Melhorias na Device Status API e exibição do e-mail do usuário logado no Endpoint DLP

TL;DR

A nova Device Status API e a exibição do e-mail do usuário logado no Endpoint DLP transformam o monitoramento de dispositivos de uma tarefa estática e manual em um sinal contínuo e com contexto de usuário. Com Advanced Hunting, equipes de segurança podem consultar em tempo real o estado de saúde, sincronização de políticas e versões de SO/Defender, reduzindo o tempo de investigação e eliminando a troca manual entre consoles. Para empresas brasileiras, isso significa maior eficiência operacional, auditorias mais confiáveis e detecção proativa de desvios de configuração.

1. O problema real que os analistas de Endpoint DLP enfrentavam (O que estava faltando)

Antes das melhorias na Device Status API e da visibilidade do usuário logado, as equipes de Endpoint DLP enfrentavam desafios constantes:

Visibilidade fragmentada e manual – clientes relatavam:

• Sabemos que alguns dispositivos estão com problemas, mas não sabemos a quem pertencem.
• Exportamos a tabela de onboarding para Excel toda semana apenas para entender desvios.
• Quando detectamos um problema de política, o usuário já está bloqueado ou impactado.

Na prática, isso significava:

• As visualizações de onboarding eram instantâneos estáticos, sem acionabilidade operacional.
• Administradores dependiam de exportações manuais para Excel para rastrear onboarding, desvios e saúde.
• Pipelines de relatórios frágeis e sempre desatualizados.

2. Por que os clientes pediram a Device Status API (Além de “relatórios”)

O custo oculto das operações baseadas em Excel: clientes precisavam:

• Exportar dados de onboarding manualmente.
• Reconstruir dashboards cada vez que precisavam de insights atualizados.
• Repetir esse processo semanal ou diariamente para revisões de compliance e SOC.

Essa abordagem falhava em escala e criava pontos cegos durante incidentes. Quando uma política de dispositivo falhava na sincronização ou aparecia como não saudável, os administradores não tinham uma visão em tempo real para responder perguntas básicas:

• Este dispositivo está configurado corretamente?
• O SO ou a versão do Defender estão desatualizados?
• O problema é generalizado ou isolado?

3. O que a melhoria desbloqueia (Nova realidade operacional)

De visualizações estáticas para monitoramento contínuo com a Device Status API:

• Saúde do dispositivo, status de configuração, estado de sincronização de políticas, versão do SO e versão do Defender se tornam sinais consultáveis.
• Clientes podem criar relatórios personalizados e consultas Advanced Hunting sempre atualizadas.
• As equipes de SOC e Endpoint finalmente compartilham uma única fonte de verdade sobre os dispositivos.

Isso muda fundamentalmente a forma como os clientes monitoram o Endpoint DLP: não mais como uma tarefa de configuração, mas como um plano de controle vivo. A API preenche essa lacuna ao disponibilizar continuamente o status dos dispositivos via Advanced Hunting, permitindo dashboards vivos em vez de relatórios estáticos.

4. O fluxo antigo (A dor do cliente)

Historicamente, quando um dispositivo exibia:

• Falha na sincronização de políticas
• Não saudável
• Inconsistência de configuração

Os administradores precisavam:

• Sair do console do Purview
• Abrir o Microsoft Defender for Endpoint ou Intune
• Correlacionar IDs ou nomes de dispositivos
• Identificar o usuário
• Iniciar a remediação

Essa alternância entre contextos custava tempo, precisão e confiança.

5. A nova realidade: contexto do usuário onde importa

Os administradores agora podem ver quem está logado diretamente na página de onboarding de dispositivos, alinhando o Windows com a experiência do macOS:

• Contexto imediato do usuário durante problemas de dispositivo.
• Contato e remediação mais rápidos.
• Uma superfície de investigação unificada.

O que antes exigia três portais e múltiplas equipes agora acontece em um único lugar.

6. Quando os clientes realmente precisavam desses dados (mas não os tinham)

Essa melhoria não foi movida por curiosidade, mas por pontos de falha em produção. Cenários comuns:

Cenário	Antes	Agora / Após melhoria
Cenário 1: Revisões trimestrais de compliance	Equipes exportavam arquivos Excel dias antes das auditorias, resultando em dados obsoletos. Auditores questionavam a confiabilidade dos relatórios.	Consultas Advanced Hunting alimentam dashboards de compliance ao vivo. Relatórios são defensáveis porque os dados estão sempre atualizados.
Cenário 2: Post-mortem de incidentes	Equipes tinham dificuldade em responder se os dispositivos estavam saudáveis no momento do incidente ou se as políticas estavam aplicadas versus apenas configuradas. Revisões baseavam-se em suposições.	Status do dispositivo, estado de sincronização de políticas e versões de SO/Defender são fatos consultáveis. Revisões de incidentes passam de suposições para análise baseada em evidências.
Cenário 3: Desvio silencioso de políticas	Dispositivos sofriam desvios devido a atualizações de SO, atraso de sensor ou mudanças de configuração. Problemas só apareciam após uma violação de DLP.	O desvio de políticas torna-se detectável antes de falhas de enforcement. O Endpoint DLP atua como um sinal de confiabilidade, não como um alarme de último recurso.

7. Nova melhoria na Device Status API

A Device Status API fornece aos administradores acesso a informações em nível de dispositivo para integrar dados de dispositivos onboarded a relatórios personalizados ou usar em consultas Advanced Hunting.

• Ajuda os administradores a rastrear usuários associados a dispositivos, sem precisar contatar as equipes de Entra, Active Directory on-premises ou Intune.
• Durante a solução de problemas, se um dispositivo não está recebendo políticas a tempo, a API permite identificar rapidamente o proprietário do dispositivo e auxilia na ativação de diagnósticos always-on ou coleta de logs diretamente do dispositivo via console do Purview.

8. Passos para capturar o UPN do usuário

1. O administrador pode encontrar o status do dispositivo acessando Security.microsoft.com como security admin. Clique em Investigation and responses > Hunting > Advanced hunting.
2. Os dados do dispositivo podem ser encontrados na coluna JSON DLPInfo na tabela Deviceinfo.

3. Após executar a consulta acima (ou qualquer consulta personalizada), você verá a resposta abaixo.

4. Clique no campo loggedonuser, expanda as informações do lado direito e procure por DLPUPN em inspect record.

9. Detalhes do login do usuário na página de onboarding do Purview

Os administradores agora podem ver quem está logado atualmente na página de onboarding de dispositivos. Esta atualização alinha a experiência do Windows com o macOS, permitindo que os administradores respondam rapidamente, se necessário.

No passado, quando um dispositivo exibia status "Policy Sync Failed" ou "Unhealthy", era necessário alternar para o Microsoft Defender for Endpoint (MDE) ou Intune para identificar o usuário afetado. Com esta atualização, todas as informações relevantes estão acessíveis em uma única visualização, simplificando o processo.

Benefícios:

• Os administradores ganham confirmação mais rápida da propriedade do dispositivo e contexto do usuário, sem investigação extra.
• Simplifica a solução de problemas de onboarding ou políticas, exibindo o usuário junto com outros insights do dispositivo, como status e IP.
• Sem impacto em usuários ou políticas de DLP, e está habilitado por padrão, sem ação necessária.

10. Passos para encontrar o UPN do usuário no console administrativo do Purview

Acesse Purview.microsoft.com como compliance admin > Settings > Device onboarding > Selecione o dispositivo.

Perguntas Frequentes

• Como a Device Status API ajuda a reduzir o tempo de investigação de incidentes?
  Antes, os administradores precisavam alternar entre Purview, Defender for Endpoint e Intune para correlacionar dados e identificar o usuário. Agora, a API permite consultar diretamente no Advanced Hunting o status do dispositivo, o usuário logado e a versão do Defender, tudo em um único lugar, eliminando a troca de contexto e acelerando a resposta.
• Essa melhoria impacta as políticas de DLP existentes ou os usuários finais?
  Não. As alterações são exclusivamente administrativas: a API e a exibição do e-mail logado não afetam o comportamento das políticas de DLP nem a experiência dos usuários. A funcionalidade é ativada por padrão, sem necessidade de configuração adicional.
• Como a visualização do e-mail do usuário logado no onboarding de dispositivos pode beneficiar auditorias de compliance?
  Com o e-mail do usuário visível diretamente na página de onboarding, os administradores podem verificar rapidamente a propriedade do dispositivo sem recorrer a outros sistemas. Em auditorias trimestrais, as consultas do Advanced Hunting geram dashboards ao vivo, tornando os relatórios defensáveis e atualizados, ao contrário das antigas exportações manuais para Excel.
• O que significa "silent policy drift" e como a nova API ajuda a detectá-lo?
  Silent policy drift ocorre quando dispositivos sofrem alterações silenciosas (como atualizações de SO, atraso de sensor ou mudanças de configuração) que só são percebidas após uma violação de DLP. A Device Status API permite consultar o estado de sincronização de políticas e a versão do Defender em tempo real, tornando o drift detectável antes que ocorra uma falha de enforcement.

---

Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.