English
Español
Guia Passo a Passo para Configurar o Microsoft Purview
Este guia “de A a Z” cobre todo o ciclo de vida do Microsoft Purview — desde a ativação das licenças até a automação de relatórios no Power BI. Você encontrará comandos PowerShell, caminhos na interface gráfica, scripts de exemplo, modelos regulatórios (GDPR, PCI-DSS, ENS, HIPAA) e boas práticas aplicadas em projetos reais nos setores bancário, saúde e setor público.
Navegação Rápida
- Pré-requisitos, Arquitetura e Licenciamento
- Criação e Distribuição de Rótulos (Information Protection)
- Data Loss Prevention: Exchange, Teams, SharePoint e Dispositivos
- Endpoint DLP: Windows 11, macOS e Servidores
- Scanner AIP / Purview On-Prem (File Servers & SharePoint 2013)
- Insider Risk Management: Políticas, Sinais e Fluxos
- eDiscovery Premium: Retenção, Revisão e IA de Relevância
- Audit Standard & Premium + Ingestão no Sentinel
- Governança de Dados: Data Map, Glossário & Linhagem
- Monitoramento, Relatórios e Automação
- Casos de Uso Avançados
- Checklist 30-60-90 Dias
1. Pré-requisitos, Arquitetura e Licenciamento
1.1 Dependências técnicas
- Tenant Microsoft 365 com domínios verificados.
- Funções “Compliance Administrator” e “Global Administrator” para a configuração.
- Intune (ou ConfigMgr + co-management) caso utilize Endpoint DLP.
- Microsoft Defender for Cloud Apps para aplicar DLP em SaaS de terceiros (Shadow IT).
- Rede híbrida para escanear dados on-prem com o AIP Scanner.
1.2 Módulos PowerShell recomendados
Install-Module ExchangeOnlineManagement # Comandos EXO + DLP
Install-Module AzureAD # Gerenciamento de papéis
Install-Module AzureInformationProtection # AIP / Scanner
Install-Module Microsoft.Graph.Compliance # Graph (beta) Purview
Install-Module Az.Purview # Scanner multicloud (Data Map)1.3 Licenciamento granular
Se o orçamento estiver apertado, você pode combinar licenças:
- E3 + E5 Compliance Add-on: libera Auto-rotulagem, Endpoint DLP, IRM e Audit Premium.
- Business Premium + AIP P1 Add-on: ponto de partida para PMEs que só precisam de criptografia manual e DLP no Exchange.
- Purview Governance SKU: cobrado por “capacity units” (scans/hora) para o Data Map.
2. Criação e Distribuição de Rótulos (Information Protection)
2.1 Metodologia de classificação
- Inventariar dados: use o “Content Explorer” para detectar PII, PCI e segredos.
- Desenhar taxonomia: limite-se a 5-7 níveis fáceis de entender.
- Mapear controles: Confidencial ≡ criptografia + restrição externa; Público ≡ sem criptografia.
2.2 Criação rápida via portal
- Purview ▸ Information Protection ▸ + Create sensitivity label.
- Defina o Scope (File & Email / Site / Group / Teams).
- Marque Encryption: “Only people in your organization”.
- Configure Content Marking: cabeçalho + marca d’água.
2.3 Exemplo completo em PowerShell (rótulo de dupla chave)
# Requer módulo AzureInformationProtection
Import-Module AzureInformationProtection
$rights = New-AipServiceRightsDefinition -Rights "VIEW,EDIT" -Users "user@empresa.com"
New-AipServiceTemplate -Name "Ultra-Secreto" -Description "Dados estratégicos" `
-ProtectionLevel "DoubleKeyEncryption" `
-RightsDefinitions $rights `
-Domain "empresa.com"2.4 Implementar Auto-rotulagem com regras personalizadas
| Padrão sensível | Limiar | Rótulo aplicado |
|---|---|---|
| Cartão de crédito + CVV + nome do cliente | >= 1 ocorrência | Confidencial-PCI |
| Nº IBAN e palavra “Transferência” | >= 1 ocorrência | Confidencial-Finanças |
| Regex “(secret|token)=” | >= 2 ocorrências | Secreto-Chave |
3. Data Loss Prevention: Exchange, Teams, SharePoint e Dispositivos
3.1 Modelos regulatórios prontos para uso
- PCI DSS v4.0
- GDPR – Artigo 32 (UE)
- ENS Alto (Espanha)
- HIPAA (Saúde EUA)
Estes modelos vêm com regras pré-configuradas que você pode implantar em três cliques e depois personalizar.
3.2 Política DLP com exceções (exemplo real)
# Objetivo: permitir envio de contratos PDF criptografados
New-DlpCompliancePolicy -Name "Bloquear PII Externa" `
-SharePointLocation All -OneDriveLocation All -Mode Enforced
# Regra principal
$r = New-DlpComplianceRule -Policy "Bloquear PII Externa" `
-Name "Bloquear PII*" -BlockAccess $true `
-ContentContainsSensitiveInformation @{Name="EU PII"; minCount=1}
# Exceção: arquivos rotulados "Contracts-Encrypted"
Set-DlpComplianceRule $r.Identity -ExceptIfContentContainsSensitivityLabelIds `
(Get-Label -Name "Contracts-Encrypted").Guid3.3 Ativar notificações e coaching
Na mesma regra, habilite User notifications com modelo no idioma corporativo e inclua link para a política interna (intranet SharePoint).
4. Endpoint DLP: Windows 11, macOS e Servidores
4.1 Fluxo de trabalho
- Onboard do dispositivo no Defender for Endpoint.
- Intune ▸ Endpoint Security ▸ Data Loss Prevention ▸ Criar política.
- Selecione o cenário: “Bloquear copiar para área de transferência dados rotulados Confidencial”.
- Habilite o File Activity Exploder para inspecionar ZIPs e arquivos gerados pelo ChatGPT.
4.2 Controle granular por processo
Ex.: bloquear Microsoft Edge ao enviar para *://*.mega.nz/*, mas permitir Edge em sharepoint.com.
4.3 Monitoramento em tempo real
- Security Portal ▸ Activity Explorer → filtrar por Endpoint DLP.
- Criar alerta automático “>10 bloqueios em 5 min” → Logic Apps → Teams SecOps.
5. Scanner AIP / Purview On-Prem (File Servers)
- Instale o cliente Azure Information Protection Unified Labeling.
- Registre o scanner:
Install-AIPScanner Set-AIPAuthentication -AppId <GUID> -AppSecret <Secret> - Defina repositórios:
Set-AIPScannerRepository -Path "\\fileserver\legal" - Agende varredura incremental a cada 6 h.
- Veja resultados em “Content Explorer ▸ On-premises scanner”.
Dica: Para PDFs muito grandes, ajuste MaxConsecutiveErrors e o pool de threads para evitar time-outs.
6. Insider Risk Management (IRM)
6.1 Sinais disponíveis
| Categoria | Exemplos | Origem |
|---|---|---|
| Atividade de arquivos | Cópias em massa, impressão, USB | Endpoint DLP |
| E-mail & Chat | Linguagem tóxica, intenção de demissão | Defender for Office 365 |
| Identidade | Viagem impossível, remoção de MFA | Entra ID Protection |
6.2 Políticas recomendadas
- Roubo de dados por funcionários em saída: ativa 45 dias antes / 30 dias depois.
- Anomalias VPN / RDP: correlacionar com o Sentinel via conector “Advanced Hunting”.
6.3 Fluxos
Integre com Communication Compliance para revisar linguagem tóxica e enviar plano corretivo ao RH. Adicione aprovações no Teams.
7. eDiscovery Premium: Retenção, Revisão e IA
7.1 Script para criar Legal Hold em 10 custodians
$custodians = "alice@corp.com","bob@corp.com" …
New-ComplianceCase -Name "Litigio-2024"
$custodians | % { Add-ComplianceCaseCustodian -Case "Litigio-2024" -User $_ }
Enable-CaseHoldPolicy "Litigio-2024" -Query "label:Confidential"7.2 Revisão com “Themes” e “Near duplicates”
Reduz em 40 % o volume para revisão. Ative “Conversation thread” para Teams.
8. Audit Standard & Premium + Ingestão no Sentinel
8.1 Exportação contínua para o Sentinel (Azure Monitor Agent)
Set-MailboxAuditBypassAssociation -Identity "AzureSentinelCollector" -AuditEnabled $true
New-DataConnector -Name "PurviewAudit" -Kind Office3658.2 Exemplos de consultas KQL
// Downloads massivos >500 MB
OfficeActivity
| where Operation == "FileDownloaded"
| summarize TotalMB = sum(FileSize)/1024/1024 by UserId
| where TotalMB > 5009. Governança de Dados: Data Map, Glossário & Linhagem
9.1 Escanear S3 e SQL Server
az purview account show --name corp-purview
az purview scan rule-set create --account-name corp-purview \
--scan-ruleset-name "S3_GDPR" --data-source-type AmazonS3
az purview scan run --account-name corp-purview --name "S3_GDPR_Scan"9.2 Criar glossário corporativo
Defina termos (CustomerID, MRN, IBAN) e vincule-os às colunas descobertas; facilita a pesquisa para analistas e evita duplicações.
10. Monitoramento, Relatórios e Automação
10.1 Dashboard no Power BI
- Use o conector “Microsoft 365 Compliance” (OData).
- Importe as tabelas
LabelActivity,DLPIncidents,IRMAlerts. - Visualize tendências de vazamento de PII vs. trimestre anterior.
10.2 Logic Apps → e-mail executivo
Envie um e-mail semanal ao CISO com eventos Audit “MailboxPermissionChanged”.
10.3 Azure Functions para auto-remediação
Se OfficeActivity.DeviceName contiver “Kiosk-” e o Endpoint DLP detectar print blocked, revogue imediatamente o acesso do Entra ID.
11. Casos de Uso Avançados
11.1 IA generativa e dados confidenciais
Bloqueie usuários de enviar código classificado ao ChatGPT Web usando Endpoint DLP + categoria de URL “AI services”.
11.2 Multicloud – DLP em Box e Google Drive
Defender for Cloud Apps aplica a mesma política DLP do OneDrive via proxy de sessão — sem agentes.
11.3 Controle de segredos em repositórios Git
Alertas do GitHub Advanced Security alimentam a Classificação Purview, alcançando inventário unificado.
12. Checklist 30-60-90 Dias
| Fase | Objetivos-chave |
|---|---|
| 0-30 d | Rótulos publicados, DLP em Teste, piloto de Endpoint, Audit Std |
| 31-60 d | DLP Enforcement, política IRM “Departing”, Scanner on-prem |
| 61-90 d | Audit Premium, eDiscovery ativo, Data Map com três fontes |
Conclusão
O Microsoft Purview não é “apenas mais um produto de segurança” — é a espinha dorsal que conecta classificação, proteção, detecção e governança de dados. Seguindo este guia — de scripts PowerShell a portais gráficos, passando pela integração com o Sentinel e Power BI — você implantará o Purview com robustez, obterá insights mensuráveis e cumprirá regulamentações sem travar a inovação.
Precisa acelerar seu projeto? Entre em contato com a Cloud Fighters para mentoring, implementação ou serviços gerenciados.