Proteger o acesso externo ao Microsoft Teams, ao SharePoint e ao OneDrive com o Microsoft Entra ID
Use este artigo para determinar e configurar a colaboração externa da sua organização usando o Microsoft Teams, OneDrive for Business e SharePoint. Um desafio comum é equilibrar a segurança e a facilidade de colaboração para usuários finais e usuários externos. Se um método de colaboração aprovado for percebido como restritivo e oneroso, os usuários finais evitarão o método aprovado. Os usuários finais podem enviar por email conteúdo não seguro ou configurar processos e aplicativos externos, como um Dropbox pessoal ou OneDrive.
Antes de começar
Este artigo é o número 9 em uma série de 10 artigos. Recomendamos que você leia os artigos na ordem. Vá para a seção Próximas etapas para ver toda a série.
Configurações de Identidades Externas e Microsoft Entra ID
O compartilhamento no Microsoft 365 é em parte controlado pelas Configurações de Colaboração externa e Identidades Externas no Microsoft Entra ID. Se o compartilhamento externo estiver desabilitado ou restrito no Microsoft Entra ID, ele substituirá as configurações de compartilhamento definidas no Microsoft 365. Uma exceção será se a integração do Microsoft Entra B2B não estiver habilitada. Você pode configurar o Microsoft Office SharePoint Online e o OneDrive para oferecer suporte ao compartilhamento ad hoc por meio de senha de uso único (OTP). A captura de tela a seguir mostra a caixa de diálogo de configurações de Identidades Externas, Colaboração externa.
Saiba mais:
Acesso do usuário convidado
Os usuários convidados são convidados a ter acesso aos recursos.
- Entre no Centro de administração do Microsoft Entra.
- Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.
- Encontre as opções de Acesso do usuário Convidado.
- Para impedir o acesso de usuário convidado a outros detalhes de usuário convidado e impedir a enumeração de associação de grupo, selecione Usuários convidados têm acesso limitado a propriedades e associações de objetos do directoy.
Configurações de convite do convidado
As configurações de convite de convidado determinam quem convida os convidados e como os convidados são convidados. As configurações estarão habilitadas se a integração B2B estiver habilitada. É recomendável que administradores e usuários, na função Emissor do Convite, possam convidar. Essa configuração permite a configuração de processos de colaboração controlados. Por exemplo:
O proprietário da equipe envia uma atribuição de solicitação de tíquete para a função Emissor do Convite:
- Responsável por convidar os convidados
- Concorda com não adicionar usuários ao SharePoint
- Executa revisões de acesso regulares
- Revoga o acesso conforme necessário
A equipe de TI:
- Após a conclusão do treinamento, a equipe de TI concede a função Emissor do Convite
- Garante que haja licenças do Microsoft Entra ID P2 suficientes para os proprietários de grupos do Microsoft 365 que revisarão
- Cria uma análise de acesso de grupo do Microsoft 365
- Confirma se ocorrem revisões de acesso
- Remove usuários adicionados ao SharePoint
- Selecione a faixa para Enviar senhas únicas por email para os convidados.
- Para Habilitar a inscrição de autoatendimento de convidado por meio de fluxos dos usuários, selecione Sim.
Restrições de colaboração
Para a opção Restrições de colaboração, os requisitos de negócios da organização determinam a escolha do convite.
- Permitir que convites sejam enviados para qualquer domínio (mais inclusivo), qualquer usuário pode ser convidado
- Negar convites para os domínios especificados – qualquer usuário fora desses domínios pode ser convidado
- Permitir convites apenas para os domínios especificados (mais restritivos), nenhum usuário fora desses domínios pode ser convidado
Usuários externos e usuários convidados no Teams
O Teams diferencia usuários externos (fora da sua organização) e usuários convidados (contas de convidado). Gerencie a configuração de colaboração no centro de administração do Microsoft Teams em configurações de toda a organização. Credenciais de conta autorizadas são necessárias para entrar no portal de Administração do Teams.
- Acesso Externo – o Teams permite o acesso externo por padrão. A organização pode se comunicar com todos os domínios externos
- Usar a configuração de Acesso Externo para restringir ou permitir domínios
- Acesso de convidado – gerenciar o acesso de convidado no Teams
Saiba mais: Use o acesso de convidado e o acesso externo para colaborar com pessoas de fora da sua organização.
O recurso de colaboração Identidades Externas no Microsoft Entra ID controla permissões. Você pode aumentar as restrições no Teams, mas as restrições não podem ser inferiores às configurações do Microsoft Entra.
Saiba mais:
- Gerenciar reuniões externas e chat no Microsoft Teams
- Etapa 1. Determinar seu modelo de identidade de nuvem
- Modelos de identidade e autenticação para o Microsoft Teams
- Rótulos de sensibilidade para o Microsoft Teams
Controlar o acesso no SharePoint e no OneDrive
Os administradores do SharePoint podem encontrar configurações de toda a organização no Centro de administração do SharePoint. É recomendável que as configurações de toda a organização tenham os níveis mínimos de segurança. Aumente a segurança em alguns sites, conforme necessário. Por exemplo, para um projeto de alto risco, restrinja os usuários a determinados domínios e desabilite a capacidade dos membros de convidar convidados.
Saiba mais:
- Centro de administração do SharePoint – permissões de acesso são necessárias
- Introdução ao Centro de administração do SharePoint
- Visão geral do compartilhamento externo
Integrando o SharePoint e OneDrive ao Microsoft Entra B2B
Como parte de sua estratégia para controlar a colaboração externa, é recomendável habilitar a integração do SharePoint e do OneDrive com o Microsoft Entra B2B. O Microsoft Entra B2B tem autenticação e gerenciamento de usuário convidado. Com a integração do SharePoint e do OneDrive, use senhas de uso único do Azure AD B2B para o compartilhamento externo de arquivos, pastas, itens de lista, bibliotecas de documentos e sites.
Saiba mais:
- Autenticação de senha de uso único por e-mail
- Integração do SharePoint e do OneDrive ao Microsoft Entra B2B
- Visão geral da colaboração B2B
Se você habilitar a integração do Microsoft Entra B2B, o compartilhamento do SharePoint e do OneDrive estará sujeito às configurações de relações organizacionais do Microsoft Entra, como Membros podem convidar e Convidados podem convidar.
Compartilhamento de políticas no SharePoint e no OneDrive
No portal do Azure, você pode usar as configurações de Compartilhamento Externo do SharePoint e do OneDrive para ajudar a configurar as políticas de compartilhamento. As restrições do OneDrive não podem ser mais permissivas do que as configurações do SharePoint.
Saiba mais: Visão geral do compartilhamento externo
Recomendações de configurações de compartilhamento externo
Use as diretrizes nesta seção ao configurar o compartilhamento externo.
- Qualquer pessoa – Não recomendado. Se habilitado, independentemente do status de integração, nenhuma política do Azure será aplicada a esse tipo de link.
- Não habilite essa funcionalidade para colaboração controlada
- Use-a para restrições em sites individuais
- Convidados novos e existentes – Recomendado, se a integração estiver habilitada
- Integração do Microsoft Entra B2B habilitada: convidados novos e atuais têm uma conta de convidado do Microsoft Entra B2B que você pode gerenciar com políticas do Microsoft Entra
- Integração do Microsoft Entra B2B não habilitada: os novos convidados não têm uma conta do Microsoft Entra B2B e não podem ser gerenciados com o Microsoft Entra ID
- Os convidados têm uma conta do Microsoft Entra B2B, dependendo de como o convidado foi criado
- Convidados existentes – Recomendado, se você não tiver a integração habilitada
- Com esta opção habilitada, os usuários podem compartilhar somente com outros usuários em seu diretório
- Somente pessoas em sua organização – Não recomendado com a colaboração de usuário externo
- Independentemente do status de integração, os usuários podem compartilhar com outros usuários em sua organização
- Limitar o compartilhamento externo por domínio – por padrão, o SharePoint permite acesso externo. O compartilhamento é permitido com domínios externos.
- Use esta opção para restringir ou permitir domínios para o SharePoint
- Permitir que somente usuários em grupos de segurança específicos compartilhem externamente – Use esta configuração para restringir quem compartilha conteúdo no SharePoint e no OneDrive. A configuração no Microsoft Entra ID serve a todos os aplicativos. Use a restrição para direcionar os usuários ao treinamento sobre compartilhamento seguro. A conclusão é o sinal para adicioná-los a um grupo de segurança de compartilhamento. Se essa configuração estiver selecionada e os usuários não puderem se tornar um participante aprovado, eles poderão encontrar maneiras não aprovadas de compartilhar.
- Permitir que convidados compartilhem itens que não são de sua propriedade - Não recomendado. A orientação é desabilitar esse recurso.
- As pessoas que usam um código de verificação devem se autenticar novamente após esse número de dias (o padrão é 30) – Recomendado
Controles de acesso
A configuração de controle de acesso afetará todos os usuários em sua organização. Como talvez você não consiga controlar se os usuários externos têm dispositivos compatíveis, os controles não serão abordados neste artigo.
- Saída de sessão ociosa – Recomendado
- Use essa opção para avisar e desconectar usuários em dispositivos não gerenciados, após um período de inatividade
- Você pode configurar o período de inatividade e o aviso
- Local de rede – defina esse controle para permitir o acesso de endereços IP de sua organização.
- Para colaboração externa, defina esse controle se seus parceiros externos acessarem recursos quando estiverem em sua rede ou com sua VPN (rede virtual privada).
Links de arquivos e pastas
No centro de administração do SharePoint, você também pode definir como os links de arquivo e pasta são compartilhados. Você também pode definir essas configurações para cada site.
Com a integração do Microsoft Entra B2B habilitada, o compartilhamento de arquivos e pastas com usuários fora da organização resulta na criação de um usuário B2B.
- Para Escolher o tipo de link selecionado por padrão quando os usuários compartilham arquivos e pastas no SharePoint e no OneDrive, selecione Somente pessoas em sua organização.
- Em Escolher a permissão selecionada por padrão para compartilhar links, selecione Editar.
Você pode personalizar essa configuração para um padrão por site.
Links para qualquer pessoa
Não é recomendável habilitar links para Qualquer pessoa. Se você habilitá-lo, defina uma expiração e restrinja os usuários para exibir permissões. Se você escolher permissões de Somente exibição para arquivos ou pastas, os usuários não poderão alterar links de Qualquer pessoa para incluir privilégios de edição.
Saiba mais:
- Visão geral do compartilhamento externo
- Integração do SharePoint e do OneDrive ao Microsoft Entra B2B
Próximas etapas
Confira os artigos a seguir para saber mais sobre como proteger o acesso externo aos recursos. Recomendamos que você siga a ordem listada.
Determine sua postura de segurança para acesso externo com a ID do Microsoft Entra
Descubra o estado atual de colaboração externa na sua organização
Proteger o acesso externo com grupos na ID do Microsoft Entra e no Microsoft 365
Transição para colaboração governada com colaboração B2B do Microsoft Entra
Gerenciar o acesso externo com o gerenciamento de direitos do Microsoft Entra
Gerenciar o acesso externo com políticas de Acesso Condicional
Controlar o acesso externo aos recursos do Microsoft Entra ID com rótulo de confidencialidade
Proteger o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID (Você está aqui)
Converter contas de convidado locais nas contas de convidado B2B do Microsoft Entra