Configurar o Teams com três camadas de segurança de partilha de ficheiros
Algumas funcionalidades neste artigo requerem Microsoft Syntex – Gestão Avançada do SharePoint
Os artigos desta série fornecem recomendações para configurar equipas no Microsoft Teams e os respetivos sites do SharePoint associados, para proteção de ficheiros que equilibra a segurança com facilidade de colaboração.
Este artigo define quatro configurações diferentes, começando com uma equipa pública com as políticas de partilha mais abertas. Cada configuração adicional representa um passo significativo na proteção, enquanto a capacidade de aceder e colaborar em ficheiros armazenados dentro das equipas é reduzida para o conjunto relevante de membros da equipa.
As configurações neste artigo estão alinhadas com as recomendações da Microsoft para três camadas de proteção para dados, identidades e dispositivos:
Proteção da linha de base
Proteção sensível
Proteção altamente sensível
Para obter informações sobre como criar um ambiente de reunião do Teams que cumpra os seus requisitos de conformidade, consulte Configurar reuniões do Teams com três camadas de proteção.
Três camadas de relance
A tabela seguinte resume as configurações de cada camada. Utilize estas configurações como recomendações de ponto de partida e ajuste as configurações para satisfazer as necessidades da sua organização. Pode não precisar de todos os escalões.
| Linha base (Público) | Linha base (Privado) | Sensível | Altamente sensível | |
|---|---|---|---|---|
| Equipa privada ou pública | Público | Privado | Privado | Privado |
| Quem tem acesso? | Todos na organização, incluindo convidados B2B. | Apenas membros da equipa. Outras pessoas podem pedir acesso ao site associado. | Apenas membros da equipa. | Apenas membros da equipa. |
| Canais privados | Os proprietários e membros podem criar canais privados | Os proprietários e membros podem criar canais privados | Apenas os proprietários podem criar canais privados | Apenas os proprietários podem criar canais privados |
| Acesso de convidado ao nível do site | Convidados novos e existentes (predefinição). | Convidados novos e existentes (predefinição). | Convidados novos e existentes ou Apenas pessoas na sua organização , consoante as necessidades da equipa. | Convidados novos e existentes ou Apenas pessoas na sua organização , consoante as necessidades da equipa. |
| Acesso condicional ao nível do site | Acesso total a partir de aplicações de ambiente de trabalho, aplicações móveis e Web (predefinição). | Acesso total a partir de aplicações de ambiente de trabalho, aplicações móveis e Web (predefinição). | Permitir acesso limitado apenas à Web. | Política de acesso condicional personalizada |
| Tipo de ligação de partilha predefinido | Apenas pessoas na sua organização | Apenas pessoas na sua organização | Pessoas específicas | Pessoas com acesso existente |
| Etiquetas de confidencialidade | Nenhum | Nenhum | Etiqueta de confidencialidade utilizada para classificar a equipa e controlar a partilha de convidados e o acesso não gerido ao dispositivo. | Etiqueta de confidencialidade utilizada para classificar a equipa, controlar a partilha de convidados e especificar uma política de acesso condicional. A etiqueta de ficheiro predefinida é utilizada em ficheiros para os encriptar. |
| Definições de partilha de sites | Os proprietários e membros do site e as pessoas com permissões de Edição podem partilhar ficheiros e pastas, mas apenas os proprietários do site podem partilhar o site. | Os proprietários e membros do site e as pessoas com permissões de Edição podem partilhar ficheiros e pastas, mas apenas os proprietários do site podem partilhar o site. | Os proprietários e membros do site e as pessoas com permissões de Edição podem partilhar ficheiros e pastas, mas apenas os proprietários do site podem partilhar o site. | N/D (Controlado pela política de controlo de acesso restrito ao nível do site.) |
| Política de controlo de acesso restrito ao nível do site | Nenhum | Nenhum | Nenhum | Apenas membros da equipa |
A proteção de linha de base inclui equipas públicas e privadas. As equipas públicas podem ser detetadas e acedidas por qualquer pessoa na organização. As equipas privadas só podem ser detetadas e acedidas por membros da equipa. Ambas as configurações restringem a partilha do site SharePoint associado aos proprietários da equipa para ajudar na gestão de permissões.
As equipas de proteção confidencial e altamente sensível são equipas privadas nas quais a partilha e o pedido de acesso ao site associado são limitados e as etiquetas de confidencialidade são utilizadas para definir políticas em torno da partilha de convidados, do acesso ao dispositivo e da encriptação de conteúdo.
Etiquetas de confidencialidade
As camadas confidenciais e altamente confidenciais utilizam etiquetas de confidencialidade para ajudar a proteger a equipa e os respetivos ficheiros. Para implementar estas camadas, tem de ativar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, Grupos do Microsoft 365 e sites do SharePoint.
Embora a camada de base não necessite de etiquetas de confidencialidade, considere criar uma etiqueta "geral" e, em seguida, exigir que todas as equipas sejam etiquetadas. Isto ajuda a garantir que os utilizadores fazem uma escolha consciente sobre a sensibilidade quando criam uma equipa. Se planear implementar as camadas confidenciais ou altamente confidenciais, recomendamos que crie uma etiqueta "geral" que possa utilizar para as equipas de linha de base e para ficheiros que não são confidenciais. Para a camada altamente sensível, também iremos especificar uma etiqueta de confidencialidade predefinida para bibliotecas de documentos para que os ficheiros do Office e outros ficheiros compatíveis tenham essa etiqueta aplicada automaticamente quando forem carregados.
Se não estiver familiarizado com a utilização de etiquetas de confidencialidade, recomendamos que leia Introdução às etiquetas de confidencialidade para começar.
Se já tiver implementado etiquetas de confidencialidade na sua organização, considere a forma como as etiquetas utilizadas nas camadas confidenciais e altamente confidenciais se ajustam à sua estratégia de etiqueta geral.
Partilhar o site do SharePoint
Cada equipa tem um site do SharePoint associado onde os documentos são armazenados. (Este é o separador Ficheiros num canal do Teams.) O site sharePoint mantém a sua própria gestão de permissões, mas está ligado a permissões de equipa. Os proprietários das equipas são incluídos como proprietários do site e os membros da equipa são incluídos como membros do site associado.
As permissões resultantes permitem:
- Proprietários de equipas para administrar o site e ter controlo total sobre os conteúdos do site.
- Membros da equipa para criar e editar ficheiros no site.
Por predefinição, os proprietários e membros da equipa podem partilhar o próprio site com pessoas fora da equipa sem realmente adicioná-los à equipa. Recomendamos que o faça, uma vez que complica a gestão de utilizadores e pode levar a que as pessoas que não são membros da equipa tenham acesso a ficheiros de equipa sem que os proprietários da equipa se apercebam. Para ajudar a evitar esta situação, começando no nível de linha de base de proteção, recomendamos que apenas os proprietários possam partilhar o site diretamente.
Embora as equipas não tenham uma opção de permissão só de leitura, o site do SharePoint tem. Se tiver intervenientes ou grupos de parceiros que precisem de ver ficheiros de equipa, mas não os editar, considere adicioná-los diretamente ao site sharePoint com permissões de Visualização.
Para o escalão altamente sensível, limitamos o acesso ao site apenas aos membros da equipa. Esta restrição também impede a partilha de ficheiros com pessoas fora da equipa.
Partilhar ficheiros e pastas
Por predefinição, tanto os proprietários como os membros da equipa podem partilhar ficheiros e pastas com pessoas fora da equipa. Isto pode incluir pessoas fora da sua organização, se permitir a partilha de convidados. Nas três camadas, atualizamos o tipo de ligação de partilha predefinido para ajudar a evitar partilhas excessivas acidentais. Conforme indicado acima, na camada altamente sensível, o acesso ao ficheiro está limitado apenas aos membros da equipa.
Partilhar com pessoas fora da sua organização
Se precisar de partilhar conteúdos do Teams com pessoas fora da sua organização, existem duas opções:
- Partilha de convidados – a partilha de convidados utiliza Microsoft Entra colaboração B2B que permite aos utilizadores partilhar ficheiros, pastas, sites, grupos e equipas com pessoas externas à sua organização. Estas pessoas acedem a recursos partilhados através de contas de convidado no seu diretório.
- Canais partilhados – os canais partilhados utilizam Microsoft Entra ligação direta B2B que permite que os utilizadores partilhem recursos na sua organização com pessoas de outras organizações Microsoft Entra. Estas pessoas acedem aos canais partilhados no Teams através da sua própria conta escolar ou profissional. Não é criada nenhuma conta de convidado na sua organização.
Tanto a partilha de convidados como os canais partilhados são úteis consoante a situação. Veja Planear a colaboração externa para obter detalhes sobre cada um e como decidir qual utilizar para um determinado cenário.
Se planeia utilizar a partilha de convidados, recomendamos que configure a integração do SharePoint e do OneDrive com o Microsoft Entra B2B para obter a melhor experiência de partilha e administração.
Pode impedir a partilha de convidados do Teams, se necessário, nas camadas sensíveis e altamente confidenciais através de uma etiqueta de confidencialidade. Os canais partilhados estão ativados por predefinição, mas exigem a configuração de relações entre organizações para cada organização com a qual pretende colaborar. Consulte Colaborar com participantes externos num canal para obter detalhes.
Na camada altamente sensível, configuramos a etiqueta de confidencialidade da biblioteca predefinida para encriptar ficheiros aos quais é aplicada. Se precisar que os convidados tenham acesso a estes ficheiros, tem de lhes conceder permissões quando criar a etiqueta. Os participantes externos em canais partilhados não podem receber permissões para etiquetas de confidencialidade e não podem aceder a conteúdos encriptados por uma etiqueta de confidencialidade.
Recomendamos vivamente que deixe a partilha de convidados ativada para o escalão de linha de base e para os escalões confidenciais ou altamente confidenciais se precisar de colaborar com pessoas fora da sua organização. As funcionalidades de partilha de convidados no Microsoft 365 proporcionam uma experiência de partilha muito mais segura e governável do que enviar ficheiros como anexos em mensagens de e-mail. Também reduz o risco de TI sombra em que os utilizadores utilizam produtos de consumo não governamentais para partilhar com colaboradores externos legítimos.
Se colaborar regularmente com outras organizações que utilizam Microsoft Entra ID, os canais partilhados poderão ser uma boa opção. Os canais partilhados aparecem de forma totalmente integrada no cliente teams da outra organização e permitem que os participantes externos utilizem a respetiva conta de utilizador regular para a organização, em vez de terem de iniciar sessão separadamente com uma conta de convidado.
Veja as seguintes referências para criar um ambiente de partilha de convidados seguro e produtivo para a sua organização:
- Melhores práticas para partilhar ficheiros e pastas com utilizadores não autenticados
- Limitar a exposição acidental a ficheiros ao partilhar com pessoas fora da sua organização
- Criar um ambiente de partilha de convidados seguro
Políticas de acesso condicional
Microsoft Entra Acesso Condicional oferece várias opções para determinar como as pessoas acedem ao Microsoft 365, incluindo limitações baseadas na localização, risco, conformidade do dispositivo e outros fatores. Recomendamos que leia O que é o Acesso Condicional? e considere que políticas adicionais podem ser adequadas para a sua organização.
Para as camadas confidenciais e altamente confidenciais, utilizamos etiquetas de confidencialidade para restringir o acesso aos conteúdos do SharePoint.
Para a camada confidencial, vamos restringir o acesso apenas à Web para dispositivos não geridos. (Tenha em atenção que, muitas vezes, os convidados não têm dispositivos geridos pela sua organização. Se permitir convidados em qualquer uma das camadas, considere que tipos de dispositivos utilizam para aceder a equipas e sites e definir as políticas de dispositivos não geridos em conformidade.)
Para a camada altamente sensível, vamos utilizar Microsoft Entra contexto de autenticação com a etiqueta de confidencialidade para acionar uma política de acesso condicional personalizada quando as pessoas acedem ao site do SharePoint associado à equipa.
Acesso condicional em todos os serviços relacionados com o Teams
As definições de acesso condicional nas etiquetas de confidencialidade afetam apenas o acesso ao SharePoint. Se quiser expandir o acesso condicional para além do SharePoint, pode utilizar a política de Acesso Condicional Comum: exigir um dispositivo em conformidade, Microsoft Entra dispositivo associado híbrido ou autenticação multifator para todos os utilizadores. Para configurar esta política especificamente para os serviços do Microsoft 365, selecione o Office 365 aplicação na cloud em Aplicações ou ações na cloud.
A utilização de uma política que afete todos os serviços do Microsoft 365 pode levar a uma melhor segurança e a uma melhor experiência para os seus utilizadores. Por exemplo, quando bloqueia o acesso a dispositivos não geridos apenas no SharePoint, os utilizadores podem aceder ao chat numa equipa com um dispositivo não gerido, mas perderão o acesso quando tentarem aceder ao separador Ficheiros. A utilização do Office 365 aplicação na cloud ajuda a evitar problemas com dependências de serviço.
Passo seguinte
Comece por configurar o nível de linha de base de proteção. Se necessário, também pode adicionar proteção confidencial e proteção altamente sensível .
Tópicos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários