Planear a segurança, a conformidade e a governação

Aplica-se a: Administrador de conformidade

Utilize este artigo para planear a segurança, a conformidade e a governação dos conteúdos armazenados no SharePoint Embedded.

Os conteúdos do SharePoint Embedded residem no limite do Microsoft 365 do inquilino que está a consumir.

As definições de inquilino do Microsoft 365 e as capacidades do Microsoft Purview para consumidores suportadas aplicam-se aos documentos da aplicação aí armazenados.

Modelo de governação

O SharePoint Embedded é apenas API e não fornece uma interface de utilizador final incorporada.

A aplicação proprietária proporciona a experiência de utilizador.

Os administradores de conformidade e os administradores do SharePoint Embedded impõem políticas suportadas em contentores e conteúdos através do Microsoft Purview, das capacidades de administração suportadas e do PowerShell.

Alguns cenários de conformidade requerem a interação do utilizador. Uma vez que o SharePoint Embedded não inclui uma IU nativa, a aplicação tem de fornecer a experiência quando esses cenários são necessários.

Responsabilidade do inquilino

O conteúdo é armazenado no inquilino que consome.

Por conseguinte, o consumo de políticas de inquilino e decisões de administrador regem o conteúdo.

Para uma aplicação LOB empresarial, o inquilino da empresa é proprietário e consome a aplicação.

Para uma aplicação ISV, cada inquilino do cliente rege os seus próprios conteúdos do SharePoint Embedded.

Para o planeamento da função de inquilino, veja Compreender a arquitetura de aplicações e inquilinos.

Descobrir aplicações e contentores

Os administradores de conformidade podem precisar de detalhes do contentor para as políticas de destino.

Utilize este fluxo de deteção do PowerShell para obter os detalhes do contentor para o âmbito da política:

  1. Ver aplicações do SharePoint Embedded registadas no inquilino.

    Get-SPOApplication
    
  2. Obtenha contentores para uma aplicação com o ID da aplicação.

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>
    
  3. Obtenha os detalhes de um contentor, incluindo o URL do site de contentor.

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
    

Para obter detalhes do cmdlet, veja Get-SPOContainer.

Suporte do Microsoft Purview

O SharePoint Embedded suporta funcionalidades de conformidade do Microsoft Purview para conteúdos armazenados na plataforma.

O SharePoint Embedded suporta estas capacidades do Microsoft Purview:

  • Auditoria
  • Descoberta eletrônica
  • Gerenciamento do Ciclo de Vida dos Cados
  • Prevenção contra Perda de Dados

Estas capacidades funcionam de forma semelhante ao conteúdo do SharePoint, com limitações em que a aplicação tem de fornecer interação do utilizador.

Auditoria

As capacidades de auditoria espelho a funcionalidade de auditoria existente suportada no SharePoint.

As operações de utilizador e administrador executadas em aplicações alojadas no SharePoint Embedded são capturadas, registadas e mantidas no registo de auditoria unificado da organização.

Os eventos de auditoria relacionados com o SharePoint Embedded incluem dados adicionais para ajudar a filtrar os resultados:

  • ContainerInstanceId
  • ContainerTypeId

Utilize estas propriedades para isolar conteúdos do SharePoint Embedded durante as pesquisas de auditoria.

Para obter mais informações, veja Soluções de auditoria no Microsoft Purview.

Descoberta eletrônica

Os administradores de conformidade podem utilizar Descoberta Eletrônica do Microsoft Purview ferramentas para pesquisar, manter e exportar conteúdos do SharePoint Embedded.

Para procurar todos os conteúdos do SharePoint Embedded, configure a Pesquisa de Deteção de Dados Eletrónicos para todos os sites do SharePoint.

Isto inclui sites do SharePoint e contentores do SharePoint Embedded.

Para limitar a Pesquisa de Deteção de Dados Eletrónicos a contentores específicos, escolha sites na carga de trabalho de sites do SharePoint e forneça o URL do contentor.

Para obter mais informações, veja soluções de Descoberta Eletrônica do Microsoft Purview.

Gerenciamento do Ciclo de Vida dos Cados

O SharePoint Embedded suporta políticas de retenção e retenção através do portal de conformidade do Microsoft Purview.

As políticas de retenção configuradas para todos os sites do SharePoint aplicam-se a todos os sites do SharePoint e a todos os contentores no SharePoint Embedded.

Para impor seletivamente uma política num ou mais contentores do SharePoint Embedded, utilize o URL do contentor ao configurar a política.

Uma vez que o SharePoint Embedded não tem IU incorporada, é necessário suporte de aplicações para cenários de interação do utilizador, como um utilizador final que aplica uma etiqueta de retenção através da aplicação.

Para obter mais informações, consulte Saiba mais sobre Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview.

Prevenção contra Perda de Dados

Prevenção Contra Perda de Dados do Microsoft Purview podem identificar, monitorizar e proteger automaticamente itens confidenciais armazenados em aplicações Do SharePoint Embedded.

As políticas DLP podem ser impostas em todos os sites do SharePoint e contentores do SharePoint Embedded ao configurar a política para todos os sites.

Os administradores também podem restringir a imposição de DLP a contentores específicos do SharePoint Embedded ao especificar URLs de contentor.

Alguns cenários DLP requerem interação do utilizador.

Por exemplo, uma política DLP que impeça a partilha externa pode permitir uma substituição de justificação comercial.

A aplicação cliente tem de fornecer a interação do utilizador se o cenário for necessário.

As sugestões de política para ficheiros Do SharePoint Embedded também requerem suporte de aplicações através do Microsoft Graph, quando aplicável.

Para obter mais informações, veja Saiba mais sobre a prevenção de perda de dados.

Rótulos de confidencialidade

Os Administradores Globais e Os Administradores Incorporados do SharePoint podem definir e remover etiquetas de confidencialidade num contentor do SharePoint Embedded com o SharePoint PowerShell.

Use este comando:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

A etiqueta é aplicada ao nível do contentor: define a confidencialidade do contentor e governa as definições do contentor, como o acesso condicional e a partilha de convidados. Não tem ficheiros de recaída retroativamente existentes no contentor e cada ficheiro tem a sua própria etiqueta de confidencialidade. Para obter informações sobre o comportamento de etiquetagem ao nível do item, veja Saiba mais sobre as etiquetas de confidencialidade.

Bloquear política de transferência

Os Administradores do SharePoint ou Administradores Globais podem bloquear transferências de ficheiros a partir de contentores do SharePoint Embedded.

Use este comando:

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

É necessária uma licença de Gestão Avançada do SharePoint para impor esta política.

Para obter mais informações, consulte Bloquear política de transferências para sites do SharePoint e OneDrive.

Acesso Condicional

O SharePoint Embedded suporta configurações básicas de políticas de Acesso Condicional.

Use este comando:

  • AllowFullAccess
  • AllowLimitedAccess
  • BlockAccess

Estas definições estão disponíveis através de:

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Para obter informações, consulte Controlar o acesso de dispositivos gerenciados.

Barreiras de informações

O fileStorageContainer recurso tem uma propriedade informationBarrier que lhe permite gerir a barreira de informações de um contentor (ponto final beta do Microsoft Graph, março de 2026). Utilize segmentos de barreiras de informações para restringir a comunicação e a colaboração entre grupos de utilizadores, sempre que necessário pela política de conformidade.

Para obter mais informações, veja Barreiras de informações no SharePoint.

Configurações de locatário

As definições do Microsoft 365 para consumidores aplicam-se a documentos de aplicações armazenados pelo SharePoint Embedded.

Isto inclui definições de segurança, conformidade, risco e governação suportadas.

A sua aplicação não deve assumir que cada inquilino consumidor tem a mesma configuração de política.

Conceção para resultados de imposição de políticas, operações bloqueadas e mensagens direcionadas para o utilizador.

Responsabilidades de governação

Área Proprietário da aplicação Consumir administrador de inquilinos
Experiência de utilizador para ficheiros Indique a IU da aplicação. Valide as expetativas da política.
Deteção de contentores Exponha os identificadores quando apropriado. Utilize o PowerShell e as ferramentas de administração.
Políticas do Purview Processe os requisitos de UX orientados por políticas. Configure auditoria, Deteção de Dados Eletrónicos, DLP, retenção e etiquetas.
Modelo de acesso Pedir menos privilégios. Conceda consentimento e faça a gestão das definições de inquilino.
Prova de conformidade Preservar o contexto e a auditoria da aplicação. Utilize o registo de auditoria unificado e as ferramentas do Purview.

Lista de verificação de planejamento

  • Identifique o proprietário da governação de inquilinos que está a consumir.
  • Inventariar aplicações e contentores do SharePoint Embedded.
  • Captura URLs de contentor necessários para políticas direcionadas.
  • Planear pesquisas de auditoria com ContainerInstanceId e ContainerTypeId.
  • Decida se as políticas se aplicam a todos os sites ou contentores selecionados.
  • Planear a interação do utilizador DLP na aplicação.
  • Planear a interação do utilizador da etiqueta de retenção na aplicação, se necessário.
  • Decida se as etiquetas de confidencialidade são necessárias nos contentores.
  • Decida se a política de transferência de blocos é necessária.
  • Decida se as definições de Acesso Condicional são necessárias.
  • Valide os requisitos de licenciamento para políticas avançadas.

Próximas etapas

Reveja o comportamento de dimensionamento, limitação e repetição: compreender os limites e padrões de chamada.