Administradores de TI – Controles de acesso de dispositivo não gerenciados do SharePoint e do OneDrive
Como administrador do SharePoint ou administrador global no Microsoft 365, você pode bloquear ou limitar o acesso ao conteúdo do SharePoint e do OneDrive de dispositivos não gerenciados (aqueles que não são associados ao AD híbrido ou em conformidade com Intune). Você pode bloquear ou limitar o acesso para:
Todos os usuários da organização ou apenas alguns usuários ou grupos de segurança.
Todos os sites da organização ou apenas alguns deles.
Bloquear o acesso ajuda a proporcionar segurança, mas impacta a usabilidade e produtividade. Quando o acesso for bloqueado, os usuários verão o seguinte erro.
Limitar o acesso permite que os usuários permaneçam produtivos ao lidar com o risco de perda acidental de dados em dispositivos nãomanados. Quando você limita o acesso, os usuários em dispositivos gerenciados terão acesso total (a menos que usem uma das combinações do navegador e do sistema operacional listadas em navegadores com suporte). Os usuários em dispositivos não gerenciados terão acesso somente ao navegador sem capacidade de baixar, imprimir ou sincronizar arquivos. Eles também não poderão acessar conteúdo por meio de aplicativos, incluindo os aplicativos da área de trabalho do Microsoft Office. Ao limitar o acesso, você pode optar por permitir ou bloquear a edição de arquivos no navegador. Quando o acesso à Web for limitado, os usuários verão a seguinte mensagem na parte superior dos sites.
Observação
Bloquear ou limitar o acesso em dispositivos não gerenciados depende de políticas de acesso condicional Microsoft Entra. Saiba mais sobre Microsoft Entra ID licenciamento Para obter uma visão geral do acesso condicional no Microsoft Entra ID, consulte Acesso condicional em Microsoft Entra ID. Para obter informações sobre políticas de acesso recomendadas do SharePoint, consulte Recomendações de política para proteger sites e arquivos do SharePoint. Se você limitar o acesso a dispositivos não gerenciados, os usuários em dispositivos gerenciados devem usar uma das combinações de sistema operacional e navegador com suporte ou também terão acesso limitado.
Controlar o acesso do dispositivo no Microsoft 365
Os procedimentos neste artigo afetam apenas o acesso do SharePoint por dispositivos não gerenciados. Se você quiser expandir o controle de dispositivos não gerenciados além do SharePoint, poderá criar uma política de acesso condicional Microsoft Entra para todos os aplicativos e serviços em sua organização. Para configurar essa política especificamente para serviços do Microsoft 365, selecione o aplicativo de nuvem do Office 365 em Aplicativos ou ações do.
O uso de uma política que afete todos os serviços do Microsoft 365 pode levar a uma melhor segurança e uma melhor experiência para os usuários. Por exemplo, quando você bloqueia o acesso a dispositivos não gerenciados apenas no Microsoft Office SharePoint Online, os usuários podem acessar o chat em uma equipe com um dispositivo não gerenciado, mas perderão o acesso quando tentarem acessar a guia Arquivos. Usar o aplicativo de nuvem do Office 365 ajuda a evitar problemas com dependências de serviço.
Bloquear acesso
Acesse o controle Access no novo centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.
Observação
Se você tiver Office 365 operado pela 21Vianet (China), entre no Centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e abra a página de controle access.
Selecione Dispositivos sem gestão.
Selecione Bloquear acesso e, em seguida, selecione Salvar.
Importante
Selecionar essa opção desabilita todas as políticas de acesso condicional anteriores criadas a partir desta página e cria uma nova política de acesso condicional que se aplica a todos os usuários. As personalizações feitas às políticas anteriores não serão realizadas.
Observação
Pode levar até 24 horas para que a política entre em vigor. Não entrará em vigor para usuários que já estão conectados de dispositivos não gerenciados.
Importante
Se você bloquear ou limitar o acesso de dispositivos não gerenciados, recomendamos também bloquear o acesso de aplicativos que não usam autenticação moderna. Alguns aplicativos de terceiros e versões do Office antes do Office 2013 não usam autenticação moderna e não podem impor restrições baseadas em dispositivos. Isso significa que eles permitem que os usuários ignorem as políticas de acesso condicional que você configura no Azure. No controle Access no novo centro de administração do SharePoint, selecione Aplicativos que não usam autenticação moderna, selecione Bloquear acesso e, em seguida, selecione Salvar.
Limitar o acesso
Acesse o controle Access no novo centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.
Observação
Se você tiver Office 365 operado pela 21Vianet (China), entre no Centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e selecione Políticas para expandir e selecione Controle de Acesso.
Selecione Dispositivos sem gestão.
Selecione Permitir acesso limitado somente à Web e selecione Salvar. (Observe que a seleção dessa opção desabilitará quaisquer políticas de acesso condicional anteriores criadas a partir desta página e criará uma nova política de acesso condicional que se aplique a todos os usuários. As personalizações feitas às políticas anteriores não serão realizadas.)
Se você reverter de volta para Permitir Acesso Completo, pode levar até 24 horas para que as alterações entrem em vigor.
Importante
Se você bloquear ou limitar o acesso de dispositivos não gerenciados, recomendamos também bloquear o acesso de aplicativos que não usam autenticação moderna. Alguns aplicativos de terceiros e versões do Office antes do Office 2013 não usam autenticação moderna e não podem impor restrições baseadas em dispositivos. Isso significa que eles permitem que os usuários ignorem as políticas de acesso condicional que você configura no Azure. No controle Access no novo centro de administração do SharePoint, selecione Aplicativos que não usam autenticação moderna, selecione Bloquear acesso e, em seguida, selecione Salvar.
Observação
Se você limitar o acesso e editar um site de um dispositivo não gerenciado, as Web Parts de imagem não exibirão imagens que você carregar na biblioteca de ativos do site ou diretamente na Web Part. Para resolver esse problema, você pode usar essa API SPList para isentar a política de download de blocos na biblioteca de ativos do site. Isso permite que a Web Part baixe imagens da biblioteca de ativos do site.
Quando Controle de Acesso para dispositivos não gerenciados no SharePoint é definido como Permitir acesso limitado somente à Web, os arquivos do SharePoint não podem ser baixados, mas podem ser visualizados. As visualizações dos arquivos do Office funcionam no SharePoint, mas as visualizações não funcionam em Microsoft Viva Engage.
Limitar o acesso usando o PowerShell
Baixe o Shell de Gerenciamento do SharePoint Online mais recente.
Observação
Se você instalou uma versão anterior do Shell de Gerenciamento online do SharePoint, acesse Adicionar ou remover programas e desinstale "Shell de Gerenciamento do SharePoint Online".
Conecte-se ao SharePoint como administrador global ou administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.
Execute o seguinte comando:
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
Observação
Por padrão, essa política permite que os usuários exibam e editem arquivos no navegador da Web. Para alterar isso, consulte Configurações avançadas.
Bloquear ou limitar o acesso a um site específico do SharePoint ou ao OneDrive
Para bloquear ou limitar o acesso a sites específicos, siga estas etapas. Se você configurou a política em toda a organização, a configuração no nível do site especificada deve ser pelo menos tão restritiva quanto a configuração no nível da organização.
Crie manualmente uma política no centro de administração do Microsoft Entra seguindo as etapas em Usar restrições impostas pelo aplicativo.
Defina a configuração no nível do site usando o PowerShell ou um rótulo de confidencialidade:
Para usar o PowerShell, continue para a próxima etapa.
Para usar um rótulo de confidencialidade, consulte as seguintes instruções e especifique a configuração de rótulo para o Access de dispositivos não gerenciados: use rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint.
Para usar o PowerShell: baixe o shell de gerenciamento do SharePoint Online mais recente.
Observação
Se você instalou uma versão anterior do Shell de Gerenciamento do SharePoint Online, vá até Adicionar ou remover programas e desinstale o "Shell de Gerenciamento do SharePoint Online".
Conecte-se ao SharePoint como administrador global ou administrador do SharePoint no Microsoft 365. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.
Execute um dos seguintes comandos.
Para bloquear o acesso a um único site:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
Para limitar o acesso a um único site:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
Para atualizar vários sites ao mesmo tempo, use o seguinte comando como exemplo:
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
Este exemplo obtém o OneDrive para cada usuário e passa-o como uma matriz para Set-SPOSite para limitar o acesso.
Observação
Por padrão, uma configuração que inclui acesso à Web permite que os usuários exibam e editem arquivos em seu navegador da Web. Para alterar isso, consulte Configurações avançadas.
Configurações avançadas
Os seguintes parâmetros podem ser usados com -ConditionalAccessPolicy AllowLimitedAccess
para a configuração em toda a organização e para a configuração no nível do site:
-AllowEditing $false
Impede que os usuários editem arquivos do Office no navegador.
-ReadOnlyForUnmanagedDevices $true
Torna o site inteiro somente leitura para usuários afetados.
-LimitedAccessFileType OfficeOnlineFilesOnly
Permite que os usuários visualizem apenas arquivos do Office no navegador. Essa opção aumenta a segurança, mas pode ser uma barreira para a produtividade do usuário.
-LimitedAccessFileType WebPreviewableFiles
(padrão) Permite que os usuários visualizem arquivos do Office no navegador. Essa opção otimiza a produtividade do usuário, mas oferece menos segurança para arquivos que não são do Office. Aviso: essa opção é conhecida por causar problemas com tipos de arquivo PDF e de imagem, pois pode ser necessário baixá-los no computador do usuário final para renderizar no navegador. Planeje cuidadosamente o uso desse controle. Caso contrário, os usuários poderão se deparar com erros de "Acesso negado" inesperados.
-LimitedAccessFileType OtherFiles
Permite que os usuários baixem arquivos que não podem ser visualizados, como .zip e .exe. Esta opção oferece menos segurança. Se esse modo estiver habilitado, para baixar arquivos como .zip ou .exe, basta copiar a url do arquivo e colar no navegador (exemplo: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip).
O parâmetro AllowDownlownloadingNonWebViewableFiles foi descontinuado. Em vez disso, use LimitedAccessFileType.
Pessoas fora da organização serão afetados quando você usar políticas de acesso condicional para bloquear ou limitar o acesso de dispositivos não gerenciados. Se os usuários tiverem itens compartilhados com pessoas específicas (que devem inserir um código de verificação enviado para seu endereço de email), você poderá isentá-los dessa política executando o comando a seguir.
Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false
Observação
Os links "Qualquer pessoa" (links compartilháveis que não exigem entrada) não são afetados por essas políticas. Pessoas que têm um link "Qualquer pessoa" para um arquivo ou pasta poderão baixar o item. Para todos os sites em que você habilita políticas de acesso condicional, você deve desabilitar links "Qualquer pessoa".
Impacto do aplicativo
Bloquear o acesso e bloquear o download pode afetar a experiência do usuário em alguns aplicativos, incluindo alguns aplicativos do Office. Recomendamos ativar a política para alguns usuários e testar a experiência com os aplicativos usados em sua organização. No Office, certifique-se de marcar o comportamento no Power Apps e no Power Automate quando sua política estiver ativada.
Observação
Os aplicativos executados no modo "somente aplicativo" no serviço, como aplicativos antivírus e rastreadores de pesquisa, são isentos da política.
Se você estiver usando modelos de site clássicos do SharePoint, as imagens do site podem não renderizar corretamente. Isso ocorre porque a política impede que os arquivos de imagem originais sejam baixados no navegador.
Para novos locatários, os aplicativos que usam um token de acesso somente aplicativo ACS são desabilitados por padrão. Recomendamos usar o modelo somente de aplicativo Microsoft Entra ID que é moderno e mais seguro. Mas você pode alterar o comportamento executando set-spotenant -DisableCustomAppAuthentication $false
(precisa do powershell de administração mais recente do SharePoint).
Precisa de mais ajuda?
Confira também
Recomendações de política para proteger sites e arquivos do SharePoint
Controlar o acesso aos dados do SharePoint e do OneDrive com base em locais de rede definidos
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de