Configurar equipes com três camadas de proteção

Os artigos nesta série fornecem recomendações para configurar equipes no Microsoft Teams e seus sites do Microsoft Office SharePoint Online associados, para obter uma proteção de arquivos que equilibre segurança com facilidade de colaboração.

Este artigo define quatro configurações diferentes, começando com uma equipe pública com as políticas de compartilhamento mais abertas. Cada configuração adicional representa uma etapa significativa na proteção, enquanto a capacidade de acessar e colaborar em arquivos armazenados dentro de equipes é reduzida para o conjunto relevante de membros da equipe.

As configurações nesse artigo se alinham às recomendações da Microsoft para três níveis de proteção de dados, identidades e dispositivos:

  • Proteção de linha de base

  • proteção confidencial

  • Proteção altamente confidencial

Para obter mais informações sobre os níveis e as capacidades recomendadas para cada nível, consulte Ilustrações do Microsoft Cloud for Enterprise Architects

Visão rápida de três camadas

A tabela a seguir resume as configurações de cada camada. Use estas configurações como recomendações de ponto de partida e ajuste as configurações para atender às necessidades da sua organização. Você pode não precisar de todas as camadas.

- Linha de base (Público) Linha de base (Particular) Confidencial Altamente confidencial
Equipe privada ou pública Público Private Private Private
Quem tem acesso? Todas as pessoas na organização, incluindo usuários B2B. Somente membros da equipe. Outras pessoas podem solicitar acesso ao site associado. Somente membros da equipe. Somente membros da equipe.
Canais privados Proprietários e membros podem criar canais privados Proprietários e membros podem criar canais privados Somente proprietários podem criar canais privados Somente proprietários podem criar canais privados
Canais compartilhados Proprietários e membros podem criar canais compartilhados Proprietários e membros podem criar canais compartilhados Somente proprietários podem criar canais compartilhados Somente proprietários podem criar canais compartilhados
Acesso de convidado no nível do site Convidados novos e existentes (padrão). Convidados novos e existentes (padrão). Convidados novos e existentes ou Somente pessoas da sua organização, dependendo das necessidades da equipe. Convidados novos e existentes ou Somente pessoas da sua organização, dependendo das necessidades da equipe.
Configurações de compartilhamento de site Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. Somente os proprietários do site podem compartilhar arquivos, pastas e o site.
Solicitações de acesso Desativadas.
Acesso a dispositivos não gerenciados no nível do site Acesso total a partir de aplicativos da área de trabalho, aplicativos móveis e da Web (padrão). Acesso total a partir de aplicativos da área de trabalho, aplicativos móveis e da Web (padrão). Permitir acesso limitado, somente na Web. Bloquear acesso.
Tipo de link de compartilhamento padrão Somente pessoas da sua organização Somente pessoas da sua organização Pessoas específicas Pessoas com acesso existente
Rótulos de confidencialidade Nenhum Nenhum Rótulo de confidencialidade usado para classificar a equipe e controlar o compartilhamento de convidados e o acesso de dispositivos não gerenciados. Rótulo de confidencialidade usado para classificar a equipe e controlar o compartilhamento de convidados e o acesso de dispositivos não gerenciados. O rótulo também pode ser usado em arquivos para criptografar arquivos.

A opção Equipes com isolamento de segurança, uma variação da opção altamente confidencial, usa um rótulo de confidencialidade exclusivo para uma equipe, o que proporciona mais segurança. Você pode usar este rótulo para criptografar arquivos, e somente membros dessa equipe poderão lê-los.

A proteção da linha de base inclui equipes públicas e privadas. As equipes públicas podem ser descobertas e acessadas por qualquer pessoa na organização. As equipes privadas podem ser descobertas e acessadas apenas por membros da equipe. Ambas as configurações restringem aos proprietários da equipe o compartilhamento do site do Microsoft Office SharePoint Online associado, para ajudar no gerenciamento de permissões.

As equipes de proteção confidencial e altamente confidencial são equipes privadas, nas quais o compartilhamento e a solicitação de acesso ao site associado são limitados e os rótulos de confidencialidade são usados para definir políticas de compartilhamento de convidados, acesso de dispositivos e criptografia de conteúdo.

Rótulos de confidencialidade

As camadas confidencial e altamente confidencial usam rótulos de confidencialidade para ajudar a proteger a equipe e seus arquivos. Para implementar essas camadas, você deve habilitar os rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, nos Grupos do Office 365 e nos sites do SharePoint.

Embora a camada de linha de base não exija rótulos de confidencialidade, considere criar um rótulo "geral" e exigir que todas as equipes sejam rotuladas. Isso ajudará a garantir que os usuários façam uma escolha consciente em relação à confidencialidade ao criar uma equipe. Se você planeja implantar as camadas confidencial ou altamente confidencial, recomendamos a criação de um rótulo "geral" que você pode usar para equipes de linha de base e para arquivos que não são confidenciais.

Se você não conhece os rótulos de confidencialidade, recomendamos a leitura do artigo Introdução aos rótulos de confidencialidade.

Se você já implementou rótulos de confidencialidade em sua organização, considere como os rótulos usados nas camadas confidencial e altamente confidencial se ajustam à sua estratégia geral de rotulação.

Compartilhar o site do Microsoft Office SharePoint Online

Cada equipe tem um site do Microsoft Office SharePoint Online associado, onde os documentos são armazenados. (Isso corresponde à guia Arquivos em um canal de equipe.) O site do Microsoft Office SharePoint Online mantém seu próprio gerenciamento de permissões, mas está vinculado às permissões de equipe. Os proprietários da equipe estão inclusos como proprietários de sites, e os membros da equipe estão incluídos como membros do site no site associado.

As permissões resultantes permitem:

  • Que os proprietários da equipe administrem o site e tenham controle total sobre o conteúdo do site.
  • Que os membros da equipe criem e editem arquivos no site.

Por padrão, os proprietários e membros da equipe podem compartilhar o próprio site com pessoas de fora da equipe sem realmente adicioná-las à equipe. Não recomendamos isso, pois complica o gerenciamento de usuários e pode levar as pessoas que não são membros da equipe a terem acesso aos arquivos da equipe sem que os proprietários percebam. Para ajudar a evitar isso, começando no nível de proteção de linha de base, recomendamos que apenas os proprietários possam compartilhar o site diretamente.

Embora as equipes não tenham uma opção de permissão somente leitura, o site do Microsoft Office SharePoint Online possui. Se você possui participantes de grupos de parceiros que precisam poder exibir os arquivos da equipe, mas não editá-los, considere adicioná-los diretamente ao site do Microsoft Office SharePoint Online com permissões de Leitura.

Compartilhar arquivos e pastas

Por padrão, proprietários e membros da equipe podem compartilhar arquivos e pastas com pessoas de fora da equipe. Isso pode incluir pessoas de fora da sua organização, se você tiver permitido o compartilhamento de convidados. Em todas as três camadas, atualizamos o tipo de link de compartilhamento padrão para ajudar a evitar o compartilhamento excessivo acidental. No nível altamente confidencial, restringimos esse compartilhamento apenas aos proprietários da equipe.

Compartilhando com pessoas de fora da sua organização

Se você precisar compartilhar o conteúdo do Microsoft Teams com pessoas de fora da sua organização, há duas opções:

  • Compartilhamento de convidados - O compartilhamento de convidados utiliza a colaboração B2B do Microsoft Azure AD, que permite que os usuários compartilhem arquivos, pastas, sites, grupos e equipes com pessoas de fora da sua organização. Essas pessoas acessam recursos compartilhados usando contas de convidados no seu diretório.
  • Canais compartilhados - Os canais compartilhados utilizam a conexão direta B2B do Microsoft Azure AD, que permite aos usuários compartilhar recursos em sua organização com pessoas de outras organizações do Microsoft Azure AD. Essas pessoas acessam os canais compartilhados no Microsoft Teams utilizando sua própria conta corporativa ou de estudante. Nenhuma conta de convidado foi criada na sua organização.

Tanto o compartilhamento de convidados quanto os canais compartilhados são úteis dependendo da situação. Consulte Planejar colaboração externa para obter os detalhes sobre cada um e como decidir qual usar para um determinado cenário.

Se você planeja utilizar o compartilhamento de convidados, recomendamos configurar a integração do SharePoint e do OneDrive com o B2B do Microsoft Azure AD para obter a melhor experiência de compartilhamento e administração.

O compartilhamento de convidados das equipes está habilitado por padrão, mas você pode desabilitá-lo se necessário nas camadas confidenciais e altamente confidenciais usando um rótulo de confidencialidade. Os canais compartilhados estão ativados por padrão, mas exigem a configuração de relacionamentos entre organizações para cada organização com a qual você deseja colaborar. Confira Colaborar com participantes externos em um canal para obter os detalhes.

Na camada altamente confidencial, configuramos o rótulo de confidencialidade para criptografar arquivos aos quais ele é aplicado. Se você precisar que os convidados tenham acesso a estes arquivos, deverá conceder permissões a eles ao criar o rótulo. Os participantes externos em canais compartilhados não podem receber permissões para rótulos de confidencialidade e não podem acessar conteúdos criptografados por um rótulo de confidencialidade.

É altamente recomendável que você deixe o compartilhamento de convidados ativado para a camada de linha de base e para as camadas confidencial ou altamente confidencial se precisar colaborar com pessoas de fora da organização. Os recursos de compartilhamento de convidados no Microsoft 365 fornecem uma experiência de compartilhamento muito mais segura e controlável do que o envio de arquivos como anexos em mensagens de email. Também reduz o risco de TI sombra, em que os usuários usam produtos de consumo não controlados para compartilhar com colaboradores externos legítimos.

Se você colabora regularmente com outras organizações que utilizam o Microsoft Azure AD, os canais compartilhados podem ser uma boa opção. Os canais compartilhados aparecem perfeitamente no cliente do Microsoft Teams da outra organização e permitem que os participantes externos utilizem suas contas de usuário regulares para sua organização, em vez de ter que entrar separadamente usando uma conta de convidado.

Confira as seguintes referências para criar um ambiente de compartilhamento de convidados seguro e produtivo para a sua organização:

Acesso de dispositivos não gerenciados

Para as camadas confidencial e altamente confidencial, restringimos o acesso ao conteúdo do Microsoft Office SharePoint Online com rótulos de confidencialidade. O acesso condicional do Azure AD oferece muitas opções para determinar como as pessoas acessam o Microsoft 365, incluindo limitações com base em localização, risco, conformidade do dispositivo e outros fatores. Recomendamos que você leia O que é o Acesso Condicional? e considere quais políticas adicionais podem ser apropriadas para sua organização.

Observe que os convidados geralmente não têm dispositivos gerenciados pela sua organização. Se você permitir aos convidados em qualquer uma das camadas, considere que tipos de dispositivos eles estarão usando para acessar equipes e sites e defina suas políticas de dispositivos não gerenciados de acordo.

Controlar o acesso do dispositivo no Microsoft 365

A configuração de dispositivos não gerenciados nos rótulos de sensibilidade afeta somente o acesso do Microsoft Office SharePoint Online. Se quiser expandir o controle de dispositivos não gerenciados além do Microsoft Office SharePoint Online, você poderá criar uma política de acesso condicional do Azure Active Directory para todos os aplicativos e serviços da sua organização em vez disso. Para configurar essa política especificamente para serviços do Microsoft 365, selecione o aplicativo de nuvem do Office 365 em Aplicativos ou ações do.

Captura de tela do aplicativo de nuvem do Office 365 em uma política de acesso condicional do Azure Active Directory.

O uso de uma política que afeta todos os serviços do Microsoft 365 pode levar a uma melhor segurança e uma melhor experiência para seus usuários. Por exemplo, quando você bloqueia o acesso somente a dispositivos não gerenciados no SharePoint, os usuários podem acessar o chat em uma equipe com um dispositivo não gerenciado, mas perderão o acesso quando tentarem acessar a guia Arquivos. Usar o aplicativo de nuvem do Office 365 ajuda a evitar problemas com dependências de serviço.

Próxima etapa

Comece configurando o nível de linha de base de proteção. Se necessário, você pode adicionar proteção confidencial e altamente confidencial sobre a linha de base.

Confira também

Segurança e conformidade no Microsoft Teams

Políticas de alerta no centro de conformidade e segurança