Controlar o acesso de utilizadores externos na gestão de direitos
O gerenciamento de direitos usa o Microsoft Entra business-to-business (B2B) para compartilhar o acesso para que você possa colaborar com pessoas fora da sua organização. Com o Microsoft Entra B2B, os usuários externos se autenticam em seu diretório base, mas têm uma representação em seu diretório. A representação em seu diretório permite que o usuário seja atribuído acesso aos seus recursos.
Este artigo descreve as configurações que você pode especificar para controlar o acesso para usuários externos.
Como a gestão de direitos pode ajudar
Ao usar a experiência de convite do Microsoft Entra B2B , você já deve saber os endereços de e-mail dos usuários convidados externos que deseja trazer para seu diretório de recursos e trabalhar. Convidar diretamente cada usuário funciona muito bem quando você está trabalhando em um projeto menor ou de curto prazo e já conhece todos os participantes, mas esse processo é mais difícil de gerenciar se você tiver muitos usuários com quem deseja trabalhar ou se os participantes mudarem ao longo do tempo. Por exemplo, você pode estar trabalhando com outra organização e ter um ponto de contato com essa organização, mas com o tempo mais usuários dessa organização também precisarão de acesso.
Com o gerenciamento de direitos, você pode definir uma política que permita que usuários de organizações especificadas por você possam solicitar automaticamente um pacote de acesso. Essa política inclui se a aprovação é necessária, se as revisões de acesso são necessárias e uma data de expiração para o acesso. Na maioria dos casos, você deseja exigir aprovação, a fim de ter supervisão apropriada sobre quais usuários são trazidos para o seu diretório. Se a aprovação for necessária, para os principais parceiros externos da organização, você pode considerar convidar um ou mais usuários da organização externa para seu diretório, designá-los como patrocinadores e configurar que os patrocinadores são aprovadores, já que eles provavelmente saberão quais usuários externos de sua organização precisam de acesso. Depois de configurar o pacote de acesso, obtenha o link de solicitação do pacote de acesso para que você possa enviar esse link para sua pessoa de contato (patrocinador) na organização externa. Esse contato pode ser compartilhado com outros usuários em sua organização externa e eles podem usar esse link para solicitar o pacote de acesso. Os usuários dessa organização que já foram convidados para o diretório também podem usar esse link.
Você também pode usar o gerenciamento de direitos para trazer usuários de organizações que não têm seu próprio diretório do Microsoft Entra. Você pode configurar um provedor de identidade federada para seu domínio ou usar a autenticação baseada em email. Você também pode trazer usuários de provedores de identidade social, incluindo aqueles com contas da Microsoft.
Normalmente, quando uma solicitação é aprovada, o gerenciamento de direitos provisiona o usuário com o acesso necessário. Se o usuário ainda não estiver no seu diretório, o gerenciamento de direitos primeiro convidará o usuário. Quando o usuário é convidado, o Microsoft Entra ID cria automaticamente uma conta de convidado B2B para ele, mas não envia um email ao usuário. Um administrador pode ter limitado quais organizações têm permissão para colaboração, definindo uma permissão B2B ou uma lista de bloqueio para permitir ou bloquear convites para domínios de outras organizações. Se o domínio do usuário não for permitido por essas listas, ele não será convidado e não poderá receber acesso até que as listas sejam atualizadas.
Como você não deseja que o acesso do usuário externo dure para sempre, especifique uma data de expiração na política, como 180 dias. Após 180 dias, se o acesso não for estendido, o gerenciamento de direitos removerá todo o acesso associado a esse pacote de acesso. Por padrão, se o usuário que foi convidado por meio do gerenciamento de direitos não tiver outras atribuições de pacote de acesso, quando perder sua última atribuição, sua conta de convidado será bloqueada de entrar por 30 dias e posteriormente removida. Isso evita a proliferação de contas desnecessárias. Conforme descrito nas seções a seguir, essas configurações são configuráveis.
Como funciona o acesso para utilizadores externos
O diagrama e as etapas a seguir fornecem uma visão geral de como os usuários externos recebem acesso a um pacote de acesso.
Você adiciona uma organização conectada para o diretório ou domínio do Microsoft Entra com o qual deseja colaborar. Você também pode configurar uma organização conectada para um provedor de identidade social.
Verifique se a configuração do catálogo Habilitado para usuários externos no catálogo para conter o pacote de acesso é Sim.
Você cria um pacote de acesso em seu diretório que inclui uma política Para usuários que não estão em seu diretório e especifica as organizações conectadas que podem solicitar, o aprovador e as configurações de ciclo de vida. Se você selecionar na política a opção de organizações conectadas específicas ou a opção de todas as organizações conectadas, somente os usuários dessas organizações que foram configuradas anteriormente poderão solicitar. Se você selecionar na política a opção de todos os usuários, qualquer usuário poderá solicitar, incluindo aqueles que ainda não fazem parte do seu diretório e não fazem parte de nenhuma organização conectada.
Verifique a configuração oculta no pacote de acesso para garantir que o pacote de acesso esteja oculto. Se ele não estiver oculto, qualquer usuário permitido pelas configurações de política nesse pacote de acesso poderá procurar o pacote de acesso no portal Meu Acesso para seu locatário.
Você envia um link do portal Meu Acesso para seu contato na organização externa que eles podem compartilhar com seus usuários para solicitar o pacote de acesso.
Um usuário externo (Solicitante A neste exemplo) usa o link do portal Meu Acesso para solicitar acesso ao pacote de acesso. O portal Meu acesso requer que o usuário entre como parte de sua organização conectada. A forma como o utilizador inicia sessão depende do tipo de autenticação do diretório ou domínio definido na organização ligada e nas definições dos utilizadores externos.
Um aprovador aprova a solicitação (supondo que a política exija aprovação).
O pedido vai para o estado de entrega.
Usando o processo de convite B2B, uma conta de usuário convidado é criada em seu diretório (Solicitante A (Convidado) neste exemplo). Se uma lista de permissões ou uma lista de bloqueio for definida, a configuração de lista será aplicada.
O usuário convidado recebe acesso a todos os recursos do pacote de acesso. Pode levar algum tempo para que as alterações sejam feitas na ID do Microsoft Entra e em outros Microsoft Online Services ou aplicativos SaaS conectados. Para obter mais informações, consulte Quando as alterações são aplicadas.
O usuário externo recebe um e-mail indicando que seu acesso foi entregue.
Para acessar os recursos, o usuário externo pode selecionar o link no e-mail ou tentar acessar qualquer um dos recursos do diretório diretamente para concluir o processo de convite.
Se as configurações de política incluírem uma data de expiração, mais tarde, quando a atribuição de pacote de acesso para o usuário externo expirar, os direitos de acesso do usuário externo desse pacote de acesso serão removidos.
Dependendo do ciclo de vida das configurações de usuários externos, quando o usuário externo não tem mais atribuições de pacote de acesso, o usuário externo é impedido de entrar e a conta de usuário externo é removida do diretório.
Configurações para usuários externos
Para garantir que pessoas fora da sua organização possam solicitar pacotes de acesso e obter acesso aos recursos nesses pacotes de acesso, há algumas configurações que você deve verificar se estão configuradas corretamente.
Habilitar catálogo para usuários externos
Por padrão, quando você cria um novo catálogo, ele é habilitado para permitir que usuários externos solicitem pacotes de acesso no catálogo. Verifique se Habilitado para usuários externos está definido como Sim.
Se você for um administrador ou proprietário de catálogo, poderá exibir a lista de catálogos atualmente habilitados para usuários externos na lista de catálogos do centro de administração do Microsoft Entra, alterando a configuração de filtro para Habilitado para usuários externos para Sim. Se qualquer um desses catálogos mostrados nessa exibição filtrada tiver um número diferente de zero de pacotes de acesso, esses pacotes de acesso poderão ter uma política para usuários que não estejam no seu diretório que permita que usuários externos solicitem.
Configure suas configurações de colaboração externa do Microsoft Entra B2B
Permitir que os hóspedes convidem outros convidados para o seu diretório significa que os convites de convidados podem ocorrer fora da gestão de direitos. Recomendamos definir que os hóspedes podem convidar para Não para permitir apenas convites devidamente controlados.
Se você tiver usado anteriormente a lista de permissões B2B, deverá removê-la ou certificar-se de que todos os domínios de todas as organizações com as quais deseja fazer parceria usando o gerenciamento de direitos sejam adicionados à lista. Como alternativa, se você estiver usando a lista de bloqueio B2B, deve certificar-se de que nenhum domínio de qualquer organização com a qual deseja fazer parceria esteja presente nessa lista.
Se você criar uma política de gerenciamento de direitos para Todos os usuários (Todas as organizações conectadas + novos usuários externos) e um usuário não pertencer a uma organização conectada em seu diretório, uma organização conectada será criada automaticamente para eles quando eles solicitarem o pacote. No entanto, qualquer configuração de permissão ou lista de bloqueio B2B que você tenha tem precedência. Portanto, você deseja remover a lista de permissões, se estiver usando uma, para que todos os usuários possam solicitar acesso e excluir todos os domínios autorizados da sua lista de bloqueios se você estiver usando uma lista de bloqueio.
Se quiser criar uma política de gerenciamento de direitos que inclua Todos os usuários (Todas as organizações conectadas + novos usuários externos), você deve primeiro habilitar a autenticação de senha única de e-mail para seu diretório. Para obter mais informações, consulte Autenticação de senha única por e-mail.
Para obter mais informações sobre as configurações de colaboração externa do Microsoft Entra B2B, consulte Definir configurações de colaboração externa.
Rever as definições de acesso entre inquilinos
- Certifique-se de que suas configurações de acesso entre locatários para colaboração B2B de entrada permitam que o acesso seja solicitado e atribuído. Você deve verificar se as configurações permitem locatários que fazem parte de suas organizações conectadas atuais ou futuras e se os usuários desses locatários não estão impedidos de serem convidados. Além disso, verifique se esses usuários são permitidos pelas configurações de acesso entre locatários para poder se autenticar nos aplicativos para os quais você deseja habilitar cenários de colaboração. Para obter mais informações, consulte Configurar configurações de acesso entre locatários.
- Se você criar uma organização conectada para um locatário do Microsoft Entra a partir de uma nuvem diferente da Microsoft, também precisará definir as configurações de acesso entre locatários adequadamente. Para obter mais informações, consulte Definir configurações de nuvem da Microsoft.
Rever as suas políticas de Acesso Condicional
Certifique-se de excluir o aplicativo Gerenciamento de Direitos de todas as políticas de Acesso Condicional que afetem os usuários convidados. Caso contrário, uma política de Acesso Condicional poderá impedi-los de aceder ao MyAccess ou de iniciar sessão no seu diretório. Por exemplo, os hóspedes provavelmente não têm um dispositivo registrado, não estão em um local conhecido e não querem se registrar novamente para autenticação multifator (MFA), portanto, adicionar esses requisitos em uma política de Acesso Condicional impedirá que os hóspedes usem o gerenciamento de direitos. Para obter mais informações, consulte Quais são as condições no Acesso Condicional do Microsoft Entra?.
Uma política comum para clientes do Gerenciamento de direitos é bloquear todos os aplicativos de convidados, exceto o Gerenciamento de direitos para convidados. Esta política permite que os hóspedes entrem em Meu Acesso e solicitem um pacote de acesso. Este pacote deve conter um grupo (chama-se Convidados do Meu Acesso no exemplo seguinte), que deve ser excluído da política de bloqueio de todas as aplicações. Uma vez que o pacote é aprovado, o convidado está no diretório. Dado que o usuário final tem a atribuição do pacote de acesso e faz parte do grupo, o usuário final pode acessar todos os outros aplicativos. Outras políticas comuns incluem a exclusão do aplicativo Entitlement Management do MFA e do dispositivo compatível.
Nota
O aplicativo Gerenciamento de Direitos inclui o lado de gerenciamento de direitos do MyAccess, o lado de Gerenciamento de Direitos do centro de administração do Microsoft Entra e a parte de Gerenciamento de Direitos do gráfico MS. Os dois últimos exigem permissões adicionais para acesso, portanto, não serão acessados pelos hóspedes, a menos que seja fornecida permissão explícita.
Rever as definições de partilha externa do SharePoint Online
Se pretender incluir sites do SharePoint Online nos seus pacotes de acesso para utilizadores externos, certifique-se de que a definição de partilha externa ao nível da organização está definida como Qualquer pessoa (os utilizadores não necessitam de iniciar sessão) ou Convidados novos e existentes (os convidados têm de iniciar sessão ou fornecer um código de verificação). Para obter mais informações, consulte Ativar ou desativar o compartilhamento externo.
Se quiser restringir qualquer compartilhamento externo fora do gerenciamento de direitos, você pode definir a configuração de compartilhamento externo como Convidados existentes. Em seguida, apenas novos usuários que são convidados por meio do gerenciamento de direitos podem obter acesso a esses sites. Para obter mais informações, consulte Ativar ou desativar o compartilhamento externo.
Certifique-se de que as configurações no nível do site habilitem o acesso de convidado (mesmas seleções de opções listadas anteriormente). Para obter mais informações, consulte Ativar ou desativar o compartilhamento externo para um site.
Rever as definições de partilha de grupo do Microsoft 365
Se pretender incluir grupos do Microsoft 365 nos seus pacotes de acesso para utilizadores externos, certifique-se de que a opção Permitir que os utilizadores adicionem novos convidados à organização esteja definida como Ativado para permitir o acesso de convidados. Para obter mais informações, consulte Gerenciar o acesso de convidados aos Grupos do Microsoft 365.
Se pretender que os utilizadores externos possam aceder ao site do SharePoint Online e aos recursos associados a um grupo do Microsoft 365, certifique-se de que ativa a partilha externa do SharePoint Online. Para obter mais informações, consulte Ativar ou desativar o compartilhamento externo.
Para obter informações sobre como definir a política de convidado para grupos do Microsoft 365 no nível de diretório no PowerShell, consulte Exemplo: Configurar a política de convidado para grupos no nível de diretório.
Rever as definições de partilha do Teams
- Se você quiser incluir o Teams em seus pacotes de acesso para usuários externos, verifique se Permitir acesso de convidado no Microsoft Teams está definido como Ativado para permitir acesso de convidado. Para obter mais informações, consulte Configurar o acesso de convidado no centro de administração do Microsoft Teams.
Gerenciar o ciclo de vida de usuários externos
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Você pode selecionar o que acontece quando um usuário externo, que foi convidado para seu diretório fazendo uma solicitação de pacote de acesso, não tem mais nenhuma atribuição de pacote de acesso. Isso pode acontecer se o usuário renunciar a todas as suas atribuições de pacote de acesso ou se sua última atribuição de pacote de acesso expirar. Por padrão, quando um usuário externo não tem mais atribuições de pacote de acesso, ele é impedido de entrar no seu diretório. Após 30 dias, a conta de usuário convidado é removida do diretório. Você também pode configurar que um usuário externo não seja bloqueado de entrar ou excluído, ou que um usuário externo não seja bloqueado de entrar, mas seja excluído.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Configurações de gerenciamento de direitos> de governança>de identidade.
Selecione Editar.
Na seção Gerenciar o ciclo de vida de usuários externos, selecione as diferentes configurações para usuários externos.
Quando um usuário externo perder sua última atribuição a qualquer pacote de acesso, se você quiser bloqueá-lo de entrar nesse diretório, defina Bloquear usuário externo de entrar neste diretório como Sim.
Nota
A gestão de direitos apenas impede que as contas de utilizador convidado externo iniciem sessão que tenham sido convidadas através da gestão de direitos ou que tenham sido adicionadas à gestão de direitos para a gestão do ciclo de vida ao terem a sua conta de utilizador convidado convertida em controlada. Além disso, observe que um usuário será impedido de entrar mesmo se esse usuário tiver sido adicionado a recursos nesse diretório que não foram atribuições de pacote de acesso. Se um usuário for impedido de entrar nesse diretório, o usuário não poderá solicitar novamente o pacote de acesso ou solicitar acesso adicional nesse diretório. Não configure bloqueá-los de entrar se eles precisarem posteriormente solicitar acesso a este ou outros pacotes de acesso.
Quando um usuário externo perder sua última atribuição a qualquer pacote de acesso, se você quiser remover sua conta de usuário convidado neste diretório, defina Remover usuário externo como Sim.
Nota
O gerenciamento de direitos remove apenas as contas de usuário convidado externo que foram convidadas por meio do gerenciamento de direitos ou que foram adicionadas ao gerenciamento de direitos para gerenciamento do ciclo de vida ao ter sua conta de usuário convidado convertida em governada. Além disso, observe que um usuário será removido desse diretório mesmo se esse usuário tiver sido adicionado a recursos nesse diretório que não eram atribuições de pacote de acesso. Se o convidado estava presente neste diretório antes de receber atribuições de pacote de acesso, ele permanecerá. No entanto, se o convidado tiver sido convidado por meio de uma atribuição de pacote de acesso e, depois de ser convidado, também tiver sido atribuído a um site do OneDrive for Business ou do SharePoint Online, ele ainda será removido. Alterar a configuração Remover usuário externo para Não afeta apenas os usuários que posteriormente perdem sua última atribuição de pacote de acesso, os usuários que foram agendados para exclusão e estão bloqueados de entrar ainda serão excluídos em sua agenda original.
Se quiser remover a conta de usuário convidado neste diretório, você pode definir o número de dias antes que ela seja removida. Embora um usuário externo seja notificado quando seu pacote de acesso expirar, não haverá notificação quando sua conta for removida. Se você quiser remover a conta de usuário convidado assim que eles perderem sua última atribuição a qualquer pacote de acesso, defina Número de dias antes de remover o usuário externo deste diretório como 0. As alterações a este valor afetam apenas os utilizadores que subsequentemente utilizam a sua última atribuição de pacote de acesso; Os usuários que foram agendados para exclusão ainda serão excluídos em sua programação original.
Selecione Guardar.