Controles de acesso de dispositivo não gerenciado do SharePoint e do OneDrive para administradores

Como administrador do SharePoint ou administrador global no Microsoft 365, você pode bloquear ou limitar o acesso ao conteúdo do SharePoint e do OneDrive de dispositivos não gerenciados (aqueles não ingressados no AD híbrido ou em conformidade no Intune). Você pode bloquear ou limitar o acesso para:

  • Todos os usuários da organização ou apenas alguns usuários ou grupos de segurança.

  • Todos os sites da organização ou apenas alguns deles.

Bloquear o acesso ajuda a proporcionar segurança, mas impacta a usabilidade e produtividade. Quando o acesso for bloqueado, os usuários verão o erro a seguir.

A experiência quando o acesso é bloqueado

Limitar o acesso permite que os usuários permaneçam produtivos ao lidar com o risco de perda acidental de dados em dispositivos nãomanados. Quando você limita o acesso, os usuários em dispositivos gerenciados terão acesso completo (a menos que usem uma das combinações de navegador e sistema operacional listadas em navegadores com suporte). Os usuários em dispositivos não gerenciados terão acesso somente a navegador sem capacidade de baixar, imprimir ou sincronizar arquivos. Eles também não poderão acessar conteúdo por meio de aplicativos, incluindo os aplicativos da área de trabalho do Microsoft Office. Ao limitar o acesso, você pode optar por permitir ou bloquear a edição de arquivos no navegador. Quando o acesso à Web for limitado, os usuários verão a seguinte mensagem na parte superior dos sites.

A experiência quando o acesso à Web é limitado

Observação

O bloqueio ou limitação do acesso em dispositivos não gerenciados depende das políticas de acesso condicional do Microsoft Azure AD. Saiba mais Azure AD licenciamento para obter uma visão geral do acesso condicional no Azure AD, consulte Acesso condicional no Azure Active Directory. Para obter informações sobre as políticas de acesso recomendadas do SharePoint, consulte As recomendações de política para proteger arquivos e sites do SharePoint. Se você limitar o acesso a dispositivos não gerenciados, os usuários em dispositivos gerenciados deverão usar uma das combinações de sistema operacional e navegador com suporte ou também terão acesso limitado.

Controlar o acesso do dispositivo no Microsoft 365

Os procedimentos neste artigo afetam apenas o acesso do SharePoint por dispositivos não gerenciados. Se quiser expandir o controle de dispositivos não gerenciados além do Microsoft Office SharePoint Online, você poderá criar uma política de acesso condicional do Azure Active Directory para todos os aplicativos e serviços da sua organização em vez disso. Para configurar essa política especificamente para serviços do Microsoft 365, selecione o aplicativo de nuvem do Office 365 em Aplicativos ou ações do.

Captura de tela do aplicativo Office 365 nuvem em uma política de acesso condicional do Azure Active Directory

O uso de uma política que afete todos os serviços do Microsoft 365 pode levar a uma melhor segurança e uma melhor experiência para os usuários. Por exemplo, quando você bloqueia o acesso a dispositivos não gerenciados apenas no Microsoft Office SharePoint Online, os usuários podem acessar o chat em uma equipe com um dispositivo não gerenciado, mas perderão o acesso quando tentarem acessar a guia Arquivos. Usar o aplicativo de nuvem do Office 365 ajuda a evitar problemas com dependências de serviço.

Bloquear acesso

  1. Acesse o controle de acesso no novo centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.

    Observação

    Se você tiver Office 365 operado pela 21Vianet (China), entre no Centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e abra a página controle de acesso.

  2. Selecione Dispositivos sem gestão.

    O painel De dispositivos não gerenciados no Centro de administração do SharePoint

  3. Selecione Bloquear acesso e, em seguida, selecione Salvar.

    Importante

    Selecionar essa opção desabilita todas as políticas de acesso condicional anteriores criadas nesta página e cria uma nova política de acesso condicional que se aplica a todos os usuários. Todas as personalizações feitas nas políticas anteriores não serão transferidas.

    Observação

    Pode levar até 24 horas para que a política entre em vigor. Ele não terá efeito para usuários que já estão conectados de dispositivos não gerenciados.

Importante

Se você bloquear ou limitar o acesso de dispositivos não gerenciados, recomendamos também bloquear o acesso de aplicativos que não usam autenticação moderna. Alguns aplicativos e versões de terceiros do Office anteriores ao Office 2013 não usam autenticação moderna e não podem impor restrições baseadas em dispositivo. Isso significa que eles permitem que os usuários ignorem as políticas de acesso condicional que você configura no Azure. No controle de acesso no novo centro de administração do SharePoint, selecione Aplicativos que não usam autenticação moderna, selecione Bloquear acesso e, em seguida, selecione Salvar.

Limitar o acesso

  1. Acesse o controle de acesso no novo centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.

    Observação

    Se você tiver o Office 365 operado pela 21Vianet (China), entre no centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e abra a página Sites ativos.

  2. Selecione Dispositivos sem gestão.

  3. Selecione Permitir acesso limitado somente da Web e, em seguida, selecione Salvar. (Observe que selecionar essa opção desabilitará todas as políticas de acesso condicional anteriores criadas nesta página e criará uma nova política de acesso condicional que se aplica a todos os usuários. Todas as personalizações feitas nas políticas anteriores não serão transferidas.)

    O painel de dispositivos não gerenciados no novo centro de administração do SharePoint

Se você reverter para Permitir Acesso Completo, poderá levar até 24 horas para que as alterações entre em vigor.

Importante

Se você bloquear ou limitar o acesso de dispositivos não gerenciados, recomendamos também bloquear o acesso de aplicativos que não usam autenticação moderna. Alguns aplicativos e versões de terceiros do Office anteriores ao Office 2013 não usam autenticação moderna e não podem impor restrições baseadas em dispositivo. Isso significa que eles permitem que os usuários ignorem as políticas de acesso condicional que você configura no Azure. No controle de acesso no novo centro de administração do SharePoint, selecione Aplicativos que não usam autenticação moderna, selecione Bloquear acesso e, em seguida, selecione Salvar.

Observação

Se você limitar o acesso e editar um site de um dispositivo não gerenciado, as Web Parts de imagem não exibirão imagens carregadas na biblioteca de ativos do site ou diretamente na Web Part. Para contornar esse problema, você pode usar essa API SPList para isentar a política de download de bloco na biblioteca de ativos do site. Isso permite que a Web Part baixe imagens da biblioteca de ativos do site.

Quando Controle de Acesso para dispositivos não gerenciados no SharePoint é definido como Permitir acesso limitado somente da Web, os arquivos do SharePoint não podem ser baixados, mas podem ser visualizados. As visualizações dos arquivos do Office funcionam no SharePoint, mas as visualizações não funcionam no Microsoft Yammer.

Limitar o acesso usando o PowerShell

  1. Baixe o Shell de Gerenciamento do SharePoint Online mais recente.

    Observação

    Se você instalou uma versão anterior do Shell de Gerenciamento do SharePoint Online, acesse Adicionar ou remover programas e desinstale o "Shell de Gerenciamento do SharePoint Online".

  2. Conecte-se ao SharePoint como administrador global ou administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.

  3. Execute o seguinte comando:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

Observação

Por padrão, essa política permite que os usuários exibam e editem arquivos em seu navegador da Web. Para alterar isso, consulte Configurações avançadas.

Bloquear ou limitar o acesso a um site específico do SharePoint ou OneDrive

Para bloquear ou limitar o acesso a sites específicos, siga estas etapas. Se você tiver configurado a política de toda a organização, a configuração no nível do site especificada deverá ser pelo menos tão restritiva quanto a configuração no nível da organização.

  1. Crie manualmente uma política no Azure AD de administração seguindo as etapas em Usar restrições impostas pelo aplicativo.

  2. Defina a configuração no nível do site usando o PowerShell ou um rótulo de confidencialidade:

    • Para usar o PowerShell, prossiga para a próxima etapa.

    • Para usar um rótulo de confidencialidade, consulte as instruções a seguir e especifique a configuração de rótulo para o Access de dispositivos não gerenciados: use rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint.

  3. Para usar o PowerShell: baixe o Shell de Gerenciamento mais recente do SharePoint Online.

    Observação

    Se você instalou uma versão anterior do Shell de Gerenciamento do SharePoint Online, vá até Adicionar ou remover programas e desinstale o "Shell de Gerenciamento do SharePoint Online".

  4. Conecte-se ao SharePoint como administrador global ou administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.

  5. Execute um dos comandos a seguir.

    Para bloquear o acesso a um único site:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
    

    Para limitar o acesso a um único site:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
    

    Para atualizar vários sites de uma só vez, use o seguinte comando como exemplo:

    Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
    

    Este exemplo obtém o OneDrive para cada usuário e o passa como uma matriz para Set-SPOSite limitar o acesso.

Observação

Por padrão, uma configuração que inclui acesso à Web permite que os usuários exibam e editem arquivos em seu navegador da Web. Para alterar isso, consulte Configurações avançadas.

Configurações avançadas

Os seguintes parâmetros podem ser usados para -ConditionalAccessPolicy AllowLimitedAccess a configuração de toda a organização e a configuração no nível do site:

-AllowEditing $false Impede que os usuários editem arquivos do Office no navegador.

-ReadOnlyForUnmanagedDevices $true Torna todo o site somente leitura para usuários afetados.

-LimitedAccessFileType OfficeOnlineFilesOnly Permite que os usuários visualizem apenas arquivos do Office no navegador. Essa opção aumenta a segurança, mas pode ser uma barreira para a produtividade do usuário.

-LimitedAccessFileType WebPreviewableFiles (padrão) Permite que os usuários visualizem arquivos do Office no navegador. Essa opção otimiza a produtividade do usuário, mas oferece menos segurança para arquivos que não são do Office. Aviso: essa opção é conhecida por causar problemas com tipos de arquivo PDF e de imagem, pois pode ser necessário baixá-los no computador do usuário final para renderizar no navegador. Planeje cuidadosamente o uso desse controle. Caso contrário, os usuários poderão se deparar com erros de "Acesso negado" inesperados.

-LimitedAccessFileType OtherFiles Permite que os usuários baixem arquivos que não podem ser visualizados, como .zip e .exe. Esta opção oferece menos segurança.

O parâmetro AllowDownlownloadingNonWebViewableFiles foi descontinuado. Em vez disso, use LimitedAccessFileType.

Pessoas fora da organização serão afetados quando você usar políticas de acesso condicional para bloquear ou limitar o acesso de dispositivos não gerenciados. Se os usuários compartilharem itens com pessoas específicas (que devem inserir um código de verificação enviado para seu endereço de email), você poderá isentar-os dessa política executando o comando a seguir.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Observação

Os links "Qualquer pessoa" (links compartilháveis que não exigem entrada) não são afetados por essas políticas. Pessoas que têm um link "Qualquer Pessoa" para um arquivo ou pasta poderá baixar o item. Para todos os sites em que você habilita políticas de acesso condicional, desabilite os links "Qualquer pessoa".

Impacto do aplicativo

Bloquear o acesso e bloquear o download pode afetar a experiência do usuário em alguns aplicativos, incluindo alguns aplicativos do Office. Recomendamos que você ative a política para alguns usuários e teste a experiência com os aplicativos usados em sua organização. No Office, verifique o comportamento no Power Apps e no Power Automate quando sua política estiver ativada.

Observação

Aplicativos executados no modo "somente aplicativo" no serviço, como aplicativos antivírus e rastreadores de pesquisa, são isentos da política.

Se você estiver usando modelos de site clássicos do SharePoint, as imagens do site podem não ser renderizadas corretamente. Isso ocorre porque a política impede que os arquivos de imagem originais sejam baixados no navegador.

Para novos locatários, os aplicativos que usam um token de acesso somente de aplicativo do ACS são desabilitados por padrão. É recomendável usar o Azure AD somente aplicativo, que é moderno e mais seguro. Mas você pode alterar o comportamento executando set-spotenant -DisableCustomAppAuthentication $false (precisa do PowerShell do administrador mais recente do SharePoint).

Precisa de mais ajuda?

SharePoint Q&A

Confira também

Recomendações de política para proteger arquivos e sites do SharePoint

Controlar o acesso aos dados do SharePoint e do OneDrive com base em locais de rede definidos