Configurar o Teams com três camadas de segurança para compartilhamento de arquivos
Algumas funcionalidades neste artigo requerem o Microsoft Syntex – Gestão Avançada do SharePoint
Os artigos desta série fornecem recomendações para configurar equipas no Microsoft Teams e os respetivos sites do SharePoint associados, para proteção de ficheiros que equilibra a segurança com facilidade de colaboração.
Este artigo define quatro configurações diferentes, começando com uma equipe pública com as políticas de compartilhamento mais abertas. Cada configuração adicional representa um avanço significativo na proteção, enquanto a capacidade de acessar e colaborar nos arquivos armazenados nas equipes é reduzida ao conjunto relevante de membros da equipe.
As configurações nesse artigo se alinham às recomendações da Microsoft para três níveis de proteção de dados, identidades e dispositivos:
Proteção de linha de base
Proteção confidencial
Proteção altamente confidencial
Para obter informações sobre como criar um ambiente de reunião do Teams que cumpra os seus requisitos de conformidade, consulte Configurar reuniões do Teams com três camadas de proteção.
Visão rápida de três camadas
A tabela a seguir resume as configurações de cada camada. Use estas configurações como recomendações de ponto de partida e ajuste as configurações para atender às necessidades da sua organização. Você pode não precisar de todas as camadas.
Linha de base (Público) | Linha de base (Particular) | Confidencial | Altamente confidencial | |
---|---|---|---|---|
Equipe privada ou pública | Público | Private | Private | Private |
Quem tem acesso? | Todos na organização, incluindo convidados B2B. | Somente membros da equipe. Outras pessoas podem solicitar acesso ao site associado. | Somente membros da equipe. | Somente membros da equipe. |
Canais privados | Proprietários e membros podem criar canais privados | Proprietários e membros podem criar canais privados | Somente proprietários podem criar canais privados | Somente proprietários podem criar canais privados |
Acesso de convidado no nível do site | Convidados novos e existentes (padrão). | Convidados novos e existentes (padrão). | Convidados novos e existentes ou Somente pessoas da sua organização, dependendo das necessidades da equipe. | Convidados novos e existentes ou Somente pessoas da sua organização, dependendo das necessidades da equipe. |
Acesso condicional ao nível do site | Acesso total a partir de aplicativos da área de trabalho, aplicativos móveis e da Web (padrão). | Acesso total a partir de aplicativos da área de trabalho, aplicativos móveis e da Web (padrão). | Permitir acesso limitado, somente na Web. | Política de acesso condicional personalizada |
Tipo de link de compartilhamento padrão | Somente pessoas da sua organização | Somente pessoas da sua organização | Pessoas específicas | Pessoas com acesso existente |
Rótulos de confidencialidade | Nenhum | Nenhum | Rótulo de confidencialidade usado para classificar a equipe e controlar o compartilhamento de convidados e o acesso de dispositivos não gerenciados. | Etiqueta de confidencialidade utilizada para classificar a equipa, controlar a partilha de convidados e especificar uma política de acesso condicional. A etiqueta de ficheiro predefinida é utilizada em ficheiros para os encriptar. |
Configurações de compartilhamento de site | Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. | Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. | Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. | N/D (Controlado pela política de controlo de acesso restrito ao nível do site.) |
Política de controlo de acesso restrito ao nível do site | Nenhum | Nenhum | Nenhum | Apenas membros da equipa |
A proteção da linha de base inclui equipes públicas e privadas. As equipes públicas podem ser descobertas e acessadas por qualquer pessoa na organização. As equipes privadas podem ser descobertas e acessadas apenas por membros da equipe. Ambas as configurações restringem aos proprietários da equipe o compartilhamento do site do Microsoft Office SharePoint Online associado, para ajudar no gerenciamento de permissões.
As equipes de proteção confidencial e altamente confidencial são equipes privadas, nas quais o compartilhamento e a solicitação de acesso ao site associado são limitados e os rótulos de confidencialidade são usados para definir políticas de compartilhamento de convidados, acesso de dispositivos e criptografia de conteúdo.
Rótulos de confidencialidade
As camadas confidencial e altamente confidencial usam rótulos de confidencialidade para ajudar a proteger a equipe e seus arquivos. Para implementar estes escalões, tem de ativar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint.
Embora a camada de base não necessite de etiquetas de confidencialidade, considere criar uma etiqueta "geral" e, em seguida, exigir que todas as equipas sejam etiquetadas. Isto ajuda a garantir que os utilizadores fazem uma escolha consciente sobre a sensibilidade quando criam uma equipa. Se planear implementar as camadas confidenciais ou altamente confidenciais, recomendamos que crie uma etiqueta "geral" que possa utilizar para as equipas de linha de base e para ficheiros que não são confidenciais. Para a camada altamente sensível, também iremos especificar uma etiqueta de confidencialidade predefinida para bibliotecas de documentos para que os ficheiros do Office e outros ficheiros compatíveis tenham essa etiqueta aplicada automaticamente quando forem carregados.
Se você não conhece os rótulos de confidencialidade, recomendamos a leitura do artigo Introdução aos rótulos de confidencialidade.
Se você já implementou rótulos de confidencialidade em sua organização, considere como os rótulos usados nas camadas confidencial e altamente confidencial se ajustam à sua estratégia geral de rotulação.
Compartilhar o site do Microsoft Office SharePoint Online
Cada equipe tem um site do Microsoft Office SharePoint Online associado, onde os documentos são armazenados. (Isso corresponde à guia Arquivos em um canal de equipe.) O site do Microsoft Office SharePoint Online mantém seu próprio gerenciamento de permissões, mas está vinculado às permissões de equipe. Os proprietários da equipe estão inclusos como proprietários de sites, e os membros da equipe estão incluídos como membros do site no site associado.
As permissões resultantes permitem:
- Que os proprietários da equipe administrem o site e tenham controle total sobre o conteúdo do site.
- Que os membros da equipe criem e editem arquivos no site.
Por padrão, os proprietários e membros da equipe podem compartilhar o próprio site com pessoas de fora da equipe sem realmente adicioná-las à equipe. Recomendamos que o faça, uma vez que complica a gestão de utilizadores e pode levar a que as pessoas que não são membros da equipa tenham acesso a ficheiros de equipa sem que os proprietários da equipa se apercebam. Para ajudar a evitar isso, começando no nível de proteção de linha de base, recomendamos que apenas os proprietários possam compartilhar o site diretamente.
Embora as equipas não tenham uma opção de permissão só de leitura, o site do SharePoint tem. Se tiver intervenientes ou grupos de parceiros que precisem de ver ficheiros de equipa, mas não os editar, considere adicioná-los diretamente ao site sharePoint com permissões de Visualização.
Para o escalão altamente sensível, limitamos o acesso ao site apenas aos membros da equipa. Esta restrição também impede a partilha de ficheiros com pessoas fora da equipa.
Compartilhar arquivos e pastas
Por padrão, proprietários e membros da equipe podem compartilhar arquivos e pastas com pessoas de fora da equipe. Isto pode incluir pessoas fora da sua organização, se permitir a partilha de convidados. Em todas as três camadas, atualizamos o tipo de link de compartilhamento padrão para ajudar a evitar o compartilhamento excessivo acidental. Conforme indicado acima, na camada altamente sensível, o acesso ao ficheiro está limitado apenas aos membros da equipa.
Compartilhando com pessoas de fora da sua organização
Se você precisar compartilhar o conteúdo do Microsoft Teams com pessoas de fora da sua organização, há duas opções:
- Partilha de convidados – a partilha de convidados utiliza a colaboração Microsoft Entra B2B que permite aos utilizadores partilhar ficheiros, pastas, sites, grupos e equipas com pessoas externas à sua organização. Essas pessoas acessam recursos compartilhados usando contas de convidados no seu diretório.
- Canais partilhados – os canais partilhados utilizam a ligação direta Microsoft Entra B2B, que permite aos utilizadores partilhar recursos na sua organização com pessoas de outras organizações do Microsoft Entra. Essas pessoas acessam os canais compartilhados no Microsoft Teams utilizando sua própria conta corporativa ou de estudante. Nenhuma conta de convidado foi criada na sua organização.
Tanto o compartilhamento de convidados quanto os canais compartilhados são úteis dependendo da situação. Consulte Planejar colaboração externa para obter os detalhes sobre cada um e como decidir qual usar para um determinado cenário.
Se planeia utilizar a partilha de convidados, recomendamos que configure a integração do SharePoint e do OneDrive com o Microsoft Entra B2B para obter a melhor experiência de partilha e administração.
Pode impedir a partilha de convidados do Teams, se necessário, nas camadas sensíveis e altamente confidenciais através de uma etiqueta de confidencialidade. Os canais compartilhados estão ativados por padrão, mas exigem a configuração de relacionamentos entre organizações para cada organização com a qual você deseja colaborar. Confira Colaborar com participantes externos em um canal para obter os detalhes.
Na camada altamente sensível, configuramos a etiqueta de confidencialidade da biblioteca predefinida para encriptar ficheiros aos quais é aplicada. Se você precisar que os convidados tenham acesso a estes arquivos, deverá conceder permissões a eles ao criar o rótulo. Os participantes externos em canais compartilhados não podem receber permissões para rótulos de confidencialidade e não podem acessar conteúdos criptografados por um rótulo de confidencialidade.
É altamente recomendável que você deixe o compartilhamento de convidados ativado para a camada de linha de base e para as camadas confidencial ou altamente confidencial se precisar colaborar com pessoas de fora da organização. Os recursos de compartilhamento de convidados no Microsoft 365 fornecem uma experiência de compartilhamento muito mais segura e controlável do que o envio de arquivos como anexos em mensagens de email. Também reduz o risco de TI sombra, em que os usuários usam produtos de consumo não controlados para compartilhar com colaboradores externos legítimos.
Se colaborar regularmente com outras organizações que utilizam o Microsoft Entra ID, os canais partilhados poderão ser uma boa opção. Os canais partilhados aparecem de forma totalmente integrada no cliente teams da outra organização e permitem que os participantes externos utilizem a respetiva conta de utilizador regular para a organização, em vez de terem de iniciar sessão separadamente com uma conta de convidado.
Confira as seguintes referências para criar um ambiente de compartilhamento de convidados seguro e produtivo para a sua organização:
- Práticas recomendadas para compartilhar arquivos e pastas com usuários não autenticados
- Limitar a exposição acidental a arquivos ao compartilhar arquivos com pessoas de fora da sua organização
- Criar um ambiente de compartilhamento de convidados seguro
Políticas de acesso condicional
O Acesso Condicional do Microsoft Entra oferece várias opções para determinar como as pessoas acedem ao Microsoft 365, incluindo limitações baseadas na localização, risco, conformidade do dispositivo e outros fatores. Recomendamos que você leia O que é o Acesso Condicional? e considere quais políticas adicionais podem ser apropriadas para sua organização.
Para as camadas confidenciais e altamente confidenciais, utilizamos etiquetas de confidencialidade para restringir o acesso aos conteúdos do SharePoint.
Para a camada confidencial, vamos restringir o acesso apenas à Web para dispositivos não geridos. (Tenha em atenção que, muitas vezes, os convidados não têm dispositivos geridos pela sua organização. Se permitir convidados em qualquer uma das camadas, considere que tipos de dispositivos utilizam para aceder a equipas e sites e definir as políticas de dispositivos não geridos em conformidade.)
Para o escalão altamente confidencial, vamos utilizar o contexto de autenticação do Microsoft Entra com a etiqueta de confidencialidade para acionar uma política de acesso condicional personalizada quando as pessoas acedem ao site do SharePoint associado à equipa.
Acesso condicional em todos os serviços relacionados com o Teams
As definições de acesso condicional nas etiquetas de confidencialidade afetam apenas o acesso ao SharePoint. Se quiser expandir o acesso condicional para além do SharePoint, pode utilizar a política de Acesso Condicional Comum: exigir um dispositivo em conformidade, um dispositivo associado híbrido do Microsoft Entra ou a autenticação multifator para todos os utilizadores . Para configurar essa política especificamente para serviços do Microsoft 365, selecione o aplicativo de nuvem do Office 365 em Aplicativos ou ações do.
O uso de uma política que afete todos os serviços do Microsoft 365 pode levar a uma melhor segurança e uma melhor experiência para os usuários. Por exemplo, quando você bloqueia o acesso a dispositivos não gerenciados apenas no Microsoft Office SharePoint Online, os usuários podem acessar o chat em uma equipe com um dispositivo não gerenciado, mas perderão o acesso quando tentarem acessar a guia Arquivos. Usar o aplicativo de nuvem do Office 365 ajuda a evitar problemas com dependências de serviço.
Próxima etapa
Comece configurando o nível de linha de base de proteção. Se necessário, também pode adicionar proteção confidencial e proteção altamente sensível .