Governar o acesso em grupos do Microsoft 365, Teams e SharePoint
Existem muitos controlos que lhe permitem governar a forma como as pessoas acedem a recursos em grupos, equipas e SharePoint. Reveja estas opções e considere a forma como mapeiam as suas necessidades empresariais, a confidencialidade dos seus dados e o âmbito das pessoas com quem os seus utilizadores precisam de colaborar.
A tabela seguinte fornece uma referência rápida para os controlos de acesso disponíveis no Microsoft 365. São fornecidas mais informações nas secções seguintes.
| Categoria | Descrição | Referência |
|---|---|---|
| Associação | ||
| Associação a grupos dinâmicos com base em regras | Criar ou atualizar um grupo dinâmico no ID do Microsoft Entra | |
| Controlar quem pode partilhar ficheiros, pastas e sites. | Configurar e gerir pedidos de acesso | |
| Acesso condicional | ||
| Autenticação multifator | Microsoft Entra autenticação multifator | |
| Controle o acesso do dispositivo com base na sensibilidade do grupo, da equipa ou do site. | Utilizar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint | |
| Limitar o acesso ao site para dispositivos não geridos. | Controlar o acesso do SharePoint a partir de dispositivos não geridos | |
| Controlar o acesso ao site com base na localização | Controlar o acesso aos dados do SharePoint e do OneDrive com base na localização da rede | |
| Impor condições de acesso mais rigorosas quando os utilizadores acedem a sites do SharePoint. | Política de acesso condicional para sites do SharePoint e OneDrive | |
| Acesso de convidado | ||
| Permitir ou bloquear a partilha do SharePoint a partir de domínios especificados. | Restringir a partilha de conteúdos do SharePoint e do OneDrive por domínio | |
| Permitir ou bloquear a associação de equipa ou grupo a partir de domínios especificados. | Permitir ou bloquear convites para utilizadores B2B de organizações específicas | |
| Impedir a partilha anónima. | Desativar as ligações Qualquer Pessoa | |
| Controlar as permissões para ligações de acesso anónimo. | Definir permissões de ligação para ligações Qualquer pessoa | |
| Controlar a expiração de ligações de partilha anónimas. | Definir uma data de expiração para as ligações Qualquer Pessoa | |
| Controle o tipo de ligação de partilha mostrado aos utilizadores por predefinição. | Change the default link type for a site (Alterar o tipo de ligação predefinida de um site) | |
| Limitar a partilha externa a pessoas específicas. | Limitar a partilha externa a grupos de segurança especificados | |
| Controlar o acesso de convidados a um grupo, equipa ou site com base na confidencialidade das informações. | Utilizar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint | |
| Desative as opções de partilha. | Limitar a partilha no Microsoft 365 | |
| Gestão de utilizadores | ||
| Reveja regularmente a associação à equipa e ao grupo. | O que são revisões de acesso Microsoft Entra? | |
| Automatizar a gestão de acesso a grupos e equipas. | O que é Microsoft Entra gestão de direitos? | |
| Limitar o acesso do OneDrive aos membros de um grupo de segurança específico. | Restringir o acesso ao OneDrive por grupo de segurança | |
| Restringir o acesso das equipas ou do site aos membros de um grupo. | Restringir o acesso de sites do SharePoint a membros de um grupo | |
| Classificação de informações | ||
| Classificar grupos e equipas | Utilizar etiquetas de confidencialidade para proteger conteúdos no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint | |
| Classificar automaticamente conteúdo confidencial | Aplicar automaticamente uma etiqueta de confidencialidade ao conteúdo | |
| Encriptar conteúdo confidencial | Restringir o acesso ao conteúdo utilizando etiquetas de confidencialidade para aplicar encriptação | |
| Segmentação de utilizadores | ||
| Restringir a comunicação entre segmentos de utilizador | Barreiras de informações | |
| Residência dos dados | ||
| Armazenar dados em localizações geográficas específicas | Microsoft 365 Multi-Geo |
Associação
Pode gerir a associação de um grupo ou equipa dinamicamente com base em alguns critérios, como departamento. Neste caso, os membros e proprietários não podem convidar pessoas para a equipa. Os grupos dinâmicos utilizam metadados definidos no Microsoft Entra ID para controlar quem é membro do grupo. Certifique-se de que os metadados que está a utilizar estão completos e atualizados, uma vez que os metadados incorretos podem levar a que os utilizadores fiquem de fora dos grupos ou que sejam adicionados utilizadores incorretos.
Os sites do SharePoint permitem adicionar proprietários, membros e visitantes, para além da associação a grupos ou equipas. Consoante os seus requisitos, poderá querer restringir quem pode convidar pessoas para o site. Além disso, dependendo da confidencialidade das informações num determinado site, poderá querer restringir quem pode partilhar ficheiros e pastas. Estas restrições são configuradas pelo proprietário da equipa, grupo ou site:
Acesso condicional
Com o Microsoft 365, pode exigir a autenticação multifator para pessoas dentro e fora da sua organização. Existem muitas opções para as circunstâncias em que as pessoas são solicitadas para um segundo fator de autenticação. Recomendamos vivamente que implemente a autenticação multifator para a sua organização:
Se tiver informações confidenciais em alguns dos seus grupos e equipas, pode impor políticas de gestão de dispositivos com base na etiqueta de confidencialidade de um grupo ou equipa. Pode bloquear totalmente o acesso a partir de dispositivos não geridos ou permitir acesso limitado apenas à Web:
No SharePoint, pode restringir o acesso a sites a partir de localizações de rede especificadas.
Recursos adicionais:
Acesso de convidado
Pode restringir os convidados com base no domínio do respetivo endereço de e-mail. O SharePoint oferece definições de restrição de domínio em toda a organização e específicas do site. Os grupos e o Teams utilizam as listas de permissões de domínio ou listas de bloqueio no ID de Microsoft Entra. Certifique-se de que configura ambas as definições para evitar partilhas indesejadas e garantir uma experiência de utilizador consistente:
Restringir a partilha de conteúdos do SharePoint e do OneDrive por domínio
Permitir ou bloquear convites para utilizadores B2B de organizações específicas
O Microsoft 365 permite a partilha anónima de ficheiros e pastas através de Qualquer pessoa que partilhe ligações. Todas as ligações podem ser reencaminhadas e qualquer pessoa com a ligação pode aceder ao item partilhado. Consoante a sensibilidade dos seus dados, considere governar a forma como as ligações de Qualquer pessoa são utilizadas, incluindo desativá-las totalmente, restringir as permissões de ligação para só de leitura ou definir um tempo de expiração para as mesmas:
Ao partilhar ficheiros ou pastas, os utilizadores têm vários tipos de ligação à escolha. Para reduzir o risco de partilha inadequada acidental, pode alterar o tipo de ligação predefinido apresentado aos utilizadores quando partilham. Por exemplo, alterar a predefinição das ligações Qualquer pessoa , que permitem o acesso anónimo, para Pessoas nas ligações da sua organização pode reduzir o risco de partilha externa indesejada de informações confidenciais:
- Change the default link type for a site (Alterar o tipo de ligação predefinida de um site)
Se a sua organização tiver dados confidenciais que precisa de partilhar com os convidados, mas estiver preocupado com a partilha inadequada, pode limitar a partilha externa de ficheiros e pastas aos membros de grupos de segurança especificados. Desta forma, pode restringir a partilha externa a um grupo específico de pessoas ou exigir que os seus utilizadores realizem formação sobre a partilha externa adequada antes de adicioná-las ao grupo de segurança:
Os grupos e o Teams têm definições ao nível da organização que permitem ou negam o acesso de convidados. Embora possa restringir o acesso de convidados a equipas ou grupos específicos através do Microsoft PowerShell, recomendamos que o faça através de uma etiqueta de confidencialidade. Com as etiquetas de confidencialidade, pode permitir ou negar automaticamente o acesso de convidado com base na etiqueta aplicada:
Num ambiente onde convida frequentemente convidados para grupos e equipas, considere configurar revisões de acesso de convidados agendadas regularmente. Os proprietários podem ser solicitados a rever os convidados nos respetivos grupos e equipas e aprovar ou negar o acesso.
O Microsoft 365 oferece vários métodos diferentes de partilha de informações. Se tiver informações confidenciais e quiser restringir a forma como são partilhadas, reveja as opções para limitar a partilha:
Recursos adicionais:
Melhores práticas para partilhar ficheiros e pastas com utilizadores não autenticados
Limitar a exposição acidental a ficheiros ao partilhar com pessoas fora da sua organização
Ativar colaboração externa B2B e gerir quem pode convidar convidados
Gestão de utilizadores
À medida que os grupos e as equipas evoluem na sua organização, uma boa prática é rever a associação à equipa e ao grupo regularmente. Isto pode ser particularmente útil para equipas e grupos com uma associação em mudança, aqueles que contêm informações confidenciais ou aqueles que incluem convidados. Considere configurar revisões de acesso para estas equipas e grupos:
Muitas organizações têm parcerias empresariais com outras organizações ou fornecedores-chave com quem colaboram em profundidade. A gestão de utilizadores e o acesso aos recursos podem ser difíceis de gerir nestes cenários. Considere automatizar algumas das tarefas de gestão de utilizadores e até mesmo fazer a transição de algumas para a sua organização parceira:
Os canais privados no Teams permitem conversações no âmbito e partilha de ficheiros entre um subconjunto de membros da equipa. Consoante as suas necessidades empresariais específicas, poderá querer permitir ou bloquear esta capacidade.
Os canais partilhados permitem-lhe convidar pessoas fora da equipa ou fora da organização. Consoante as suas necessidades empresariais específicas e políticas de partilha externa, poderá querer permitir ou bloquear esta capacidade.
O OneDrive proporciona uma forma fácil de os utilizadores armazenarem e partilharem conteúdos em que estão a trabalhar. Consoante as suas necessidades empresariais, poderá querer restringir o acesso a este conteúdo a funcionários da empresa a tempo inteiro ou a outros grupos na empresa. Se for o caso, pode limitar o acesso aos conteúdos do OneDrive aos membros de um grupo de segurança.
Para algumas equipas ou sites mais confidenciais, poderá querer limitar o acesso aos conteúdos da equipa ou do site aos membros da equipa ou aos membros de um grupo de segurança.
Recursos adicionais:
Classificação de informações
Pode utilizar etiquetas de confidencialidade para governar o acesso de convidados, a privacidade do grupo e da equipa e o acesso por dispositivos não geridos para grupos e equipas. Quando um utilizador aplica a etiqueta, estas definições são configuradas automaticamente conforme especificado pelas definições de etiqueta.
Pode configurar o Microsoft 365 para aplicar automaticamente etiquetas de confidencialidade a ficheiros e e-mails com base nos critérios que especificar, incluindo detetar tipos de informações confidenciais ou correspondência de padrões com classificadores treináveis.
Pode utilizar etiquetas de confidencialidade para encriptar ficheiros, permitindo que apenas as pessoas com permissões as desencriptem e leiam.
Recursos adicionais:
Segmentação de utilizadores
Com as barreiras de informações, pode segmentar os seus dados e utilizadores para restringir a comunicação e colaboração indesejadas entre grupos e evitar conflitos de interesse na sua organização. As barreiras de informações permitem-lhe criar políticas para permitir ou impedir a colaboração de ficheiros, conversas, chamadas ou convites de reunião entre grupos de pessoas na sua organização.
Residência dos dados
Com o Microsoft 365 Multi-Geo, pode aprovisionar e armazenar dados inativos nas localizações geográficas que escolheu para cumprir os requisitos de residência dos dados. Num ambiente Multi-Geo, o seu inquilino do Microsoft 365 consiste numa localização central (onde a sua subscrição do Microsoft 365 foi originalmente aprovisionada) e uma ou mais localizações por satélite onde pode armazenar dados.
Tópicos relacionados
Recomendações de planeamento da governação de colaboração
Criar o seu plano de governação de colaboração
Segurança e conformidade no Microsoft Teams