Sincronização B2B
Agora, a aplicação de sincronização do OneDrive permite que os utilizadores sincronizem bibliotecas ou pastas no Microsoft SharePoint ou no Microsoft OneDrive que tenham sido partilhados a partir de outras organizações. Este cenário é frequentemente referido como Colaboração Empresa-Empresa (B2B). Estamos a chamar esta nova funcionalidade na aplicação de sincronização do OneDrive "Sincronização B2B".
As contas de convidado do Microsoft Entra desempenham um papel fundamental na possibilitação da Colaboração B2B. Uma conta de convidado numa organização liga a uma conta de membro de outra organização. Depois de criada, uma conta de convidado permite que os serviços do Microsoft 365, como o OneDrive e o SharePoint, concedam permissão a um convidado para sites e pastas da mesma forma que é concedida permissão a um membro na organização. Uma vez que as contas de duas organizações estão associadas, o utilizador só precisa de memorizar o nome de utilizador e a palavra-passe da conta na respetiva organização. Como resultado, um único início de sessão na conta permite o acesso aos conteúdos da sua própria organização e de quaisquer outras organizações que tenham criado contas de convidado para os mesmos.
Importante
Recomendamos que ative a integração do SharePoint e do OneDrive com o Microsoft Entra B2B para ajudar a garantir que a conta de convidado do Microsoft Entra necessária para o destinatário da partilha é criada no diretório da sua organização.
Requisitos de Sincronização B2B
Para pessoas fora da sua organização sincronizar bibliotecas e pastas partilhadas:
- A partilha externa tem de estar ativada para a sua organização.
- A partilha externa tem de estar ativada para o site ou o OneDrive.
- O conteúdo tem de ser partilhado com pessoas fora da organização ao nível do site ou da pasta. Se uma pasta for partilhada, tem de ser através de uma ligação que exija o início de sessão.
- Os destinatários da partilha têm de ter uma conta escolar ou profissional do Microsoft 365 (no Microsoft Entra ID) na mesma cloud que o inquilino do conteúdo – Microsoft Azure Commercial, Microsoft Azure Government ou Microsoft Azure China. (Tenha em atenção que o Microsoft Azure Commercial contém os ambientes de cloud comercial e GCC do Microsoft 365 e o Microsoft Azure Government contém os ambientes de cloud GCC High e DoD.)
- Todas as políticas de Acesso Condicional do Microsoft Entra têm de ser compatíveis com convidados (mais abaixo).
- A ADAL não pode ser ativada se utilizar as builds antes da versão 19.086.*.
Este artigo fornece uma descrição geral da experiência de Sincronização B2B e descreve estes requisitos mais detalhadamente.
Problemas conhecidos com esta versão
- Os conteúdos partilhados a partir de um inquilino numa cloud (por exemplo, o Microsoft Azure China) não podem ser sincronizados por um utilizador numa nuvem diferente (por exemplo, Microsoft Azure Commercial).
- No Mac, as miniaturas de Ficheiros a Pedido não serão apresentadas a partir dos sites da organização externa. As miniaturas serão apresentadas corretamente para os ficheiros da própria organização do utilizador.
- No Mac, se a conta de convidado tiver sido criada com um formato de endereço de e-mail diferente do formulário que está a utilizar com a aplicação de sincronização, o conteúdo do site externo não pode ser sincronizado. Por exemplo, first.last@fabrikam.com vs alias@fabrikam.com.
- No Mac, o conteúdo externo pode ser colocado no computador local na pasta da própria organização do utilizador em vez de um com o nome da organização externa.
- A IU de autenticação interativa para contas de convidado de uma organização externa não é suportada pelo cliente de sincronização.
Descrição geral da experiência de Sincronização B2B
Eis um exemplo do que acontece depois de alguém na "Contoso" partilhar um site ou pasta com alguém na "Fabrikam":
O destinatário da Fabrikam recebe um e-mail semelhante ao seguinte.
Quando o destinatário clica na ligação no e-mail para aceder ao item partilhado, tem de clicar em "Conta organizacional" para iniciar sessão com a respetiva conta fabrikam. Em segundo plano, esta ação cria a conta de convidado contoso no Microsoft Entra ID.
O destinatário poderá ter de introduzir o respetivo nome de utilizador ou palavra-passe da Fabrikam e, em seguida, pode ver o item partilhado. Se não quiser sincronizar tudo o que foi partilhado, pode navegar para a biblioteca ou pasta que pretende sincronizar. Para configurar a sincronização, é necessário clicar no botão Sincronizar.
O browser do convidado irá apresentar uma mensagem a perguntar se pretende abrir o "Microsoft OneDrive" e terá de o permitir.
Se esta for a primeira vez que o convidado utiliza a aplicação de sincronização com a respetiva conta Fabrikam, terá de iniciar sessão. O endereço de e-mail será definido automaticamente para a conta Fabrikam utilizada nos passos anteriores. O convidado tem de selecionar "Iniciar sessão".
O convidado poderá conseguir iniciar sessão na aplicação de sincronização sem introduzir a palavra-passe da Fabrikam se tiver sessão iniciada no Windows com a mesma conta. Caso contrário, terão de introduzir a palavra-passe.
O convidado confirmará onde pretende sincronizar o item partilhado no respetivo computador.
Observação
O conteúdo é colocado numa pasta cujo nome inclui o nome da organização ("SharePoint - Contoso" neste exemplo). Se o utilizador também estiver a sincronizar conteúdos do SharePoint a partir da Fabrikam, também terá uma pasta "SharePoint - Fabrikam".
O convidado continuará através da configuração da aplicação de sincronização do OneDrive.
Após o convidado concluir a configuração, o site começará a sincronizar. O utilizador pode clicar no ícone de nuvem azul na área de notificação para abrir o centro de atividade de sincronização do OneDrive e ver os ficheiros a sincronizar, abrir a pasta local com os ficheiros ou abrir o site do SharePoint num browser.
Ativar a partilha externa para a sua organização
Para que os utilizadores da sua organização possam partilhar com os respetivos parceiros noutras organizações, a partilha externa tem de ser ativada ao nível da organização. Para tal, tem de ser um administrador global ou do SharePoint no Microsoft 365. Depois de ativar a partilha externa ao nível da organização, pode restringi-la site a site. As definições de um site podem ser as mesmas que a definição da organização, ou mais restritivas, mas não mais permissivas.
Pode alterar as definições de partilha ao nível da organização em dois locais diferentes (ambos controlam a mesma coisa):
- Na página Partilha no novo centro de administração do SharePoint. Para obter mais informações, consulte Alterar a definição de partilha externa ao nível da organização
- No centro de administração do Microsoft 365, na página Definições da organização > do SharePoint.
Importante
Se permitir ligações Qualquer pessoa (por vezes denominadas ligações de "acesso anónimo"), estas ligações não criam contas de convidado e, por conseguinte, o destinatário da partilha externa não poderá tirar partido da Sincronização B2B ao receber esse tipo de ligação.
Para obter mais informações, consulte Descrição geral da partilha externa.
Controlar a partilha externa
Quando permite que os utilizadores partilhem conteúdos da sua organização externamente, pode utilizar várias funcionalidades no Microsoft 365 para gerir quem tem acesso ao conteúdo. Os administradores e proprietários de sites podem rever as permissões e auditar o acesso aos sites. Para obter informações, consulte Procurar conteúdos do site partilhados com pessoas fora da sua organização e Ativar notificações de partilha externa. Pode ativar a partilha externa apenas com domínios específicos da Internet ou pode bloquear domínios específicos. Para obter informações, consulte Partilha restrita de domínios. Também pode permitir que apenas membros de grupos de segurança específicos partilhem externamente. Para obter informações, consulte Ativar ou desativar a partilha externa.
Recomendamos a criação de sites separados (coleções de sites e não subsites) para cada unidade de trabalho que pretende partilhar externamente. Desta forma, pode anotar claramente os sites para indicar que as pessoas fora da organização têm acesso e evitar a divulgação não intencional de informações. Para utilizadores individuais que partilhem conteúdos do respetivo OneDrive, recomendamos a criação de pastas separadas para diferentes projetos ou grupos de colaboração.
Pode remover a permissão de um convidado para um site ou pasta ou pode eliminar a conta de convidado para remover a respetiva permissão de todos os conteúdos da sua organização.
Importante
Qualquer conteúdo sincronizado permanecerá no computador do utilizador depois de as permissões terem sido removidas.
Ativar a partilha externa para um site
Para ver ou alterar a definição de partilha de qualquer site, utilize o novo centro de administração do SharePoint.
Vá para Sites ativos no Centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.
Observação
Se você tiver o Office 365 operado pela 21Vianet (China), entre no centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e abra a página Sites ativos.
Personalize a vista conforme necessário para ver a coluna Partilha externa.
Se for necessário, altere a definição de partilha externa de um site.
Confirme que todas as políticas de Acesso Condicional (AC) do Microsoft Entra são compatíveis com o acesso externo
O administrador de inquilinos pode ativar vários tipos de políticas de acesso condicional no respetivo inquilino. Quando um convidado vai aceder ao conteúdo de um inquilino, essas políticas podem ter de ser ajustadas para os convidados para que possam obter acesso.
Atualmente, o cliente de sincronização não suporta a IU de autenticação interativa ao sincronizar conteúdo externo. Qualquer política que necessite de uma IU de início de sessão, como mFA (autenticação multifator) ou pedido de TOU (termos de utilização), impedirá a sincronização do conteúdo externo desse inquilino. Se um administrador de inquilinos implementar essa política antes de um convidado começar a sincronizar a partir desse inquilino, o utilizador não conseguirá estabelecer a relação de sincronização. Se a política for implementada depois de um convidado estar a sincronizar o conteúdo do inquilino, esse convidado receberá um erro e não poderá continuar a sincronizar a partir do inquilino.
Os inquilinos podem atualizar os Termos de Utilização (TOU) de vez em quando. Uma política pode acionar o utilizador para ver e aceitar a TOU atualizada através de um pedido de autenticação interativo. Uma vez que a sincronização não suporta a IU de início de sessão do inquilino externo, a sincronização indicará que não consegue sincronizar o conteúdo do site externo.
A Conformidade do Dispositivo requer que as máquinas do utilizador sejam geridas pelo inquilino e, em seguida, estejam atualizadas com os requisitos. Para os convidados, é provável que os respetivos computadores sejam geridos pela sua própria organização e, por conseguinte, são incompatíveis com a necessidade de os respetivos computadores serem geridos pelo inquilino de partilha de conteúdos.
Normalmente, as políticas de acesso condicional com base na localização são utilizadas para impor requisitos adicionais, como a MFA, quando o utilizador não está a ligar a partir de uma localização fidedigna (como a rede de escritórios do inquilino). Normalmente, num cenário de convidado, o computador cliente não estará localizado nas localizações fidedignas e, uma vez que a sincronização não suporta a MFA, é provável que não queira que esta política se aplique aos seus convidados.
Para obter mais informações, veja Autenticação e Acesso Condicional para Identidades Externas.
Métodos de partilha
Os sites e pastas podem ser partilhados de diferentes formas no SharePoint e no OneDrive:
- Se os utilizadores estiverem a sincronizar uma pasta, podem clicar com o botão direito do rato na mesma no Explorador de Ficheiros para a partilhar.
- Os utilizadores podem aceder ao site ou pasta do SharePoint na Web e clicar no botão Partilhar para o partilhar.
- Os utilizadores podem partilhar sites e pastas nas aplicações sharePoint e OneDrive para dispositivos móveis.
- Os administradores podem criar contas de convidado e utilizar o centro de administração ou o PowerShell para as adicionar aos sites.
Observação
Para obter mais informações sobre estes métodos, consulte Saiba como partilhar um site e Saiba como partilhar uma pasta.
A Sincronização B2B funciona com todos estes métodos de partilha. Tem apenas os seguintes requisitos:
- Para que os convidados sincronizem conteúdo partilhado, o conteúdo tem de ser partilhado ao nível do site ou da pasta. Os convidados não podem sincronizar ficheiros partilhados individualmente (por exemplo, a partir das aplicações do Office).
- A sincronização B2B só funciona quando as contas de convidado são criadas na organização e quando o destinatário tem uma conta do Microsoft Entra. Não funciona quando os utilizadores partilham através da criação de uma ligação Qualquer pessoa (também conhecida como ligação de "acesso anónimo") ou quando partilham com pessoas que têm uma conta Microsoft ou outra conta pessoal.
Adicionar convidados a sites do SharePoint
Enquanto administrador no Microsoft 365, pode partilhar com pessoas fora da organização ao criar convidados individualmente no centro de administração do Microsoft Entra e, em seguida, adicioná-los individualmente a um site de equipa do SharePoint ou ao adicioná-los a um grupo de segurança que já tenha permissões para o site que pretende partilhar. Se conceder permissões através da página de permissões avançadas (em vez de utilizar o botão Partilhar site), terá de informar o convidado de que lhes concedeu permissão para o site. Não receberão um e-mail de convite.
Importante
Se utilizar a página de permissões avançadas, recomendamos que conceda permissões ao nível do site, não ao nível da biblioteca de documentos ou da pasta.
Utilizar o PowerShell para criar contas de convidado em massa e adicioná-las a um grupo do SharePoint
Se precisar de criar e conceder permissões a muitas contas de convidado, pode utilizar o seguinte script do PowerShell, que cria contas de convidado e concede-lhes permissões para um site. O script utiliza um ficheiro CSV (valores separados por vírgulas) como entrada, que contém uma lista de nomes a apresentar e endereços de e-mail do utilizador. Para cada nome e endereço de e-mail, é criada uma conta de convidado e essa conta é adicionada a um grupo de segurança para lhe conceder permissão. O script foi concebido para que possa alimentar o CSV de saída resultante como entrada para o script numa execução subsequente. Isto permite-lhe adicionar mais utilizadores ao seu ficheiro CSV ou repetir a criação de qualquer conta falhada.
Observação
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração.
Tenha em atenção que as versões 1.0. x do MSOnline pode sofrer interrupções após 30 de junho de 2024.
À medida que os utilizadores são adicionados ao grupo Microsoft Entra, devem receber um e-mail a recebê-los no grupo. Depois de executar o script, terá de enviar por e-mail aos utilizadores uma ligação direta para o site do SharePoint ao qual lhes concedeu permissões. Quando clicarem na ligação, ser-lhes-ão apresentadas a IU abaixo para aceitar os termos do convite. Assim que aceitarem, serão levados para o site que partilhou com eles. Nessa altura, podem clicar no botão Sincronizar para começar a sincronizar os ficheiros dos sites com o respetivo PC ou Mac.
# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview
# customizable properties for this script
$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'
$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'
# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com
$csv = import-csv $csvInput
# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin
$group = (Get-AzureADGroup -SearchString $groupName)
foreach ($row in $csv)
{
Try
{
if ((Get-Member -inputobject $row -name 'error') -and `
($row.error -eq 'success'))
{
$out = $row #nothing to do, user already invited and added to group
}
else
{
echo ("name='$($row.Name)' email='$($row.Email)'")
$inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
-InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)
$out = $row
$out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
$out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
$out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
$out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
$out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}
# this will send a welcome to the group email
Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
}
}
Catch
{
$err = $PSItem.Exception.Message
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
}
Finally
{
$out | export-csv -Path $csvOutput -Append
}
}
# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script
Consulte mais informações em:
Quando um convidado perde o acesso a conteúdos partilhados
Se a conta de convidado de uma pessoa for eliminada ou a respetiva permissão para conteúdo partilhado for removida, a aplicação de sincronização apresentará um erro.
Será apresentada uma notificação a indicar que a biblioteca não pode ser sincronizada.
O ícone do OneDrive na área de notificação mostrará um erro.
Quando o convidado clicar no ícone, verá uma faixa de erro no centro de atividade.
Definição de Política para Impedir a Sincronização B2B
A funcionalidade Sincronização B2B da aplicação de sincronização do OneDrive permite que os utilizadores de uma organização sincronizem conteúdos partilhados com eles de outra organização. Se quiser impedir que os utilizadores da sua organização possam utilizar a Sincronização B2B, pode definir um valor de política no PC Windows ou Mac dos seus utilizadores para bloquear a sincronização externa.
Só tem de efetuar estas ações se quiser impedir que os utilizadores da sua organização utilizem a funcionalidade Sincronização B2B (para impedir a sincronização de bibliotecas e pastas partilhadas de outras organizações).
A nova definição BlockExternalSync está descrita nos ficheiros adm\OneDrive.admx e OneDrive.adml instalados como parte da compilação 19.086.* ou superior do produto de sincronização do OneDrive. Se utilizar o ADM para gerir as políticas de aplicações de sincronização, importe os novos ficheiros como faria normalmente para ver a nova definição.
Se estiver a utilizar outros sistemas de gestão para implementar políticas nos PCs Windows dos seus utilizadores, utilize o equivalente ao seguinte comando para impedir a Sincronização B2B:
reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1
Num Mac com a versão da Apple Store do OneDrive, utilize o equivalente ao seguinte comando para impedir a Sincronização B2B:
defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES
Num Mac com a versão autónoma do OneDrive, utilize o equivalente ao seguinte comando para impedir a Sincronização B2B:
defaults write com.microsoft.OneDrive BlockExternalSync -bool YES