Governando o acesso em grupos do Microsoft 365, Teams e SharePoint
Há muitos controles que permitem que você governe como as pessoas acessam recursos em grupos, equipes e SharePoint. Examine essas opções e considere como elas mapeiam para suas necessidades comerciais, a confidencialidade de seus dados e o escopo das pessoas com as quais seus usuários precisam colaborar.
A tabela a seguir fornece uma referência rápida para os controles de acesso disponíveis no Microsoft 365. Mais informações são fornecidas nas seções a seguir.
Categoria | Descrição | Referência |
---|---|---|
Associação | ||
Associação de grupo dinâmico com base em regras | Criar ou atualizar um grupo dinâmico no Microsoft Entra ID | |
Controlar quem pode compartilhar arquivos, pastas e sites. | Configurar e gerenciar solicitações de acesso | |
Acesso condicional | ||
Autenticação de vários fatores | Microsoft Entra autenticação multifator | |
Controlar o acesso ao dispositivo com base na confidencialidade de grupo, equipe ou site. | Use rótulos de confidencialidade para proteger o conteúdo do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint | |
Limitar o acesso ao site para dispositivos não gerenciados. | Controlar o acesso do SharePoint de dispositivos não gerenciados | |
Controlar o acesso ao site com base na localização | Controlar o acesso aos dados do SharePoint Online e do OneDrive com base no local de rede | |
Imponha condições de acesso mais rigorosas quando os usuários acessam sites do SharePoint. | Política de acesso condicional para sites do SharePoint e OneDrive | |
Acesso de convidados | ||
Permitir ou bloquear o compartilhamento do SharePoint de domínios especificados. | Restringir o compartilhamento do SharePoint e do OneDrive por domínio | |
Permitir ou bloquear a associação de equipe ou grupo de domínios especificados. | Permitir ou bloquear convites para usuários B2B de organizações específicas | |
Impedir o compartilhamento anônimo. | Desativar links para Qualquer pessoa | |
Controle as permissões para links de acesso anônimos. | Definir permissões de link para links de qualquer pessoa | |
Controle a expiração de links de compartilhamento anônimo. | Definir uma data de vencimento para links de Qualquer pessoa | |
Controlar o tipo de link de compartilhamento mostrado aos usuários por padrão. | Alterar o tipo de link padrão para um site | |
Limitar o compartilhamento externo a pessoas específicas. | Limitar o compartilhamento externo a grupos de segurança especificados | |
Controlar o acesso de convidado a um grupo, equipe ou site com base na confidencialidade de informações. | Use rótulos de confidencialidade para proteger o conteúdo do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint | |
Desative as opções de compartilhamento. | Limitar o compartilhamento no Microsoft 365 | |
Gerenciamento de usuários | ||
Examine a associação de equipe e grupo regularmente. | O que são Microsoft Entra revisões de acesso? | |
Automatizar o gerenciamento de acesso a grupos e equipes. | O que é Microsoft Entra gerenciamento de direitos? | |
Limitar o acesso do OneDrive a membros de um grupo de segurança específico. | Restringir o acesso do OneDrive por grupo de segurança | |
Restringir o acesso de equipes ou site a membros de um grupo. | Restringir o acesso do site do SharePoint a membros de um grupo | |
Classificação de informações | ||
Classificar grupos e equipes | Use rótulos de confidencialidade para proteger o conteúdo do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint | |
Classificar automaticamente conteúdo confidencial | Aplicar um rótulo de confidencialidade automaticamente ao conteúdo | |
Criptografar conteúdo confidencial | Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia | |
Segmentação de usuário | ||
Restringir a comunicação entre segmentos de usuário | Barreiras de informações | |
Residência de dados | ||
Armazenar dados em locais geográficos específicos | Microsoft 365 Multi-Geo |
Associação
Você pode gerenciar a associação de um grupo ou equipe dinamicamente com base em alguns critérios, como departamento. Nesse caso, membros e proprietários não podem convidar pessoas para a equipe. Grupos dinâmicos usam metadados que você define em Microsoft Entra ID para controlar quem é um membro do grupo. Certifique-se de que os metadados que você está usando estão completos e atualizados, pois metadados incorretos podem levar os usuários a ficarem de fora de grupos ou usuários incorretos serem adicionados.
Os sites do SharePoint fornecem a capacidade de adicionar proprietários, membros e visitantes além da associação de grupo ou equipe. Dependendo de seus requisitos, talvez você queira restringir quem pode convidar pessoas para o site. Além disso, dependendo da confidencialidade das informações em um determinado site, talvez você queira restringir quem pode compartilhar arquivos e pastas. Essas restrições são configuradas pela equipe, grupo ou proprietário do site:
Acesso condicional
Com o Microsoft 365, você pode exigir autenticação multifator para pessoas dentro e fora de sua organização. Há muitas opções para as circunstâncias em que as pessoas são solicitadas para um segundo fator de autenticação. É altamente recomendável implantar a autenticação multifator para sua organização:
Se você tiver informações confidenciais em alguns de seus grupos e equipes, poderá impor políticas de gerenciamento de dispositivo com base no rótulo de confidencialidade de um grupo ou equipe. Você pode bloquear totalmente o acesso de dispositivos não gerenciados ou permitir acesso limitado somente à Web:
No SharePoint, você pode restringir o acesso a sites de locais de rede especificados.
Recursos adicionais:
Acesso de convidados
Você pode restringir os convidados com base no domínio de seu endereço de email. O SharePoint oferece configurações de restrição de domínio específicas da organização e do site. Grupos e Teams usam as listas de permissões de domínio ou blocklists em Microsoft Entra ID. Certifique-se de configurar ambas as configurações para evitar o compartilhamento indesejado e garantir uma experiência consistente do usuário:
Restringir o compartilhamento do SharePoint e do OneDrive por domínio
Permitir ou bloquear convites para usuários B2B de organizações específicas
O Microsoft 365 permite o compartilhamento anônimo de arquivos e pastas usando links de compartilhamento de qualquer pessoa . Qualquer vínculo pode ser encaminhado e qualquer pessoa com o link pode acessar o item compartilhado. Dependendo da confidencialidade de seus dados, considere governar como os links de Qualquer pessoa são usados - incluindo desativar totalmente, restringir permissões de link somente leitura ou definir um tempo de validade para eles:
Ao compartilhar arquivos ou pastas, os usuários têm vários tipos de link para escolher. Para reduzir o risco de compartilhamento inadequado acidental, você pode alterar o tipo de link padrão apresentado aos usuários quando eles compartilham. Por exemplo, alterar o padrão de links de Qualquer Pessoa - que permitem acesso anônimo - para Pessoas em seus links de organização pode reduzir o risco de compartilhamento externo indesejado de informações confidenciais:
Se sua organização tiver dados confidenciais que você precisa compartilhar com convidados, mas você estiver preocupado com o compartilhamento inadequado, você poderá limitar o compartilhamento externo de arquivos e pastas aos membros de grupos de segurança especificados. Dessa forma, você pode restringir o compartilhamento externamente a um grupo específico de pessoas ou exigir que seus usuários façam treinamento em torno do compartilhamento externo apropriado antes de adicioná-los ao grupo de segurança:
Grupos e Equipes têm configurações no nível da organização que permitem ou negam o acesso de convidado. Embora você possa restringir o acesso de convidados a equipes ou grupos específicos usando o Microsoft PowerShell, recomendamos fazer isso por meio de um rótulo de confidencialidade. Com rótulos de confidencialidade, você pode permitir ou negar automaticamente o acesso de convidado com base no rótulo aplicado:
Em um ambiente em que você frequentemente convida convidados para grupos e equipes, considere configurar revisões de acesso de convidado agendadas regularmente. Os proprietários podem ser solicitados a examinar convidados em seus grupos e equipes e aprovar ou negar acesso.
O Microsoft 365 oferece muitos métodos diferentes de compartilhamento de informações. Se você tiver informações confidenciais e quiser restringir a forma como elas são compartilhadas, examine as opções para limitar o compartilhamento:
Recursos adicionais:
Práticas recomendadas para compartilhar arquivos e pastas com usuários não autenticados
Criar um ambiente de compartilhamento de convidado mais seguro
Habilite a colaboração externa B2B e gerencie quem pode convidar pessoas
Gerenciamento de usuários
À medida que grupos e equipes evoluem em sua organização, uma boa prática é examinar a associação de equipe e grupo regularmente. Isso pode ser particularmente útil para equipes e grupos com uma associação em alteração, aquelas que contêm informações confidenciais ou aquelas que incluem convidados. Considere configurar revisões de acesso para essas equipes e grupos:
Muitas organizações têm parcerias comerciais com outras organizações ou fornecedores-chave com as quais colaboram em profundidade. O gerenciamento de usuário e o acesso aos recursos podem ser desafiadores para gerenciar nesses cenários. Considere automatizar algumas das tarefas de gerenciamento de usuário e até mesmo fazer a transição de algumas delas para sua organização de parceiros:
Os canais privados no Teams permitem conversas com escopo e compartilhamento de arquivos entre um subconjunto de membros da equipe. Dependendo de suas necessidades comerciais específicas, talvez você queira permitir ou bloquear essa funcionalidade.
Os canais compartilhados permitem convidar pessoas que estão fora da equipe ou fora da organização. Dependendo de suas necessidades comerciais específicas e políticas de compartilhamento externo, talvez você queira permitir ou bloquear essa funcionalidade.
O OneDrive fornece uma maneira fácil para os usuários armazenarem e compartilharem o conteúdo em que estão trabalhando. Dependendo das suas necessidades comerciais, você pode querer restringir o acesso a esse conteúdo a funcionários da empresa em tempo integral ou outros grupos dentro da empresa. Nesse caso, você pode limitar o acesso ao conteúdo do OneDrive a membros de um grupo de segurança.
Para algumas equipes ou sites mais confidenciais, talvez você queira limitar o acesso ao conteúdo da equipe ou do site a membros da equipe ou a membros de um grupo de segurança.
Recursos adicionais:
Classificação de informações
Você pode usar rótulos de confidencialidade para controlar o acesso aos convidados, a privacidade do grupo e da equipe e o acesso por dispositivos não gerenciados para grupos e equipes. Quando um usuário aplica o rótulo, essas configurações são configuradas automaticamente conforme especificado pelas configurações do rótulo.
Você pode configurar o Microsoft 365 para aplicar automaticamente rótulos de confidencialidade a arquivos e emails com base nos critérios especificados, incluindo detectar tipos de informações confidenciais ou correspondência de padrões com classificadores treináveis.
Você pode usar rótulos de confidencialidade para criptografar arquivos, permitindo apenas aqueles com permissões para descriptografá-los e lê-los.
Recursos adicionais:
Segmentação de usuário
Com barreiras de informações, você pode segmentar seus dados e usuários para restringir a comunicação indesejada e a colaboração entre grupos e evitar conflitos de interesse em sua organização. As barreiras de informações permitem criar políticas para permitir ou impedir a colaboração de arquivos, conversas, chamadas ou convites de reunião entre grupos de pessoas em sua organização.
Residência de dados
Com o Microsoft 365 Multi-Geo, você pode provisionar e armazenar dados em repouso nas localizações geográficas escolhidas para atender aos requisitos de residência de dados. Em um ambiente multi-geográfico, seu locatário do Microsoft 365 consiste em um local central (onde sua assinatura do Microsoft 365 foi originalmente provisionada) e um ou mais locais satélites onde você pode armazenar dados.
Tópicos relacionados
Recomendações de planejamento de governança de colaboração
Criar seu plano de governança de colaboração
Segurança e conformidade no Microsoft Teams