Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365
Os grupos fazem parte de uma estratégia de controle de acesso. Você pode usar os grupos de segurança do Microsoft Entra e os Grupos do Microsoft 365 como base para proteger o acesso aos recursos. Use grupos para os seguintes mecanismos de controle de acesso:
- Políticas de acesso condicional
- Pacotes de acesso à gestão de direitos
- Acesso a recursos do Microsoft 365, Microsoft Teams e sites do SharePoint
Os grupos têm as seguintes funções:
- Proprietários de grupos – gerencie as configurações do grupo e sua associação
- Membros – herdam permissões e acesso atribuídos ao grupo
- Convidados – são membros fora da sua organização
Antes de começar
Este artigo é o número 4 de uma série de 10 artigos. Recomendamos que você revise os artigos em ordem. Vá para a seção Próximas etapas para ver a série inteira.
Estratégia de grupo
Para desenvolver uma estratégia de grupo para garantir o acesso externo aos seus recursos, considere a postura de segurança desejada.
Saiba mais: Determine sua postura de segurança para acesso externo
Criação de grupos
Determine a quem são concedidas permissões para criar grupos: administradores, funcionários e/ou usuários externos. Considere os seguintes cenários:
- Os membros locatários podem criar grupos de segurança do Microsoft Entra
- Os utilizadores internos e externos podem aderir a grupos no seu inquilino
- Os usuários podem criar grupos do Microsoft 365
- Gerenciar quem pode criar Grupos do Microsoft 365
- Usar o PowerShell para definir essa configuração
- Restringir seu aplicativo Microsoft Entra a um conjunto de usuários em um locatário do Microsoft Entra
- Configurar o gerenciamento de grupo de autoatendimento no Microsoft Entra ID
- Solucionar e resolver problemas de grupos
Convites para grupos
Como parte da estratégia de grupo, considere quem pode convidar pessoas ou adicioná-las aos grupos. Os membros do grupo podem adicionar outros membros ou os proprietários do grupo podem adicionar membros. Decida quem pode ser convidado. Por padrão, usuários externos podem ser adicionados a grupos.
Atribuir utilizadores a grupos
Os usuários são atribuídos a grupos manualmente, com base nos atributos de usuário em seu objeto de usuário, ou os usuários são atribuídos com base em outros critérios. Os usuários são atribuídos a grupos dinamicamente com base em seus atributos. Por exemplo, você pode atribuir usuários a grupos com base em:
- Cargo ou departamento
- Organização parceira a que pertencem
- Manualmente ou através de organizações conectadas
- Tipo de Membro ou Utilizador Convidado
- Participação num projeto
- Manualmente
- Location
Os grupos dinâmicos têm utilizadores ou dispositivos, mas não ambos. Para atribuir usuários ao grupo dinâmico, adicione consultas com base nos atributos do usuário. A captura de tela a seguir tem consultas que adicionam usuários ao grupo se eles forem membros do departamento financeiro.
Saiba mais: Criar ou atualizar um grupo dinâmico no Microsoft Entra ID
Usar grupos para uma função
Ao usar grupos, é importante que eles tenham uma única função. Se um grupo for usado para conceder acesso a recursos, não o use para outra finalidade. Recomendamos uma convenção de nomenclatura de grupo de segurança que deixe claro o propósito:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
Tipos de grupo
Você pode criar grupos de segurança do Microsoft Entra e Grupos do Microsoft 365 no portal do Azure ou no portal de administração do Microsoft 365. Use qualquer tipo de grupo para proteger o acesso externo.
| Considerações | Grupos de segurança manuais e dinâmicos do Microsoft Entra | Grupos do Microsoft 365 |
|---|---|---|
| O grupo contém | Utilizadores Grupos Principais de serviço Dispositivos |
Apenas utilizadores |
| Onde o grupo é criado | Portal do Azure Portal do Microsoft 365, se habilitado para email) PowerShell Microsoft Graph Portal do utilizador final |
Portal do Microsoft 365 Portal do Azure PowerShell Microsoft Graph Em aplicativos do Microsoft 365 |
| Quem cria, por padrão | Administradores Utilizadores |
Administradores Utilizadores |
| Quem é adicionado, por padrão | Usuários internos (membros do locatário) e usuários convidados | Membros inquilinos e convidados de uma organização |
| O acesso é concedido a: | Recursos aos quais está atribuído. | Recursos relacionados ao grupo: (Caixa de correio de grupo, site, equipe, bate-papos e outros recursos do Microsoft 365) Outros recursos aos quais o grupo é adicionado |
| Pode ser usado com | Acesso Condicional Gestão de direitos Licenciamento em grupo |
Acesso Condicional Gestão de direitos rótulos de sensibilidade |
Nota
Use o Microsoft 365 Groups para criar e gerenciar um conjunto de recursos do Microsoft 365, como uma equipe e seus sites e conteúdo associados.
Grupos de segurança do Microsoft Entra
Os grupos de segurança do Microsoft Entra podem ter usuários ou dispositivos. Use esses grupos para gerenciar o acesso a:
- Recursos do Azure
- Microsoft 365 Apps
- Aplicações personalizadas
- Aplicativos de software como serviço (SaaS), como o Dropbox ServiceNow
- Dados e subscrições do Azure
- Serviços do Azure
Use os grupos de segurança do Microsoft Entra para atribuir:
- Licenças para serviços
- Microsoft 365
- Dynamics 365
- Enterprise Mobility + Security
- Consulte O que é o licenciamento baseado em grupo no Microsoft Entra ID?
- Permissões elevadas
Saiba mais:
- Gerenciar grupos do Microsoft Entra e associação a grupos
- Cmdlets do Microsoft Entra versão 2 para gerenciamento de grupos.
Nota
Use grupos de segurança para atribuir até 1.500 aplicativos.
Grupo de segurança habilitado para email
Para criar um grupo de segurança habilitado para email, vá para o Centro de administração do Microsoft 365. Habilite um grupo de segurança para email durante a criação. Não é possível ativá-lo mais tarde. Não é possível criar o grupo no portal do Azure.
Organizações híbridas e grupos de segurança do Microsoft Entra
As organizações híbridas têm infraestrutura local e uma ID do Microsoft Entra. As organizações híbridas que usam o Ative Directory podem criar grupos de segurança no local e sincronizá-los com a nuvem. Portanto, somente os usuários no ambiente local podem ser adicionados aos grupos de segurança.
Importante
Proteja sua infraestrutura local contra comprometimento. Consulte Protegendo o Microsoft 365 contra ataques locais.
Grupos do Microsoft 365
O Microsoft 365 Groups é o serviço de associação para acesso no Microsoft 365. Eles podem ser criados no portal do Azure ou no centro de administração do Microsoft 365. Ao criar um grupo do Microsoft 365, você concede acesso a um grupo de recursos para colaboração.
Saiba mais:
- Visão geral do Microsoft 365 Groups para administradores
- Criar um grupo no centro de administração do Microsoft 365
- Centro de administração do Microsoft Entra
- Centro de administração do Microsoft 365
Funções do Microsoft 365 Groups
- Proprietários de grupos
- Adicionar ou remover membros
- Excluir conversas da caixa de entrada compartilhada
- Alterar configurações de grupo
- Renomear o grupo
- Atualizar a descrição ou imagem
- Membros
- Aceda a tudo o que está no grupo
- Não é possível alterar as configurações do grupo
- Pode convidar os hóspedes a juntarem-se ao grupo
- Gerenciar o acesso de convidado em grupos do Microsoft 365
- Hóspedes
- São membros de fora da sua organização
- Ter alguns limites de funcionalidade no Teams
Configurações do Grupo Microsoft 365
Selecione alias de e-mail, privacidade e se deseja habilitar o grupo para equipes.
Após a configuração, adicione membros e defina configurações para uso de e-mail e assim por diante.
Próximos passos
Use a série de artigos a seguir para saber como proteger o acesso externo aos recursos. Recomendamos que siga a ordem listada.
Determine sua postura de segurança para acesso externo com o Microsoft Entra ID
Descubra o estado atual da colaboração externa na sua organização
Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365 (Você está aqui)
Transição para colaboração governada com colaboração B2B do Microsoft Entra
Gerencie o acesso externo com o gerenciamento de direitos do Microsoft Entra
Gerencie o acesso externo a recursos com políticas de Acesso Condicional
Controle o acesso externo a recursos no Microsoft Entra ID com rótulos de sensibilidade
Converter contas de convidado locais em contas de convidado B2B do Microsoft Entra