Share via

Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365

  • Artigo

Os grupos fazem parte de uma estratégia de controle de acesso. Você pode usar os grupos de segurança do Microsoft Entra e os Grupos do Microsoft 365 como base para proteger o acesso aos recursos. Use grupos para os seguintes mecanismos de controle de acesso:

Os grupos têm as seguintes funções:

  • Proprietários de grupos – gerencie as configurações do grupo e sua associação
  • Membros – herdam permissões e acesso atribuídos ao grupo
  • Convidados – são membros fora da sua organização

Antes de começar

Este artigo é o número 4 de uma série de 10 artigos. Recomendamos que você revise os artigos em ordem. Vá para a seção Próximas etapas para ver a série inteira.

Estratégia de grupo

Para desenvolver uma estratégia de grupo para garantir o acesso externo aos seus recursos, considere a postura de segurança desejada.

Saiba mais: Determine sua postura de segurança para acesso externo

Criação de grupos

Determine a quem são concedidas permissões para criar grupos: administradores, funcionários e/ou usuários externos. Considere os seguintes cenários:

Convites para grupos

Como parte da estratégia de grupo, considere quem pode convidar pessoas ou adicioná-las aos grupos. Os membros do grupo podem adicionar outros membros ou os proprietários do grupo podem adicionar membros. Decida quem pode ser convidado. Por padrão, usuários externos podem ser adicionados a grupos.

Atribuir utilizadores a grupos

Os usuários são atribuídos a grupos manualmente, com base nos atributos de usuário em seu objeto de usuário, ou os usuários são atribuídos com base em outros critérios. Os usuários são atribuídos a grupos dinamicamente com base em seus atributos. Por exemplo, você pode atribuir usuários a grupos com base em:

  • Cargo ou departamento
  • Organização parceira a que pertencem
    • Manualmente ou através de organizações conectadas
  • Tipo de Membro ou Utilizador Convidado
  • Participação num projeto
    • Manualmente
  • Location

Os grupos dinâmicos têm utilizadores ou dispositivos, mas não ambos. Para atribuir usuários ao grupo dinâmico, adicione consultas com base nos atributos do usuário. A captura de tela a seguir tem consultas que adicionam usuários ao grupo se eles forem membros do departamento financeiro.

Screenshot of options and entries under Dynamic membership rules.

Saiba mais: Criar ou atualizar um grupo dinâmico no Microsoft Entra ID

Usar grupos para uma função

Ao usar grupos, é importante que eles tenham uma única função. Se um grupo for usado para conceder acesso a recursos, não o use para outra finalidade. Recomendamos uma convenção de nomenclatura de grupo de segurança que deixe claro o propósito:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Tipos de grupo

Você pode criar grupos de segurança do Microsoft Entra e Grupos do Microsoft 365 no portal do Azure ou no portal de administração do Microsoft 365. Use qualquer tipo de grupo para proteger o acesso externo.

Considerações Grupos de segurança manuais e dinâmicos do Microsoft Entra Grupos do Microsoft 365
O grupo contém Utilizadores
Grupos
Principais de serviço
Dispositivos		 Apenas utilizadores
Onde o grupo é criado Portal do Azure
Portal do Microsoft 365, se habilitado para email)
PowerShell
Microsoft Graph
Portal do utilizador final		 Portal do Microsoft 365
Portal do Azure
PowerShell
Microsoft Graph
Em aplicativos do Microsoft 365
Quem cria, por padrão Administradores
Utilizadores		 Administradores
Utilizadores
Quem é adicionado, por padrão Usuários internos (membros do locatário) e usuários convidados Membros inquilinos e convidados de uma organização
O acesso é concedido a: Recursos aos quais está atribuído. Recursos relacionados ao grupo:
(Caixa de correio de grupo, site, equipe, bate-papos e outros recursos do Microsoft 365)
Outros recursos aos quais o grupo é adicionado
Pode ser usado com Acesso Condicional
Gestão de direitos
Licenciamento em grupo		 Acesso Condicional
Gestão de direitos
rótulos de sensibilidade

Nota

Use o Microsoft 365 Groups para criar e gerenciar um conjunto de recursos do Microsoft 365, como uma equipe e seus sites e conteúdo associados.

Grupos de segurança do Microsoft Entra

Os grupos de segurança do Microsoft Entra podem ter usuários ou dispositivos. Use esses grupos para gerenciar o acesso a:

  • Recursos do Azure
    • Microsoft 365 Apps
    • Aplicações personalizadas
    • Aplicativos de software como serviço (SaaS), como o Dropbox ServiceNow
  • Dados e subscrições do Azure
  • Serviços do Azure

Use os grupos de segurança do Microsoft Entra para atribuir:

Saiba mais:

Nota

Use grupos de segurança para atribuir até 1.500 aplicativos.

Screenshot of entries and options under New Group.

Grupo de segurança habilitado para email

Para criar um grupo de segurança habilitado para email, vá para o Centro de administração do Microsoft 365. Habilite um grupo de segurança para email durante a criação. Não é possível ativá-lo mais tarde. Não é possível criar o grupo no portal do Azure.

Organizações híbridas e grupos de segurança do Microsoft Entra

As organizações híbridas têm infraestrutura local e uma ID do Microsoft Entra. As organizações híbridas que usam o Ative Directory podem criar grupos de segurança no local e sincronizá-los com a nuvem. Portanto, somente os usuários no ambiente local podem ser adicionados aos grupos de segurança.

Importante

Proteja sua infraestrutura local contra comprometimento. Consulte Protegendo o Microsoft 365 contra ataques locais.

Grupos do Microsoft 365

O Microsoft 365 Groups é o serviço de associação para acesso no Microsoft 365. Eles podem ser criados no portal do Azure ou no centro de administração do Microsoft 365. Ao criar um grupo do Microsoft 365, você concede acesso a um grupo de recursos para colaboração.

Saiba mais:

Funções do Microsoft 365 Groups

  • Proprietários de grupos
    • Adicionar ou remover membros
    • Excluir conversas da caixa de entrada compartilhada
    • Alterar configurações de grupo
    • Renomear o grupo
    • Atualizar a descrição ou imagem
  • Membros
  • Hóspedes
    • São membros de fora da sua organização
    • Ter alguns limites de funcionalidade no Teams

Configurações do Grupo Microsoft 365

Selecione alias de e-mail, privacidade e se deseja habilitar o grupo para equipes.

Screenshot of options and entries under Edit settings.

Após a configuração, adicione membros e defina configurações para uso de e-mail e assim por diante.

Próximos passos

Use a série de artigos a seguir para saber como proteger o acesso externo aos recursos. Recomendamos que siga a ordem listada.

  1. Determine sua postura de segurança para acesso externo com o Microsoft Entra ID

  2. Descubra o estado atual da colaboração externa na sua organização

  3. Criar um plano de segurança para acesso externo a recursos

  4. Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365 (Você está aqui)

  5. Transição para colaboração governada com colaboração B2B do Microsoft Entra

  6. Gerencie o acesso externo com o gerenciamento de direitos do Microsoft Entra

  7. Gerencie o acesso externo a recursos com políticas de Acesso Condicional

  8. Controle o acesso externo a recursos no Microsoft Entra ID com rótulos de sensibilidade

  9. Proteja o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID

  10. Converter contas de convidado locais em contas de convidado B2B do Microsoft Entra