Compartilhar via


Herança de permissões no SharePoint

Embora o SharePoint permita uma personalização considerável das permissões do site, incluindo a alteração da herança, é altamente recomendável não quebrar a herança. Use os grupos internos do SharePoint para sites de comunicação e gerencie permissões de site de equipe por meio do grupo microsoft 365 associado. Use links de compartilhamento para compartilhar arquivos e pastas individuais com pessoas fora do site. Isso permite uma administração muito mais fácil. Para obter informações sobre como gerenciar permissões na experiência moderna do SharePoint, consulte Compartilhamento e permissões na experiência moderna do SharePoint.

O que é herança de permissões?

A herança de permissões significa que as configurações de permissão de um elemento em uma coleção de sites são passadas para os filhos desse elemento. Dessa forma, os sites herdam permissões do site de nível superior ("raiz") do conjunto de sites, as bibliotecas herdam do site que contém a biblioteca e assim por diante. A herança de permissão permite que você faça uma atribuição de permissão uma vez e que essa permissão se aplique a todos os sites, listas, bibliotecas, pastas e itens que herdam permissões. Esse comportamento pode reduzir a complexidade e a quantidade de tempo que os administradores de conjunto de sites e os proprietários do site gastam no gerenciamento de segurança.

Por padrão, os sites do SharePoint herdam permissões de um site pai. Isso significa que, quando você atribui um usuário ao grupo Membros, as permissões do usuário são automaticamente desativadas em todos os sites, listas, bibliotecas, pastas e itens que herdam o nível de permissão.

O que é um pai em permissões do SharePoint?

O termo pai, quando usado em permissões do SharePoint, é apenas uma maneira de enfatizar a herança. O pai passa suas configurações de permissão para todos os seus filhos. Por padrão, o site raiz de uma coleção de sites é o primeiro pai para todos os sites e outros objetos que estão abaixo dele na hierarquia do site.

O site raiz de uma coleção de sites não é o único pai. Cada objeto protegível (sites, bibliotecas, listas e assim por diante) em uma coleção de sites pode ser um pai. Ou seja, o site raiz é o pai de seus subsites, cada site é o pai de suas bibliotecas e listas, e cada lista é o pai dos itens de lista nele. Nesta terminologia, um objeto com um pai é conhecido como filho. Portanto, um subsite é o filho de seu site pai, um item de lista é o filho de seu pai de lista, e assim por diante.

Importante

Recomendamos criar uma coleção de sites para cada unidade de trabalho em vez de usar subsites criar uma estrutura hierárquica. Saiba mais sobre como usar sites de hub para organizar sua intranet

Por padrão, as permissões são herdadas de pai para filho. Ou seja, se você não alterar a estrutura de permissões, um item de lista herda as permissões (por meio de sua lista pai) do site raiz da coleção. No entanto, mesmo que você quebre a herança de uma lista, essa lista ainda é um pai para seus próprios itens de lista. Os itens de lista da lista herdam as permissões que a lista tem e, se você alterar as permissões para a lista, os itens de lista herdam as alterações.

Quando você quebra pela primeira vez essa cadeia de herança de pai para filho, a criança começa com uma cópia das permissões dos pais. Em seguida, você edita essas permissões para torná-las da maneira desejada. Você pode adicionar permissões, remover permissões, criar grupos especiais e assim por diante. Nenhuma das alterações afeta o pai original. E, se você decidir que quebrar a herança foi a decisão errada, você pode retomar as permissões herdadas a qualquer momento.

Quando um usuário compartilha ou para de compartilhar um item que contém outros itens com herança quebrada, um push único dessa adição ou remoção de permissão é enviado para todos os itens filho, mesmo aqueles com herança quebrada. Isso é verdadeiro para permissões diretas e links de compartilhamento. Ao gerenciar permissões para um item com herança quebrada, os usuários podem remover quaisquer permissões diretas nele. Se um item com herança quebrada estiver acessível por um link de compartilhamento criado em uma de suas pastas pai e um usuário não quiser que esse link conceda acesso ao item, os usuários poderão remover o link inteiramente ou podem mover o arquivo para fora da pasta para a qual o link de compartilhamento tem permissões.

Mais sobre a herança de permissões

A herança de permissão permite que um administrador atribua níveis de permissão ao mesmo tempo e que as permissões se apliquem em toda a coleção de sites. As permissões passam de pai para filho em toda a hierarquia do SharePoint, do nível superior de um site para a parte inferior. A herança de permissão pode economizar tempo para os administradores do site, especialmente em coleções de sites grandes ou complexas.

No entanto, alguns cenários têm requisitos diferentes. Em um cenário, você pode ter que restringir o acesso a um site porque ele contém informações confidenciais que você deve proteger. Em um cenário diferente, talvez você queira expandir o acesso e convidar outras pessoas para compartilhar informações. Se desejar, você pode quebrar o comportamento da herança (parar de herdar permissões) em qualquer nível na hierarquia.

Vamos examinar exemplos desses cenários diferentes.

Suponha que você tenha uma empresa chamada Northwind Traders. Você cria um site de comunicação chamado "Benefícios" com a URL northwindtraders.sharepoint.com/sites/benefits. Na raiz da coleção de sites, você configura grupos do SharePoint, atribui níveis de permissão e adiciona usuários aos grupos.

Suponha então que você crie subsites para o site "Benefícios", como "Cuidados de saúde" (northwindtraders.sharepoint.com/sites/benefits/healthcare) e "Aposentadoria" (northwindtraders.sharepoint.com/sites/benefits/retirement). Esses subsites poderiam até conter mais subsites. Por exemplo, o subsite "Saúde" pode ter um subsite "Odontológico" (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental).

Um cenário que usa o comportamento padrão

Por padrão, as permissões passam diretamente para subsites. Ou seja, os grupos e os níveis de permissão atribuídos na raiz da coleção de sites passam automaticamente para o subsite para reutilização.

Um cenário que restringe o acesso a um site e seus filhos

Suponha que sua empresa ofereça benefícios especiais apenas para executivos. Nesse caso, os administradores decidem separar o subsite "Executivo" e interromper a herança do site pai, "Benefícios".

Os proprietários do site do site "Executivo" alteram as permissões para o site, removendo alguns grupos e criando outros. Os subsites do site "Executivo", "Bônus" e "Transporte da Empresa", agora herdam permissões apenas do subsite "Executivo". Somente os grupos e usuários de "Executivo" podem acessar as listas e bibliotecas que contêm informações confidenciais.

Para facilitar a manutenção, recomendamos que você use um método semelhante para restringir o acesso. Ou seja, organize seu site para que o material confidencial esteja no mesmo lugar. Se você organizar o site dessa forma, só precisará interromper a herança uma vez, para esse site ou biblioteca específico. Isso é muito menos sobrecarga. Requer muito menos trabalho do que criar estruturas de permissão separadas em muitos locais para subsites e bibliotecas individuais.

Um cenário que compartilha o acesso a uma pasta e seus filhos

Suponha que um funcionário da Northwind Traders contratou consultores e deseja colaborar com eles em documentos no SharePoint. O funcionário não deseja dar aos consultores acesso a mais nada no site do SharePoint.

Quando o funcionário compartilha a pasta com os consultores, o SharePoint manipula automaticamente todos os detalhes das permissões e do acesso, quebrando a herança na própria pasta. Os consultores podem acessar todos os documentos na pasta, mas não podem exibir ou acessar nenhuma outra informação no site. Embora a herança seja tecnicamente quebrada, se as pessoas forem adicionadas posteriormente à coleção de sites pai, elas receberão automaticamente permissão para a pasta compartilhada.