Administradores de TI – Controles de acesso de dispositivo não gerenciados do SharePoint e do OneDrive

  • Artigo

Como administrador do SharePoint ou administrador global no Microsoft 365, você pode bloquear ou limitar o acesso ao conteúdo do SharePoint e do OneDrive de dispositivos não gerenciados (aqueles que não são associados ao AD híbrido ou em conformidade com Intune). Você pode bloquear ou limitar o acesso para:

  • Todos os usuários da organização ou apenas alguns usuários ou grupos de segurança.

  • Todos os sites da organização ou apenas alguns deles.

Bloquear o acesso ajuda a proporcionar segurança, mas impacta a usabilidade e produtividade. Quando o acesso for bloqueado, os usuários verão o seguinte erro.

A experiência quando o acesso é bloqueado

Limitar o acesso permite que os usuários permaneçam produtivos ao lidar com o risco de perda acidental de dados em dispositivos nãomanados. Quando você limita o acesso, os usuários em dispositivos gerenciados terão acesso total (a menos que usem uma das combinações do navegador e do sistema operacional listadas em navegadores com suporte). Os usuários em dispositivos não gerenciados terão acesso somente ao navegador sem capacidade de baixar, imprimir ou sincronizar arquivos. Eles também não poderão acessar conteúdo por meio de aplicativos, incluindo os aplicativos da área de trabalho do Microsoft Office. Ao limitar o acesso, você pode optar por permitir ou bloquear a edição de arquivos no navegador. Quando o acesso à Web for limitado, os usuários verão a seguinte mensagem na parte superior dos sites.

A experiência quando o acesso à Web é limitado

Observação

Bloquear ou limitar o acesso em dispositivos não gerenciados depende de políticas de acesso condicional Microsoft Entra. Saiba mais sobre Microsoft Entra ID licenciamento Para obter uma visão geral do acesso condicional no Microsoft Entra ID, consulte Acesso condicional em Microsoft Entra ID. Para obter informações sobre políticas de acesso recomendadas do SharePoint, consulte Recomendações de política para proteger sites e arquivos do SharePoint. Se você limitar o acesso a dispositivos não gerenciados, os usuários em dispositivos gerenciados devem usar uma das combinações de sistema operacional e navegador com suporte ou também terão acesso limitado.

Controlar o acesso do dispositivo no Microsoft 365

Os procedimentos neste artigo afetam apenas o acesso do SharePoint por dispositivos não gerenciados. Se você quiser expandir o controle de dispositivos não gerenciados além do SharePoint, poderá criar uma política de acesso condicional Microsoft Entra para todos os aplicativos e serviços em sua organização. Para configurar essa política especificamente para serviços do Microsoft 365, selecione o aplicativo de nuvem do Office 365 em Aplicativos ou ações do.

Captura de tela do aplicativo de nuvem Office 365 em uma política de acesso condicional Microsoft Entra

O uso de uma política que afete todos os serviços do Microsoft 365 pode levar a uma melhor segurança e uma melhor experiência para os usuários. Por exemplo, quando você bloqueia o acesso a dispositivos não gerenciados apenas no Microsoft Office SharePoint Online, os usuários podem acessar o chat em uma equipe com um dispositivo não gerenciado, mas perderão o acesso quando tentarem acessar a guia Arquivos. Usar o aplicativo de nuvem do Office 365 ajuda a evitar problemas com dependências de serviço.

Bloquear acesso

  1. Acesse o controle Access no novo centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.

    Observação

    Se você tiver Office 365 operado pela 21Vianet (China), entre no Centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e abra a página de controle access.

  2. Selecione Dispositivos sem gestão.

    O painel dispositivos não gerenciados no centro de administração do SharePoint

  3. Selecione Bloquear acesso e, em seguida, selecione Salvar.

    Importante

    Selecionar essa opção desabilita todas as políticas de acesso condicional anteriores criadas a partir desta página e cria uma nova política de acesso condicional que se aplica a todos os usuários. As personalizações feitas às políticas anteriores não serão realizadas.

    Observação

    Pode levar até 24 horas para que a política entre em vigor. Não entrará em vigor para usuários que já estão conectados de dispositivos não gerenciados.

Importante

Se você bloquear ou limitar o acesso de dispositivos não gerenciados, recomendamos também bloquear o acesso de aplicativos que não usam autenticação moderna. Alguns aplicativos de terceiros e versões do Office antes do Office 2013 não usam autenticação moderna e não podem impor restrições baseadas em dispositivos. Isso significa que eles permitem que os usuários ignorem as políticas de acesso condicional que você configura no Azure. No controle Access no novo centro de administração do SharePoint, selecione Aplicativos que não usam autenticação moderna, selecione Bloquear acesso e, em seguida, selecione Salvar.

Limitar o acesso

  1. Acesse o controle Access no novo centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.

    Observação

    Se você tiver Office 365 operado pela 21Vianet (China), entre no Centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e selecione Políticas para expandir e selecione Controle de Acesso.

  2. Selecione Dispositivos sem gestão.

  3. Selecione Permitir acesso limitado somente à Web e selecione Salvar. (Observe que a seleção dessa opção desabilitará quaisquer políticas de acesso condicional anteriores criadas a partir desta página e criará uma nova política de acesso condicional que se aplique a todos os usuários. As personalizações feitas às políticas anteriores não serão realizadas.)

    O painel dispositivos não gerenciados no novo centro de administração do SharePoint

Se você reverter de volta para Permitir Acesso Completo, pode levar até 24 horas para que as alterações entrem em vigor.

Importante

Se você bloquear ou limitar o acesso de dispositivos não gerenciados, recomendamos também bloquear o acesso de aplicativos que não usam autenticação moderna. Alguns aplicativos de terceiros e versões do Office antes do Office 2013 não usam autenticação moderna e não podem impor restrições baseadas em dispositivos. Isso significa que eles permitem que os usuários ignorem as políticas de acesso condicional que você configura no Azure. No controle Access no novo centro de administração do SharePoint, selecione Aplicativos que não usam autenticação moderna, selecione Bloquear acesso e, em seguida, selecione Salvar.

Observação

Se você limitar o acesso e editar um site de um dispositivo não gerenciado, as Web Parts de imagem não exibirão imagens que você carregar na biblioteca de ativos do site ou diretamente na Web Part. Para resolver esse problema, você pode usar essa API SPList para isentar a política de download de blocos na biblioteca de ativos do site. Isso permite que a Web Part baixe imagens da biblioteca de ativos do site.

Quando Controle de Acesso para dispositivos não gerenciados no SharePoint é definido como Permitir acesso limitado somente à Web, os arquivos do SharePoint não podem ser baixados, mas podem ser visualizados. As visualizações dos arquivos do Office funcionam no SharePoint, mas as visualizações não funcionam em Microsoft Viva Engage.

Limitar o acesso usando o PowerShell

  1. Baixe o Shell de Gerenciamento do SharePoint Online mais recente.

    Observação

    Se você instalou uma versão anterior do Shell de Gerenciamento online do SharePoint, acesse Adicionar ou remover programas e desinstale "Shell de Gerenciamento do SharePoint Online".

  2. Conecte-se ao SharePoint como administrador global ou administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.

  3. Execute o seguinte comando:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess

Observação

Por padrão, essa política permite que os usuários exibam e editem arquivos no navegador da Web. Para alterar isso, consulte Configurações avançadas.

Bloquear ou limitar o acesso a um site específico do SharePoint ou ao OneDrive

Para bloquear ou limitar o acesso a sites específicos, siga estas etapas. Se você configurou a política em toda a organização, a configuração no nível do site especificada deve ser pelo menos tão restritiva quanto a configuração no nível da organização.

  1. Crie manualmente uma política no centro de administração do Microsoft Entra seguindo as etapas em Usar restrições impostas pelo aplicativo.

  2. Defina a configuração no nível do site usando o PowerShell ou um rótulo de confidencialidade:

  3. Para usar o PowerShell: baixe o shell de gerenciamento do SharePoint Online mais recente.

    Observação

    Se você instalou uma versão anterior do Shell de Gerenciamento do SharePoint Online, vá até Adicionar ou remover programas e desinstale o "Shell de Gerenciamento do SharePoint Online".

  4. Conecte-se ao SharePoint como administrador global ou administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.

  5. Execute um dos seguintes comandos.

    Para bloquear o acesso a um único site:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess

    Para limitar o acesso a um único site:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess

    Para atualizar vários sites ao mesmo tempo, use o seguinte comando como exemplo:

    Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess

    Este exemplo obtém o OneDrive para cada usuário e passa-o como uma matriz para Set-SPOSite para limitar o acesso.

Observação

Por padrão, uma configuração que inclui acesso à Web permite que os usuários exibam e editem arquivos em seu navegador da Web. Para alterar isso, consulte Configurações avançadas.

Configurações avançadas

Os seguintes parâmetros podem ser usados com -ConditionalAccessPolicy AllowLimitedAccess para a configuração em toda a organização e para a configuração no nível do site:

-AllowEditing $false Impede que os usuários editem arquivos do Office no navegador.

-ReadOnlyForUnmanagedDevices $true Torna o site inteiro somente leitura para usuários afetados.

-LimitedAccessFileType OfficeOnlineFilesOnly Permite que os usuários visualizem apenas arquivos do Office no navegador. Essa opção aumenta a segurança, mas pode ser uma barreira para a produtividade do usuário.

-LimitedAccessFileType WebPreviewableFiles (padrão) Permite que os usuários visualizem arquivos do Office no navegador. Essa opção otimiza a produtividade do usuário, mas oferece menos segurança para arquivos que não são do Office. Aviso: essa opção é conhecida por causar problemas com tipos de arquivo PDF e de imagem, pois pode ser necessário baixá-los no computador do usuário final para renderizar no navegador. Planeje cuidadosamente o uso desse controle. Caso contrário, os usuários poderão se deparar com erros de "Acesso negado" inesperados.

-LimitedAccessFileType OtherFiles Permite que os usuários baixem arquivos que não podem ser visualizados, como .zip e .exe. Esta opção oferece menos segurança. Se esse modo estiver habilitado, para baixar arquivos como .zip ou .exe, basta copiar a url do arquivo e colar no navegador (exemplo: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip).

O parâmetro AllowDownlownloadingNonWebViewableFiles foi descontinuado. Em vez disso, use LimitedAccessFileType.

Pessoas fora da organização serão afetados quando você usar políticas de acesso condicional para bloquear ou limitar o acesso de dispositivos não gerenciados. Se os usuários tiverem itens compartilhados com pessoas específicas (que devem inserir um código de verificação enviado para seu endereço de email), você poderá isentá-los dessa política executando o comando a seguir.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Observação

Os links "Qualquer pessoa" (links compartilháveis que não exigem entrada) não são afetados por essas políticas. Pessoas que têm um link "Qualquer pessoa" para um arquivo ou pasta poderão baixar o item. Para todos os sites em que você habilita políticas de acesso condicional, você deve desabilitar links "Qualquer pessoa".

Impacto do aplicativo

Bloquear o acesso e bloquear o download pode afetar a experiência do usuário em alguns aplicativos, incluindo alguns aplicativos do Office. Recomendamos ativar a política para alguns usuários e testar a experiência com os aplicativos usados em sua organização. No Office, certifique-se de marcar o comportamento no Power Apps e no Power Automate quando sua política estiver ativada.

Observação

Os aplicativos executados no modo "somente aplicativo" no serviço, como aplicativos antivírus e rastreadores de pesquisa, são isentos da política.

Se você estiver usando modelos de site clássicos do SharePoint, as imagens do site podem não renderizar corretamente. Isso ocorre porque a política impede que os arquivos de imagem originais sejam baixados no navegador.

Para novos locatários, os aplicativos que usam um token de acesso somente aplicativo ACS são desabilitados por padrão. Recomendamos usar o modelo somente de aplicativo Microsoft Entra ID que é moderno e mais seguro. Mas você pode alterar o comportamento executando set-spotenant -DisableCustomAppAuthentication $false (precisa do powershell de administração mais recente do SharePoint).

Precisa de mais ajuda?

SharePoint Q&A

Confira também

Recomendações de política para proteger sites e arquivos do SharePoint

Controlar o acesso aos dados do SharePoint e do OneDrive com base em locais de rede definidos