Proteger o acesso externo com grupos na ID do Microsoft Entra e no Microsoft 365

  • Artigo

Grupos são parte de uma estratégia de controle de acesso. Você pode usar os grupos de segurança do Microsoft Entra e os Grupos do Microsoft 365 como base para proteger o acesso aos recursos. Use grupos para os seguintes mecanismos de controle de acesso:

Os grupos têm as seguintes funções:

  • Proprietários do grupo – gerenciam as configurações do grupo e sua associação
  • Membros – herdam permissões e acesso atribuídos ao grupo
  • Convidados – são membros de fora da organização

Antes de começar

Este artigo é o número 4 em uma série de 10 artigos. Recomendamos que você revise os artigos na ordem. Vá para a seção Próximas etapas para ver toda a série.

Estratégia de grupo

Para desenvolver uma estratégia de grupo para proteger o acesso externo aos seus recursos, considere a postura de segurança desejada.

Saiba mais: Determinar sua postura de segurança para acesso externo

Criação de grupo

Determine quem recebe permissões para criar grupos: administradores, funcionários e/ou usuários externos. Considere os seguintes cenários:

Convites para grupos

Como parte da estratégia de grupo, considere quem pode convidar pessoas ou adicioná-las a grupos. Os membros do grupo podem adicionar outros membros ou os proprietários do grupo podem adicionar membros. Decida quem pode ser convidado. Por padrão, usuários externos podem ser adicionados a grupos.

Atribuir usuários a grupos

Usuários podem ser atribuídos a grupos manualmente, com base nos atributos de usuário em seu objeto de usuário, ou podem ser atribuídos segundo outros critérios. Os usuários só podem ser atribuídos a grupos dinamicamente com base nos atributos deles. Por exemplo, você pode atribuir usuários a grupos com base em:

  • Cargo ou departamento
  • Organização parceira à qual pertencem
    • Manualmente ou por meio de organizações conectadas
  • Tipo de usuário Membro ou Convidado
  • Participação em um projeto
    • Manualmente
  • Location

Grupos dinâmicos podem conter usuários ou dispositivos, mas não ambos. Para atribuir usuários ao grupo dinâmico, adicione consultas baseadas nos atributos do usuário. A captura de tela a seguir tem consultas que adicionam usuários ao grupo se eles forem membros do departamento financeiro.

Captura de tela de opções e entradas em Regras de associação dinâmica.

Saiba mais: Criar ou atualizar um grupo dinâmico no ID do Microsoft Entra

Usar grupos para função única

Ao usar grupos, é importante que eles tenham uma única função. Se um grupo for usado para conceder acesso a recursos, não use-o para qualquer outra finalidade. Recomendamos uma convenção de nomenclatura de grupo de segurança que torne a finalidade clara:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Tipos de grupo

Você pode criar grupos de segurança do Microsoft Entra e Grupos do Microsoft 365 no portal do Azure ou no portal de administração do Microsoft 365. Use um tipo de grupo para proteger o acesso externo.

Considerações Grupos de segurança manuais e dinâmicos do Microsoft Entra Grupos do Microsoft 365
O grupo contém Usuários
Grupos
Entidades de serviço
Dispositivos		 Somente usuários
Local onde o grupo é criado Portal do Azure
Portal do Microsoft 365 (se habilitado para email)
PowerShell
Microsoft Graph
Portais do usuário final		 Portal do Microsoft 365
Portal do Azure
PowerShell
Microsoft Graph
Em aplicativos Microsoft 365
Quem cria, por padrão Administradores
Usuários		 Administradores
Usuários
Quem é adicionado, por padrão Usuários internos (membros do locatário) e usuários convidados Membros do locatário e convidados de qualquer organização
Acesso é concedido a Recursos aos quais ele foi atribuído. Recursos relacionados ao grupo:
(Caixa de correio de grupo, site, equipe, chats e outros recursos do Microsoft 365 incluídos)
Outros recursos aos quais o grupo é adicionado
Podem ser usada com Acesso condicional
Gerenciamento de direitos
Licenciamento de grupo		 Acesso Condicional
Gerenciamento de direitos
rótulos de confidencialidade

Observação

Use Grupos do Microsoft 365 para criar e gerenciar um conjunto de recursos do Microsoft 365, como o Teams e seus sites e conteúdos associados.

Grupos de segurança do Microsoft Entra

Os grupos de segurança do Microsoft Entra podem ter usuários ou dispositivos. Use esses grupos para gerenciar o acesso a:

  • Recursos do Azure
    • Microsoft 365 Apps
    • Aplicativos personalizados
    • Aplicativos SaaS (software como serviço), como o Dropbox e ServiceNow
  • Dados e assinaturas do Azure
  • Serviços do Azure

Use os grupos de segurança do Microsoft Entra para atribuir:

Saiba mais:

Observação

Use grupos de segurança para atribuir até 1.500 aplicativos.

Captura de tela de entradas e opções em Novo Grupo.

Grupo de segurança habilitado para email

Para criar um grupo de segurança habilitado para email, vá para o centro de administração do Microsoft 365. Habilite um grupo de segurança para email durante a criação. Não será possível habilitá-lo posteriormente. Não é possível criar o grupo no portal do Azure.

Organizações híbridas e grupos de segurança do Microsoft Entra

As organizações híbridas têm infraestrutura para o local e um Microsoft Entra ID. Organizações híbridas que usam o Active Directory podem criar grupos de segurança localmente e sincronizá-los com a nuvem. Consequentemente, apenas os usuários no ambiente local poderão ser adicionados aos grupos de segurança.

Importante

Proteja sua infraestrutura local contra comprometimento. Confira: Proteger o Microsoft 365 contra ataques locais.

Grupos do Microsoft 365

Grupos do Microsoft 365 é o serviço de associação para acesso ao Microsoft 365. Os grupos podem ser criados no portal do Azure ou no centro de administração do Microsoft 365. Ao criar um Grupo do Microsoft 365, você concede acesso a um grupo de recursos para colaboração.

Saiba mais:

Funções dos Grupos do Microsoft 365

  • Proprietários do grupo
    • Adicionar ou remover membros
    • Excluem conversas da caixa de entrada compartilhada
    • Alteram configurações de grupo
    • Renomeiam o grupo
    • Atualizam a descrição ou a imagem
  • Membros
  • Guests
    • São membros de fora da organização
    • Têm alguns limites para a funcionalidade no Teams

Configurações do grupo do Microsoft 365

Selecione alias de email, privacidade e se deseja habilitar o grupo para equipes.

Após a instalação, adicione membros e defina as configurações para o uso de email e assim por diante.

Próximas etapas

Confira os artigos a seguir para saber mais sobre como proteger o acesso externo aos recursos. Recomendamos que você siga a ordem listada.

  1. Determine sua postura de segurança para acesso externo com a ID do Microsoft Entra

  2. Descubra o estado atual de colaboração externa na sua organização

  3. Criar um plano de segurança para acesso externo a recursos

  4. Acesso externo seguro com grupos no Microsoft Entra ID e no Microsoft 365 (Você está aqui)

  5. Transição para colaboração governada com colaboração B2B do Microsoft Entra

  6. Gerenciar o acesso externo com o gerenciamento de direitos do Microsoft Entra

  7. Gerenciar o acesso externo com políticas de Acesso Condicional

  8. Controlar acesso externo aos recursos no Microsoft Entra ID com rótulos de confidencialidade

  9. Proteger o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID

  10. Converter contas de convidado locais nas contas de convidado B2B do Microsoft Entra