Tarefas rápidas para introdução à conformidade no Microsoft Purview

  • Artigo

Se você é novo no Microsoft Purview e se pergunta por onde começar, este artigo fornece diretrizes sobre o básico e prioriza tarefas de conformidade importantes. Este artigo ajudará você a começar rapidamente a gerenciar e monitorar seus dados, proteger informações e minimizar riscos internos.

Este artigo também será útil se você estiver descobrindo a melhor maneira de gerenciar riscos, proteger seus dados e permanecer em conformidade com regulamentos e padrões com uma força de trabalho recém-remota. Os funcionários agora estão colaborando e se conectando entre si de novas maneiras, e essa alteração significa que seus processos e controles de conformidade existentes podem precisar se adaptar. Identificar e gerenciar esses novos riscos de conformidade em sua organização é fundamental para proteger seus dados e minimizar ameaças e riscos.

Depois de concluir essas tarefas básicas de conformidade, considere expandir a cobertura de conformidade em sua organização implementando soluções adicionais do Microsoft Purview.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Tarefa 1: configurar permissões de conformidade

É importante gerenciar quem em sua organização tem acesso ao portal de conformidade do Microsoft Purview exibir conteúdo e executar tarefas de gerenciamento. O Microsoft 365 fornece funções administrativas específicas para conformidade e para usar as ferramentas incluídas no portal de conformidade do Microsoft Purview.

Comece atribuindo permissões de conformidade às pessoas em sua organização para que elas possam executar essas tarefas e impedir que pessoas não autorizadas tenham acesso a áreas fora de suas responsabilidades. Você precisará ter certeza de que atribuiu as pessoas adequadas ao administrador de dados de conformidade e às funções de administrador de conformidade antes de começar a configurar e implementar soluções de conformidade incluídas no Microsoft 365. Você também precisará atribuir usuários à função de leitor global Microsoft Entra para exibir dados no Gerenciador de Conformidade.

Para obter diretrizes passo a passo para configurar permissões e atribuir pessoas a funções de administrador, consulte Permissões no portal de conformidade do Microsoft Purview.

Tarefa 2: conheça seu estado de conformidade

É difícil saber para onde ir se você não sabe onde está. Atender às suas necessidades de conformidade inclui entender o nível atual de risco e quais atualizações podem ser necessárias nesses tempos em constante alteração. Se sua organização é nova em requisitos de conformidade ou tem uma experiência profunda com padrões e regulamentos que regem seu setor, a melhor coisa que você pode fazer para melhorar a conformidade é entender onde sua organização está.

O Microsoft Purview Compliance Manager pode ajudá-lo a entender a postura de conformidade da sua organização e destacar áreas que podem precisar de melhorias. O Gerenciador de Conformidade usa uma dashboard centralizada para calcular uma pontuação baseada em risco, medindo seu progresso na conclusão de ações que ajudam a reduzir os riscos em torno da proteção de dados e dos padrões regulatórios. Você também pode usar o Gerenciador de Conformidade como uma ferramenta para acompanhar todas as avaliações de risco. Ele fornece recursos de fluxo de trabalho para ajudá-lo a concluir com eficiência suas avaliações de risco por meio de uma ferramenta comum.

Para obter diretrizes passo a passo para começar a usar o Gerenciador de Conformidade, consulte Introdução ao Gerenciador de Conformidade.

Importante

A segurança e a conformidade são fortemente integradas para a maioria das organizações. É importante que sua organização resolva áreas básicas de segurança, proteção contra ameaças e gerenciamento de identidade e acesso para ajudar a fornecer uma abordagem detalhada de defesa para segurança e conformidade.

Verifique a pontuação segura do Microsoft 365 no portal do Microsoft Defender e conclua as tarefas descritas nos seguintes artigos:

Tarefa 3: habilitar a auditoria para sua organização

Agora que você determinou o estado atual da sua organização e quem pode gerenciar funções de conformidade, a próxima etapa é garantir que você tenha os dados para conduzir investigações de conformidade e gerar relatórios para atividades de rede e usuário em sua organização. Habilitar a auditoria também é um pré-requisito importante para soluções de conformidade abordadas posteriormente neste artigo.

Os insights fornecidos pelo log de auditoria são uma ferramenta valiosa para ajudar a corresponder seus requisitos de conformidade a soluções que podem ajudá-lo a gerenciar e monitorar áreas de conformidade que precisam de melhorias. O log de auditoria deve ser habilitado antes que as atividades sejam registradas e antes que você possa pesquisar o log de auditoria. Quando habilitada, a atividade de usuário e administrador de sua organização é registrada no log de auditoria e retida por 90 dias e até um ano, dependendo da licença atribuída aos usuários.

Para obter instruções passo a passo para ativar a auditoria, confira Ativar ou desativar a pesquisa de log de auditoria.

Tarefa 4: criar políticas para alertá-lo sobre possíveis problemas de conformidade

A Microsoft fornece várias políticas de alerta internas que ajudam a identificar o abuso de permissões de administrador, a atividade de malware, possíveis ameaças externas e internas e riscos de gerenciamento do ciclo de vida de dados. Essas políticas são ativadas por padrão, mas talvez seja necessário configurar alertas personalizados para ajudar a gerenciar requisitos de conformidade específicos para sua organização.

Use a política de alerta e as ferramentas de alerta dashboard para criar políticas de alerta personalizadas e exibir os alertas gerados quando os usuários executarem atividades que correspondam às condições da política. Alguns exemplos podem ser usar políticas de alerta para rastrear atividades de usuário e administrador que afetam requisitos de conformidade, permissões e incidentes de perda de dados em sua organização.

Para obter diretrizes passo a passo para criar políticas de alerta personalizadas, consulte Políticas de alerta no Microsoft 365.

Tarefa 5: classificar e proteger dados confidenciais

Para fazer o trabalho deles, as pessoas em sua organização colaboram com outras pessoas dentro e fora da organização. Isso significa que o conteúdo não fica mais atrás de um firewall , ele pode percorrer todos os lugares, entre dispositivos, aplicativos e serviços. E quando ele percorre, você deseja que ele faça isso de forma segura e protegida que atenda às políticas de conformidade e negócios da sua organização.

Os rótulos de confidencialidade permitem classificar e proteger os dados da sua organização, ao mesmo tempo em que garantem que a produtividade do usuário e sua capacidade de colaborar não sejam prejudicados. Use rótulos de confidencialidade para impor restrições de criptografia e uso aplicar marcas visuais e proteger informações entre plataformas e dispositivos, locais e na nuvem.

Para obter diretrizes passo a passo para configurar e usar rótulos de confidencialidade, consulte Introdução aos rótulos de confidencialidade.

Tarefa 6: configurar políticas de retenção

Uma política de retenção permite que você decida proativamente se deve manter conteúdo, excluir conteúdo ou ambos — reter e, em seguida, excluir o conteúdo no final de um período de retenção especificado. Essas ações podem ser necessárias para cumprir as regulamentações do setor e políticas internas e reduzir seu risco em caso de litígio ou violação de segurança.

Quando o conteúdo está sujeito a uma política de retenção, as pessoas podem continuar editando e trabalhando com o conteúdo como se nada tivesse sido alterado. O conteúdo é mantido no local, em seu local original. Mas se alguém editar ou excluir o conteúdo que está sujeito à política de retenção, uma cópia do conteúdo original será salva em um local seguro onde ele é retido enquanto a política de retenção desse conteúdo está em vigor.

Você pode colocar rapidamente as políticas de retenção em vigor para vários serviços em seu ambiente do Microsoft 365 que incluem mensagens do Teams e Viva Engage, email do Exchange, sites do SharePoint e contas do OneDrive. Não há limites para o número de usuários, caixas de correio ou sites que uma política de retenção pode incluir automaticamente. Mas se você precisar obter mais seletiva, poderá fazer isso configurando um escopo adaptável baseado em consulta para direcionar dinamicamente instâncias específicas ou um escopo estático que especifica instâncias específicas para sempre incluir ou sempre excluir.

Para obter diretrizes passo a passo para configurar políticas de retenção, consulte Criar e configurar políticas de retenção. Como as políticas de retenção formam a pedra angular de uma estratégia de gerenciamento de ciclo de vida de dados para aplicativos e serviços do Microsoft 365, consulte Introdução ao gerenciamento do ciclo de vida de dados.

Tarefa 7: configurar informações confidenciais e políticas de linguagem inadequadas

Proteger informações confidenciais e detectar e agir em incidentes de assédio no local de trabalho é uma parte importante da conformidade com políticas e padrões internos. A conformidade com a comunicação no Microsoft Purview ajuda a minimizar esses riscos, ajudando você a detectar, capturar e executar rapidamente ações de correção para e-mail e comunicações do Microsoft Teams. Elas incluem comunicações inadequadas que contêm palavrões, ameaças e assédio e comunicações que compartilham informações confidenciais dentro e fora de sua organização.

Um modelo de política de texto de detecção inadequada pré-definido permite que você marcar comunicações internas e externas para correspondências de política para que possam ser examinadas por revisores designados. Os revisores podem investigar emails, Microsoft Teams, Viva Engage ou comunicações de terceiros em sua organização e tomar as medidas de correção apropriadas para garantir que eles estejam em conformidade com os padrões da sua organização.

O modelo de política de detecção de informações confidenciais pré-definido ajuda você a criar rapidamente uma política para marcar email e comunicações do Microsoft Teams contendo tipos de informações confidenciais definidos ou palavras-chave para ajudar a garantir que dados importantes não sejam compartilhados com pessoas que não devem ter acesso. Essas atividades podem incluir comunicação não autorizada sobre projetos confidenciais ou regras específicas do setor sobre insider trading ou outras atividades de conluio.

Para obter diretrizes passo a passo para planejar e configurar a conformidade de comunicação, consulte Planejar a conformidade com a comunicação e Introdução à conformidade com a comunicação. Para obter informações sobre licenciamento de conformidade de comunicação, consulte Diretrizes de licenciamento do Microsoft 365 para conformidade de & de segurança.

Tarefa 8: veja o que está acontecendo com seus itens confidenciais

Rótulos de confidencialidade, tipos de informações confidenciais, rótulos e políticas de retenção e classificadores treináveis podem ser usados para classificar e rotular itens confidenciais no Exchange, SharePoint e OneDrive, como você viu nas tarefas anteriores. A última etapa em sua jornada de tarefa rápida é ver quais itens foram rotulados e quais ações seus usuários estão tomando esses itens confidenciais. O gerenciador de conteúdo e o gerenciador de atividades fornecem essa visibilidade.

Explorador de conteúdo

O gerenciador de conteúdo permite exibir, em seu formato nativo, todos os itens que foram classificados como um tipo de informação confidencial ou que pertencem a uma determinada classificação por um classificador treinável e todos os itens que têm o rótulo de confidencialidade ou retenção aplicados.

Para obter diretrizes passo a passo para usar o gerenciador de conteúdo, consulte Conhecer seus dados – visão geral da classificação de dados e Introdução ao gerenciador de conteúdo.

Explorador de atividade

O gerenciador de atividades ajuda você a monitorar o que está sendo feito com seus itens confidenciais classificados e rotulados em:

  • SharePoint
  • Exchange
  • OneDrive

Há mais de 30 filtros diferentes disponíveis para uso, alguns são:

  • intervalo de datas
  • tipo de atividade
  • localização
  • usuário
  • rótulo de confidencialidade
  • rótulo de retenção
  • caminho do arquivo
  • Política de DLP

Para obter diretrizes passo a passo para usar o gerenciador de atividades, consulte Introdução ao gerenciador de atividades.

Próximas etapas

Agora que você configurou os conceitos básicos para gerenciamento de conformidade para sua organização, considere as seguintes soluções de conformidade no Microsoft Purview para ajudá-lo a proteger informações confidenciais e detectar e agir sobre riscos internos adicionais.

Configurar rótulos de retenção

Enquanto as políticas de retenção se aplicam automaticamente a todos os itens no nível do contêiner (como sites do SharePoint, caixas de correio de usuário e assim por diante), os rótulos de retenção se aplicam a itens individuais, como um documento do SharePoint ou uma mensagem de email. Você pode aplicar esses rótulos manualmente ou automaticamente.

Os rótulos de retenção podem ser usados como parte de sua estratégia de governança de dados para manter o que você precisa e excluir o que você não precisa. Use esses rótulos quando precisar de exceções às políticas de retenção quando documentos ou emails específicos precisarem de diferentes configurações de retenção ou exclusão. Por exemplo, sua política do SharePoint mantém todos os documentos por três anos, mas documentos comerciais específicos devem ser mantidos por cinco anos. Para obter mais informações, consulte Criar rótulos de retenção para obter exceções às suas políticas de retenção.

No entanto, os rótulos de retenção, quando usados com o gerenciamento de registros, fornecem muitas outras opções de gerenciamento para dar suporte a documentos e emails no nível do item. Esse nível de gerenciamento de dados é adequado para itens de alto valor para requisitos de registro comercial, legal ou regulatório. Para obter mais informações, consulte Introdução ao gerenciamento de registros.

Identificar e definir tipos de informações confidenciais

Defina tipos de informações confidenciais com base no padrão contido nas informações nos dados da sua organização. Usar tipos de informações confidenciais internos ajuda a identificar e proteger números de cartão de crédito, números de conta bancária, números de passaporte e muito mais. Ou crie tipos de informações confidenciais personalizados específicos para sua organização.

Para obter diretrizes passo a passo para definir tipos de informações confidenciais personalizados, consulte Criar tipos de informações confidenciais personalizados

Evita a perda de dados

Prevenção Contra Perda de Dados do Microsoft Purview políticas (DLP) permitem identificar, monitorar e proteger automaticamente informações confidenciais em sua organização do Microsoft 365. Use políticas DLP para identificar itens confidenciais entre os serviços da Microsoft, impedir o compartilhamento acidental de itens confidenciais e ajudar os usuários a aprender a manter a conformidade sem interromper seu fluxo de trabalho.

Para diretrizes passo a passo para configurar políticas DLP, crie e implante políticas de prevenção contra perda de dados. Para obter informações de licenciamento de gerenciamento de perda de dados, consulte Diretrizes de licenciamento do Microsoft 365 para conformidade de & de segurança.

Detectar e agir sobre riscos internos

Cada vez mais, os funcionários têm acesso crescente para criar, gerenciar e compartilhar dados em um amplo espectro de plataformas e serviços. Na maioria dos casos, as organizações têm recursos e ferramentas limitados para identificar e mitigar riscos em toda a organização, ao mesmo tempo em que atendem aos requisitos de conformidade e aos padrões de privacidade dos funcionários. Esses riscos podem incluir o roubo de dados partindo de funcionários e vazamentos de dados de informações fora de sua organização por compartilhamento acidental ou intenção mal-intencionada.

O gerenciamento de risco interno usa a amplitude total do serviço e dos indicadores de terceiros para ajudá-lo a identificar, triagem e agir rapidamente sobre atividades arriscadas do usuário. Usando logs do Microsoft 365 e do Microsoft Graph, o gerenciamento de risco interno permite que você defina políticas específicas para identificar indicadores de risco e tomar medidas para mitigar esses riscos.

Para obter diretrizes passo a passo para planejar e configurar políticas de gerenciamento de riscos internos, consulte Planejar para gerenciamento de risco interno e Introdução ao gerenciamento de risco interno. Para obter informações de licenciamento de gerenciamento de risco interno, consulte Diretrizes de licenciamento do Microsoft 365 para conformidade com & de segurança.