Criar um ambiente de compartilhamento de convidado mais seguro

Neste artigo, explicamos várias opções para criar um ambiente de partilha de convidados mais seguro no Microsoft 365. Estes são exemplos para dar uma ideia das opções disponíveis. Você pode usar esses procedimentos em diferentes combinações para atender às necessidades de segurança e conformidade da sua organização.

Este artigo inclui:

• Configurar a autenticação multifator para convidados.
• Configurar os termos de uso para os convidados.
• Configurar revisões trimestrais de acesso dos convidados para verificar periodicamente se eles continuam precisando de permissões para equipes e sites.
• Restringir convidados a acesso somente Web para dispositivos não gerenciados.
• Configurar uma política de tempo limite de sessão para garantir que os convidados autentiquem diariamente.
• Criação de um tipo de informação confidencial para um projeto altamente confidencial.
• Atribuição automática de um rótulo de confidencialidade a documentos que contêm um tipo de informação confidencial.
• Removendo automaticamente o acesso de convidados de arquivos com um rótulo de confidencialidade.

Algumas das opções abordadas neste artigo exigem que os convidados tenham uma conta no Microsoft Entra ID. Para garantir que os convidados são incluídos no diretório quando partilha ficheiros e pastas com os mesmos, utilize a integração do SharePoint e do OneDrive com Microsoft Entra Pré-visualização B2B.

Tenha em atenção que não discutimos a ativação das definições de partilha de convidados neste artigo. Confira Colaborar com pessoas de fora da sua organização para obter detalhes sobre como habilitar o compartilhamento de convidados para diferentes cenários.

Configurar a autenticação multifator para convidados

A autenticação multifator reduz significativamente as hipóteses de uma conta ser comprometida. Uma vez que os convidados podem estar a utilizar contas de e-mail pessoais que não cumprem políticas de governação ou melhores práticas, é especialmente importante exigir a autenticação multifator para os convidados. Se o nome de usuário e a senha de um convidado forem roubados, exigir um segundo fator de autenticação reduz muito as chances de partes desconhecidas obterem acesso aos seus sites e arquivos.

Neste exemplo, configuramos a autenticação multifator para convidados através de uma política de acesso condicional no Microsoft Entra ID.

Para configurar a autenticação multifator para convidados

1. Abra o centro de administração do Microsoft Entra.
2. Expanda Proteção e, em seguida, selecione Acesso Condicional.
3. No Acesso Condicional | Página Descrição geral , selecione Criar nova política.
4. No campo Nome, digite um nome.
5. Selecione a ligação Utilizadores .
6. Selecione Selecionar utilizadores e grupos e, em seguida, selecione a caixa de marcar utilizadores convidados ou externos.
7. Na lista pendente, selecione Utilizadores convidados de colaboração B2B e utilizadores membros da colaboração B2B.
8. Selecione a ligação Recursos de destino.
9. Selecione Todas as aplicações na cloud no separador Incluir .
10. Selecione a ligação Conceder .
11. No painel Concessão, selecione a caixa de marcar Exigir autenticação multifator e, em seguida, clique em Selecionar.
12. Em Habilitar política, selecione Ativa e selecione Criar.

Agora, os convidados têm de se inscrever na autenticação multifator antes de poderem aceder a conteúdos, sites ou equipas partilhados.

Mais informações

Planear uma implementação de autenticação multifator Microsoft Entra

Definir os termos de uso para os convidados

Em algumas situações, os convidados podem não ter assinado contratos de não divulgação ou outros contratos legais com a sua organização. Você pode exigir que os convidados concordem com os termos de uso antes de acessar os arquivos que são compartilhados com eles. Os termos de uso podem ser exibidos na primeira vez que tentam acessar um site ou arquivo compartilhado.

Para criar os termos de uso, primeiro é necessário criar um documento no Word ou em outro programa de criação e, em seguida, salvá-lo como um arquivo .pdf. Em seguida, este ficheiro pode ser carregado para Microsoft Entra ID.

Para criar um Microsoft Entra termos de utilização

1. Abra o centro de administração do Microsoft Entra.

2. Expanda Proteção e, em seguida, selecione Acesso Condicional.

3. Selecione Termos de utilização.

4. Selecione Novos termos.

   

5. Digite um Nome.

6. Em Documento Termos de uso, navegue até o arquivo PDF que você criou e selecione-o.

7. Selecione o idioma para o documento de termos de uso.

8. Escreva um nome a apresentar.

9. Definir Exigir que os usuários expandam os Termos de uso, como Ativado.

10. Em Acesso Condicional, na lista Impor com o modelo de política de Acesso Condicional, escolha Criar política de acesso condicional mais tarde.

11. Selecione Criar.

Depois de criar os termos de uso, a próxima etapa é criar uma política de acesso condicional que exibe os termos de uso aos convidados.

Para criar uma política de acesso condicional:

1. Na centro de administração do Microsoft Entra, em Proteção, selecione Acesso condicional.
2. No Acesso Condicional | Página Descrição geral , selecione Criar nova política.
3. Na caixa Nome, digite um nome.
4. Selecione a ligação Utilizadores .
5. Selecione Selecionar utilizadores e grupos e, em seguida, selecione a caixa de marcar utilizadores convidados ou externos.
6. Na lista pendente, selecione Utilizadores convidados de colaboração B2B e utilizadores membros da colaboração B2B.
7. Selecione a ligação Recursos de destino.
8. No separador Incluir , selecione Selecionar aplicações e, em seguida, clique na ligação Selecionar .
9. No painel Selecionar, selecioneOffice 365 e, em seguida, clique em Selecionar.
10. Selecione a ligação Conceder .
11. No painel Concessão, selecione a caixa de marcar para os termos de utilização que criou e, em seguida, clique em Selecionar.
12. Em Habilitar política, selecione Ativa e selecione Criar.

Agora, quando um convidado tentar aceder pela primeira vez a conteúdos ou a uma equipa ou site na sua organização, terá de aceitar os termos de utilização.

Mais informações

Microsoft Entra termos de utilização

Descrição geral da eSignature do Microsoft SharePoint

Acesso de convidado com revisões de acesso

Com as revisões de acesso no Microsoft Entra ID, pode automatizar uma revisão periódica do acesso dos utilizadores a várias equipas e grupos. Ao exigir especificamente uma revisão de acesso para os convidados, pode ajudar a garantir que os convidados não mantêm o acesso às informações confidenciais da sua organização durante mais tempo do que o necessário.

Para configurar uma revisão de acesso de convidado

1. Abra o centro de administração do Microsoft Entra.

2. Expanda Governação de identidades e selecione Revisões de acesso.

3. Selecione Nova revisão de acesso.

4. Escolha a opção Teams + Grupos.

5. Escolha a opção Todos os grupos do Microsoft 365 com usuários convidados. Clique em Selecionar grupo(s) a excluir se quiser excluir algum grupo.

6. Selecione a opção Apenas utilizadores convidados e, em seguida, selecione Seguinte: Revisões.

7. Em Selecionar revisores, escolha Proprietário(s) do grupo.

8. Clique em Selecionar revisores substitutos, escolha quem deve ser os revisores substitutos e clique em Selecionar.

9. Selecione uma Duração (em dias) para que a revisão seja aberta para comentários.

10. Em Especificar recorrência de revisão, escolha Trimestralmente.

11. Selecione uma data de início e duração.

12. Em Fim, selecione Nunca e, em seguida, selecione Seguinte: Definições.

    

13. Na guia Configurações, revise as configurações para conformidade com suas regras de negócios.

    

14. Selecione Seguinte: Rever + Criar.

15. Digite um Nome de análise e análise as configurações.

16. Selecione Criar.

Mais informações

Gerir o acesso de convidados com revisões de acesso

Criar uma revisão de acesso de grupos e aplicações no Microsoft Entra ID

Configurar o acesso apenas à Web para convidados com dispositivos não geridos

Se os seus convidados utilizarem dispositivos que não são geridos pela sua organização ou por outra organização com a qual tenha uma relação de confiança, pode exigir que acedam às suas equipas, sites e ficheiros através apenas de um browser. Isso reduz a chance de baixar arquivos confidenciais e deixá-los em um dispositivo não gerenciado. Isso também é útil ao compartilhar com ambientes que usam dispositivos compartilhados.

Para Grupos do Microsoft 365 e Teams, isto é feito com uma política de Acesso Condicional Microsoft Entra. Para o Microsoft Office SharePoint Online, isso é configurado no Centro de Administração do SharePoint Online. (Você também pode usar rótulos de confidencialidade para restringir o acesso dos convidados apenas à web.)

Para restringir os convidados ao acesso apenas pela web para Grupos e Teams:

1. Abra o centro de administração do Microsoft Entra.

2. Expanda Proteção e, em seguida, selecione Acesso Condicional.

3. No Acesso Condicional | Página Descrição geral , selecione Criar nova política.

4. Na caixa Nome, digite um nome.

5. Selecione a ligação Utilizadores .

6. Selecione Selecionar utilizadores e grupos e, em seguida, selecione a caixa de marcar utilizadores convidados ou externos.

7. Na lista pendente, selecione Utilizadores convidados de colaboração B2B e utilizadores membros da colaboração B2B.

8. Selecione a ligação Recursos de destino.

9. No separador Incluir , selecione Selecionar aplicações e, em seguida, clique na ligação Selecionar .

10. No painel Selecionar, selecioneOffice 365 e, em seguida, clique em Selecionar.

11. Selecione a ligação Condições .

12. No painel Condições , selecione a ligação Aplicações cliente .

13. No painel Aplicações do cliente, selecione Sim para Configurar e, em seguida, selecione as definições Aplicações móveis e clientes de ambiente de trabalho, Exchange ActiveSync clientes e Outros clientes. Desmarque a caixa de seleção Navegador.

    

14. Selecione Concluído.

15. Selecione a ligação Conceder .

16. No painel Concessão, selecione Exigir que o dispositivo seja marcado como conforme e Exigir Microsoft Entra dispositivo associado híbrido.

17. Em Para vários controles, selecione Exigir um dos controles selecionados e, em seguida, clique em Selecionar.

18. Em Habilitar política, selecione Ativa e selecione Criar.

Mais informações

Controlos de acesso de dispositivos não geridos do SharePoint e do OneDrive

Configurar um tempo limite de sessão para convidados

Exigir que os convidados se autentiquem regularmente pode reduzir a possibilidade de usuários desconhecidos acessarem o conteúdo da sua organização se o dispositivo de um convidado não for mantido seguro. Pode configurar uma política de acesso condicional de tempo limite de sessão para convidados no Microsoft Entra ID.

Para configurar uma política de tempo limite de sessão de convidado

1. Abra o centro de administração do Microsoft Entra.
2. Expanda Proteção e, em seguida, selecione Acesso Condicional.
3. No Acesso Condicional | Página Descrição geral , selecione Criar nova política.
4. No campo Nome, digite um nome.
5. Selecione a ligação Utilizadores .
6. Selecione Selecionar utilizadores e grupos e, em seguida, selecione a caixa de marcar utilizadores convidados ou externos.
7. Na lista pendente, selecione Utilizadores convidados de colaboração B2B e utilizadores membros da colaboração B2B.
8. Selecione a ligação Recursos de destino.
9. No separador Incluir , selecione Selecionar aplicações e, em seguida, clique na ligação Selecionar .
10. No painel Selecionar, selecioneOffice 365 e, em seguida, clique em Selecionar.
11. Selecione a ligação Sessão .
12. Na folha Sessão, selecione Frequência de entrada.
13. Escolha 1 e Dias para o período de tempo e, em seguida, clique em Selecionar.
14. Em Habilitar política, selecione Ativa e selecione Criar.

Criar um tipo de informação confidencial para um projeto altamente confidencial.

Os tipos de informações confidenciais são cadeias de caracteres predefinidas que podem ser usadas em fluxos de trabalho de política para reforçar os requisitos de conformidade. O portal de conformidade do Microsoft Purview vem com mais de cem tipos de informações confidenciais, incluindo números de carteiras de motorista, números de cartões de crédito, números de contas bancárias, etc.

Você pode criar tipos de informações confidenciais personalizados para ajudar a gerenciar o conteúdo específico da sua organização. Neste exemplo, criamos um tipo de informação confidencial personalizado para um projeto altamente sensível. Podemos então usar esse tipo de informação confidencial para aplicar automaticamente um rótulo de confidencialidade.

Criar um tipo de informação confidencial

1. No portal de conformidade do Microsoft Purview, no painel de navegação esquerdo, expanda Classificação de dados e, em seguida, selecione Classificadores.
2. selecione o separador Tipos de informações confidenciais .
3. Selecione Criar tipo de informações confidenciais.
4. Em Nome e Descrição, escreva Project Saturno e, em seguida, selecione Seguinte.
5. Selecione Criar padrão.
6. No painel Novo padrão , selecione Adicionar elemento primário e, em seguida, selecione Lista de palavras-chave.
7. Escreva um ID , como o Project Saturno.
8. Na caixa Maiúsculas e minúsculas , escreva Project Saturno, Saturno e, em seguida, selecione Concluído.
9. Selecione Criar e, em seguida, selecione Seguinte.
10. Escolha um nível de confiança e, em seguida, selecione Seguinte.
11. Selecione Criar.
12. Selecione Concluído.

Para obter mais informações, veja Saiba mais sobre tipos de informações confidenciais.

Criar uma política de rotulagem automática para atribuir um rótulo de confidencialidade com base em um tipo de informação confidencial

Se estiver a utilizar etiquetas de confidencialidade na sua organização, pode aplicar automaticamente uma etiqueta a ficheiros que contenham tipos de informações confidenciais definidos.

Para criar uma política de rotulagem automática

1. Abra o Centro de administração do Microsoft Purview.
2. No painel de navegação esquerdo, expanda Proteção de informações e selecione Etiquetagem automática.
3. Selecione Criar política de etiquetagem automática.
4. Na página Escolher informações que pretende que esta etiqueta seja aplicada,selecione Personalizada e, em seguida, selecione Política personalizada.
5. Selecione Avançar.
6. Escreva um nome e uma descrição para a política e selecione Seguinte.
7. Na página Atribuir unidades de administração , selecione Seguinte.
8. Na página Escolher localizações onde pretende aplicar a etiqueta , selecione Sites do SharePoint e, opcionalmente, selecione Editar para escolher os sites.
9. Selecione Avançar.
10. Na página Configurar regras comuns ou avançadas , selecione Regras comuns e selecione Seguinte.
11. Na página Definir regras para conteúdo em todas as localizações , selecione Nova regra.
12. Na página Nova regra , atribua um nome à regra, selecione Adicionar condição e, em seguida, selecione Conteúdo contém.
13. Selecione Adicionar, selecione Tipos de informações confidenciais, escolha os tipos de informações confidenciais que pretende utilizar, selecione Adicionar e, em seguida, selecione Guardar.
14. Selecione Avançar.
15. Selecione Escolher uma etiqueta, selecione a etiqueta que pretende utilizar e, em seguida, selecione Adicionar.
16. Selecione Avançar.
17. Deixe a política no modo de simulação e escolha se pretende que seja ativada automaticamente.
18. Selecione Avançar.
19. Selecione Criar política e, em seguida, selecione Concluído.

Com a política em vigor, quando um usuário digita "Projeto Saturno" em um documento, a política de rotulagem automática aplicará automaticamente o rótulo especificado ao verificar o arquivo.

Para obter mais informações sobre a etiquetagem automática, consulte Aplicar automaticamente uma etiqueta de confidencialidade ao conteúdo.

Mais informações

Configurar um rótulo de confidencialidade padrão para uma biblioteca de documentos do SharePoint

Crie uma política DLP para remover o acesso de convidados a arquivos altamente confidenciais

Você pode usar a Prevenção contra perda de dados (DLP) do Microsoft Purview para impedir o compartilhamento indesejado de conteúdos confidenciais. A prevenção contra perda de dados pode agir com base no rótulo de confidencialidade de um arquivo e remover o acesso de convidado.

Para criar uma regra DLP

1. Abra o Centro de administração do Microsoft Purview.

2. No painel de navegação esquerdo, expanda Prevenção de perda de dados e selecione Políticas.

3. Selecione Criar política.

4. Selecione Personalizar e, em seguida, Política personalizada.

5. Selecione Avançar.

6. Escreva um nome para a política e selecione Seguinte.

7. Na página Atribuir unidades de administração , selecione Seguinte.

8. Na página Localizações para aplicar a política , desative todas as definições exceto sites do SharePoint e contas do OneDrive e, em seguida, selecione Seguinte.

9. Na página Definir definições de política , selecione Seguinte.

10. Na página Personalizar regras DLP avançadas , selecione Criar regra e escreva um nome para a regra.

11. Em Condições, selecione Adicionar condição e escolha O conteúdo é partilhado a partir do Microsoft 365.

12. Na lista pendente, escolha com pessoas fora da minha organização.

13. Em Condições, selecione Adicionar condição e selecione Conteúdo contém.

14. Selecione Adicionar, selecione Etiquetas de confidencialidade, selecione as etiquetas que pretende utilizar e selecione Adicionar.

15. Em Ações , selecione Adicionar uma ação e selecione Restringir acesso ou encriptar o conteúdo em localizações do Microsoft 365.

16. Selecione a opção Bloquear apenas pessoas fora da sua organização .

    

17. Ative as notificações do utilizador e, em seguida, selecione a caixa Notificar utilizadores no serviço Office 365 com uma sugestão de política marcar.

18. Selecione Guardar e, em seguida, selecione Seguinte.

19. Selecione as opções de teste e selecione Seguinte.

20. Selecione Submeter e, em seguida, selecione Concluído.

É importante observar que esta política não remove o acesso se o convidado for membro do site ou da equipe como um todo. Se você planeja ter documentos altamente confidenciais em um site ou uma equipe com membros convidados, considere essas opções:

• Utilize canais privados e permita apenas membros da sua organização nos canais privados.
• Use canais compartilhados para colaborar com pessoas de fora da sua organização e, ao mesmo tempo, tenha apenas pessoas de sua organização na própria equipe.

Opções adicionais

Existem algumas opções adicionais no Microsoft 365 e Microsoft Entra ID que podem ajudar a proteger o seu ambiente de partilha de convidados.

• Você pode criar uma lista de domínios de compartilhamento permitidos ou negados para limitar com quem os usuários podem compartilhar. Confira restringir o compartilhamento de conteúdo do SharePoint e do OneDrive por domínio e Permitir ou bloquear convites para usuários B2B de organizações específicas para obter mais informações.
• Pode limitar os outros inquilinos Microsoft Entra aos quais os seus utilizadores se podem ligar. Veja Restringir o acesso a um inquilino para obter informações.
• Você pode criar um ambiente gerenciado em que os parceiros podem ajudar a gerenciar contas de convidado. Confira Criar uma extranet B2B com convidados gerenciados para obter mais informações.

Artigos relacionados

Limitar a exposição acidental dos arquivos ao compartilhar com convidados

Práticas recomendadas para compartilhar arquivos e pastas com usuários não autenticados