Criar um ambiente de compartilhamento de convidado mais seguro

Neste artigo, mostraremos uma variedade de opções para criar um ambiente de compartilhamento de convidados mais seguro no Microsoft 365. Estes são exemplos para dar uma ideia das opções disponíveis. Você pode usar esses procedimentos em diferentes combinações para atender às necessidades de segurança e conformidade da sua organização.

Este artigo inclui:

• Configurar a autenticação multifator para os convidados.
• Configurar os termos de uso para os convidados.
• Configurar revisões trimestrais de acesso dos convidados para verificar periodicamente se eles continuam precisando de permissões para equipes e sites.
• Restringir convidados a acesso somente Web para dispositivos não gerenciados.
• Configurar uma política de tempo limite de sessão para garantir que os convidados autentiquem diariamente.
• Criação de um tipo de informação confidencial para um projeto altamente confidencial.
• Atribuição automática de um rótulo de confidencialidade a documentos que contêm um tipo de informação confidencial.
• Removendo automaticamente o acesso de convidados de arquivos com um rótulo de confidencialidade.

Algumas das opções discutidas neste artigo exigem que os convidados tenham uma conta do Azure Active Directory. Para garantir que os convidados sejam incluídos no diretório ao compartilhar arquivos e pastas com eles, use a integração do SharePoint e do OneDrive com a Visualização B2B do Azure AD.

Observe que não vamos discutir a habilitação das configurações de compartilhamento de convidados neste artigo. Confira Colaborar com pessoas de fora da sua organização para obter detalhes sobre como habilitar o compartilhamento de convidados para diferentes cenários.

Configurar a autenticação multifator para convidados

A autenticação multifator reduz significativamente as chances de uma conta ser comprometida. Como os convidados podem usar contas de email pessoais que não aderem a nenhuma política de governança ou práticas recomendadas, é especialmente importante exigir autenticação multifator para convidados. Se o nome de usuário e a senha de um convidado forem roubados, exigir um segundo fator de autenticação reduz muito as chances de partes desconhecidas obterem acesso aos seus sites e arquivos.

Neste exemplo, configuraremos a autenticação multifator para convidados usando uma política de acesso condicional do Azure Active Directory.

Configurar a autenticação multifator para convidados

1. Vá para Políticas de acesso condicional do Azure.
2. No Acesso Condicional | Na folha Políticas, clique em Nova política.
3. No campo Nome, digite um nome.
4. Selecione o link Usuários .
5. Selecione Selecionar usuários e grupos e selecione a caixa de seleção Usuários convidados ou externos.
6. Na lista suspensa, selecione Usuários convidados de colaboração B2B e usuários membros da colaboração B2B.
7. Selecione o link Aplicativos ou ações da nuvem .
8. Selecione Todos os aplicativos de nuvem na guia Incluir .
9. Selecione o link Conceder .
10. Na folha Conceder, marque a caixa de seleção Exigir autenticação multifator, e, em seguida, clique em Selecionar.
11. Em Habilitar política, clique em Ativar e clique em Criar.

Agora, o convidado será solicitado a se inscrever na autenticação multifator para que possam acessar conteúdo, sites ou equipes compartilhados.

Mais informações

Planejando uma Implantação de Autenticação Multifator do Microsoft Azure Active Directory

Definir os termos de uso para os convidados

Em algumas situações, os convidados podem não ter assinado acordos de não divulgação ou outros acordos legais com sua organização. Você pode exigir que os convidados concordem com os termos de uso antes de acessar os arquivos que são compartilhados com eles. Os termos de uso podem ser exibidos na primeira vez que tentam acessar um site ou arquivo compartilhado.

Para criar os termos de uso, primeiro é necessário criar um documento no Word ou em outro programa de criação e, em seguida, salvá-lo como um arquivo .pdf. Esse arquivo pode ser carregado no Azure AD.

Para criar os termos de uso do Azure AD

1. Entre no Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

2. Navegue até Termos de uso.

3. Clique em Novos termos.

   

4. Digite um Nome.

5. Em Documento Termos de uso, navegue até o arquivo PDF que você criou e selecione-o.

6. Selecione o idioma para o documento de termos de uso.

7. Digite um nome de exibição.

8. Definir Exigir que os usuários expandam os Termos de uso, como Ativado.

9. Em Acesso Condicional, na lista Impor com o modelo de política de Acesso Condicional, escolha Criar política de acesso condicional mais tarde.

10. Clique em Criar.

Depois de criar os termos de uso, a próxima etapa é criar uma política de acesso condicional que exibe os termos de uso aos convidados.

Para criar uma política de acesso condicional:

1. Vá para Políticas de acesso condicional do Azure.
2. No Acesso Condicional | Na folha Políticas, clique em Nova política.
3. Na caixa Nome, digite um nome.
4. Selecione o link Usuários .
5. Selecione Selecionar usuários e grupos e selecione a caixa de seleção Usuários convidados ou externos.
6. Na lista suspensa, selecione Usuários convidados de colaboração B2B e usuários membros da colaboração B2B.
7. Selecione o link Aplicativos ou ações da nuvem .
8. Na guia Incluir , selecione Selecionar aplicativos e clique no link Selecionar .
9. Na folha Selecionar, selecioneOffice 365 e clique em Selecionar.
10. Selecione o link Conceder .
11. Na folha Conceder, selecione Temos de uso de convidadoe, em seguida, clique em Selecionar.
12. Em Habilitar política, clique em Ativar e clique em Criar.

Agora, na primeira vez que um convidado tentar acessar um conteúdo ou uma equipe ou site em sua organização, ele deverá aceitar os termos de uso.

Observação

Usar o acesso condicional exige uma licença do Azure AD Premium P1. Para mais informações, confira O que é acesso condicional.

Mais informações

Termos de uso do Azure Active Directory

Acesso de convidado com revisões de acesso

Com as revisões de acesso no Azure AD, você pode automatizar uma revisão periódica do acesso do usuário a várias equipes e grupos. Ao exigir uma análise de acesso para convidados especificamente, você pode ajudar a garantir que os convidados não retenham o acesso às informações confidenciais da sua organização por mais tempo do que o necessário.

Para configurar uma revisão de acesso de convidado

1. Na página Governança de Identidade, no menu à esquerda, clique em Revisões de acesso.

2. Clique em Novas revisões de acesso.

3. Escolha a opção Teams + Grupos.

4. Escolha a opção Todos os grupos do Microsoft 365 com usuários convidados. Clique em Selecionar grupo(s) a excluir se quiser excluir algum grupo.

5. Escolha a opção Somente usuários convidados e clique em Avançar: Comentários.

6. Em Selecionar revisores, escolha Proprietário(s) do grupo.

7. Clique em Selecionar revisores substitutos, escolha quem deve ser os revisores substitutos e clique em Selecionar.

8. Escolha uma Duração (em dias) para que a revisão seja aberta para comentários.

9. Em Especificar recorrência de revisão, escolha Trimestralmente.

10. Selecione uma data de início e duração.

11. Para Fim, escolha Nunca e clique em Avançar: Configurações.

    

12. Na guia Configurações, revise as configurações para conformidade com suas regras de negócios.

    

13. Clique em Avançar: Analisar + Criar.

14. Digite um Nome de análise e análise as configurações.

15. Clique em Criar.

Mais informações

Gerenciar o acesso de convidado com revisões de acesso do Azure AD

Criar uma revisão de acesso de grupos ou aplicativos nas revisões de acesso do Azure AD

Configurar o acesso somente à Web para convidados com dispositivos não gerenciados

Se seus convidados usarem dispositivos que não são gerenciados por sua organização ou outra organização com a qual você tem uma relação de confiança, você poderá exigir que eles acessem suas equipes, sites e arquivos usando apenas um navegador da Web. Isso reduz a chance de baixar arquivos confidenciais e deixá-los em um dispositivo não gerenciado. Isso também é útil ao compartilhar com ambientes que usam dispositivos compartilhados.

Para grupos e equipes do Microsoft 365, isso é feito com uma política de acesso condicional do Azure Active Directory. Para o Microsoft Office SharePoint Online, isso é configurado no Centro de Administração do SharePoint Online. (Você também pode usar rótulos de confidencialidade para restringir o acesso dos convidados apenas à web.)

Para restringir os convidados ao acesso apenas pela web para Grupos e Teams:

1. Vá para Políticas de acesso condicional do Azure.

2. Clique em Nova política.

3. Na caixa Nome, digite um nome.

4. Clique no link Usuários .

5. Selecione Selecionar usuários e grupos e selecione a caixa de seleção Usuários convidados ou externos.

6. Na lista suspensa, selecione Usuários convidados de colaboração B2B e usuários membros da colaboração B2B.

7. Clique no link Aplicativos ou ações da Nuvem .

8. Na guia Incluir , selecione Selecionar aplicativos e clique no link Selecionar .

9. Na folha Selecionar, selecioneOffice 365 e clique em Selecionar.

10. Clique no link Condições .

11. Na folha Condições , clique no link Aplicativos cliente .

12. Na folha Aplicativos cliente, clique em Sim para Configurar e selecione Aplicativos móveis e clientes de desktop, Clientes Exchange ActiveSync e configurações de outros clientes. Desmarque a caixa de seleção Navegador.

    

13. Clique em Concluído.

14. Clique no link Conceder .

15. Na folhaConceder, selecioneExigir que o dispositivo seja marcado como em conformidade e Exigir o Dispositivo adicionado ao Azure AD híbrido.

16. Em Para vários controles, selecione Exigir um dos controles selecionados e, em seguida, clique em Selecionar.

17. Em Habilitar política, clique em Ativar e clique em Criar.

Mais informações

Controles de acesso de dispositivo não gerenciados do SharePoint e do OneDrive para administradores

Configurar um tempo limite de sessão para convidados

Exigir que os convidados se autentiquem regularmente pode reduzir a possibilidade de usuários desconhecidos acessarem o conteúdo da sua organização se o dispositivo de um convidado não for mantido seguro. Você pode configurar uma política de acesso condicional de tempo limite de sessão para convidados no Azure Active Directory.

Para configurar uma política de tempo limite de sessão de convidado

1. Vá para Políticas de acesso condicional do Azure.
2. Clique em Nova política.
3. Na caixa Nome, digite Tempo limite de sessão de convidado.
4. Clique no link Usuários .
5. Selecione Selecionar usuários e grupos e selecione a caixa de seleção Usuários convidados ou externos.
6. Na lista suspensa, selecione Usuários convidados de colaboração B2B e usuários membros da colaboração B2B.
7. Clique no link Aplicativos ou ações da Nuvem .
8. Na guia Incluir , selecione Selecionar aplicativos e clique no link Selecionar .
9. Na folha Selecionar, selecioneOffice 365 e clique em Selecionar.
10. Clique no link Sessão .
11. Na folha Sessão, selecione Frequência de entrada.
12. Escolha 1 e Dias para o período de tempo e clique em Selecionar.
13. Em Habilitar política, clique em Ativar e clique em Criar.

Criar um tipo de informação confidencial para um projeto altamente confidencial.

Os tipos de informações confidenciais são cadeias de caracteres predefinidas que podem ser usadas em fluxos de trabalho de política para reforçar os requisitos de conformidade. O portal de conformidade do Microsoft Purview vem com mais de cem tipos de informações confidenciais, incluindo números de carteiras de motorista, números de cartões de crédito, números de contas bancárias, etc.

Você pode criar tipos de informações confidenciais personalizados para ajudar a gerenciar o conteúdo específico da sua organização. Neste exemplo, criaremos um tipo personalizado de informação confidencial para um projeto altamente confidencial. Podemos então usar esse tipo de informação confidencial para aplicar automaticamente um rótulo de confidencialidade.

Criar um tipo de informação confidencial

1. No portal de conformidade do Microsoft Purview, na navegação à esquerda, selecione Classificação de dados e selecione a guia Tipos de informações confidenciais.
2. Clique em Criar tipo de informação confidencial.
3. Para Nome e Descrição, digite Projeto Saturno e, em seguida, clique em Avançar.
4. Selecione Criar padrão.
5. No painel Novo padrão , selecione Adicionar elemento primário e selecione Lista de palavras-chave.
6. Digite uma ID como o Project Saturn.
7. Na caixa Caixa insensível , digite Projeto Saturno, Saturno e selecione Concluído.
8. Selecione Criar e selecione Avançar.
9. Escolha um nível de confiança e selecione Avançar.
10. Selecione Criar.
11. Selecione Concluído.

Para obter mais informações, consulte Tipos de informações confidenciais personalizados.

Criar uma política de rotulagem automática para atribuir um rótulo de confidencialidade com base em um tipo de informação confidencial

Se você estiver usando rótulos de confidencialidade em sua organização, você pode aplicar automaticamente um rótulo a arquivos que contêm tipos de informações confidenciais definidos.

Para criar uma política de rotulagem automática

1. Abra o Centro de administração do Microsoft Purview.
2. No painel de navegação esquerdo, clique em Proteção de informações.
3. Na guia Rotulagem automática, clique em Criar política de rotulagem automática.
4. Na página Escolher informações que você deseja que esse rótulo seja aplicado, escolha Personalizado e clique em Política personalizada.
5. Clique em Avançar.
6. Digite um nome e uma descrição para a política e clique em Avançar.
7. Na página Escolha os locais onde deseja aplicar o rótulo, ative os sites do Microsoft Office SharePoint Online e clique em Escolher sites.
8. Adicione os URLs dos sites onde deseja ativar a rotulagem automática e clique em Concluído.
9. Clique em Avançar.
10. Na página Configurar regras comuns ou avançadas, escolha Regras comuns e clique em Avançar.
11. Na página Definir regras para conteúdo em todos os locais, clique em Nova regra.
12. Na página Nova regra , dê um nome à regra, clique em Adicionar condição e clique em Conteúdo contém.
13. Clique em Adicionar, clique em Tipos de informações confidenciais, escolha os tipos de informações confidenciais que deseja usar, clique em Adicionar e clique em Salvar.
14. Clique em Avançar.
15. Clique em Escolher um rótulo, selecione o rótulo que deseja usar e clique em Adicionar.
16. Clique em Avançar.
17. Deixe a política no modo de simulação e escolha se você deseja que ela seja ativada automaticamente.
18. Clique em Avançar.
19. Clique em Criar política e, a seguir, clique em Concluído.

Com a política em vigor, quando um usuário digita "Projeto Saturno" em um documento, a política de rotulagem automática aplicará automaticamente o rótulo especificado ao verificar o arquivo.

Para obter mais informações, consulte Aplicar um rótulo de confidencialidade ao conteúdo automaticamente.

Crie uma política DLP para remover o acesso de convidados a arquivos altamente confidenciais

Você pode usar a Prevenção contra perda de dados (DLP) do Microsoft Purview para impedir o compartilhamento indesejado de conteúdos confidenciais. A prevenção contra perda de dados pode agir com base no rótulo de confidencialidade de um arquivo e remover o acesso de convidado.

Para criar uma regra DLP

1. No Centro de administração do Microsoft Purview, vá até a Página de prevenção contra perda de dados.

2. Na guia Políticas , clique em Criar política.

3. Escolha Política personalizada e personalizada.

4. Clique em Avançar.

5. Digite um nome para a política e clique em Avançar.

6. Na página Locais para aplicar a política, desative todas as configurações, exceto sites do Microsoft Office SharePoint Online e contas do OneDrive e clique em Avançar.

7. Na página Definir configurações de política, clique em Avançar.

8. Na página Personalizar regras DLP avançadas, clique em Criar regra e digite um nome para a regra.

9. Em Condições, clique em Adicionar condição e escolha Conteúdo é compartilhado no Microsoft 365.

10. Na lista suspensa, escolha com pessoas fora da minha organização.

11. Em Condições, clique em Adicionar condição e escolha Conteúdo contém.

12. Clique em Adicionar, escolha Rótulos de confidencialidade, escolha os rótulos que deseja usar e clique em Adicionar.

    

13. Em Ações, clique em Adicionar uma ação e escolha Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365.

14. Selecione a caixa de seleção Restringir acesso ou criptografar o conteúdo em locais do Microsoft 365 e escolha a opção Bloquear somente pessoas fora da sua organização .

    

15. Ative as notificações do usuário e selecione a caixa de seleção Notificar usuários no serviço Office 365 com uma caixa de seleção de dica de política.

16. Clique em Salvar e em Avançar.

17. Escolha suas opções de teste e clique em Avançar.

18. Clique em Enviar e, em seguida, clique em Concluído.

É importante observar que esta política não remove o acesso se o convidado for membro do site ou da equipe como um todo. Se você planeja ter documentos altamente confidenciais em um site ou uma equipe com membros convidados, considere essas opções:

• Use canais privados e apenas permita membros da sua organização nos canais privados.
• Use canais compartilhados para colaborar com pessoas de fora da sua organização e, ao mesmo tempo, tenha apenas pessoas de sua organização na própria equipe.

Opções adicionais

Há algumas opções adicionais no Microsoft 365 e no Azure Active Directory que podem ajudar a proteger seu ambiente de compartilhamento de convidado.

• Você pode criar uma lista de domínios de compartilhamento permitidos ou negados para limitar com quem os usuários podem compartilhar. Confira restringir o compartilhamento de conteúdo do SharePoint e do OneDrive por domínio e Permitir ou bloquear convites para usuários B2B de organizações específicas para obter mais informações.
• Você pode limitar os locatários do Azure Active Directory aos quais seus usuários podem se conectar. Confira Usar restrições de locatário para gerenciar o acesso aos aplicativos de nuvem SaaS para mais informações.
• Você pode criar um ambiente gerenciado em que os parceiros podem ajudar a gerenciar contas de convidado. Confira Criar uma extranet B2B com convidados gerenciados para obter mais informações.

Confira também

Limitar a exposição acidental dos arquivos ao compartilhar com convidados

Práticas recomendadas para compartilhar arquivos e pastas com usuários não autenticados

Crie uma extranet B2B com convidados gerenciados