Pergunta Ação Procedimento de migração
A política ainda é necessária? Caso contrário, exclua ou desative não migrar
Ele se sobrepõe a outras políticas de DLP do Exchange ou do portal de conformidade? Se sim, você pode consolidar as políticas sobrepostas? - Se ela se sobrepõe a outra política do Exchange, crie manualmente a política DLP consolidada no Centro de Administração do Exchange e use o assistente de migração.
- Se ele se sobrepõe a uma política de portal de conformidade existente, você pode modificar a política do portal de conformidade existente para corresponder, não migre a versão do Exchange
A política do Exchange DLP tem um escopo rígido e tem condições, ações, inclusões e exclusões bem definidas? Se sim, é um bom candidato para migrar com o assistente, anote a política para que você se lembre de voltar para excluí-la mais tarde migrar com o assistente

Migração

Depois de avaliar todas as políticas de DLP do portal de conformidade e do Exchange para precisar e compatibilidade, você poderá usar o assistente de migração.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview.

  2. Se houver políticas de DLP do Exchange que podem ser migradas, um banner aparecerá na parte superior da página informando.

  3. Escolha Migrar políticas no banner para abrir o assistente de migração. Todas as políticas de DLP do Exchange estão listadas. As políticas migradas anteriormente não podem ser selecionadas.

  4. Selecione as políticas que você deseja migrar. Você pode migra-los individualmente ou em grupos usando uma abordagem em fases ou tudo de uma vez. Selecione Avançar.

  5. Examine o painel de sobrevoo para obter quaisquer avisos ou mensagens. Resolva quaisquer problemas antes de prosseguir.

  6. Selecione o modo em que você deseja que a nova política do portal de conformidade seja criada, Ative-a imediatamente, Execute a política no modo de simulação ou Deixe-a desativada. O padrão é Executar a política no modo de simulação. Selecione Avançar.

  7. Você pode criar mais políticas baseadas nas políticas de DLP do Exchange para outros locais de DLP unificados. Isso resultará em uma nova política de DLP unificada para a política de Exchange migrada e uma nova política de DLP unificada para quaisquer outros locais selecionados aqui.

Importante

Quaisquer condições e ações de política do Exchange DLP que não sejam suportadas por outros locais DLP, como Dispositivos, SharePoint, OneDrive, Local, mcAS ou mensagens de canal do Teams serão removidas da política adicional. Além disso, há pré-trabalho que deve ser feito para os outros locais. Confira:

  1. Examine as configurações da sessão do assistente de migração. Selecione Avançar.
  2. Examine o relatório de migração. Preste atenção a quaisquer falhas envolvendo regras de fluxo de email do Exchange. Você pode corrigi-los e remigrar as políticas associadas.

As políticas migradas agora aparecerão na lista de políticas DLP no console DLP do portal de conformidade.

Erros comuns e mitigação

Mensagem de erro Reason Etapas mitigadoras/recomendadas
Uma política de conformidade com o nome <Name of the policy> já existe nos cenários Dlp. É provável que essa migração de política tenha sido feita anteriormente e depois reattempada na mesma sessão. Atualize a sessão para atualizar a lista de políticas disponíveis para migração. Todas as políticas migradas anteriormente devem estar no Already migrated estado.
Uma política de conformidade com o nome <Name of the policy> já existe nos cenários Hold. Existe uma política de retenção com o mesmo nome no mesmo locatário. - Renomeie a política DLP no EAC para um nome diferente.
- Tentar novamente a migração para a política afetada.
DLP-group@contoso.com não pode ser usado como um valor para a Shared By condição porque é um grupo de distribuição ou um grupo de segurança habilitado para email. Use Shared by Member of predicado para detectar atividades por membros de determinados grupos. As regras de transporte permitem que grupos sejam usados na condição, mas o sender is DLP unificado não permite isso. Atualize a regra de transporte para remover todos os endereços de email de grupo da sender is condição e adicione o grupo à sender is a member of condição, se necessário. Repetir a migração para a política afetada
Não foi possível encontrar o destinatário DLP-group@contoso.com. Se criado recentemente, tente novamente a operação após algum tempo. Se excluído ou expirado, reinicie-o com valores válidos e tente novamente. É provável que o endereço de grupo usado em sender is a member of ou recipient is a member of condição esteja expirado ou inválido. - Remova/substitua todos os endereços de email de grupo inválidos na regra de transporte no centro de administração do Exchange.
- Tentar novamente a migração para a política afetada.
O valor especificado no FromMemberOf predicado deve ser um grupo de segurança habilitado para email. As regras de transporte permitem que usuários individuais sejam usados na sender is a member of condição; no entanto, o DLP unificado não permite isso. – Atualize a regra de transporte para remover todos os endereços de email de usuário individuais da sender is a member of condição e adicione os usuários à sender is condição, se necessário.
- Tentar novamente a migração para a política afetada.
O valor especificado no SentToMemberOf predicado deve ser um grupo de segurança habilitado para email. As regras de transporte permitem que usuários individuais sejam usados sob a condição, mas o recipient is a member of DLP unificado não permite isso. – Atualize a regra de transporte para remover todos os endereços de email de usuário individuais da recipient is a member of condição e adicione os usuários à recipient is condição, se necessário.
- Tentar novamente a migração para a política afetada.
O uso do <Name of condition> parâmetro é compatível apenas com o Exchange. Remova esse parâmetro ou ative apenas o local do Exchange. É provável que outra política com o mesmo nome exista no portal de conformidade com outros locais, como SPO/ODB/Teams para os quais a condição mencionada não tem suporte. Renomeie a política DLP no centro de administração do Exchange e tente novamente a migração.

Teste e validação

Teste e examine suas políticas.

  1. Siga os procedimentos em Introdução ao modo de simulação e teste um procedimento de política DLP .
  2. Examine os eventos criados pela política no modo simulaiton dashboard para a política e no Gerenciador de Atividades.

Examine as correspondências de política entre o DLP do Exchange Administração Center e o DLP Unificado do Microsoft Purview

Para garantir que as políticas migradas se comportem conforme o esperado, você pode exportar os relatórios de ambos os centros de administração e fazer uma comparação das correspondências de política.

  1. Conecte-se ao Exchange Online PowerShell.

  2. Exporte o relatório DLP do EAC. Você pode copiar este cmdlet e inserir os valores apropriados:

    Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">

  3. Exporte o relatório DLP Unificado. Você pode copiar este cmdlet e inserir os valores apropriados:

    Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">

Ativar suas políticas migradas

Depois de estar satisfeito com o funcionamento das políticas migradas, você poderá defini-las como Impor.

  1. Abra o console DLP do Exchange Administração Center.
  2. Desativar ou excluir a política de origem.
  3. Abra o portal de conformidade do Microsoft Purview console DLP e selecione a política que você deseja tornar ativa para editá-lo.
  4. Altere o status para Ativar.