Administración del acceso en grupos de Microsoft 365, Teams y SharePoint

Hay muchos controles que permiten controlar cómo los usuarios acceden a los recursos en grupos, equipos y SharePoint. Revise estas opciones y considere cómo se asignan a sus necesidades empresariales, la confidencialidad de los datos y el ámbito de las personas con las que los usuarios deben colaborar.

En la tabla siguiente se proporciona una referencia rápida para los controles de acceso disponibles en Microsoft 365. En las secciones siguientes se proporciona más información.

Categoría Descripción Referencia
Pertenencia
Pertenencia dinámica a grupos basada en reglas Creación o actualización de un grupo dinámico en Microsoft Entra id.
Controlar quién puede compartir archivos, carpetas y sitios. Configurar y administrar solicitudes de acceso
Acceso condicional
Autenticación multifactor Microsoft Entra autenticación multifactor
Controlar el acceso del dispositivo en función de la confidencialidad del grupo, equipo o sitio. Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
Limitar el acceso al sitio para dispositivos no administrados. Control del acceso a SharePoint desde dispositivos no administrados
Control del acceso al sitio en función de la ubicación Controlar el acceso a los datos de SharePoint y OneDrive en función de la ubicación de red
Aplique condiciones de acceso más estrictas cuando los usuarios accedan a sitios de SharePoint. Directiva de acceso condicional para sitios de SharePoint y OneDrive
Acceso de invitado
Permitir o bloquear el uso compartido de SharePoint desde dominios especificados. Restringir el uso compartido de contenido de SharePoint y OneDrive por dominio
Permitir o bloquear la pertenencia a grupos o equipos de dominios especificados. Permitir o bloquear las invitaciones a usuarios de B2B desde organizaciones específicas
Impedir el uso compartido anónimo. Desactivar vínculos de tipo Cualquiera
Controle los permisos de los vínculos de acceso anónimo. Establecer permisos de vínculo para vínculos cualquiera
Controlar la expiración de vínculos de uso compartido anónimo. Establezca una fecha de expiración de los vínculos para Cualquiera
Controle el tipo de vínculo de uso compartido que se muestra a los usuarios de forma predeterminada. Cambiar el tipo de vínculo predeterminado para un sitio
Limitar el uso compartido externo a personas específicas. Limitar el uso compartido externo a grupos de seguridad especificados
Controlar el acceso de invitado a un grupo, equipo o sitio en función de la confidencialidad de la información. Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
Desactive las opciones de uso compartido. Limitar el uso compartido en Microsoft 365
Administración de usuarios
Revise periódicamente la pertenencia al equipo y al grupo. ¿Qué son las revisiones de acceso Microsoft Entra?
Automatice la administración de acceso a grupos y equipos. ¿Qué es Microsoft Entra administración de derechos?
Limite el acceso de OneDrive a los miembros de un grupo de seguridad específico. Restricción del acceso de OneDrive por grupo de seguridad
Restringir el acceso de equipos o sitios a los miembros de un grupo. Restricción del acceso del sitio de SharePoint a los miembros de un grupo
Clasificación de información
Clasificación de grupos y equipos Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
Clasificación automática del contenido confidencial Aplicar una etiqueta de confidencialidad automáticamente al contenido
Cifrado de contenido confidencial Restringir el acceso al contenido mediante el uso de etiquetas de confidencialidad para aplicar el cifrado
Segmentación de usuarios
Restricción de la comunicación entre segmentos de usuario Barreras de información
Residencia de datos
Almacenamiento de datos en ubicaciones geográficas específicas Microsoft 365 Multi-Geo

Pertenencia

Puede administrar la pertenencia de un grupo o equipo dinámicamente en función de algunos criterios, como el departamento. En este caso, los miembros y propietarios no pueden invitar a personas al equipo. Los grupos dinámicos usan metadatos que se definen en Microsoft Entra identificador para controlar quién es miembro del grupo. Asegúrese de que los metadatos que usa están completos y actualizados, ya que los metadatos incorrectos pueden provocar que los usuarios no estén en grupos o que se agreguen usuarios incorrectos.

Los sitios de SharePoint proporcionan la capacidad de agregar propietarios, miembros y visitantes, además de la pertenencia a grupos o equipos. En función de sus requisitos, es posible que desee restringir quién puede invitar a personas al sitio. Además, en función de la confidencialidad de la información de un sitio determinado, es posible que desee restringir quién puede compartir archivos y carpetas. Estas restricciones las configura el equipo, el grupo o el propietario del sitio:

Acceso condicional

Con Microsoft 365, puede requerir la autenticación multifactor para personas dentro y fuera de su organización. Hay muchas opciones para las circunstancias en las que se solicita a las personas un segundo factor de autenticación. Se recomienda encarecidamente implementar la autenticación multifactor para su organización:

Si tiene información confidencial en algunos de los grupos y equipos, puede aplicar directivas de administración de dispositivos en función de la etiqueta de confidencialidad de un grupo o equipo. Puede bloquear el acceso por completo desde dispositivos no administrados o permitir el acceso web limitado solo:

En SharePoint, puede restringir el acceso a sitios desde ubicaciones de red especificadas.

Recursos adicionales:

Acceso de invitado

Puede restringir los invitados en función del dominio de su dirección de correo electrónico. SharePoint ofrece una configuración de restricción de dominio específica del sitio y de toda la organización. Los grupos y Teams usan las listas de permitidos de dominio o las listas de bloqueo en Microsoft Entra identificador. Asegúrese de configurar ambas opciones para evitar el uso compartido no deseado y garantizar una experiencia de usuario coherente:

Microsoft 365 permite el uso compartido anónimo de archivos y carpetas mediante vínculos de uso compartido de cualquiera . Todos los vínculos se pueden reenviar y cualquier persona con el vínculo puede acceder al elemento compartido. En función de la confidencialidad de los datos, considere la posibilidad de gobernar cómo se usan los vínculos cualquiera , incluidos desactivarlos por completo, restringir los permisos de vínculo a solo lectura o establecer un tiempo de expiración para ellos:

Al compartir archivos o carpetas, los usuarios tienen varios tipos de vínculo entre los que elegir. Para reducir el riesgo de uso compartido inadecuado accidental, puede cambiar el tipo de vínculo predeterminado que se presenta a los usuarios cuando comparten. Por ejemplo, cambiar el valor predeterminado de los vínculos Cualquiera (que permiten el acceso anónimo) a Personas en los vínculos de la organización puede reducir el riesgo de compartir información confidencial externa no deseada:

Si su organización tiene datos confidenciales que necesita compartir con los invitados, pero le preocupa el uso compartido inadecuado, puede limitar el uso compartido externo de archivos y carpetas a los miembros de grupos de seguridad especificados. De este modo, puede restringir el uso compartido externamente a un grupo específico de personas o requerir que los usuarios realicen entrenamientos sobre el uso compartido externo adecuado antes de agregarlos al grupo de seguridad:

Los grupos y Teams tienen una configuración de nivel de organización que permite o deniega el acceso de invitado. Aunque puede restringir el acceso de invitado a equipos o grupos específicos mediante Microsoft PowerShell, se recomienda hacerlo mediante una etiqueta de confidencialidad. Con las etiquetas de confidencialidad, puede permitir o denegar automáticamente el acceso de invitado en función de la etiqueta aplicada:

En un entorno en el que suele invitar a invitados a grupos y equipos, considere la posibilidad de configurar revisiones de acceso de invitado programadas periódicamente. Se puede pedir a los propietarios que revisen a los invitados de sus grupos y equipos y aprueben o denieguen el acceso.

Microsoft 365 ofrece muchos métodos diferentes para compartir información. Si tiene información confidencial y desea restringir su uso compartido, revise las opciones para limitar el uso compartido:

Recursos adicionales:

Administración de usuarios

A medida que los grupos y equipos evolucionan en su organización, una buena práctica es revisar la pertenencia al equipo y a los grupos de forma periódica. Esto puede ser especialmente útil para equipos y grupos con una pertenencia cambiante, aquellos que contienen información confidencial o aquellos que incluyen invitados. Considere la posibilidad de configurar revisiones de acceso para estos equipos y grupos:

Muchas organizaciones tienen asociaciones empresariales con otras organizaciones o proveedores clave con los que colaboran en profundidad. La administración de usuarios y el acceso a los recursos pueden ser difíciles de administrar en estos escenarios. Considere la posibilidad de automatizar algunas de las tareas de administración de usuarios e incluso realizar la transición de algunas de ellas a su organización asociada:

Los canales privados de Teams permiten conversaciones con ámbito y el uso compartido de archivos entre un subconjunto de miembros del equipo. En función de sus necesidades empresariales específicas, es posible que desee permitir o bloquear esta funcionalidad.

Los canales compartidos le permiten invitar a personas que están fuera del equipo o fuera de la organización. En función de las necesidades empresariales específicas y las directivas de uso compartido externo, es posible que quiera permitir o bloquear esta funcionalidad.

OneDrive proporciona una manera fácil para que los usuarios almacenen y compartan contenido en el que están trabajando. En función de sus necesidades empresariales, es posible que desee restringir el acceso a este contenido a los empleados de la empresa a tiempo completo u otros grupos dentro de la empresa. Si es así, puede limitar el acceso al contenido de OneDrive a los miembros de un grupo de seguridad.

En el caso de algunos equipos o sitios más confidenciales, es posible que quiera limitar el acceso al contenido del equipo o del sitio a los miembros del equipo o a los miembros de un grupo de seguridad.

Recursos adicionales:

Clasificación de información

Puede usar etiquetas de confidencialidad para controlar el acceso de invitado, la privacidad de grupos y equipos, y el acceso por dispositivos no administrados para grupos y equipos. Cuando un usuario aplica la etiqueta, esta configuración se configura automáticamente según lo especificado por la configuración de la etiqueta.

Puede configurar Microsoft 365 para aplicar automáticamente etiquetas de confidencialidad a archivos y correos electrónicos en función de los criterios que especifique, incluida la detección de tipos de información confidencial o la coincidencia de patrones con clasificadores entrenables.

Puede usar etiquetas de confidencialidad para cifrar archivos, lo que permite que solo aquellos con permisos los descifren y lean.

Recursos adicionales:

Segmentación de usuarios

Con las barreras de información, puede segmentar los datos y los usuarios para restringir la comunicación y la colaboración no deseadas entre grupos y evitar conflictos de interés en su organización. Las barreras de información permiten crear directivas para permitir o impedir la colaboración de archivos, el chat, las llamadas o las invitaciones a reuniones entre grupos de personas de la organización.

Residencia de datos

Con Microsoft 365 Multi-Geo, puede aprovisionar y almacenar datos en reposo en las ubicaciones geográficas que ha elegido para cumplir los requisitos de residencia de datos. En un entorno multigeográfico, el inquilino de Microsoft 365 consta de una ubicación central (donde se aprovisionó originalmente la suscripción de Microsoft 365) y una o varias ubicaciones satélite donde puede almacenar datos.

Recomendaciones de planeamiento de gobernanza de colaboración

Creación del plan de gobernanza de colaboración

Seguridad y cumplimiento en Microsoft Teams

Administración de la configuración de uso compartido en SharePoint

Configurar Teams con tres niveles de protección