Proteja o acesso externo ao Microsoft Teams, SharePoint e OneDrive com o Microsoft Entra ID

Use este artigo para determinar e configurar a colaboração externa da sua organização usando o Microsoft Teams, o OneDrive for Business e o SharePoint. Um desafio comum é equilibrar segurança e facilidade de colaboração para usuários finais e usuários externos. Se um método de colaboração aprovado for percebido como restritivo e oneroso, os usuários finais evitarão o método aprovado. Os usuários finais podem enviar conteúdo não seguro por e-mail ou configurar processos e aplicativos externos, como um Dropbox ou OneDrive pessoal.

Antes de começar

Este artigo é o número 9 de uma série de 10 artigos. Recomendamos que você revise os artigos em ordem. Vá para a seção Próximas etapas para ver a série inteira.

Configurações de Identidades Externas e ID do Microsoft Entra

O compartilhamento no Microsoft 365 é parcialmente regido pelas configurações de Identidades Externas, Colaboração Externa no ID do Microsoft Entra. Se o compartilhamento externo estiver desabilitado ou restrito no Microsoft Entra ID, ele substituirá as configurações de compartilhamento definidas no Microsoft 365. Uma exceção é se a integração do Microsoft Entra B2B não estiver habilitada. Você pode configurar o SharePoint e o OneDrive para oferecer suporte ao compartilhamento ad hoc por meio de OTP (senha de uso único). A captura de tela a seguir mostra a caixa de diálogo Identidades externas, Configurações de colaboração externa.

Saiba mais:

• Centro de administração do Microsoft Entra
• Identidades externas no Microsoft Entra ID

Acesso de usuário convidado

Os usuários convidados são convidados a ter acesso aos recursos.

1. Inicie sessão no centro de administração do Microsoft Entra.
2. Navegue até Configurações de colaboração externa de identidades>>externas.
3. Encontre as opções de acesso do usuário convidado.
4. Para impedir o acesso de usuário convidado a outros detalhes de usuário convidado e para impedir a enumeração de associação de grupo, selecione Usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório.

Configurações de convite de convidado

As configurações de convite de convidado determinam quem convida hóspedes e como eles são convidados. As configurações são ativadas se a integração B2B estiver habilitada. É recomendável que administradores e usuários, na função Convidado Convidado, possam convidar. Essa configuração permite a configuração de processos de colaboração controlados. Por exemplo:

• O proprietário da equipe envia um ticket solicitando atribuição para a função Guest Inviter:

  • Responsável pelos convites dos convidados
  • Concorda em não adicionar usuários ao SharePoint
  • Realiza revisões de acesso regulares
  • Revoga o acesso conforme necessário

• A equipa de TI:

  • Após a conclusão do treinamento, a equipe de TI concede a função de convidado convidado
  • Garante que há licenças suficientes do Microsoft Entra ID P2 para os proprietários do grupo Microsoft 365 que analisarão
  • Cria uma revisão de acesso de grupo do Microsoft 365
  • Confirma a ocorrência de revisões de acesso
  • Remove usuários adicionados ao SharePoint

1. Selecione o banner para Enviar códigos de acesso únicos por e-mail para os hóspedes.
2. Em Habilitar inscrição de autoatendimento de convidado por meio de fluxos de usuário, selecione Sim.

Restrições de colaboração

Para a opção Restrições de colaboração, os requisitos de negócios da organização ditam a escolha do convite.

• Permitir que convites sejam enviados para qualquer domínio (mais inclusivo) - qualquer usuário pode ser convidado
• Negar convites para os domínios especificados - qualquer usuário fora desses domínios pode ser convidado
• Permitir convites apenas para os domínios especificados (mais restritivos) - qualquer usuário fora desses domínios não pode ser convidado

Usuários externos e usuários convidados no Teams

O Teams diferencia entre usuários externos (fora da sua organização) e usuários convidados (contas de convidado). Você pode gerenciar a configuração de colaboração no centro de administração do Microsoft Teams em Configurações de toda a organização. As credenciais de conta autorizadas são necessárias para entrar no portal de administração do Teams.

• Acesso externo - O Teams permite acesso externo por padrão. A organização pode se comunicar com todos os domínios externos
  • Usar a configuração Acesso Externo para restringir ou permitir domínios
• Acesso de convidados - gerencie o acesso de convidados no Teams

Saiba mais: Use o acesso de convidado e o acesso externo para colaborar com pessoas fora da sua organização.

O recurso de colaboração Identidades Externas no Microsoft Entra ID controla permissões. Você pode aumentar as restrições no Teams, mas as restrições não podem ser menores do que as configurações do Microsoft Entra.

Saiba mais:

• Gerenciar reuniões externas e bate-papo no Microsoft Teams
• Passo 1. Determine seu modelo de identidade na nuvem
• Modelos de identidade e autenticação para o Microsoft Teams
• Rótulos de sensibilidade para o Microsoft Teams

Controlar o acesso no SharePoint e no OneDrive

Os administradores do SharePoint podem encontrar configurações em toda a organização no centro de administração do SharePoint. É recomendável que as configurações de toda a organização sejam os níveis mínimos de segurança. Aumente a segurança em alguns sites, conforme necessário. Por exemplo, para um projeto de alto risco, restrinja os usuários a determinados domínios e desative os membros de convidar convidados.

Saiba mais:

• Centro de administração do SharePoint - permissões de acesso são necessárias
• Introdução ao centro de administração do SharePoint
• Visão geral do compartilhamento externo

Integrando o SharePoint e o OneDrive com o Microsoft Entra B2B

Como parte de sua estratégia para governar a colaboração externa, é recomendável habilitar a integração do SharePoint e do OneDrive com o Microsoft Entra B2B. O Microsoft Entra B2B tem autenticação e gerenciamento de usuário convidado. Com a integração do SharePoint e do OneDrive, use senhas únicas para compartilhamento externo de arquivos, pastas, itens de lista, bibliotecas de documentos e sites.

Saiba mais:

• Autenticação de senha única por e-mail
• Integração do SharePoint e OneDrive com o Microsoft Entra B2B
• Visão geral da colaboração B2B

Se você habilitar a integração B2B do Microsoft Entra, o compartilhamento do SharePoint e do OneDrive estará sujeito às configurações de relações organizacionais do Microsoft Entra, como Membros podem convidar e Convidados podem convidar.

Políticas de partilha no SharePoint e no OneDrive

No portal do Azure, você pode usar as configurações de Compartilhamento Externo para SharePoint e OneDrive para ajudar a configurar políticas de compartilhamento. As restrições do OneDrive não podem ser mais permissivas do que as configurações do SharePoint.

Saiba mais: Visão geral do compartilhamento externo

Recomendações de configurações de compartilhamento externo

Use as orientações nesta seção ao configurar o compartilhamento externo.

• Qualquer pessoa - Não recomendado. Se habilitado, independentemente do status de integração, nenhuma política do Azure será aplicada para esse tipo de link.
  • Não habilite essa funcionalidade para colaboração controlada
  • Use-o para restrições em sites individuais
• Hóspedes novos e existentes - Recomendado, se a integração estiver ativada
  • Integração B2B do Microsoft Entra habilitada: convidados novos e atuais têm uma conta de convidado do Microsoft Entra B2B que você pode gerenciar com as políticas do Microsoft Entra
  • Integração do Microsoft Entra B2B não habilitada: os novos convidados não têm uma conta B2B do Microsoft Entra e não podem ser gerenciados a partir do Microsoft Entra ID
  • Os hóspedes têm uma conta Microsoft Entra B2B, dependendo de como o convidado foi criado
• Hóspedes existentes - Recomendado, se você não tiver a integração habilitada
  • Com essa opção ativada, os usuários podem compartilhar com outros usuários em seu diretório
• Somente pessoas em sua organização - Não recomendado com colaboração de usuário externo
  • Independentemente do status de integração, os usuários podem compartilhar com outros usuários em sua organização
• Limitar o compartilhamento externo por domínio - Por padrão, o SharePoint permite acesso externo. O compartilhamento é permitido com domínios externos.
  • Use esta opção para restringir ou permitir domínios para o SharePoint
• Permitir que apenas usuários em grupos de segurança específicos compartilhem externamente - Use essa configuração para restringir quem compartilha conteúdo no SharePoint e no OneDrive. A configuração no Microsoft Entra ID se aplica a todos os aplicativos. Use a restrição para direcionar os usuários para treinamento sobre compartilhamento seguro. A conclusão é o sinal para adicioná-los a um grupo de segurança de compartilhamento. Se essa configuração for selecionada e os usuários não puderem se tornar um participante aprovado, eles poderão encontrar maneiras não aprovadas de compartilhar.
• Permitir que os hóspedes compartilhem itens que não possuem - Não recomendado. A orientação é desativar esse recurso.
• As pessoas que usam um código de verificação devem se autenticar novamente após esses dias (o padrão é 30) - Recomendado

Controlos de acesso

A configuração de controles de acesso afeta todos os usuários em sua organização. Como talvez você não consiga controlar se os usuários externos têm dispositivos compatíveis, os controles não serão abordados neste artigo.

• Saída de sessão ociosa - Recomendado
  • Use esta opção para avisar e sair dos usuários em dispositivos não gerenciados, após um período de inatividade
  • Você pode configurar o período de inatividade e o aviso
• Local de rede - Defina esse controle para permitir o acesso a partir de endereços IP que sua organização possui.
  • Para colaboração externa, defina esse controle se seus parceiros externos acessarem recursos quando estiverem em sua rede ou com sua rede virtual privada (VPN).

Links de arquivos e pastas

No centro de administração do SharePoint, você pode definir como os links de arquivos e pastas são compartilhados. Você pode definir a configuração para cada site.

Com a integração B2B do Microsoft Entra habilitada, o compartilhamento de arquivos e pastas com usuários fora da organização resulta na criação de um usuário B2B.

1. Em Escolha o tipo de link selecionado por padrão quando os usuários compartilham arquivos e pastas no SharePoint e no OneDrive, selecione Somente pessoas em sua organização.
2. Em Escolha a permissão selecionada por padrão para compartilhar links, selecione Editar.

Você pode personalizar essa configuração para um padrão por site.

Qualquer pessoa vincula

Ativar links para qualquer pessoa não é recomendado. Se você habilitá-lo, defina uma expiração e restrinja os usuários para exibir permissões. Se você selecionar Exibir somente permissões para arquivos ou pastas, os usuários não poderão alterar os links de Qualquer pessoa para incluir privilégios de edição.

Saiba mais:

• Visão geral do compartilhamento externo
• Integração do SharePoint e OneDrive com o Microsoft Entra B2B

Próximos passos

Use a série de artigos a seguir para saber como proteger o acesso externo aos recursos. Recomendamos que siga a ordem listada.

1. Determine sua postura de segurança para acesso externo com o Microsoft Entra ID

2. Descubra o estado atual da colaboração externa na sua organização

3. Criar um plano de segurança para acesso externo a recursos

4. Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365

5. Transição para colaboração governada com colaboração B2B do Microsoft Entra

6. Gerencie o acesso externo com o gerenciamento de direitos do Microsoft Entra

7. Gerencie o acesso externo a recursos com políticas de Acesso Condicional

8. Controle o acesso externo a recursos no Microsoft Entra ID com rótulos de sensibilidade

9. Proteja o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID (Você está aqui)

10. Converter contas de convidado locais em contas de convidado B2B do Microsoft Entra