Proteger o acesso externo com grupos na ID do Microsoft Entra e no Microsoft 365
Grupos são parte de uma estratégia de controle de acesso. Você pode usar os grupos de segurança do Microsoft Entra e os Grupos do Microsoft 365 como base para proteger o acesso aos recursos. Use grupos para os seguintes mecanismos de controle de acesso:
- Políticas de Acesso Condicional
- Pacotes de acesso a gerenciamento de direitos
- Acesso a recursos do Microsoft 365, ao Microsoft Teams e a sites do SharePoint
Os grupos têm as seguintes funções:
- Proprietários do grupo – gerenciam as configurações do grupo e sua associação
- Membros – herdam permissões e acesso atribuídos ao grupo
- Convidados – são membros de fora da organização
Antes de começar
Este artigo é o número 4 em uma série de 10 artigos. Recomendamos que você revise os artigos na ordem. Vá para a seção Próximas etapas para ver toda a série.
Estratégia de grupo
Para desenvolver uma estratégia de grupo para proteger o acesso externo aos seus recursos, considere a postura de segurança desejada.
Saiba mais: Determinar sua postura de segurança para acesso externo
Criação de grupo
Determine quem recebe permissões para criar grupos: administradores, funcionários e/ou usuários externos. Considere os seguintes cenários:
- Os membros do locatário podem criar grupos de segurança do Microsoft Entra
- Usuários internos e externos podem ingressar em grupos no locatário
- Usuários podem criar Grupos do Microsoft 365
- Gerenciar quem pode criar Grupos do Microsoft 365
- Usar o Windows PowerShell para definir essa configuração
- Restringir seu aplicativo Microsoft Entra a um conjunto de usuários em um locatário Microsoft Entra
- Configurar o gerenciamento de grupos de autoatendimento no Microsoft Entra ID
- Solucionar problemas e resolver problemas de grupos
Convites para grupos
Como parte da estratégia de grupo, considere quem pode convidar pessoas ou adicioná-las a grupos. Os membros do grupo podem adicionar outros membros ou os proprietários do grupo podem adicionar membros. Decida quem pode ser convidado. Por padrão, usuários externos podem ser adicionados a grupos.
Atribuir usuários a grupos
Usuários podem ser atribuídos a grupos manualmente, com base nos atributos de usuário em seu objeto de usuário, ou podem ser atribuídos segundo outros critérios. Os usuários só podem ser atribuídos a grupos dinamicamente com base nos atributos deles. Por exemplo, você pode atribuir usuários a grupos com base em:
- Cargo ou departamento
- Organização parceira à qual pertencem
- Manualmente ou por meio de organizações conectadas
- Tipo de usuário Membro ou Convidado
- Participação em um projeto
- Manualmente
- Location
Grupos dinâmicos podem conter usuários ou dispositivos, mas não ambos. Para atribuir usuários ao grupo dinâmico, adicione consultas baseadas nos atributos do usuário. A captura de tela a seguir tem consultas que adicionam usuários ao grupo se eles forem membros do departamento financeiro.
Saiba mais: Criar ou atualizar um grupo dinâmico no ID do Microsoft Entra
Usar grupos para função única
Ao usar grupos, é importante que eles tenham uma única função. Se um grupo for usado para conceder acesso a recursos, não use-o para qualquer outra finalidade. Recomendamos uma convenção de nomenclatura de grupo de segurança que torne a finalidade clara:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
Tipos de grupo
Você pode criar grupos de segurança do Microsoft Entra e Grupos do Microsoft 365 no portal do Azure ou no portal de administração do Microsoft 365. Use um tipo de grupo para proteger o acesso externo.
| Considerações | Grupos de segurança manuais e dinâmicos do Microsoft Entra | Grupos do Microsoft 365 |
|---|---|---|
| O grupo contém | Usuários Grupos Entidades de serviço Dispositivos |
Somente usuários |
| Local onde o grupo é criado | Portal do Azure Portal do Microsoft 365 (se habilitado para email) PowerShell Microsoft Graph Portais do usuário final |
Portal do Microsoft 365 Portal do Azure PowerShell Microsoft Graph Em aplicativos Microsoft 365 |
| Quem cria, por padrão | Administradores Usuários |
Administradores Usuários |
| Quem é adicionado, por padrão | Usuários internos (membros do locatário) e usuários convidados | Membros do locatário e convidados de qualquer organização |
| Acesso é concedido a | Recursos aos quais ele foi atribuído. | Recursos relacionados ao grupo: (Caixa de correio de grupo, site, equipe, chats e outros recursos do Microsoft 365 incluídos) Outros recursos aos quais o grupo é adicionado |
| Podem ser usada com | Acesso condicional Gerenciamento de direitos Licenciamento de grupo |
Acesso Condicional Gerenciamento de direitos rótulos de confidencialidade |
Observação
Use Grupos do Microsoft 365 para criar e gerenciar um conjunto de recursos do Microsoft 365, como o Teams e seus sites e conteúdos associados.
Grupos de segurança do Microsoft Entra
Os grupos de segurança do Microsoft Entra podem ter usuários ou dispositivos. Use esses grupos para gerenciar o acesso a:
- Recursos do Azure
- Microsoft 365 Apps
- Aplicativos personalizados
- Aplicativos SaaS (software como serviço), como o Dropbox e ServiceNow
- Dados e assinaturas do Azure
- Serviços do Azure
Use os grupos de segurança do Microsoft Entra para atribuir:
- Licenças para serviços
- Microsoft 365
- Dynamics 365
- Enterprise Mobility + Security
- Confira O que é o licenciamento baseado em grupo do Microsoft Entra ID?
- Permissões elevadas
Saiba mais:
- Gerenciar grupos e associações de grupos do Microsoft Entra
- Cmdlets do Microsoft Entra versão 2 para gerenciamento de grupo.
Observação
Use grupos de segurança para atribuir até 1.500 aplicativos.
Grupo de segurança habilitado para email
Para criar um grupo de segurança habilitado para email, vá para o centro de administração do Microsoft 365. Habilite um grupo de segurança para email durante a criação. Não será possível habilitá-lo posteriormente. Não é possível criar o grupo no portal do Azure.
Organizações híbridas e grupos de segurança do Microsoft Entra
As organizações híbridas têm infraestrutura para o local e um Microsoft Entra ID. Organizações híbridas que usam o Active Directory podem criar grupos de segurança localmente e sincronizá-los com a nuvem. Consequentemente, apenas os usuários no ambiente local poderão ser adicionados aos grupos de segurança.
Importante
Proteja sua infraestrutura local contra comprometimento. Confira: Proteger o Microsoft 365 contra ataques locais.
Grupos do Microsoft 365
Grupos do Microsoft 365 é o serviço de associação para acesso ao Microsoft 365. Os grupos podem ser criados no portal do Azure ou no centro de administração do Microsoft 365. Ao criar um Grupo do Microsoft 365, você concede acesso a um grupo de recursos para colaboração.
Saiba mais:
- Visão geral dos Grupos do Microsoft 365 para administradores
- Criar um grupo no centro de administração do Microsoft 365
- Centro de administração do Microsoft Entra
- Centro de administração do Microsoft 365
Funções dos Grupos do Microsoft 365
- Proprietários do grupo
- Adicionar ou remover membros
- Excluem conversas da caixa de entrada compartilhada
- Alteram configurações de grupo
- Renomeiam o grupo
- Atualizam a descrição ou a imagem
- Membros
- Acessam tudo no grupo
- Não podem alterar configurações de grupo
- Podem convidar participantes para ingressar no grupo
- Gerenciar o acesso de convidados em grupos do Microsoft 365
- Guests
- São membros de fora da organização
- Têm alguns limites para a funcionalidade no Teams
Configurações do grupo do Microsoft 365
Selecione alias de email, privacidade e se deseja habilitar o grupo para equipes.
Após a instalação, adicione membros e defina as configurações para o uso de email e assim por diante.
Próximas etapas
Confira os artigos a seguir para saber mais sobre como proteger o acesso externo aos recursos. Recomendamos que você siga a ordem listada.
Determine sua postura de segurança para acesso externo com a ID do Microsoft Entra
Descubra o estado atual de colaboração externa na sua organização
Acesso externo seguro com grupos no Microsoft Entra ID e no Microsoft 365 (Você está aqui)
Transição para colaboração governada com colaboração B2B do Microsoft Entra
Gerenciar o acesso externo com o gerenciamento de direitos do Microsoft Entra
Gerenciar o acesso externo com políticas de Acesso Condicional
Controlar acesso externo aos recursos no Microsoft Entra ID com rótulos de confidencialidade
Converter contas de convidado locais nas contas de convidado B2B do Microsoft Entra
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de