Aplicar proteção a dados pessoaisApply protection to personal data

A proteção de informações pessoais no Microsoft 365 inclui o uso de recursos de prevenção contra perda de dados.Protection of personal information in Microsoft 365 includes using data loss prevention capabilities. Com as políticas de prevenção de perda de dados (DLP) no centro de conformidade, você pode identificar, monitorar e proteger automaticamente informações confidenciais no Microsoft 365.With data loss prevention (DLP) policies in the compliance center, you can identify, monitor, and automatically protect sensitive information across Microsoft 365.

Este tópico descreve como usar a DLP para proteger dados pessoais. Este tópico também lista outros recursos de proteção que podem ser usados para garantir a conformidade com o GDPR, incluindo como definir as permissões das bibliotecas do SharePoint e usar as políticas de acesso de dispositivos.This topic describes how to use DLP to protect personal data. This topic also lists other protection capabilities that can be used to achieve GDPR compliance, including setting permissions in SharePoint libraries and using device access policies.

Aplicar proteção usando prevenção contra perda de dados no Microsoft 365Apply protection using data loss prevention in Microsoft 365

Com a DLP, você pode:With DLP, you can:

  • Identificar informações confidenciais em muitos locais.Identify sensitive information across many locations.

  • Impedir o compartilhamento acidental de informações confidenciais.Prevent accidental sharing of sensitive information.

  • Ajudar os usuários a aprender a manter a conformidade sem interromper o fluxo de trabalho.Help users learn how to stay compliant without interrupting their workflow.

  • Visualizar relatórios de DLP que mostrem conteúdo que corresponda às políticas de DLP da sua organização.View DLP reports showing content that matches your organization's DLP policies.

Para mais informações, confira Visão geral das políticas de prevenção contra perda de dados.For more information, see Overview of data loss prevention policies.

Opções para criar uma política de Prevenção Contra Perda de Dados

Esta ilustração mostra as opções para criar uma política DLP:This illustration shows the options for creating a DLP policy:

  • Escolha a proteção a aplicar. A proteção pode incluir:Choose the protection to apply. Protection can include:

    • Dicas de política para usuáriosPolicy tips for users

    • Relatório de email para administradoresEmail report for admins

    • Impedir o compartilhamento externamente, internamente ou ambosPrevent sharing externally, internally, or both

  • Escolha os critérios para aplicar a proteção. Aplique a proteção a documentos com esse tipo de conteúdo: é possível configurar a política para usar tipos de informações confidenciais e/ou rótulos.Choose the criteria for applying the protection. Apply the protection to documents with this type of content: you can configure the policy to use sensitive information types and/or labels.

Usar DLP para conformidade com o GDPRUsing DLP for GDPR compliance

Um dos principais usos da DPL do Microsoft 365 é identificar dados pessoais relacionados a assuntos de dados da UE no ambiente do Microsoft 365. A DPL do Microsoft 365 pode notificar as equipes de conformidade sobre o local de armazenamento das informações pessoais no SharePoint Online e no OneDrive for Business, ou quando os usuários enviam email contendo informações pessoais. A DLP pode ainda fornecer dicas de políticas aos seus funcionários ao trabalhar com informações pessoais relacionadas a residentes da UE.One of the primary uses of Microsoft 365 DLP is to identify personal data related to EU data subjects in your Microsoft 365 environment. Microsoft 365 DLP can notify your compliance teams of where personal information is stored in SharePoint Online and OneDrive for Business, or when users send email containing personal information. DLP can also provide policy tips to your employees when working with personal information related to EU residents.

Instruir e aumentar a conscientização em relação ao local de armazenamento dos dados de residentes da UE no seu ambiente e como os seus funcionários têm permissão para gerenciá-los representam um nível de proteção de informações usando a DLP do Microsoft 365. Muitas vezes, os funcionários que já têm acesso a esse tipo de informações precisam desse acesso para realizar suas tarefas do dia a dia. A aplicação das políticas de DLP para ajudar a manter a conformidade com o GDPR pode não exigir a restrição do acesso.Educating and raising awareness to where EU resident data is stored in your environment and how your employees are permitted to handle it represents one level of information protection using Microsoft 365 DLP. Often, employees who already have access to this type of information require this access to do their day to day work. Enforcing DLP policies to help comply with GDPR may not require restricting access.

No entanto, a conformidade com o GDPR geralmente envolve uma avaliação baseada em risco da organização, da perspectiva de segurança das informações e da perspectiva legal, identificação do tipo e onde as informações pessoais foram armazenadas, bem como se há uma justificativa legal para armazenar e processar essas informações. Com base nessa avaliação, a implementação de políticas para proteger a organização e estar em conformidade com o GDPR pode exigir a remoção do acesso dos funcionários a documentos que contenham informações pessoais de titulares dos dados da UE. Nos casos em que for preciso maior proteção, é possível configurar uma proteção adicional de DLP.However, complying with GDPR typically involves a risk-based assessment of the organization from both a legal and information security perspective, identification of what type and where personal information is stored, as well as if there's a legal justification to store and process that information. Based on this assessment, implementing policies to protect the organization and comply with GDPR might require removing access for employees to documents that contain personal information for EU data subjects. In cases where further protection is required, additional DLP protection can be configured.

A tabela a seguir lista três configurações de aumento de proteção usando DLP. A primeira configuração, reconhecimento, pode ser usada como ponto de partida e nível mínimo de proteção do GDPR.The following table lists three configurations of increasing protection using DLP. The first configuration, awareness, can be used as a starting point and minimum level of protection for GDPR.

Exemplo de níveis de proteção que podem ser configurados com políticas DLP e usados para conformidade com o GDPRExample protection levels that can be configured with DLP policies and used for GDPR compliance

Nível de ProteçãoProtection level Configuração de DLP para documentos com informações pessoais relacionadas a assuntos de dados da UEDLP configuration for documents with personal information related to EU data subjects Benefícios e riscosBenefits and risks
ReconhecimentoAwareness

Envie notificações por email para as equipes de conformidade quando esses dados forem encontrados em documentos no SharePoint Online e OneDrive for Business.Send email notifications to compliance teams when this data is found in documents in SharePoint Online and OneDrive for Business.

Personalize e exiba Dicas de Política para funcionários no SharePoint e no OneDrive for Business ao acessar documentos contendo esses dados.Customize and display Policy Tips to employees in SharePoint and OneDrive for Business when accessing documents containing this data.

Detectar e relatar quando esses dados estiverem sendo compartilhados.Detect and report when this data is being shared.

Aumente a conscientização das equipes e funcionários de conformidade sobre onde esses dados são armazenados.Raise awareness with compliance teams and employees about where this data is stored.

Instrua os funcionários sobre a política corporativa para lidar com documentos que contêm esses dados.Educate employees on corporate policy for handling documents containing this data.

Não impede que os funcionários compartilhem esses dados internamente ou externamente.Does not prevent employees from sharing this data internally or externally.

Revise os relatórios de DLP de dados compartilhados e decida se precisa aumentar a proteção.You can review DLP reports for shared data and decide if you need to increase the protection.

Impedir o compartilhamento externoPrevent external sharing

Restrinja o acesso a documentos que contenham esses dados no SharePoint Online e no OneDrive for Business quando esse conteúdo for compartilhado com usuários externos.Restrict access to documents that contain this data in SharePoint Online and OneDrive for Business when that content is shared with external users.

Impedir o envio de emails com documentos contendo esses dados para destinatários externos.Prevent sending emails with documents that contain this data to external recipients.

Detectar e relatar quando esses dados estiverem sendo compartilhados.Detect and report when this data is being shared.

Impede o compartilhamento externo desses dados enquanto permite que os funcionários trabalhem com esses dados internamente.Prevents external sharing of this data while allowing for employees to work with this data internally.

Revise os relatórios de DLP de dados compartilhados internamente e decida se precisa aumentar essa proteção.You can review DLP reports for internally shared data and decide if you need to increase this protection.

Impedir o compartilhamento interno e externoPrevent internal and external sharing

Restrinja o acesso a documentos que contenham esses dados no SharePoint Online e no OneDrive for Business quando esse conteúdo for compartilhado internamente ou externamente.Restrict access to documents that contain this data in SharePoint Online and OneDrive for Business when that content is shared internally or externally.

Impeça o envio de email que contém esses dados para destinatários internos e externos.Prevent sending emails that contain this data to both internal and external recipients.

Impede o compartilhamento interno e externo desses dados.Prevents internal and external sharing of this data.

Os funcionários podem não conseguir concluir tarefas que exijam trabalhar com esses dados.Employees might not be able to complete tasks that require working with this data.

Você pode revisar os relatórios de DLP para dados compartilhados internamente e externamente e decidir se é necessário um treinamento para usuário final.You can review DLP reports for internally or externally shared data and decide if end-user training is needed.

Observação: conforme os níveis de proteção aumentam, a capacidade dos usuários de acessar informações diminuirá em alguns casos e pode afetar a produtividade ou capacidade de concluir as tarefas diárias. O aumento dos níveis de proteção com a implementação de políticas que afetam os funcionários geralmente é acompanhado por um treinamento de usuários finais, instruindo os usuários sobre novas políticas de segurança e procedimentos para que continuem sendo mais produtivos em um ambiente mais seguro.Note: As the levels of protection increase, the ability of users to access information will decrease in some cases, and could potentially impact their productivity or ability to complete day to day tasks. Increasing protection levels by implementing policies that impact employees is typically accompanied by end-user training, educating users on new security policies and procedures to help them continue to be productive in a more secure environment.

Exemplo de política DLP para GDPR — ReconhecimentoExample DLP policy for GDPR — Awareness

Nome: o reconhecimento de dados pessoais sujeitos ao GDPR.Name: Awareness for personal data that is subject to GDPR.

Descrição: exibir dicas de política para os funcionários, notificar equipes de conformidade quando esses dados forem encontrados no SharePoint Online e OneDrive for Business, detectar e relatar quando esses dados estiverem sendo compartilhados fora da sua organização.Description: Display policy tips to employees, notify compliance teams when this data is found in documents in SharePoint Online and OneDrive for Business, detect and report when this data is being shared outside your organization.

ControleControl ConfiguraçõesSettings
Escolha as informações para protegerChoose information to protect Selecione um modelo de política personalizada.Select a Custom policy template.
LocaisLocations Todos os locais no Microsoft 365All locations in Microsoft 365
Localizar conteúdo que contémFind content that contains Clique em "Editar" e adicione todos os tipos de informações confidenciais coletadas para seu ambiente.Click 'Edit' and add all the sensitive information types you curated for your environment.
Detectar quando este conteúdo é compartilhadoDetect when this content is shared Marque esta caixa e selecione "com pessoas fora da minha organização".Check this box and select 'with people outside my organization.'
Notificar os usuários quando o conteúdo corresponder às configurações de políticaNotify users when content matches the policy settings

Marque esta caixa ("Mostrar dicas de política a usuários e enviar uma notificação de email para eles").Check this box ("Show policy tips to users and send them an email notification.")

Clique em "Personalizar a dica e o email" e atualize eles para o seu ambiente. Veja as notificações padrão neste artigo: Enviar notificações por email e mostrar dicas de política para políticas DLP.Click 'Customize the tip and email' and update these for your environment. See the default notifications in this article: Send email notifications and show policy tips for DLP policies.

Detectar quando uma quantidade específica de informações confidenciais estiver sendo compartilhada de uma só vezDetect when a specific amount of sensitive info is being shared at one time

"Detectar quando o conteúdo que está sendo compartilhado contém: pelo menos ____ instâncias do mesmo tipo de informação confidencial" — Configure esse valor como 1.'Detect when content that's being shared contains: At least ____ instances of the same sensitive info type' — Set this to 1.

"Enviar relatórios de incidentes por email" — marque esta caixa. Clique em "Escolha o que incluir no relatório e quem receberá". Certifique-se de adicionar a sua equipe de conformidade.'Send incident reports in email' — check this box. Click 'Choose what to include in the report and who receives it.' Be sure to add your compliance team.

"Restringir quem pode acessar o conteúdo e substituir a política" — desmarque esta caixa de seleção para receber notificações sobre informações confidenciais sem impedir os usuários de acessarem as informações.'Restrict who can access the content and override the policy' — clear this checkbox to receive notifications about sensitive information without preventing users from access that information.

Todos os locais incluem:All locations includes:

  • SharePoint OnlineSharePoint Online

  • Contas do OneDrive for BusinessOneDrive for Business accounts

  • Caixas de correio do ExchangeExchange mailboxes

Como a Pesquisa de Conteúdo, no momento, não permite testar tipos de informações confidenciais com email, considere criar políticas separadas para o Exchange com um subconjunto de tipos de informações confidenciais em cada política e monitore a distribuição dessas políticas.Because Content Search doesn't currently let you test sensitive information types with email, consider creating separate policies for Exchange with a subset of sensitive information types in each policy and monitoring the rollout of these policies.

Proteção adicional que pode ser aplicada para proteger dados pessoais no Microsoft 365Additional protection you can apply to protect personal data in Microsoft 365

Os tipos de informações confidenciais, os rótulos e as políticas de proteção contra perda de dados ajudam a identificar os documentos que contêm dados específicos e a aplicar proteção. No entanto, essas proteções dependem da configuração de permissões apropriadas de acesso a dados, usuários com contas que não sejam comprometidas e dispositivos saudáveis.Sensitive information types, labels, and data loss protection policies help you identify documents containing specific data and apply protection. However, these protections depend on appropriate permissions being set for access to data, users with accounts that aren't compromised, and devices that are healthy.

A ilustração a seguir detalha uma proteção adicional que pode ser aplicada para proteger o acesso a dados pessoais.The following illustration details additional protection you can apply to protect access to personal data.

Proteção adicional para dar segurança ao acesso a dados pessoais

Para maior acessibilidade, a tabela a seguir fornece as mesmas informações da ilustração.For accessibility, the following table provides the same information in the illustration.

Escopo de proteçãoScope of protection FuncionalidadesCapabilities
Proteção no nível do email e documento (inclui emails em trânsito, mas, no momento, não inclui caixas de correio em repouso)Document and email-level protection (includes mail in transit, but not currently mailboxes at rest)

Tipos de informações confidenciaisSensitive information types

Rótulos do Office.Office labels

Políticas de prevenção contra perda de dadosData loss prevention policies

Criptografia de Mensagem do Microsoft 365 para emailMicrosoft 365 Message Encryption for email

Proteção no nível da biblioteca e site (inclui sites do SharePoint Online e OneDrive for Business)Site and library-level protection (includes SharePoint Online and OneDrive for Business sites)

Permissões para bibliotecas e sites do SharePoint Online e do OneDrive for BusinessPermissions for SharePoint Online and OneDrive for Business sites and libraries

Políticas de compartilhamento externo do SharePoint Online e OneDrive for Business (no nível do site)External sharing policies for SharePoint Online and OneDrive for Business (site-level)

Políticas de acesso de dispositivo no nível do siteSite-level device access policies

Proteção de acesso a serviços (inclui acesso a todos os serviços do Microsoft 365)Service access protection (includes access to all services in Microsoft 365)

Proteção à identidade e ao acesso a dispositivos no pacote Enterprise Mobility + Security (EMS)Identity and device access protection in Enterprise Mobility + Security (EMS) suite

Gerenciamento de acesso privilegiadoPrivileged access management

Recursos de segurança do Windows 10Windows 10 security capabilities

O restante deste artigo fornecerá mais informações sobre cada uma dessas categorias de proteção.The rest of this article provides more information on each of these categories of protection.

Funcionalidades que podem ser usadas com o GDPRCapabilities that are OK to use with GDPR

Você pode usar as seguintes funcionalidades em um ambiente configurado para conformidade com o GDPR. Esses recursos não são necessários para a conformidade com o GDPR, mas podem ser usados sem afetar sua capacidade de descobrir, proteger, monitorar e informar sobre dados relacionados à conformidade do GDPR.You can use the following capabilities in an environment configured for GDPR compliance. These capabilities are not necessary for GDPR compliance, but they can be used without adversely affecting your ability to discover, protect, monitor, and report on data related to GDPR compliance.

Chave de Cliente — Permite que os clientes forneçam e mantenham o controle sobre as chaves de criptografia que são usadas para criptografar dados em repouso no Microsoft 365. Recomendado somente para clientes que tenham a necessidade regulatória de gerenciar suas próprias chaves de criptografia.Customer Key — Allows customers to provide and retain control over the encryption keys that are used to encrypt data at rest within Microsoft 365. Recommended only for customers with a regulatory need to manage their own encryption keys.

Sistema de Proteção de Dados do Cliente — O sistema de proteção de dados do cliente permite controlar como um engenheiro de suporte da Microsoft acessa os seus dados, se necessário, para corrigir um problema técnico com base em cada caso. Controle se deseja dar ao engenheiro de suporte acesso aos seus dados ou não. Um tempo de expiração é fornecido com cada solicitação.Customer Lockbox — Customer lockbox allows you to control how a Microsoft support engineer accesses your data, if needed, to fix a technical issue on a case by case basis. You can control whether to give the support engineer access to your data or not. An expiration time is provided with each request.

Proteção no nível da biblioteca e siteSite and library-level protection

Permissões para bibliotecas e documentos do SharePoint e do OneDrive for BusinessPermissions for SharePoint and OneDrive for Business libraries

Use permissões do SharePoint para fornecer ou restringir o acesso de usuário ao site ou conteúdo. Adicione usuários individuais ou grupos do Azure Active Directory aos grupos padrão do SharePoint. Ou crie um grupo personalizado para um controle mais refinado.Use permissions in SharePoint to provide or restrict user access to the site or its contents. Add individual users or Azure Active Directory groups to the default SharePoint groups. Or, create a custom group for finer-grain control.

Níveis de permissão de controle total para somente exibição

A ilustração apresenta os níveis de permissão, desde Controle total a Somente exibição. A tabela a seguir inclui as mesmas informações.The illustration plots permission levels from Full control to View Only. The following table includes the same information.

Controle totalFull Control DesignDesign EditarEdit ColaboraçãoContribute LeituraRead Somente ExibiçãoView Only
Contribuir + aprovar e personalizarContribute + approve and customize Contribuir + adicionar, editar e excluir listas (não apenas itens da lista)Contribute + add, edit, and delete lists (not just list items) Exibir, adicionar, atualizar e excluir documentos e itens da lista.View, add, update, delete list items and documents Exibir e baixarView and download Exibir sem baixarView, no download

Mais informações:More information:

Políticas de compartilhamento externo para bibliotecas do SharePoint e OneDrive for BusinessExternal sharing policies for SharePoint and OneDrive for Business libraries

Muitas organizações permitem o compartilhamento externo para dar suporte à colaboração. Descubra como suas configurações de locatário estão configuradas. Em seguida, revise as configurações de compartilhamento externo para sites que contêm dados pessoais.Many organizations allow external sharing to support collaboration. Find out how your tenant-wide settings are configured. Then review the external sharing settings for sites that contain personal data.

Um usuário externo é alguém de fora da sua organização que é convidado a acessar seus documentos e sites do SharePoint Online, mas não tem uma licença para sua assinatura do Microsoft 365 ou SharePoint Online.An external user is someone outside of your organization who is invited to access your SharePoint Online sites and documents but doesn't have a license for your SharePoint Online or Microsoft Microsoft 365 subscription.

As políticas de compartilhamento externo se aplicam ao SharePoint Online e OneDrive for BusinessExternal sharing policies apply to both SharePoint Online and OneDrive for Business.

  • É preciso ser um administrador do SharePoint Online para configurar as políticas de compartilhamento.You must be a SharePoint Online admin to configure sharing policies.

  • É preciso ser um Proprietário de site ou ter permissões de controle total para compartilhar um site ou documento com usuários externos.You must be a Site Owner or have full control permissions to share a site or document with external users.

A tabela a seguir resume os controles que você pode configurar.The following table summarizes the controls you can configure.

Categoria de controleControl category OpçõesOptions
Tipo de compartilhamentoType of sharing

Não permitir o compartilhamento fora da sua organização (pode ser definido para conjuntos de sites individuais)Don't allow sharing outside your organization (can be set for individual site collections)

Permitir o compartilhamento somente com usuários externos autenticados (permitir novos ou limitar aos já existentes, pode ser definido para conjuntos de sites individuais)\*Allow sharing to authenticated external users only (allow new or limit to existing, can be set for individual site collections)\*

Permitir o compartilhamento com usuários externos com um link de acesso anônimo (pode ser definido para conjuntos de sites individuais)Allow sharing to external users with an anonymous access link (can be set for individual site collections)

Limitar o compartilhamento externo usando domínios (lista permitir e negar)Limit external sharing using domains (allow and deny list)

Escolha o tipo de link padrão (anônimo, compartilhável na empresa ou restrito)Choose the default link type (anonymous, company shareable, or restricted)

O que os usuários externos podem fazerWhat external users can do

Impedir que os usuários externos compartilhem arquivos, pastas, sites que eles não possuemPrevent external users from sharing files, folders, sites they don't own

Exigir que os usuários externos aceitem convites de compartilhamento com a mesma conta para a qual o convite foi enviadoRequire external users to accept sharing invitations with the same account the invitation was sent to

NotificaçõesNotifications

Disponível atualmente só no OneDrive for Business. Notificar os proprietários quando:Currently only available in OneDrive for Business. Notify owners when:

-

Os usuários convidarem usuários externos adicionais para os arquivos compartilhadosUsers invite additional external users to shared files

-

Os usuários externos aceitarem convites para acessar os arquivosExternal users accept invitations to access files

-

Um link de acesso anônimo for criado ou alteradoAn anonymous access link is created or changed

Mais informações:More information:

Políticas de acesso de dispositivo no nível do siteSite-level device access policies

O SharePoint Online e o OneDrive for Business permitem configurar as políticas de acesso a dispositivos no nível do site. Isso permite configurar maior proteção para sites com dados confidenciais.SharePoint Online and OneDrive for Business let you configure device access policies at the site level. This lets you configure more protection for sites with sensitive data.

Se você configurar políticas de acesso de dispositivo no nível do site, certifique-se de coordená-las com as políticas a nível de locatário e também com as políticas de acesso configuradas no Azure Active Directory, Intune e Gerenciamento de Aplicativos do Intune.If you configure site-level device access policies, be sure to coordinate these with tenant-level policies and also with access policies that are configured in Azure Active Directory, Intune, and Intune App Management.

As políticas de acesso de dispositivos do SharePoint e do OneDrive for Business exigem políticas com suporte no Azure Active Directory e no Microsoft Intune, dependendo do cenário que está sendo implementado. A tabela a seguir resume os objetivos que podem ser alcançados com as políticas de acesso de dispositivos e indica quais produtos exigem políticas com suporte.Device access policies for SharePoint and OneDrive for Business require supporting policies in Azure Active Directory and Microsoft Intune depending on the scenario you're implementing. The following table summarizes objectives you can achieve with device access policies and indicates which products require supporting policies.

Só permitir o acesso de locais de endereço IP específicosOnly allow access from specific IP address locations Impedir que os usuários baixem arquivos para dispositivos que não ingressaram no domínioPrevent users from downloading files to non-domain joined devices Bloquear o acesso em dispositivos que não ingressaram no domínioBlock access on non-domain joined devices Impedir que os usuários baixem arquivos para dispositivos que não estão em conformidadePrevent users from downloading files to non-compliant devices Bloquear o acesso a dispositivos que não estão em conformidadeBlock access on non-compliant devices
Centro de administração do SharePointSharePoint admin center SimYes SimYes SimYes SimYes SimYes
Azure Active DirectoryAzure Active Directory SimYes SimYes SimYes SimYes
Microsoft IntuneMicrosoft Intune SimYes SimYes

Mais informações: Centro de administração do SharePoint Online: controlar o acesso de dispositivos não gerenciados.More information: SharePoint Online admin center: Control access from unmanaged devices.

Proteção de acesso a serviços de identidades e dispositivosService access protection for identities and devices

A Microsoft recomenda configurar a proteção de identidades e dispositivos que acessam o serviço. Seus esforços para proteger o acesso aos serviços do Microsoft 365 também podem ser usados para proteger outros serviços de SaaS, serviços de PaaS e até aplicativos em outros provedores de nuvem.Microsoft recommends you configure protection for identities and devices that access the service. The work you put into protecting access to Microsoft 365 services can also be used to protect access to other SaaS services, PaaS services, and even apps in other cloud providers.

A proteção de acesso de identidades e dispositivos oferece um parâmetro de proteção para garantir que as identidades não sejam comprometidas, que os dispositivos estejam em segurança e que os dados da organização que são acessados nos dispositivos estejam isolados e protegidos.Access protection for identities and devices provides a baseline of protection to ensure that identities aren't compromised, devices are safe, and organization data that is accessed on devices is isolated and protected.

Como ponto de partida para as orientações de configuração e recomendações, confira Diretrizes de segurança da Microsoft para campanhas políticas, organizações sem fins lucrativos e outras organizações Agile.For starting point recommendations and configuration guidance, see Microsoft security guidance for political campaigns, nonprofits, and other agile organizations.

Para ambientes com identidade híbrida com o AD FS, confira Recomendações de configurações e políticas de segurança.For hybrid identity environments with AD FS, see Recommended security policies and configurations.

A ilustração a seguir descreve como os serviços em nuvem (SaaS, PaaS), tipos de conta (contas de domínio de locatário vs. contas B2B) e funcionalidades de recursos de acesso estão relacionados. É importante observar quais funcionalidades podem ser usadas com contas B2B.The following illustration describes how cloud services (SaaS, PaaS), account types (tenant domain accounts vs. B2B accounts), and service access capabilities relate. It's important to note which capabilities can be used with B2B accounts.

Serviços em nuvem, tipos de conta e funcionalidades de acesso

Para fins de acessibilidade, o restante desta seção descreverá esta ilustração.For accessibility, the rest of this section describes this illustration.

Serviços de nuvemCloud services

O Azure Active Directory fornece acesso de identidade para qualquer serviço em nuvem, incluindo de outros provedores diferentes da Microsoft, como o Amazon Web Services. A ilustração mostra o Microsoft 365, "Outro aplicativo de SaaS" e "aplicativo de PaaS". Setas apontam do Azure Active Directory para cada um desses serviços, mostrando que o Active Directory do Azure pode ser usado para autenticação em todos esses tipos de aplicativos.Azure Active Directory provides identity access to any cloud service, including non-Microsoft providers such as Amazon Web Services. The illustration shows Microsoft 365, "Other SaaS app," and "PaaS app." Arrows point from Azure Active Directory to each of these services, showing that Azure Active Directory can be used for authentication to all of these app types.

Tipos de contasTypes of accounts

Contas de domínio do locatário são contas que você adiciona ao seu locatário e gerencia diretamente. Contas B2B são para usuários de fora da sua organização que você convida para colaborar. Estas podem ser outras contas do Microsoft 365, contas de outra organização ou contas de cliente (como Gmail). A ilustração mostra ambos os tipos de conta no Azure Active Directory.Tenant domain accounts are account you add to your tenant and manage directly. B2B accounts are accounts for users outside your organization you invite to collaborate with. These can be other Microsoft 365 accounts, other organization accounts, or consumer accounts (such as Gmail). The illustration shows both account types within Azure Active Directory.

FuncionalidadesCapabilities

As funcionalidades na tabela a seguir protege identidades e dispositivos. A tabela indica quais funcionalidades também podem ser usadas com contas B2B, de modo similar à ilustração.The capabilities in the following table protect identities and devices. The table indicates which capabilities can also be used with B2B accounts, similar to the illustration.

FuncionalidadeCapability Funciona com contas de domínio do locatárioWorks with tenant domain accounts Funciona com contas B2B do Azure (sem licenciamento adicional)Works with Azure B2B accounts (without additional licensing)
Autenticação multifatorial e acesso condicionalMulti-factor authentication and conditional access SimYes SimYes
Azure AD Identity ProtectionAzure AD Identity Protection SimYes SimYes
Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management SimYes
Gerenciamento de Aplicativos Móveis (MAM)Mobile Application Management (MAM) SimYes
Gerenciamento e registro de dispositivosDevice enrollment and management SimYes Apenas uma organização pode gerenciar um dispositivoOnly one organization can manage a device
As funcionalidades de segurança do Windows 10 (acesso condicional com base na conformidade do dispositivo requer o gerenciamento de dispositivos)Windows 10 security capabilities (conditional access based on device compliance requires device management) SimYes SimYes

Adicione licenças a contas B2B para oferecer a esses usuários funcionalidades adicionais, se necessário, para proteger o acesso a dados pessoais no seu ambiente.You can add licenses to B2B accounts to give these users additional capabilities, if needed, to protect access to personal data in your environment.