Blog do Chesley

Essa camada leva a proteção de dados até o ponto final — o dispositivo do usuário — garantindo que as políticas e rótulos do Microsoft Purview sejam aplicados mesmo fora da nuvem, em ambientes Windows, macOS e dispositivos móveis.

1. 💻 Camada de Endpoints e Dispositivos
   1. ⚙️ Como configurar passo a passo
   2. 🧠 Integração visual
   3. 📌 Mensagem técnica
2. 🏢 Integração com Ambientes On-Premises
   1. 🔹 Função
   2. ⚙️ Como configurar passo a passo
      1. 🔧 MIP Scanner (para classificação e rotulagem)
      2. 🛠 RMS Connector (para criptografia e uso híbrido)
   3. 📊 Integração visual

💻 Camada de Endpoints e Dispositivos

Por meio da integração com o Microsoft Defender for Endpoint (MDE), o sistema aplica proteção baseada em dados, e não apenas em dispositivo, atuando em tempo real em ações como:

• Bloquear cópia de arquivos confidenciais para USB;
• Impedir upload de documentos protegidos para sites não autorizados;
• Monitorar exfiltração de dados via navegador (Edge, Chrome, etc.);
• Detectar tentativas de remover rótulos de sensibilidade;
• Reportar eventos de violação de DLP diretamente ao SOC.

⚙️ Como configurar passo a passo

1. Pré-requisitos
   • Microsoft 365 E5 ou licenças equivalentes (Defender for Endpoint + Purview DLP);
   • Dispositivo com Windows 10/11 Enterprise ou macOS compatível;
   • Entra ID Join ou Hybrid Join habilitado.
2. Ativar Endpoint DLP no Compliance Portal
   • Acesse https://compliance.microsoft.com → Data Loss Prevention → Endpoint DLP Settings;
   • Marque Turn on device onboarding.
3. Integrar com Defender for Endpoint
   • No portal https://security.microsoft.com → Settings > Endpoints > Advanced Features;
   • Habilite:
     • “Microsoft Purview Information Protection Integration”;
     • “Endpoint DLP”;
     • “Web Content Filtering” (opcional).
4. Onboard os dispositivos
   • Em Device management > Onboarding, gere o script PowerShell;
   • Aplique via Intune, GPO ou manualmente nos endpoints.
5. Criar políticas DLP específicas para endpoints
   • Em Data Loss Prevention > Policies > Create policy;
   • Adicione a localização Devices;
   • Condições comuns:
     • “Quando o usuário copiar conteúdo confidencial para mídia removível”;
     • “Quando o usuário fizer upload para um app não gerenciado”.
   • Configure ações como Block, Audit e User notification.
6. Testar e validar
   • Copie um arquivo rotulado como “Confidencial” para um pen drive;
   • O sistema deve exibir pop-up informando o bloqueio.

🧠 Integração visual

Microsoft Purview DLP
         │
         ▼
Defender for Endpoint
         │
         ├─► Bloqueio de USB
         ├─► Controle de upload
         └─► Monitoramento em tempo real

📌 Mensagem técnica

“O Purview e o Defender trabalham juntos para aplicar proteção baseada em dados, não apenas em dispositivos — o controle segue o arquivo onde quer que ele vá.”

🏢 Integração com Ambientes On-Premises

🔹 Função

Nem todos os dados estão na nuvem — e o Purview reconhece isso.
Por meio do MIP Scanner e do RMS Connector, é possível estender as capacidades de classificação, rotulagem e proteção para servidores locais, compartilhamentos de arquivos e instâncias do SharePoint Server.

Isso garante visibilidade híbrida, protegendo documentos armazenados tanto no SharePoint Online quanto em file shares on-premises.

⚙️ Como configurar passo a passo

🔧 MIP Scanner (para classificação e rotulagem)

1. Pré-requisitos
   • Sistema operacional Windows Server 2019+;
   • Acesso ao Microsoft Purview Information Protection SDK;
   • Conta com permissões de Compliance Administrator.
2. Baixar e instalar o MIP Scanner
   • Download via Microsoft Download Center;
   • Instale o Unified Labeling Client;
   • Configure o arquivo AzureInformationProtectionScanner.exe.config com as credenciais do scanner.
3. Registrar o scanner
   • Install-AIPScanner -Profile "DefaultProfile"
4. Definir o escopo de escaneamento
   • Em FileShares > Add, insira os caminhos das pastas locais ou compartilhamentos;
   • Configure a frequência de varredura (manual ou agendada).
5. Executar e validar
   • Start-AIPScan
     • O scanner identifica arquivos com dados sensíveis e aplica o rótulo correspondente.

🛠 RMS Connector (para criptografia e uso híbrido)

1. Função: Permite que sistemas legados (ex: Exchange Server ou SharePoint Server) usem o serviço de proteção na nuvem (Azure Rights Management – Azure RMS).
2. Instalação:
   • Baixe o RMS Connector;
   • Instale em dois servidores dedicados;
   • Configure o proxy para redirecionar solicitações de RMS locais para o Azure RMS.
3. Verifique a comunicação
   • No painel do Purview, valide se os servidores aparecem como connected services.

📊 Integração visual

MIP Scanner ─► File Shares / SharePoint Server
       │
       ▼
RMS Connector ─► Azure RMS (Protection Services)
       │
       ▼
Purview Portal (visibilidade unificada)