Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Crie suspensões para preservar conteúdo que possa ser relevante para um caso de Deteção de Dados Eletrónicos. Coloque uma suspensão nas caixas de correio do Exchange e nas contas do OneDrive das pessoas que está a investigar no caso. Também pode colocar uma suspensão nas caixas de correio e sites associados ao Microsoft Teams, grupos do Microsoft 365 e Grupos de Viva Engage. Quando coloca as localizações de conteúdo em espera, preserva o conteúdo até remover a localização do conteúdo da suspensão ou até eliminar ou libertar a suspensão.
Importante
Depois de criar uma suspensão de Deteção de Dados Eletrónicos, a suspensão poderá demorar até 24 horas. Para retenção de dados de longo prazo não relacionada com investigações de Deteção de Dados Eletrónicos, utilize políticas de retenção e etiquetas de retenção. Para obter mais informações, consulte saiba mais sobre políticas e rótulos de retenção.
Quando cria uma suspensão, tem as seguintes opções para definir o âmbito do conteúdo que é preservado nas localizações de conteúdo especificadas:
- Crie uma retenção infinita em que todo o conteúdo nos locais especificados é colocado em espera. Em alternativa, crie uma suspensão baseada em consultas em que apenas o conteúdo nas localizações especificadas que corresponda a uma consulta de pesquisa é colocado em suspensão.
- Especifique um intervalo de datas para preservar apenas o conteúdo que foi enviado, recebido ou criado nesse intervalo. Em alternativa, mantenha todos os conteúdos em localizações especificadas, independentemente de quando foram enviados, recebidos ou criados.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Criar uma retenção
Dica
Prefere uma experiência de guia de configuração interativa? Consulte o guia Aplicar uma suspensão .
Para criar uma suspensão de Deteção de Dados Eletrónicos associada a um caso de Deteção de Dados Eletrónicos, conclua os seguintes passos:
Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador com permissões de Deteção de Dados Eletrónicos atribuídas.
Selecione a solução de Deteção de Dados Eletrónicos card e, em seguida, selecione Casos (pré-visualização) no painel de navegação esquerdo.
Selecione um caso e, em seguida, selecione o separador Políticas de suspensão.
Na dashboard Políticas de suspensão, selecione Criar política.
Na página Introduzir detalhes para começar , preencha os seguintes campos:
- Nome da política: atribua um nome (obrigatório) à política de suspensão. O nome da política de suspensão tem de ser exclusivo na sua organização.
- Descrição da política: adicione uma descrição opcional para ajudar outras pessoas a compreender esta política de suspensão.
Selecione Criar para criar a nova política de suspensão e inicie a suspensão dos dados relevantes para o caso.
Para adicionar origens de dados a uma política de retenção, veja Origens de dados na Deteção de Dados Eletrónicos para obter orientações passo a passo.
No painel de lista de opções Gerir origens de dados , adicione ou remova origens de dados para a sua política de retenção. Pode escolher um ou mais utilizadores, grupos ou localizações da organização.
Tem de selecionar pelo menos uma origem de dados para criar uma política de retenção.
Introduza as localizações específicas de utilizadores, grupos ou organizações que pretende adicionar à política de suspensão.
Grupos de distribuição: quando cria uma suspensão e seleciona um grupo de distribuição como uma origem de dados, todos os membros atuais do grupo de distribuição são listados. Pode selecionar todas as caixas de correio ou sites para cada utilizador incluir na suspensão.
Importante
Quando seleciona uma lista de distribuição para colocar em suspensão, a lista de distribuição expande-se para os membros da lista de distribuição. Pode optar por colocar todas as caixas de correio e sites de todos os membros em espera ou um subconjunto/mistura destas origens de dados em espera. As alterações subsequentes na associação à lista de distribuição não mudam nem atualizam retenções ou a política. Tem de adicionar novamente a lista de distribuição à origem de dados para garantir que a associação mais recente é refletida e expandida.
Caixas de correio do Exchange: as caixas de verificação aplicáveis estão selecionadas para as caixas de correio colocadas em espera. Utilize Editar para localizar caixas de correio de utilizadores e grupos de distribuição (as caixas de correio dos membros do grupo) para colocar em espera. Também pode colocar uma suspensão na caixa de correio associada para um Grupo Microsoft Team, Microsoft 365 e Viva Engage. Para obter mais informações sobre os dados da aplicação que são preservados quando uma caixa de correio é colocada em espera, consulte Conteúdo armazenado em caixas de correio para Deteção de Dados Eletrónicos.
Sites do SharePoint: as caixas de verificação aplicáveis estão selecionadas para sites do SharePoint e contas do OneDrive colocadas em suspensão. Utilize Editar para introduzir o URL para sites adicionais que pretende colocar em espera. Também pode adicionar o URL do site do SharePoint para uma Equipa microsoft, um grupo do Microsoft 365 ou um Grupo do Yammer. Para evitar uma possível truncagem de URL, recomendamos que os nomes de sites do SharePoint permaneçam abaixo dos 70 carateres. As políticas de suspensão podem não conseguir localizar sites para URLs de site truncados e podem ter erros de acesso. Não é permitido colocar uma suspensão no subsite, mesmo que o subsite seja apresentado no seletor de localização. Se o subsite estiver selecionado, a suspensão é colocada no site do SharePoint geral.
Importante
A Reciclagem nos sites do SharePoint não está indexada e, portanto, indisponível para pesquisa. Como resultado, as pesquisas de Deteção de Dados Eletrónicos não conseguem encontrar conteúdos da Reciclagem para colocar suspensões.
Selecione Salvar. Acabou de definir o âmbito das origens de dados para a sua política de suspensão.
Para definir os parâmetros da política de suspensão, escolha uma das seguintes opções no separador Política de suspensão:
Construtor de condições: a opção de construtor de condições na pesquisa fornece uma experiência de filtragem visual quando cria políticas de suspensão. Cada condição adiciona uma cláusula que é criada e executada quando cria a suspensão. Por exemplo, você pode especificar um intervalo de datas para que documentos de email ou site criados dentro do intervalo de datas sejam preservados. Para obter informações detalhadas sobre como utilizar a opção de construtor de condições, veja Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos.
QL por palavra-chave (KeyQL): a opção de consulta QL por palavra-chave (KeyQL) na pesquisa fornece orientações e permite-lhe colar rapidamente consultas longas e complexas diretamente no editor. Para obter informações detalhadas sobre a criação de consultas de pesquisa com a opção KeyQL, consulte Utilizar QL por palavra-chave para criar consultas de pesquisa na Deteção de Dados Eletrónicos.
Também pode criar rapidamente consultas KeyQL para a sua pesquisa com Microsoft Security Copilot. Para obter mais informações, consulte Criar uma consulta de pesquisa KeyQL com Microsoft Copilot (pré-visualização).
Importante
Para obter os melhores resultados ao lidar com itens encriptados ou parcialmente indexados, limite as condições a Data, Participantes e Escrever em suspensões baseadas em consultas. As consultas não são eficazes noutras condições em itens encriptados ou parcialmente indexados e podem não ser aplicadas a estes itens.
Selecione Aplicar suspensão.
Importante
Para aplicar uma suspensão a um site do SharePoint, o site tem de ter um título.
Depois de criar uma suspensão, marcar que a suspensão é aplicada com êxito ao navegar para o separador Detalhes da política de suspensão. Pode rever as seguintes informações para a política de suspensão:
- Nome: o nome da origem de dados.
- Localização: a localização específica (como o endereço SMTP da caixa de correio ou o URL do site) das origens de dados incluídas na política de retenção.
- Mantenha status: a suspensão status da localização. Indica se a localização está em espera, não em espera ou se existe um erro com a suspensão.
- Tipo de origem: mostra se o tipo de origem de dados é Pessoas ou Grupo.
- Tipo de localização: mostra se a localização é Caixa de Correio ou Site.
Observação
Quando cria uma suspensão baseada em consultas, inicialmente coloca todo o conteúdo das localizações selecionadas em espera. Mais tarde, o sistema limpa qualquer conteúdo que não corresponda à consulta especificada da suspensão a cada sete a 14 dias. No entanto, uma suspensão baseada em consultas não limpa o conteúdo se aplicar mais de cinco suspensões de qualquer tipo a uma localização de conteúdo. A suspensão inclui sempre itens parcialmente ou não identificados de uma localização com uma suspensão baseada em consultas.
Criar uma suspensão a partir de uma pesquisa
Pode criar uma suspensão de Deteção de Dados Eletrónicos diretamente a partir da pesquisa. No entanto, criar uma suspensão diretamente a partir de uma pesquisa tem as seguintes restrições:
A suspensão remove origens de dados ao nível do inquilino contidas na pesquisa. As suspensões não suportam origens de dados ao nível do inquilino.
A suspensão expande as listas de distribuição contidas na pesquisa. Pode optar por colocar todas as caixas de correio e sites de todos os membros em espera ou um subconjunto ou mistura destas origens de dados em espera. As alterações subsequentes na associação à lista de distribuição não mudam nem atualizam retenções ou a política. Se a lista de distribuição estiver vazia, será removida da suspensão porque não há nada para expandir.
A consulta utilizada na pesquisa não é incorporada na política de suspensão. As origens de dados no âmbito da pesquisa estão incluídas na política de suspensão.
Para criar uma retenção de Deteção de Dados Eletrónicos a partir de uma pesquisa, conclua os seguintes passos:
- Conclua os passos para criar uma consulta de pesquisa.
- Selecione Criar uma suspensão na barra de comandos para a pesquisa.
- Veja a nova política de suspensão e atualize conforme necessário.
Gerente de processos
O Gestor de processos apresenta informações sobre os processos realizados na política de suspensão.
- Tipo de processo: o tipo de processo.
- Estado: a status do processo.
- Criado: a data e hora em que o processo foi criado.
- Concluído: a data e hora em que o processo foi concluído.
- Duração: a duração do processo.
- Criado por: o utilizador que criou o processo.
Para transferir a lista de processos e as informações da coluna, selecione Transferir lista para criar um ficheiro .csv que contém estas informações.
Para ver informações sobre todos os processos de Deteção de Dados Eletrónicos, veja Utilizar o relatório processo na Deteção de Dados Eletrónicos.
Retenções baseadas em consulta colocadas em sites
Tenha em atenção os seguintes pontos quando colocar uma deteção de dados eletrónicos baseada em consultas em documentos localizados em sites do SharePoint:
- Uma suspensão baseada em consultas preserva inicialmente todos os documentos num site durante um curto período de tempo depois de os eliminar. Quando elimina um documento, move-o para a biblioteca Detenção de Preservação, mesmo que não corresponda aos critérios da suspensão baseada na consulta. No entanto, uma tarefa de temporizador remove documentos eliminados que não correspondem a uma suspensão baseada em consultas. A tarefa de temporizador é executada periodicamente e compara todos os documentos na biblioteca Detenção de Preservação com as retenções de Deteção de Dados Eletrónicos baseadas em consultas (e outros tipos de políticas de retenção e retenção). A tarefa de temporizador elimina os documentos que não correspondem a uma suspensão baseada em consultas e preserva os documentos que o fazem.
- Utilize suspensões baseadas em consultas para efetuar a preservação direcionada, como palavras-chave, intervalos de datas ou outras propriedades do documento para preservar documentos do site.
Preservar conteúdo no Microsoft Teams
As conversações que fazem parte de um canal do Microsoft Teams são armazenadas na caixa de correio associada ao Microsoft Team. Da mesma forma, os arquivos que os membros da equipe compartilham em um canal são armazenados no site do SharePoint da equipe. Por conseguinte, tem de colocar a caixa de correio da Equipa e o site do SharePoint em suspensão de Deteção de Dados Eletrónicos para preservar conversações e ficheiros num canal.
Em alternativa, as conversações que fazem parte da lista de Conversas no Teams ( chamadas chats 1:1 ou conversas de grupo 1:N) são armazenadas nas caixas de correio dos utilizadores que participam na conversa. Os ficheiros que os utilizadores partilham em conversações de chat são armazenados na conta do OneDrive do utilizador que partilha o ficheiro. Por conseguinte, tem de adicionar as caixas de correio de utilizador individuais e as contas do OneDrive a uma suspensão de Deteção de Dados Eletrónicos para preservar conversações e ficheiros na lista de conversas. É uma boa ideia colocar uma suspensão nas caixas de correio de membros de uma Equipa da Microsoft, além de colocar a caixa de correio e o site de equipa em espera.
Observação
Se a sua organização tiver uma implementação híbrida do Exchange (ou a sua organização sincronizar uma organização do Exchange no local com Office 365) e tiver ativado o Microsoft Teams, os utilizadores no local podem utilizar a aplicação de chat do Teams e participar em chats de 1:1 e chats de grupo 1:N. Estas conversações são armazenadas no armazenamento baseado na cloud que está associado a um utilizador no local. Se colocar um utilizador no local numa suspensão de Deteção de Dados Eletrónicos, os conteúdos de chat do Teams no armazenamento baseado na cloud são preservados. Para obter mais informações, confira Pesquisar dados de bate-papo do Teams para usuários locais.
Preservar card conteúdo
Os conteúdos dos cartões gerados por aplicações em canais do Teams, chats 1:1 e chats de grupo 1:N são armazenados em caixas de correio e são preservados quando coloca uma caixa de correio numa suspensão de Deteção de Dados Eletrónicos. Um cartão é um contêiner de interface de usuário para pequenos pedaços de conteúdo. Os cartões podem ter várias propriedades e anexos e podem incluir itens que acionam card ações. Para obter mais informações, consulte Cartões. Como outros conteúdos de equipes, onde o conteúdo do cartão é armazenado é baseado em onde o cartão foi usado. O conteúdo dos cartões usados em um canal Teams é armazenado na caixa de correio do grupo Teams. O conteúdo do cartão para bate-papos individuais e 1xN é armazenado nas caixas de correio dos participantes do bate-papo.
Preservar informações de reuniões e chamadas
As informações de resumo de reuniões e chamadas num canal do Teams também são armazenadas nas caixas de correio dos utilizadores que marcaram para a reunião ou chamada. Este conteúdo também é preservado quando coloca uma suspensão de Deteção de Dados Eletrónicos nas caixas de correio dos utilizadores.
Preservar conteúdo em canais privados
Também pode preservar conteúdos em canais privados. As conversas de canal privado são armazenadas numa caixa de correio de canal privado dedicada. Os dados de mensagens de canal privado da caixa de correio de cada utilizador são movidos para a caixa de correio do canal privado e as edições de mensagens e mensagens eliminadas não são copiadas para a caixa de correio. Para os utilizadores suspensos, as cópias das edições de mensagens e das mensagens eliminadas permanecem na pasta da biblioteca preservada do utilizador até que a suspensão expire, enquanto a versão mais recente dos dados de mensagens de canal privado da caixa de correio de cada utilizador é copiada para a caixa de correio do canal privado.
Preservar conteúdo wiki
Todos os canais de equipa ou equipa também contêm um Wiki para tomar notas e colaborar. O conteúdo Wiki é salvo automaticamente em um arquivo com um formato .mht. Esse arquivo é armazenado na biblioteca de documentos de Dados do Wiki do Teams no site do SharePoint da equipe. Pode preservar o conteúdo wiki ao adicionar o site do SharePoint da equipa a uma suspensão de Deteção de Dados Eletrónicos.
Observação
A capacidade de preservar o conteúdo wiki de um canal de equipa ou equipa (quando coloca o site do SharePoint da equipa em espera) foi lançada a 22 de junho de 2017. Se um site de equipa estiver suspenso, o conteúdo wiki é mantido a partir dessa data. No entanto, se um site de equipa estiver suspenso e o conteúdo wiki tiver sido eliminado antes de 22 de junho de 2017, o conteúdo wiki não será preservado.
Grupos do Microsoft 365
O Teams baseia-se em grupos do Microsoft 365. Por conseguinte, colocar grupos do Microsoft 365 em suspensão de Deteção de Dados Eletrónicos é semelhante a colocar os conteúdos do Teams em espera.
Tenha em atenção os seguintes aspetos ao colocar os grupos do Teams e do Microsoft 365 numa suspensão de Deteção de Dados Eletrónicos:
Para colocar conteúdos localizados em grupos do Teams e do Microsoft 365 em espera, tem de especificar a caixa de correio e o site do SharePoint que estão associados a um grupo ou equipa.
Execute o cmdlet Get-UnifiedGroup no Exchange Online PowerShell para ver as propriedades do Teams e dos grupos do Microsoft 365. Esta é uma boa forma de obter o URL do site associado a uma Equipa ou grupo do Microsoft 365. Por exemplo, o seguinte comando apresenta as propriedades selecionadas para um grupo do Microsoft 365 com o nome Equipa de Liderança Sénior:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamObservação
Para executar o cmdlet Get-UnifiedGroup, precisa da função Destinatários do View-Only na Exchange Online ou associação a um grupo de funções que tenha atribuída a função destinatários do View-Only.
Quando a caixa de correio de um utilizador é pesquisada, não é pesquisada qualquer equipa ou grupo do Microsoft 365 do qual o utilizador seja membro. Da mesma forma, quando coloca um grupo team ou Microsoft 365 em suspensão de Deteção de Dados Eletrónicos, apenas a caixa de correio do grupo e o site de grupo são colocados em espera. As caixas de correio e os sites do OneDrive dos membros do grupo não são colocados em suspensão, a menos que os adicione explicitamente à suspensão da Deteção de Dados Eletrónicos. Por isso, se tiver de colocar um grupo team ou Microsoft 365 em espera por um motivo legal, considere adicionar as caixas de correio e as contas do OneDrive de membros da equipa ou do grupo na mesma suspensão.
Para obter uma lista dos membros de uma Equipa ou grupo do Microsoft 365, pode ver as propriedades na página Grupos no Centro de administração do Microsoft 365. Como alternativa, execute o comando a seguir no PowerShell do Exchange Online:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressObservação
Para executar o cmdlet Get-UnifiedGroupLinks, precisa da função Destinatários do View-Only na Exchange Online ou associação a um grupo de funções que tenha atribuída a função Destinatários do View-Only.
Preservar conteúdo em contas do OneDrive
Importante
O período de retenção das contas do OneDrive eliminadas é diferente do período de retenção das caixas de correio. Para obter mais informações sobre o período de retenção das contas do OneDrive eliminadas, consulte Retenção e eliminação do OneDrive.
Para recolher uma lista dos URLs dos sites do OneDrive na sua organização para que possa adicioná-los a uma suspensão ou pesquisa associada a um caso de Deteção de Dados Eletrónicos, consulte Criar uma lista de todas as localizações do OneDrive na sua organização.
O script neste artigo cria um ficheiro de texto que contém uma lista de todos os sites do OneDrive na sua organização. Para executar este script, tem de instalar e utilizar o Shell de Gerenciamento do SharePoint Online. Não se esqueça de acrescentar a URL do domínio MySite da organização para cada site do OneDrive que você deseja pesquisar. Este domínio contém todos os seus sites do OneDrive; por exemplo, https://contoso-my.sharepoint.com. Eis um exemplo de um URL para o site do OneDrive de um utilizador: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Importante
O URL da conta do OneDrive de um utilizador inclui o respetivo nome principal de utilizador (UPN) (por exemplo, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). No caso raro de o UPN de uma pessoa ser alterado, o URL do OneDrive também é alterado para incorporar o novo UPN. Se a conta do OneDrive de um utilizador fizer parte de uma suspensão de Deteção de Dados Eletrónicos e o RESpetivo UPN for alterado, terá de atualizar a suspensão adicionando o novo URL do OneDrive do utilizador e removendo o antigo. Se o URL do site do OneDrive for alterado, as suspensões anteriormente colocadas no site permanecerão efetivas e os conteúdos são preservados. Para saber mais, confira Como as alterações de UPN afetam a URL do OneDrive.
Removendo locais de conteúdo de uma retenção de Descoberta Eletrônica
Depois de remover uma caixa de correio, um site do SharePoint ou uma conta do OneDrive de uma suspensão de Deteção de Dados Eletrónicos, é aplicada uma suspensão de atraso . Esta suspensão atrasa a remoção real da suspensão durante 30 dias para impedir que os dados sejam eliminados permanentemente (removidos) de uma localização de conteúdo. Este atraso dá aos administradores a oportunidade de procurar ou recuperar conteúdos que são removidos após a remoção de uma suspensão da Deteção de Dados Eletrónicos. Os detalhes de como a retenção de atraso funciona para caixas de correio e sites são diferentes.
Caixas de correio: É colocada uma suspensão de atraso numa caixa de correio da próxima vez que o Assistente de Pastas Geridas processar a caixa de correio e detetar que uma suspensão de Deteção de Dados Eletrónicos foi removida. Especificamente, uma retenção de atraso é aplicada a uma caixa de correio quando o Assistente de Pasta Gerenciada define uma das seguintes propriedades de caixa de correio como True:
- DelayHoldApplied: Esta propriedade aplica-se a conteúdos relacionados com o e-mail (gerados por pessoas que utilizam o Outlook e Outlook na Web) armazenados na caixa de correio de um utilizador.
- DelayReleaseHoldApplied: Esta propriedade aplica-se a conteúdos baseados na nuvem (gerados por aplicações que não sejam do Outlook, como o Microsoft Teams, Microsoft Forms e o Microsoft Yammer) armazenados na caixa de correio de um utilizador. Os dados de nuvem gerados por um aplicativo da Microsoft geralmente são armazenados em uma pasta oculta na caixa de correio de um usuário.
Quando é colocada uma suspensão de atraso na caixa de correio (quando uma das propriedades anteriores está definida como Verdadeiro), a caixa de correio continua a ser considerada como estando em espera durante uma duração de suspensão ilimitada, como se a caixa de correio estivesse em Suspensão de Litígios. Após 30 dias, a suspensão do atraso expira e o Microsoft 365 tenta remover automaticamente a suspensão de atraso (ao definir a propriedade DelayHoldApplied ou DelayReleaseHoldApplied como Falso) para que a suspensão seja removida. Depois de uma destas propriedades ser definida como Falso, os itens correspondentes marcados para remoção são removidos da próxima vez que a caixa de correio for processada pelo Assistente de Pastas Geridas.
Sites do SharePoint e do OneDrive: Os conteúdos do SharePoint ou do OneDrive retidos na biblioteca Detenção de Preservação não são eliminados durante o período de retenção de atraso de 30 dias após a remoção de um site de uma suspensão de Deteção de Dados Eletrónicos. Este comportamento é semelhante ao que acontece quando um site é libertado de uma política de retenção. Além disso, você não pode excluir manualmente esse conteúdo na biblioteca de Retenção para Preservação durante o período de retenção de atraso de 30 dias. Para libertar um site da suspensão de atraso/período de tolerância de 30 dias, consulte o artigo Não é possível eliminar um site devido a uma política de retenção inválida ou a Deteção de Dados Eletrónicos contém o artigo de resolução de problemas.
Para obter mais informações, consulte Liberação de uma política de retenção.
Também é aplicada uma suspensão de atraso às localizações de conteúdo em espera quando fecha um caso de Deteção de Dados Eletrónicos porque as suspensões são desativadas quando um caso é encerrado. Para obter mais informações sobre como fechar um caso, veja Saiba mais sobre as definições de casos na Deteção de Dados Eletrónicos.