Criar suspensões na Deteção de Dados Eletrónicos (pré-visualização)
Pode criar suspensões para preservar conteúdos que possam ser relevantes para um caso de Deteção de Dados Eletrónicos. Pode colocar uma suspensão nas caixas de correio do Exchange e nas contas do OneDrive das pessoas que está a investigar no caso. Também pode colocar uma suspensão nas caixas de correio e sites associados ao Microsoft Teams, grupos do Microsoft 365 e Viva Engage Grupos. Quando coloca as localizações de conteúdo em suspensão, o conteúdo é preservado até remover a localização do conteúdo da suspensão ou até eliminar/libertar a suspensão.
Importante
Depois de criar uma suspensão de Deteção de Dados Eletrónicos, a suspensão pode demorar até 24 horas. Para retenção de dados de longo prazo não relacionada com investigações de Deteção de Dados Eletrónicos, é vivamente aconselhável utilizar políticas de retenção e etiquetas de retenção. Para obter mais informações, consulte saiba mais sobre políticas e rótulos de retenção.
Quando cria uma suspensão, tem as seguintes opções para definir o âmbito do conteúdo que é preservado nas localizações de conteúdo especificadas:
- Crie uma retenção infinita em que todo o conteúdo nos locais especificados é colocado em espera. Como alternativa, você pode criar uma retenção baseada em consulta em que apenas o conteúdo nos locais especificados que correspondem a uma consulta de pesquisa é colocado em retenção.
- Especifique um intervalo de datas para preservar apenas o conteúdo que foi enviado, recebido ou criado nesse intervalo de datas. Em alternativa, pode conter todo o conteúdo em localizações especificadas, independentemente de quando são enviados, recebidos ou criados.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Criar uma retenção de Descoberta Eletrônica
Dica
Prefere uma experiência de guia de configuração interativa? Consulte o guia Aplicar uma suspensão .
Para criar uma suspensão de Deteção de Dados Eletrónicos associada a um caso de Deteção de Dados Eletrónicos, conclua os seguintes passos:
Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador com permissões de Deteção de Dados Eletrónicos atribuídas.
Selecione a solução de Deteção de Dados Eletrónicos card e, em seguida, selecione Casos (pré-visualização) no painel de navegação esquerdo.
Selecione um caso e, em seguida, selecione o separador Políticas de suspensão.
Na dashboard Políticas de suspensão, selecione Criar política.
Na página Introduzir detalhes para começar , preencha os seguintes campos:
- Nome da política: atribua um nome (obrigatório) à política de suspensão. O nome da política de suspensão tem de ser exclusivo na sua organização
- Descrição da política: adicione uma descrição opcional para ajudar outras pessoas a compreender esta política de suspensão.
Selecione Criar para criar a nova política de suspensão e inicie a suspensão dos dados relevantes para o caso.
Selecione Adicionar origens de dados no separador Política de suspensão .
No painel de lista de opções Gerir origens de dados , irá adicionar ou remover origens de dados para a sua política de suspensão. Pode escolher um ou mais utilizadores, grupos ou localizações da organização.
- Tem de selecionar, pelo menos, uma origem de datas para criar uma política de suspensão.
- Introduza as localizações específicas de utilizadores, grupos ou organizações que pretende adicionar à política de suspensão.
Caixas de correio do Exchange: as caixas de verificação aplicáveis estão selecionadas para as caixas de correio colocadas em espera. Utilize Editar para localizar caixas de correio de utilizadores e grupos de distribuição (as caixas de correio dos membros do grupo) para colocar em espera. Também pode colocar uma suspensão na caixa de correio associada para um Grupo Microsoft Team, Microsoft 365 e Viva Engage. Para obter mais informações sobre os dados da aplicação que são preservados quando uma caixa de correio é colocada em espera, consulte Conteúdo armazenado em caixas de correio para Deteção de Dados Eletrónicos.
Importante
Quando seleciona uma lista de distribuição a colocar em suspensão, a lista de distribuição expande-se para os membros da lista de distribuição. Os utilizadores podem optar por colocar as caixas de correio de todos os membros e o OneDrive em espera ou um subconjunto/mistura destas origens de dados em espera. As alterações subsequentes na associação à lista de distribuição não mudam nem atualizam retenções ou a política. Os utilizadores têm de adicionar novamente a lista de distribuição à origem de dados para garantir que a associação mais recente é refletida e expandida.
Sites do SharePoint: as caixas de verificação aplicáveis estão selecionadas para sites do SharePoint e contas do OneDrive colocadas em suspensão. Utilize Editar para introduzir o URL para sites adicionais que pretende colocar em espera. Também pode adicionar o URL do site do SharePoint para uma Equipa microsoft, um grupo do Microsoft 365 ou um Grupo do Yammer.
Importante
A Reciclagem nos sites do SharePoint não está indexada e, portanto, não está disponível para pesquisa. Como resultado, as pesquisas de Deteção de Dados Eletrónicos não conseguem encontrar conteúdos da Reciclagem para colocar suspensões.
Selecione Salvar. Acabou de definir o âmbito das origens de dados para a sua política de suspensão.
Para definir os parâmetros da política de suspensão, pode escolher entre as seguintes opções no separador Política de suspensão:
Construtor de condições: a opção de construtor de condições na pesquisa fornece uma experiência de filtragem visual quando cria políticas de suspensão. Cada condição adiciona uma cláusula que é criada e executada quando cria a suspensão. Por exemplo, você pode especificar um intervalo de datas para que os documentos de email ou site que foram criados dentro do intervalo de datas sejam preservados. Para obter informações detalhadas sobre como utilizar a opção de construtor de condições, veja Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização).
Keyword Query Language (KeyQL): a opção de consulta Keyword Query Language (KeyQL) na pesquisa fornece orientações e permite-lhe colar rapidamente consultas longas e complexas diretamente no editor. Para obter informações detalhadas sobre a criação de consultas de pesquisa com a opção KeyQL, consulte Utilizar Linguagem de Consulta de Palavras-chave para criar consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização).
Também pode criar rapidamente consultas KeyQL para a sua pesquisa com Microsoft Security Copilot. Para obter mais informações, veja Criar uma consulta de pesquisa keyQL com Microsoft Copilot (pré-visualização).
Selecione Aplicar suspensão.
Depois de criar uma suspensão, marcar que a suspensão é aplicada com êxito ao navegar para o separador Detalhes da política de suspensão. Pode rever as seguintes informações para a política de suspensão:
- Nome: o nome da origem de dados.
- Localização: a localização específica (como o endereço SMTP da caixa de correio ou o URL do site) das origens de dados incluídas na política de retenção.
- Mantenha status: a suspensão status da localização. Indica se a localização está em espera, não em espera ou se existe um erro com a suspensão.
- Tipo de origem: mostra se o tipo de origem de dados é Pessoas ou Grupo.
- Tipo de localização: mostra se a localização é Caixa de Correio ou Site.
Observação
Quando você cria uma retenção baseada em consulta, todo o conteúdo dos locais selecionados é inicialmente colocado em espera. Posteriormente, qualquer conteúdo que não corresponda à consulta especificada é limpo da suspensão a cada sete a 14 dias. No entanto, uma retenção baseada em consulta não limpará o conteúdo se mais de cinco retenções de qualquer tipo forem aplicadas a um local de conteúdo ou se algum item tiver problemas de indexação.
Gerente de processos
O Gestor de processos apresenta informações sobre os processos realizados na política de suspensão.
- Tipo de processo: o tipo de processo.
- Estado: a status do processo.
- Criado: a data e hora em que o processo foi criado.
- Concluído: a data e hora em que o processo foi concluído.
- Duração: a duração do processo.
- Criado por: o utilizador que criou o processo.
Para transferir a lista de processos e as informações da coluna, selecione Transferir lista para criar um ficheiro .csv que contém estas informações.
Para ver informações sobre todos os processos de Deteção de Dados Eletrónicos, veja Utilizar o Relatório de processos na Deteção de Dados Eletrónicos (pré-visualização).
Retenções baseadas em consulta colocadas em sites
Tenha em atenção os seguintes aspetos quando colocar uma deteção de dados eletrónicos baseada em consultas em documentos localizados em sites do SharePoint:
- Uma retenção baseada em consulta inicialmente preserva todos os documentos em um site por um curto período de tempo após serem excluídos. Isto significa que, quando um documento é eliminado, é movido para a biblioteca Detenção de Preservação, mesmo que não corresponda aos critérios da suspensão baseada na consulta. No entanto, os documentos eliminados que não correspondem a uma suspensão baseada em consultas são removidos por uma tarefa de temporizador que processa a biblioteca Detenção de Preservação. A tarefa de temporizador é executada periodicamente e compara todos os documentos na biblioteca Detenção de Preservação com as retenções de Deteção de Dados Eletrónicos baseadas em consultas (e outros tipos de políticas de retenção e retenção). A tarefa de temporizador elimina os documentos que não correspondem a uma suspensão baseada em consultas e preserva os documentos que o fazem.
- As suspensões baseadas em consultas devem ser utilizadas para efetuar a preservação direcionada, como palavras-chave, intervalos de datas ou outras propriedades do documento para preservar documentos do site.
Preservar conteúdo no Microsoft Teams
As conversações que fazem parte de um canal do Microsoft Teams são armazenadas na caixa de correio associada ao Microsoft Team. Da mesma forma, os arquivos que os membros da equipe compartilham em um canal são armazenados no site do SharePoint da equipe. Por conseguinte, tem de colocar a caixa de correio da Equipa e o site do SharePoint em suspensão de Deteção de Dados Eletrónicos para preservar conversações e ficheiros num canal.
Em alternativa, as conversações que fazem parte da lista de Conversas no Teams ( chamadas chats 1:1 ou conversas de grupo 1:N) são armazenadas nas caixas de correio dos utilizadores que participam na conversa. Além disso, os ficheiros que os utilizadores partilham em conversações de chat são armazenados na conta do OneDrive do utilizador que partilha o ficheiro. Por conseguinte, tem de adicionar as caixas de correio de utilizador individuais e as contas do OneDrive a uma suspensão de Deteção de Dados Eletrónicos para preservar conversações e ficheiros na lista de conversas. É uma boa ideia colocar uma suspensão nas caixas de correio de membros de uma Equipa da Microsoft, além de colocar a caixa de correio e o site de equipa em espera.
Observação
Se a sua organização tiver uma implementação híbrida do Exchange (ou a sua organização sincronizar uma organização do Exchange no local com Office 365) e tiver ativado o Microsoft Teams, os utilizadores no local podem utilizar a aplicação de chat do Teams e participar em chats de 1:1 e chats de grupo 1:N. Estas conversações são armazenadas no armazenamento baseado na cloud que está associado a um utilizador no local. Se um utilizador no local for colocado numa suspensão de Deteção de Dados Eletrónicos, os conteúdos de chat do Teams no armazenamento baseado na cloud são preservados. Para obter mais informações, confira Pesquisar dados de bate-papo do Teams para usuários locais.
Preservar card conteúdo
Da mesma forma, card conteúdo gerado por aplicações em canais do Teams, chats 1:1 e chats de grupo 1:N são armazenados em caixas de correio e são preservados quando uma caixa de correio é colocada numa suspensão de Deteção de Dados Eletrónicos. Um cartão é um contêiner de interface de usuário para pequenos pedaços de conteúdo. Os cartões podem ter várias propriedades e anexos e podem incluir itens que acionam card ações. Para obter mais informações, consulte Cartões. Como outros conteúdos de equipes, onde o conteúdo do cartão é armazenado é baseado em onde o cartão foi usado. O conteúdo dos cartões usados em um canal Teams é armazenado na caixa de correio do grupo Teams. O conteúdo do cartão para bate-papos individuais e 1xN é armazenado nas caixas de correio dos participantes do bate-papo.
Preservar informações de reuniões e chamadas
As informações de resumo de reuniões e chamadas num canal do Teams também são armazenadas nas caixas de correio dos utilizadores que marcaram para a reunião ou chamada. Este conteúdo também é preservado quando uma suspensão de Deteção de Dados Eletrónicos é colocada em caixas de correio de utilizador.
Preservar conteúdo em canais privados
A partir de fevereiro de 2020, também ativámos a capacidade de preservar conteúdos em canais privados. Uma vez que as conversas de canal privado são armazenadas nas caixas de correio dos participantes do chat, colocar uma caixa de correio de utilizador na suspensão de Deteção de Dados Eletrónicos preserva as conversas de canal privado. Além disso, se uma caixa de correio de utilizador tiver sido colocada numa suspensão de Deteção de Dados Eletrónicos antes de fevereiro de 2020, a suspensão será agora aplicada automaticamente às mensagens de canal privado armazenadas nessa caixa de correio. A preservação de ficheiros partilhados em canais privados também é suportada.
Preservar conteúdo wiki
Todos os canais de equipa ou equipa também contêm um Wiki para tomar notas e colaborar. O conteúdo Wiki é salvo automaticamente em um arquivo com um formato .mht. Esse arquivo é armazenado na biblioteca de documentos de Dados do Wiki do Teams no site do SharePoint da equipe. Pode preservar o conteúdo wiki ao adicionar o site do SharePoint da equipa a uma suspensão de Deteção de Dados Eletrónicos.
Observação
A capacidade de preservar o conteúdo wiki de um canal de equipa ou equipa (quando coloca o site do SharePoint da equipa em espera) foi lançada a 22 de junho de 2017. Se um site de equipa estiver suspenso, o conteúdo wiki é mantido a partir dessa data. No entanto, se um site de equipa estiver suspenso e o conteúdo wiki tiver sido eliminado antes de 22 de junho de 2017, o conteúdo wiki não foi preservado.
Grupos do Microsoft 365
O Teams baseia-se em grupos do Microsoft 365. Por conseguinte, colocar grupos do Microsoft 365 em suspensão de Deteção de Dados Eletrónicos é semelhante ao colocar os conteúdos do Teams em espera.
Tenha em atenção os seguintes aspetos ao colocar os grupos do Teams e do Microsoft 365 numa suspensão de Deteção de Dados Eletrónicos:
Para colocar conteúdos localizados em grupos do Teams e do Microsoft 365 em espera, tem de especificar a caixa de correio e o site do SharePoint associados a um grupo ou equipa.
Execute o cmdlet Get-UnifiedGroup no Exchange Online PowerShell para ver as propriedades do Teams e dos grupos do Microsoft 365. Esta é uma boa forma de obter o URL do site associado a uma Equipa ou grupo do Microsoft 365. Por exemplo, o seguinte comando apresenta as propriedades selecionadas para um grupo do Microsoft 365 com o nome Equipa de Liderança Sénior:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamObservação
Para executar o cmdlet Get-UnifiedGroup, é preciso ter atribuído a função de Destinatários Somente Leitura no Exchange Online ou ser membro de um grupo de funções atribuído à função de Destinatários Somente Leitura.
Quando a caixa de correio de um utilizador é pesquisada, qualquer equipa ou grupo do Microsoft 365 do qual o utilizador seja membro não será pesquisado. Da mesma forma, quando coloca um grupo team ou Microsoft 365 em suspensão de Deteção de Dados Eletrónicos, apenas a caixa de correio do grupo e o site de grupo são colocados em espera. As caixas de correio e os sites do OneDrive dos membros do grupo não são colocados em suspensão, a menos que os adicione explicitamente à suspensão da Deteção de Dados Eletrónicos. Por isso, se tiver de colocar um grupo team ou Microsoft 365 em espera por um motivo legal, considere adicionar as caixas de correio e as contas do OneDrive de membros da equipa ou do grupo na mesma suspensão.
Para obter uma lista dos membros de uma Equipa ou grupo do Microsoft 365, pode ver as propriedades na página Grupos no Centro de administração do Microsoft 365. Como alternativa, execute o comando a seguir no PowerShell do Exchange Online:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressObservação
Para executar o cmdlet Get-UnifiedGroupLinks, é preciso ter atribuído a função de Destinatários Somente Leitura no Exchange Online ou ser um membro de um grupo de funções atribuído à função Destinatários Somente Leitura.
Preservar conteúdo em contas do OneDrive
Para recolher uma lista dos URLs dos sites do OneDrive na sua organização para que possa adicioná-los a uma suspensão ou pesquisa associada a um caso de Deteção de Dados Eletrónicos, consulte Criar uma lista de todas as localizações do OneDrive na sua organização. O script neste artigo cria um ficheiro de texto que contém uma lista de todos os sites do OneDrive na sua organização. Para executar esse script, é necessário instalar e usar o Shell de Gerenciamento Online do SharePoint. Não se esqueça de acrescentar a URL do domínio MySite da organização para cada site do OneDrive que você deseja pesquisar. Este é o domínio que contém todo o seu OneDrive; por exemplo, https://contoso-my.sharepoint.com. Eis um exemplo de um URL para o site do OneDrive de um utilizador: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Importante
O URL da conta do OneDrive de um utilizador inclui o respetivo nome principal de utilizador (UPN) (por exemplo, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). No caso raro de o UPN de uma pessoa ser alterado, o URL do OneDrive também será alterado para incorporar o novo UPN. Se a conta do OneDrive de um utilizador fizer parte de uma suspensão de Deteção de Dados Eletrónicos e o RESpetivo UPN for alterado, terá de atualizar a suspensão adicionando o novo URL do OneDrive do utilizador e removendo o antigo. Se o URL do site do OneDrive for alterado, as suspensões anteriormente colocadas no site permanecerão efetivas e os conteúdos são preservados. Para saber mais, confira Como as alterações de UPN afetam a URL do OneDrive.
Removendo locais de conteúdo de uma retenção de Descoberta Eletrônica
Depois que uma caixa de correio, site do SharePoint ou conta do OneDrive é removida de uma retenção de Descoberta Eletrônica, uma retenção de atraso é aplicada. Isto significa que a remoção real da suspensão é adiada por 30 dias para impedir que os dados sejam eliminados permanentemente (removidos) de uma localização de conteúdo. Isto dá aos administradores a oportunidade de procurar ou recuperar conteúdo que é removido após uma suspensão de Deteção de Dados Eletrónicos ser removida. Os detalhes de como a retenção de atraso funciona para caixas de correio e sites são diferentes.
Caixas de correio: É colocada uma suspensão de atraso numa caixa de correio da próxima vez que o Assistente de Pastas Geridas processar a caixa de correio e detetar que uma suspensão de Deteção de Dados Eletrónicos foi removida. Especificamente, uma retenção de atraso é aplicada a uma caixa de correio quando o Assistente de Pasta Gerenciada define uma das seguintes propriedades de caixa de correio como True:
- DelayHoldApplied: Esta propriedade aplica-se a conteúdos relacionados com o e-mail (gerados por pessoas que utilizam o Outlook e Outlook na Web) armazenados na caixa de correio de um utilizador.
- DelayReleaseHoldApplied: Esta propriedade aplica-se a conteúdos baseados na nuvem (gerados por aplicações que não sejam do Outlook, como o Microsoft Teams, Microsoft Forms e o Microsoft Yammer) armazenados na caixa de correio de um utilizador. Os dados de nuvem gerados por um aplicativo da Microsoft geralmente são armazenados em uma pasta oculta na caixa de correio de um usuário.
Quando é colocada uma suspensão de atraso na caixa de correio (quando uma das propriedades anteriores está definida como Verdadeiro), a caixa de correio continua a ser considerada como estando em espera durante uma duração de suspensão ilimitada, como se a caixa de correio estivesse em Suspensão de Litígios. Após 30 dias, a suspensão do atraso expira e o Microsoft 365 tentará remover automaticamente a suspensão de atraso (ao definir a propriedade DelayHoldApplied ou DelayReleaseHoldApplied como Falso) para que a suspensão seja removida. Depois de uma destas propriedades ser definida como Falso, os itens correspondentes marcados para remoção são removidos da próxima vez que a caixa de correio for processada pelo Assistente de Pastas Geridas.
Sites do SharePoint e do OneDrive: Os conteúdos do SharePoint ou do OneDrive retidos na biblioteca Detenção de Preservação não são eliminados durante o período de retenção de atraso de 30 dias após a remoção de um site de uma suspensão de Deteção de Dados Eletrónicos. Isto é semelhante ao que acontece quando um site é lançado a partir de uma política de retenção. Além disso, você não pode excluir manualmente esse conteúdo na biblioteca de Retenção para Preservação durante o período de retenção de atraso de 30 dias. Para libertar um site da suspensão de atraso/período de tolerância de 30 dias, consulte o artigo Não é possível eliminar um site devido a uma política de retenção inválida ou a Deteção de Dados Eletrónicos contém o artigo de resolução de problemas.
Para obter mais informações, consulte Liberação de uma política de retenção.
Também é aplicada uma suspensão de atraso às localizações de conteúdo em espera quando fecha um caso de Deteção de Dados Eletrónicos porque as suspensões são desativadas quando um caso é encerrado. Para obter mais informações sobre como fechar um caso, veja Saiba mais sobre as definições de casos na Deteção de Dados Eletrónicos (pré-visualização).
Limites de detenção da Deteção de Dados Eletrónicos
A tabela seguinte lista os limites para casos de Deteção de Dados Eletrónicos e retenções de casos.
| Descrição do limite | Limite |
|---|---|
| Número máximo de casos para uma organização. | Sem limite |
| Número máximo de políticas de deteção de dados eletrónicos para uma organização. Este limite inclui o total combinado de políticas de retenção em casos de Deteção de Dados Eletrónicos. | 10 0001 |
| Número máximo de caixas de correio numa única suspensão de Deteção de Dados Eletrónicos. Este limite inclui o total combinado de caixas de correio de utilizador e as caixas de correio associadas a grupos do Microsoft 365, Microsoft Teams e Viva Engage Grupos. | 1.000 |
| Número máximo de sites numa única suspensão de Deteção de Dados Eletrónicos. Este limite inclui o total combinado de sites do OneDrive, sites do SharePoint e sites associados a grupos do Microsoft 365, Microsoft Teams e Viva Engage Grupos. <br/ | 100 |
| Número máximo de casos apresentados na home page da Deteção de Dados Eletrónicos e o número máximo de itens apresentados nos separadores Retenções, Pesquisas e Exportação num caso. | 10001 |
| Limites de suspensão para sites do SharePoint e OneDrive | Para obter detalhes, veja Limites do SharePoint. |
Observação
1 Para ver uma lista de mais de 1000 casos, retenções, pesquisas ou exportações, pode utilizar o cmdlet do PowerShell de Conformidade do & de Segurança correspondente: