Gerenciar a colaboração externa no Azure AD

  • 4 minutos

O Azure Active Directory é o serviço de diretório usado pelo Microsoft 365. As configurações de relações organizacionais do Azure Active Directory afetam diretamente o compartilhamento no Teams, Grupos do Microsoft 365, SharePoint e OneDrive.

Configurações de Identidades Externas do Microsoft Teams

As identidades Externas do Azure AD referem-se a todas as maneiras que você pode interagir com usuários fora da sua organização com segurança. Se você quiser colaborar com parceiros, distribuidores, fornecedores ou vendedores, poderá compartilhar seus recursos e definir como seus usuários internos podem acessar organizações externas.

A seguir estão as configurações de Identidades Externas para a experiência de colaboração externa no Microsoft Team:

Setting Padrão Descrição
Acesso de usuário convidado Os convidados têm acesso limitado a propriedades e associações de objetos de diretório Determina as permissões dos convidados no Azure Active Directory.
Configurações de convite de convidado Qualquer pessoa na organização pode convidar convidados, incluindo convidados e não administradores Determina se os convidados, membros e administradores podem convidar convidados para a organização.

Essa configuração afeta Microsoft 365 experiências de compartilhamento, como o Teams e o SharePoint.
Habilitar a entrada de autoatendimento de convidado via fluxos de usuário Não Determina se você pode criar fluxos de usuário que permitem que alguém se inscreva em um aplicativo que você criou e crie uma nova conta de convidado.
Restrições de colaboração Permitir o envio de convites para qualquer domínio Essa configuração permite especificar uma lista de domínios permitidos ou bloqueados para compartilhamento. Quando domínios permitidos são especificados, convites de compartilhamento só poderão ser enviados para esses domínios. Quando domínios negados são especificados, convites de compartilhamento não poderão ser enviados para esses domínios.

Essa configuração afeta Microsoft 365 experiências de compartilhamento, como o Teams e o SharePoint. Você pode permitir ou bloquear domínios em um nível mais granular usando a filtragem de domínios no SharePoint ou Teams.
Acesso entre locatários - Colaboração B2B: Permitir o acesso
- Conexão direta B2B: Bloquear o acesso
- Configurações organizacionais: Nenhuma		 As configurações controlam como as organizações externas do Azure AD colaboram com você (acesso de entrada) e como os usuários colaboram com organizações externas do Azure AD (acesso de saída).

As configurações de acesso entre locatários do Azure Active Directory para conexão direta B2B também devem ser configuradas para compartilhar um canal externamente.

Configurações de colaboração externa

As configurações de colaboração externa permitem especificar quais funções em sua organização podem convidar usuários externos para colaboração B2B. Essas configurações incluem as seguintes opções:

  • Acesso de usuário convidado
  • Especificar quem pode convidar convidados
  • Habilitar a entrada de autoatendimento de convidado via fluxos de usuário
  • Permitir ou bloquear domínios

Para definir as configurações:

  1. Entre no Centro de administração do Azure AD como um administrador de locatários.

  2. Selecione Identidades Externas > Configurações de colaboração externa.

  3. Em Acesso de usuário remoto, escolha o nível de acesso que você deseja que os usuários convidados tenham:

    • Usuários convidados têm o mesmo acesso que os membros (mais inclusivos): Essa opção fornece aos convidados o mesmo acesso aos recursos do Azure AD e aos dados de diretório que os usuários membros.

    • Usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório: (Padrão) Essa configuração bloqueia os convidados de determinadas tarefas de diretório, como enumerar usuários, grupos ou outros recursos de diretório. Os convidados podem ver a associação de todos os grupos não ocultos.

    • O acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório (mais restritivos): Com essa configuração, os convidados podem acessar apenas seus próprios perfis. Os convidados não têm permissão para ver perfis, grupos ou associações de grupo de outros usuários.

  4. Em Configurações de convite de convidado, escolha as configurações apropriadas:

    • Qualquer pessoa na organização pode convidar usuários convidados, incluindo convidados e não administradores (mais inclusivo): Para permitir que convidados na organização convidem outros convidados, incluindo os convidados que não são membros de uma organização, selecione este botão de opção.

    • Usuários e usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo convidados com permissões de membro: Para permitir que usuários membros e usuários que tenham funções de administrador específicas convidem convidados, selecione este botão de opção.

    • Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: Para permitir que somente os usuários com funções de administrador convidem convidados, selecione este botão de opção. As funções de administrador incluem Administrador Global, Administrador de Usuário e Emissor do convite.

    • Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivo): Para negar que todos na organização convidem convidados, selecione este botão de opção.

  5. Em Habilitar inscrição de autoatendimento de convidado por meio de fluxos de usuário, selecione Sim se quiser poder criar fluxos de usuário que permitem que os usuários se inscrevam em aplicativos.

  6. Em Restrições de colaboração, você pode optar por permitir ou negar convites para os domínios especificados e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha.

    Captura de tela das configurações de colaboração externa no Azure AD.

Configurações de acesso entre locatários

As configurações de acesso entre locatários são usadas para gerenciar a colaboração B2B e a conexão direta B2B com organizações externas do Azure AD, inclusive nas nuvens da Microsoft.

A conexão direta B2B do Azure Active Directory está desabilitada por padrão. Se você quiser permitir que seus usuários colaborem com pessoas de fora da sua organização em canais compartilhados no Microsoft Teams, você precisa configurar a conexão direta B2B. Você pode habilitar os canais compartilhados com todas as organizações externas ou específicas.

A seguir estão as configurações de administrador para o recurso de conexão direta B2B:

  • As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. Habilite essa configuração para permitir que os usuários participem de canais compartilhados em outras organizações.

  • As configurações de acesso de entrada controlam se os usuários de organizações externas do Azure AD podem acessar recursos em sua organização. Habilite essa configuração para permitir que os usuários convidem pessoas de outras organizações para participar de canais compartilhados

  • As configurações de confiança (entrada) determinam se suas políticas de Acesso Condicional confiarão na autenticação multifator (MFA), no dispositivo compatível e nas declarações de dispositivo ingressados no Azure AD híbrido de uma organização externa se os usuários já tiverem atendido a esses requisitos em seus locatários domésticos.

Diagrama que mostra as configurações de administrador da conexão direta B 2 B.

Habilitar canais compartilhados com todas as organizações externas

Se a sua organização não tiver um requisito para restringir a colaboração com outras organizações, habilitar todas as organizações por padrão pode economizar tempo e complexidade no gerenciamento de cada organização separadamente. Para saber mais, veja habilitar canais compartilhados com todas as organizações externas.

Habilitar canais compartilhados com todas as organizações específicas

Se sua organização tiver um requisito para restringir a colaboração com organizações específicas, você precisará configurar a Conexão Direta B2B para cada organização com a qual deseja colaborar. Estas são as etapas de alto nível:

  • Adicionar uma organização.
  • Configure as configurações de entrada para a organização para permitir que os usuários da organização sejam convidados para seus canais compartilhados.
  • Configure as configurações de saída para a organização para permitir que seus usuários sejam convidados para os canais compartilhados da outra organização.

Para mais informações, veja colaborar com participantes externos em um canal compartilhado.

Bloquear o acesso de convidados para grupos individuais e equipes

Além do controle no nível organizacional, você também pode controlar o acesso de convidados a grupos individuais.

Use o PowerShell do Azure Active Directory para Graph

Se você deseja permitir o acesso de convidados à maioria dos grupos e equipes, mas tem algum lugar onde deseja impedir o acesso de convidados, poderá bloquear o acesso de convidados para grupos individuais e equipes usando o PowerShell do Azure Active Directory para Graph. No entanto, você deve ter direitos de administrador global para executar esses comandos.

  1. Execute Install-Module AzureADPreview para verificar se é a versão mais recente deste módulo.

  2. Execute o script a seguir, alterando <GroupName> para o nome do grupo no qual você deseja bloquear o acesso de convidados

    $GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

  3. Para verificar suas configurações, execute este comando:

    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Usar Rótulos de confidencialidade

Se você usar rótulos de confidencialidade em sua organização, é recomendável usar os rótulos de confidencialidade para controlar o acesso de convidados por grupo, pois ele está disponível para os usuários.

Os usuários podem selecionar os rótulos de confidencialidade ao criar novas equipes no Microsoft Teams. Quando eles selecionam o rótulo na lista suspensa Confidencialidade, a configuração de privacidade pode mudar para refletir a configuração de rótulo. Dependendo da configuração de acesso de usuários externos que você selecionou para o rótulo, os usuários podem ou não adicionar pessoas de fora da organização à equipe