Configurar o Teams com três camadas de segurança para compartilhamento de arquivos
Alguns recursos neste artigo exigem Microsoft Syntex – Gerenciamento Avançado do SharePoint
Os artigos desta série fornecem recomendações para configurar equipes no Microsoft Teams e seus sites associados do SharePoint, para proteção de arquivos que equilibra a segurança com facilidade de colaboração.
Este artigo define quatro configurações diferentes, começando com uma equipe pública com as políticas de compartilhamento mais abertas. Cada configuração adicional representa um avanço significativo na proteção, enquanto a capacidade de acessar e colaborar nos arquivos armazenados nas equipes é reduzida ao conjunto relevante de membros da equipe.
As configurações nesse artigo se alinham às recomendações da Microsoft para três níveis de proteção de dados, identidades e dispositivos:
Proteção de linha de base
Proteção confidencial
Proteção altamente confidencial
Para obter informações sobre como criar um ambiente de reunião do Teams que atenda aos seus requisitos de conformidade, consulte Configurar reuniões do Teams com três camadas de proteção.
Visão rápida de três camadas
A tabela a seguir resume as configurações de cada camada. Use estas configurações como recomendações de ponto de partida e ajuste as configurações para atender às necessidades da sua organização. Você pode não precisar de todas as camadas.
| Linha de base (Público) | Linha de base (Particular) | Confidencial | Altamente confidencial | |
|---|---|---|---|---|
| Equipe privada ou pública | Público | Private | Private | Private |
| Quem tem acesso? | Todos na organização, incluindo convidados B2B. | Somente membros da equipe. Outras pessoas podem solicitar acesso ao site associado. | Somente membros da equipe. | Somente membros da equipe. |
| Canais privados | Proprietários e membros podem criar canais privados | Proprietários e membros podem criar canais privados | Somente proprietários podem criar canais privados | Somente proprietários podem criar canais privados |
| Acesso de convidado no nível do site | Convidados novos e existentes (padrão). | Convidados novos e existentes (padrão). | Convidados novos e existentes ou Somente pessoas da sua organização, dependendo das necessidades da equipe. | Convidados novos e existentes ou Somente pessoas da sua organização, dependendo das necessidades da equipe. |
| Acesso condicional no nível do site | Acesso total a partir de aplicativos da área de trabalho, aplicativos móveis e da Web (padrão). | Acesso total a partir de aplicativos da área de trabalho, aplicativos móveis e da Web (padrão). | Permitir acesso limitado, somente na Web. | Política de acesso condicional personalizada |
| Tipo de link de compartilhamento padrão | Somente pessoas da sua organização | Somente pessoas da sua organização | Pessoas específicas | Pessoas com acesso existente |
| Rótulos de confidencialidade | Nenhum | Nenhum | Rótulo de confidencialidade usado para classificar a equipe e controlar o compartilhamento de convidados e o acesso de dispositivos não gerenciados. | Rótulo de confidencialidade usado para classificar a equipe, controlar o compartilhamento de convidados e especificar uma política de acesso condicional. O rótulo de arquivo padrão é usado em arquivos para criptografá-los. |
| Configurações de compartilhamento de site | Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. | Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. | Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. | N/A (controlado pela política de controle de acesso restrito no nível do site.) |
| Política de controle de acesso restrito no nível do site | Nenhum | Nenhum | Nenhum | Somente membros da equipe |
A proteção da linha de base inclui equipes públicas e privadas. As equipes públicas podem ser descobertas e acessadas por qualquer pessoa na organização. As equipes privadas podem ser descobertas e acessadas apenas por membros da equipe. Ambas as configurações restringem aos proprietários da equipe o compartilhamento do site do Microsoft Office SharePoint Online associado, para ajudar no gerenciamento de permissões.
As equipes de proteção confidencial e altamente confidencial são equipes privadas, nas quais o compartilhamento e a solicitação de acesso ao site associado são limitados e os rótulos de confidencialidade são usados para definir políticas de compartilhamento de convidados, acesso de dispositivos e criptografia de conteúdo.
Rótulos de confidencialidade
As camadas confidencial e altamente confidencial usam rótulos de confidencialidade para ajudar a proteger a equipe e seus arquivos. Para implementar essas camadas, você deve habilitar rótulos de confidencialidade para proteger o conteúdo nos sites do Microsoft Teams, Grupos do Microsoft 365 e SharePoint.
Embora a camada de linha de base não exija rótulos de confidencialidade, considere criar um rótulo "geral" e exigir que todas as equipes sejam rotuladas. Isso ajuda a garantir que os usuários façam uma escolha consciente sobre a confidencialidade ao criar uma equipe. Se você planeja implantar as camadas confidenciais ou altamente sensíveis, recomendamos criar um rótulo "geral" que você pode usar para equipes de linha de base e para arquivos que não são confidenciais. Para a camada altamente sensível, também especificaremos um rótulo de confidencialidade padrão para bibliotecas de documentos para que os arquivos do Office e outros arquivos compatíveis tenham esse rótulo aplicado automaticamente quando forem carregados.
Se você não conhece os rótulos de confidencialidade, recomendamos a leitura do artigo Introdução aos rótulos de confidencialidade.
Se você já implementou rótulos de confidencialidade em sua organização, considere como os rótulos usados nas camadas confidencial e altamente confidencial se ajustam à sua estratégia geral de rotulação.
Compartilhar o site do Microsoft Office SharePoint Online
Cada equipe tem um site do Microsoft Office SharePoint Online associado, onde os documentos são armazenados. (Isso corresponde à guia Arquivos em um canal de equipe.) O site do Microsoft Office SharePoint Online mantém seu próprio gerenciamento de permissões, mas está vinculado às permissões de equipe. Os proprietários da equipe estão inclusos como proprietários de sites, e os membros da equipe estão incluídos como membros do site no site associado.
As permissões resultantes permitem:
- Que os proprietários da equipe administrem o site e tenham controle total sobre o conteúdo do site.
- Que os membros da equipe criem e editem arquivos no site.
Por padrão, os proprietários e membros da equipe podem compartilhar o próprio site com pessoas de fora da equipe sem realmente adicioná-las à equipe. Recomendamos isso, pois isso complica o gerenciamento de usuários e pode levar pessoas que não são membros da equipe a ter acesso a arquivos de equipe sem que os proprietários da equipe percebam isso. Para ajudar a evitar isso, começando no nível de proteção de linha de base, recomendamos que apenas os proprietários possam compartilhar o site diretamente.
Embora as equipes não tenham uma opção de permissão somente leitura, o site do SharePoint tem. Se você tiver stakeholders ou grupos de parceiros que precisam ser capazes de exibir arquivos de equipe, mas não editá-los, considere adicioná-los diretamente ao site do SharePoint com permissões de Exibição.
Para a camada altamente sensível, restringimos o acesso ao site apenas aos membros da equipe. Essa restrição também impede o compartilhamento de arquivos com pessoas de fora da equipe.
Compartilhar arquivos e pastas
Por padrão, proprietários e membros da equipe podem compartilhar arquivos e pastas com pessoas de fora da equipe. Isso pode incluir pessoas fora de sua organização, se você permitir o compartilhamento de convidados. Em todas as três camadas, atualizamos o tipo de link de compartilhamento padrão para ajudar a evitar o compartilhamento excessivo acidental. Conforme observado acima, na camada altamente sensível, o acesso ao arquivo é limitado apenas aos membros da equipe.
Compartilhando com pessoas de fora da sua organização
Se você precisar compartilhar o conteúdo do Microsoft Teams com pessoas de fora da sua organização, há duas opções:
- Compartilhamento de convidados – O compartilhamento de convidados usa Microsoft Entra colaboração B2B que permite que os usuários compartilhem arquivos, pastas, sites, grupos e equipes com pessoas de fora de sua organização. Essas pessoas acessam recursos compartilhados usando contas de convidados no seu diretório.
- Canais compartilhados – Canais compartilhados usam Microsoft Entra conexão direta B2B que permite que os usuários compartilhem recursos em sua organização com pessoas de outras organizações Microsoft Entra. Essas pessoas acessam os canais compartilhados no Microsoft Teams utilizando sua própria conta corporativa ou de estudante. Nenhuma conta de convidado foi criada na sua organização.
Tanto o compartilhamento de convidados quanto os canais compartilhados são úteis dependendo da situação. Consulte Planejar colaboração externa para obter os detalhes sobre cada um e como decidir qual usar para um determinado cenário.
Se você planeja usar o compartilhamento de convidados, recomendamos configurar a integração do SharePoint e do OneDrive com Microsoft Entra B2B para a melhor experiência de compartilhamento e administração.
Você pode impedir o compartilhamento de convidados do Teams se necessário nas camadas confidenciais e altamente sensíveis usando um rótulo de confidencialidade. Os canais compartilhados estão ativados por padrão, mas exigem a configuração de relacionamentos entre organizações para cada organização com a qual você deseja colaborar. Confira Colaborar com participantes externos em um canal para obter os detalhes.
Na camada altamente sensível, configuramos o rótulo de confidencialidade de biblioteca padrão para criptografar arquivos aos quais ele é aplicado. Se você precisar que os convidados tenham acesso a estes arquivos, deverá conceder permissões a eles ao criar o rótulo. Os participantes externos em canais compartilhados não podem receber permissões para rótulos de confidencialidade e não podem acessar conteúdos criptografados por um rótulo de confidencialidade.
É altamente recomendável que você deixe o compartilhamento de convidados ativado para a camada de linha de base e para as camadas confidencial ou altamente confidencial se precisar colaborar com pessoas de fora da organização. Os recursos de compartilhamento de convidados no Microsoft 365 fornecem uma experiência de compartilhamento muito mais segura e controlável do que o envio de arquivos como anexos em mensagens de email. Também reduz o risco de TI sombra, em que os usuários usam produtos de consumo não controlados para compartilhar com colaboradores externos legítimos.
Se você colaborar regularmente com outras organizações que usam Microsoft Entra ID, os canais compartilhados podem ser uma boa opção. Os canais compartilhados aparecem perfeitamente no cliente do Teams da outra organização e permitem que os participantes externos usem sua conta de usuário regular para sua organização, em vez de ter que fazer logon separadamente usando uma conta de convidado.
Confira as seguintes referências para criar um ambiente de compartilhamento de convidados seguro e produtivo para a sua organização:
- Práticas recomendadas para compartilhar arquivos e pastas com usuários não autenticados
- Limitar a exposição acidental a arquivos ao compartilhar arquivos com pessoas de fora da sua organização
- Criar um ambiente de compartilhamento de convidados seguro
Políticas de acesso condicional
Microsoft Entra Acesso Condicional oferece muitas opções para determinar como as pessoas acessam o Microsoft 365, incluindo limitações com base em localização, risco, conformidade do dispositivo e outros fatores. Recomendamos que você leia O que é o Acesso Condicional? e considere quais políticas adicionais podem ser apropriadas para sua organização.
Para as camadas confidenciais e altamente sensíveis, usamos rótulos de confidencialidade para restringir o acesso ao conteúdo do SharePoint.
Para a camada sensível, restringiremos o acesso somente à Web para dispositivos não gerenciados. (Observe que os convidados geralmente não têm dispositivos gerenciados pela sua organização. Se você permitir convidados em qualquer uma das camadas, considere quais tipos de dispositivos eles usam para acessar equipes e sites e definir suas políticas de dispositivo não gerenciadas de acordo.)
Para a camada altamente sensível, usaremos Microsoft Entra contexto de autenticação com o rótulo de confidencialidade para disparar uma política de acesso condicional personalizada quando as pessoas acessarem o site do SharePoint associado à equipe.
Acesso condicional entre serviços relacionados ao Teams
As configurações de acesso condicional em rótulos de confidencialidade afetam apenas o acesso do SharePoint. Se você quiser expandir o acesso condicional além do SharePoint, poderá usar a política Common Conditional Access: Exigir um dispositivo compatível, Microsoft Entra dispositivo híbrido ingressado ou autenticação multifator para todos os usuários. Para configurar essa política especificamente para serviços do Microsoft 365, selecione o aplicativo de nuvem do Office 365 em Aplicativos ou ações do.
O uso de uma política que afete todos os serviços do Microsoft 365 pode levar a uma melhor segurança e uma melhor experiência para os usuários. Por exemplo, quando você bloqueia o acesso a dispositivos não gerenciados apenas no Microsoft Office SharePoint Online, os usuários podem acessar o chat em uma equipe com um dispositivo não gerenciado, mas perderão o acesso quando tentarem acessar a guia Arquivos. Usar o aplicativo de nuvem do Office 365 ajuda a evitar problemas com dependências de serviço.
Próxima etapa
Comece configurando o nível de linha de base de proteção. Se necessário, você pode adicionar proteção confidencial e proteção altamente confidencial também.
Tópicos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de