Governar o acesso em grupos do Microsoft 365, Teams e SharePoint

  • Artigo

Existem muitos controlos que lhe permitem governar a forma como as pessoas acedem a recursos em grupos, equipas e SharePoint. Reveja estas opções e considere a forma como mapeiam as suas necessidades empresariais, a confidencialidade dos seus dados e o âmbito das pessoas com quem os seus utilizadores precisam de colaborar.

A tabela seguinte fornece uma referência rápida para os controlos de acesso disponíveis no Microsoft 365. São fornecidas mais informações nas secções seguintes.

Categoria Descrição Referência
Associação
Associação a grupos dinâmicos com base em regras Criar ou atualizar um grupo dinâmico no ID do Microsoft Entra
Controlar quem pode partilhar ficheiros, pastas e sites. Configurar e gerir pedidos de acesso
Acesso condicional
Autenticação multifator Microsoft Entra autenticação multifator
Controle o acesso do dispositivo com base na sensibilidade do grupo, da equipa ou do site. Utilizar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
Limitar o acesso ao site para dispositivos não geridos. Controlar o acesso do SharePoint a partir de dispositivos não geridos
Controlar o acesso ao site com base na localização Controlar o acesso aos dados do SharePoint e do OneDrive com base na localização da rede
Impor condições de acesso mais rigorosas quando os utilizadores acedem a sites do SharePoint. Política de acesso condicional para sites do SharePoint e OneDrive
Acesso de convidado
Permitir ou bloquear a partilha do SharePoint a partir de domínios especificados. Restringir a partilha de conteúdos do SharePoint e do OneDrive por domínio
Permitir ou bloquear a associação de equipa ou grupo a partir de domínios especificados. Permitir ou bloquear convites para utilizadores B2B de organizações específicas
Impedir a partilha anónima. Desativar as ligações Qualquer Pessoa
Controlar as permissões para ligações de acesso anónimo. Definir permissões de ligação para ligações Qualquer pessoa
Controlar a expiração de ligações de partilha anónimas. Definir uma data de expiração para as ligações Qualquer Pessoa
Controle o tipo de ligação de partilha mostrado aos utilizadores por predefinição. Change the default link type for a site (Alterar o tipo de ligação predefinida de um site)
Limitar a partilha externa a pessoas específicas. Limitar a partilha externa a grupos de segurança especificados
Controlar o acesso de convidados a um grupo, equipa ou site com base na confidencialidade das informações. Utilizar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
Desative as opções de partilha. Limitar a partilha no Microsoft 365
Gestão de utilizadores
Reveja regularmente a associação à equipa e ao grupo. O que são revisões de acesso Microsoft Entra?
Automatizar a gestão de acesso a grupos e equipas. O que é Microsoft Entra gestão de direitos?
Limitar o acesso do OneDrive aos membros de um grupo de segurança específico. Restringir o acesso ao OneDrive por grupo de segurança
Restringir o acesso das equipas ou do site aos membros de um grupo. Restringir o acesso de sites do SharePoint a membros de um grupo
Classificação de informações
Classificar grupos e equipas Utilizar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
Classificar automaticamente conteúdo confidencial Aplicar automaticamente uma etiqueta de confidencialidade ao conteúdo
Encriptar conteúdo confidencial Restringir o acesso ao conteúdo utilizando etiquetas de confidencialidade para aplicar encriptação
Segmentação de utilizadores
Restringir a comunicação entre segmentos de utilizador Barreiras de informações
Residência dos dados
Armazenar dados em localizações geográficas específicas Microsoft 365 Multi-Geo

Associação

Pode gerir a associação de um grupo ou equipa dinamicamente com base em alguns critérios, como departamento. Neste caso, os membros e proprietários não podem convidar pessoas para a equipa. Os grupos dinâmicos utilizam metadados definidos no Microsoft Entra ID para controlar quem é membro do grupo. Certifique-se de que os metadados que está a utilizar estão completos e atualizados, uma vez que os metadados incorretos podem levar a que os utilizadores fiquem de fora dos grupos ou que sejam adicionados utilizadores incorretos.

Os sites do SharePoint permitem adicionar proprietários, membros e visitantes, para além da associação a grupos ou equipas. Consoante os seus requisitos, poderá querer restringir quem pode convidar pessoas para o site. Além disso, dependendo da confidencialidade das informações num determinado site, poderá querer restringir quem pode partilhar ficheiros e pastas. Estas restrições são configuradas pelo proprietário da equipa, grupo ou site:

Acesso condicional

Com o Microsoft 365, pode exigir a autenticação multifator para pessoas dentro e fora da sua organização. Existem muitas opções para as circunstâncias em que as pessoas são solicitadas para um segundo fator de autenticação. Recomendamos vivamente que implemente a autenticação multifator para a sua organização:

Se tiver informações confidenciais em alguns dos seus grupos e equipas, pode impor políticas de gestão de dispositivos com base na etiqueta de confidencialidade de um grupo ou equipa. Pode bloquear totalmente o acesso a partir de dispositivos não geridos ou permitir acesso limitado apenas à Web:

No SharePoint, pode restringir o acesso a sites a partir de localizações de rede especificadas.

Recursos adicionais:

Acesso de convidado

Pode restringir os convidados com base no domínio do respetivo endereço de e-mail. O SharePoint oferece definições de restrição de domínio em toda a organização e específicas do site. Os grupos e o Teams utilizam as listas de permissões de domínio ou listas de bloqueio no ID de Microsoft Entra. Certifique-se de que configura ambas as definições para evitar partilhas indesejadas e garantir uma experiência de utilizador consistente:

O Microsoft 365 permite a partilha anónima de ficheiros e pastas através de Qualquer pessoa que partilhe ligações. Todas as ligações podem ser reencaminhadas e qualquer pessoa com a ligação pode aceder ao item partilhado. Consoante a sensibilidade dos seus dados, considere governar a forma como as ligações de Qualquer pessoa são utilizadas, incluindo desativá-las totalmente, restringir as permissões de ligação para só de leitura ou definir um tempo de expiração para as mesmas:

Ao partilhar ficheiros ou pastas, os utilizadores têm vários tipos de ligação à escolha. Para reduzir o risco de partilha inadequada acidental, pode alterar o tipo de ligação predefinido apresentado aos utilizadores quando partilham. Por exemplo, alterar a predefinição das ligações Qualquer pessoa , que permitem o acesso anónimo, para Pessoas nas ligações da sua organização pode reduzir o risco de partilha externa indesejada de informações confidenciais:

Se a sua organização tiver dados confidenciais que precisa de partilhar com os convidados, mas estiver preocupado com a partilha inadequada, pode limitar a partilha externa de ficheiros e pastas aos membros de grupos de segurança especificados. Desta forma, pode restringir a partilha externa a um grupo específico de pessoas ou exigir que os seus utilizadores realizem formação sobre a partilha externa adequada antes de adicioná-las ao grupo de segurança:

Os grupos e o Teams têm definições ao nível da organização que permitem ou negam o acesso de convidados. Embora possa restringir o acesso de convidados a equipas ou grupos específicos através do Microsoft PowerShell, recomendamos que o faça através de uma etiqueta de confidencialidade. Com as etiquetas de confidencialidade, pode permitir ou negar automaticamente o acesso de convidado com base na etiqueta aplicada:

Num ambiente onde convida frequentemente convidados para grupos e equipas, considere configurar revisões de acesso de convidados agendadas regularmente. Os proprietários podem ser solicitados a rever os convidados nos respetivos grupos e equipas e aprovar ou negar o acesso.

O Microsoft 365 oferece vários métodos diferentes de partilha de informações. Se tiver informações confidenciais e quiser restringir a forma como são partilhadas, reveja as opções para limitar a partilha:

Recursos adicionais:

Gestão de utilizadores

À medida que os grupos e as equipas evoluem na sua organização, uma boa prática é rever a associação à equipa e ao grupo regularmente. Isto pode ser particularmente útil para equipas e grupos com uma associação em mudança, aqueles que contêm informações confidenciais ou aqueles que incluem convidados. Considere configurar revisões de acesso para estas equipas e grupos:

Muitas organizações têm parcerias empresariais com outras organizações ou fornecedores-chave com quem colaboram em profundidade. A gestão de utilizadores e o acesso aos recursos podem ser difíceis de gerir nestes cenários. Considere automatizar algumas das tarefas de gestão de utilizadores e até mesmo fazer a transição de algumas para a sua organização parceira:

Os canais privados no Teams permitem conversações no âmbito e partilha de ficheiros entre um subconjunto de membros da equipa. Consoante as suas necessidades empresariais específicas, poderá querer permitir ou bloquear esta capacidade.

Os canais partilhados permitem-lhe convidar pessoas fora da equipa ou fora da organização. Consoante as suas necessidades empresariais específicas e políticas de partilha externa, poderá querer permitir ou bloquear esta capacidade.

O OneDrive proporciona uma forma fácil de os utilizadores armazenarem e partilharem conteúdos em que estão a trabalhar. Consoante as suas necessidades empresariais, poderá querer restringir o acesso a este conteúdo a funcionários da empresa a tempo inteiro ou a outros grupos na empresa. Se for o caso, pode limitar o acesso aos conteúdos do OneDrive aos membros de um grupo de segurança.

Para algumas equipas ou sites mais confidenciais, poderá querer limitar o acesso aos conteúdos da equipa ou do site aos membros da equipa ou aos membros de um grupo de segurança.

Recursos adicionais:

Classificação de informações

Pode utilizar etiquetas de confidencialidade para governar o acesso de convidados, a privacidade do grupo e da equipa e o acesso por dispositivos não geridos para grupos e equipas. Quando um utilizador aplica a etiqueta, estas definições são configuradas automaticamente conforme especificado pelas definições de etiqueta.

Pode configurar o Microsoft 365 para aplicar automaticamente etiquetas de confidencialidade a ficheiros e e-mails com base nos critérios que especificar, incluindo detetar tipos de informações confidenciais ou correspondência de padrões com classificadores treináveis.

Pode utilizar etiquetas de confidencialidade para encriptar ficheiros, permitindo que apenas as pessoas com permissões as desencriptem e leiam.

Recursos adicionais:

Segmentação de utilizadores

Com as barreiras de informações, pode segmentar os seus dados e utilizadores para restringir a comunicação e colaboração indesejadas entre grupos e evitar conflitos de interesse na sua organização. As barreiras de informações permitem-lhe criar políticas para permitir ou impedir a colaboração de ficheiros, conversas, chamadas ou convites de reunião entre grupos de pessoas na sua organização.

Residência dos dados

Com o Microsoft 365 Multi-Geo, pode aprovisionar e armazenar dados inativos nas localizações geográficas que escolheu para cumprir os requisitos de residência dos dados. Num ambiente Multi-Geo, o seu inquilino do Microsoft 365 consiste numa localização central (onde a sua subscrição do Microsoft 365 foi originalmente aprovisionada) e uma ou mais localizações por satélite onde pode armazenar dados.

Recomendações de planeamento da governação de colaboração

Criar o seu plano de governação de colaboração

Segurança e conformidade no Microsoft Teams

Gerir definições de partilha no SharePoint

Configurar o Teams com três camadas de proteção