Compartilhar via

Transição para colaboração governada com a colaboração do Microsoft Entra B2B

Entender a colaboração ajuda a proteger o acesso externo aos seus recursos. Use as informações neste artigo para mover a colaboração externa para a colaboração do Microsoft Entra B2B.

Antes de começar

Este artigo é o número 5 em uma série de 10 artigos. Recomendamos que você revise os artigos na ordem. Vá para a seção Próximas etapas para ver toda a série.

Controlar a colaboração

Você pode limitar as organizações com as quais os usuários colaboram (de entrada e saída) e quem em sua organização pode convidar convidados. A maioria das organizações permite que as unidades de negócios decidam a colaboração e delegam aprovação e supervisão. Por exemplo, organizações no governo, educação e finanças geralmente não permitem colaboração aberta. Você pode usar os recursos do Microsoft Entra para controlar a colaboração.

Para controlar o acesso ao locatário, implante uma ou mais das seguintes soluções:

  • Configurações de colaboração externa – restringir os domínios de email para os quais os convites vão
  • Configurações de acesso entre locatários – controle o acesso de convidados ao aplicativo por usuário, grupo ou locatário (entrada). Controle o acesso externo a locatário e aplicativo do Microsoft Entra para usuários (saída).
  • Organizações conectadas – determinar quais organizações podem solicitar pacotes de acesso no Gerenciamento de Direitos

Determinar parceiros de colaboração

Documente as organizações com as quais você colabora e os domínios dos usuários da organização, se necessário. Restrições baseadas em domínio podem ser impraticáveis. Um parceiro de colaboração pode ter vários domínios e um parceiro pode adicionar domínios. Por exemplo, um parceiro com várias unidades de negócios, com domínios separados, pode adicionar mais domínios à medida que configura a sincronização.

Se seus usuários utilizam o Microsoft Entra B2B, você pode descobrir os locatários externos do Microsoft Entra com os quais eles estão colaborando através dos registros de entrada, do PowerShell ou de uma pasta de trabalho. Saiba Mais:

Você pode habilitar a colaboração futura com:

  • Organizações externas – mais inclusivas
  • Organizações externas, mas não negadas
  • Organizações externas específicas – mais restritivas

Observação

Se as configurações de colaboração forem altamente restritivas, os usuários poderão sair da estrutura de colaboração. Recomendamos que você habilite uma colaboração ampla que seus requisitos de segurança permitam.

Os limites de um domínio podem impedir a colaboração autorizada com organizações que têm outros domínios não relacionados. Por exemplo, o ponto inicial de contato com a Contoso pode ser um funcionário com sede nos EUA com email que tenha um .com domínio. No entanto, se você permitir apenas o .com domínio, poderá omitir os funcionários canadenses que têm o .ca domínio.

Você pode permitir parceiros de colaboração específicos para um subconjunto de usuários. Por exemplo, uma universidade pode restringir o acesso de contas de alunos a locatários externos, mas pode permitir que os docentes colaborem com organizações externas.

Lista de permissões e lista de bloqueios com configurações de colaboração externa

Você pode usar uma lista de permissões ou uma lista de bloqueios para organizações. Você pode usar uma lista de permissões ou uma lista de bloqueios, não ambas.

  • Lista de permissões – limitar a colaboração a uma lista de domínios. Outros domínios estão na lista de bloqueios.
  • Lista de bloqueios – permitir a colaboração com domínios que não estão na lista de bloqueios

Saiba mais: Permitir ou bloquear convites para usuários B2B de organizações específicas

Importante

Listas de permissões e listas de bloqueio não se aplicam aos usuários em seu diretório. Por padrão, eles não se aplicam ao OneDrive for Business e à lista de permissões ou listas de bloqueios do SharePoint; essas listas são separadas. No entanto, você pode habilitar a integração B2B SharePoint-OneDrive.

Algumas organizações têm uma lista de bloqueios de domínios de maus atores de um provedor de segurança gerenciado. Por exemplo, se a organização fizer negócios com a Contoso e usar um .com domínio, uma organização não relacionada poderá usar o .org domínio e tentar um ataque de phishing.

Configurações de acesso entre locatários

Você pode controlar o acesso de entrada e saída usando configurações de acesso entre locatários. Além disso, você pode confiar na autenticação multifator, em um dispositivo compatível e em declarações de dispositivo integrado híbrido Microsoft Entra (HAAJD) de locatários externos do Microsoft Entra. Quando você configura uma política organizacional, ela se aplica ao locatário do Microsoft Entra e se aplica aos usuários nesse locatário, independentemente do sufixo de domínio.

Você pode habilitar a colaboração entre nuvens da Microsoft, como o Microsoft Azure operado pela 21Vianet ou pelo Azure Government. Determine se seus parceiros de colaboração residem em um Microsoft Cloud diferente.

Saiba Mais:

Você pode permitir o acesso de entrada a locatários específicos (lista de permissões) e definir a política padrão para bloquear o acesso. Em seguida, crie políticas organizacionais que permitam o acesso por usuário, grupo ou aplicativo.

Você pode bloquear o acesso a locatários (lista de bloqueios). Defina a política padrão para Permitir e, em seguida, crie políticas organizacionais que bloqueiem o acesso a alguns locatários.

Observação

Configurações de acesso entre locatários, o acesso de entrada não impede que os usuários enviem convites, nem impede que eles sejam resgatados. No entanto, ele controla o acesso ao aplicativo e se um token é emitido para o Usuário Convidado. Se o convidado puder resgatar um convite, a política bloqueará o acesso ao aplicativo.

Para controlar o acesso de usuários de organizações externas, configure políticas de acesso de saída de maneira semelhante ao acesso de entrada: lista de permissões e lista de bloqueios. Configure políticas padrão e específicas da organização.

Saiba mais: Definir configurações de acesso entre locatários para colaboração B2B

Observação

As configurações de acesso entre inquilinos aplicam-se aos inquilinos do Microsoft Entra. Para controlar o acesso de parceiros que não usam a ID do Microsoft Entra, use as configurações de colaboração externa.

Gerenciamento de direitos e organizações conectadas

Use o gerenciamento de direitos para garantir a governança automática do ciclo de vida do convidado. Crie pacotes de acesso e publique-os em usuários externos ou em organizações conectadas, que dão suporte a locatários do Microsoft Entra e outros domínios. Ao criar um pacote de acesso, restrinja o acesso a organizações conectadas.

Saiba mais: O que é o gerenciamento de direitos?

Controlar o acesso de usuário externo

Para iniciar a colaboração, convide ou habilite um parceiro para acessar recursos. Os usuários obtêm acesso por:

Ao habilitar o Microsoft Entra B2B, você pode convidar usuários convidados com links e convites por email. A inscrição por autoatendimento e a publicação de pacotes de acesso no portal Meu Acesso exigem mais configuração.

Observação

A inscrição de autoatendimento não impõe nenhuma lista de permissões ou lista de bloqueios nas configurações de colaboração externa. Em vez disso, use configurações de acesso entre locatários. Você pode integrar listas de permissões e listas de bloqueio com a inscrição de autoatendimento usando conectores de API personalizados. Veja, Adicionar um conector de API a um fluxo de usuário.

Convites de usuário convidado

Determine quem pode convidar usuários convidados para acessar recursos.

  • Mais restritivo: permitir somente administradores e usuários com a função convidado
  • Se os requisitos de segurança permitirem, permita que todos os UserType membro convidem convidados
  • Verificar se o Tipo de Usuário convidado pode convidar outros usuários

    • Convidado é a conta de usuário padrão B2B do Microsoft Entra

      Captura de tela das configurações de convite de convidado.

Informações do usuário externo

Use o gerenciamento de direitos do Microsoft Entra para configurar perguntas que os usuários externos respondem. Essas perguntas serão mostradas aos aprovadores para que eles auxiliem na tomada de decisão. Você pode configurar conjuntos de perguntas para cada política de pacote de acesso, portanto, os aprovadores têm informações relevantes para acesso que aprovam. Por exemplo, peça aos fornecedores o número do contrato do fornecedor.

Saiba mais: Alterar as configurações de aprovação e informações do solicitante para um pacote de acesso no gerenciamento de direitos

Se você usar um portal de autoatendimento, use conectores de API para coletar atributos de usuário durante a inscrição. Use os atributos para atribuir acesso. Você pode criar atributos personalizados no portal do Azure e usá-los em seus fluxos de usuário de inscrição de autoatendimento. Leia e escreva esses atributos usando a API do Microsoft Graph.

Saiba Mais:

Solucionar problemas de resgate de convite para usuários Microsoft Entra

Usuários convidados de um parceiro de colaboração podem ter problemas para resgatar um convite. Consulte a lista a seguir para mitigações.

  • O domínio do usuário não está em uma lista de permissões
  • As restrições do inquilino residencial do parceiro impedem a colaboração externa
  • O usuário não está no locatário do Microsoft Entra do parceiro. Por exemplo, os usuários no contoso.com estão no Active Directory.

Acesso de usuário externo

Geralmente, há recursos que você pode compartilhar com usuários externos e outros não. Você pode controlar o acesso de usuários externos.

Saiba mais: Gerenciar o acesso externo com o Gerenciamento de Direitos

Por padrão, os usuários convidados veem informações e atributos sobre membros do locatário e outros parceiros, incluindo associações de grupo. Considere limitar o acesso de usuário externo a essas informações.

Captura de tela das opções de acesso do usuário convidado nas configurações de colaboração externa.

Recomendamos as seguintes restrições de usuário convidado:

  • Limitar o acesso de convidados a grupos de navegação e outras propriedades no diretório
    • Usar configurações de colaboração externa para impedir que os convidados vejam grupos dos quais não são membros.
  • Bloquear o acesso a aplicativos somente para funcionários
    • Criar uma política de Acesso Condicional para bloquear o acesso aos aplicativos integrados do Microsoft Entra para usuários não convidados
  • Bloquear o acesso ao portal do Azure
    • Você pode fazer as exceções necessárias
    • Crie uma política de Acesso Condicional com todos os usuários convidados e externos. Implemente uma política para bloquear o acesso.

Saiba mais: Acesso Condicional: aplicativos de nuvem, ações e contexto de autenticação

Remover usuários que não precisam de acesso

Estabeleça um processo para examinar e remover usuários que não precisam de acesso. Inclua usuários externos em seu locatário como convidados e usuários com contas de membro.

Saiba mais: Usar a Governança de ID do Microsoft Entra para examinar e remover usuários externos que não têm mais acesso a recursos

Algumas organizações adicionam usuários externos como membros (fornecedores, parceiros e empreiteiros). Atribua um atributo ou nome de usuário:

  • Fornecedores - v-alias@contoso.com
  • Parceiros – p-alias@contoso.com
  • Empreiteiros - c-alias@contoso.com

Avalie usuários externos com contas de membro para determinar o acesso. Você pode ter usuários convidados que não foram convidados por meio do gerenciamento de direitos ou do Microsoft Entra B2B.

Para localizar esses usuários:

Transição de usuários externos atuais para o Microsoft Entra B2B

Se você não usar o Microsoft Entra B2B, provavelmente terá usuários não funcionários em seu locatário. Recomendamos que você faça a transição dessas contas para contas de usuário externas do Microsoft Entra B2B e, em seguida, altere o UserType para Convidado. Use a ID do Microsoft Entra e o Microsoft 365 para lidar com usuários externos.

Incluir ou excluir:

  • Usuários convidados em políticas de Acesso Condicional
  • Usuários convidados em pacotes de acesso e revisões de acesso
  • Acesso externo ao Microsoft Teams, Ao SharePoint e a outros recursos

Você pode fazer a transição desses usuários internos, mantendo o acesso atual, o nome principal de usuário (UPN) e as associações de grupo.

Aprenda mais: Convidar usuários externos para a colaboração B2B

Desativar métodos de colaboração

Para concluir a transição para a colaboração governada, desative métodos de colaboração indesejados. O descomissionamento baseia-se no nível de controle a ser exercido na colaboração e na postura de segurança. Confira: determinar sua postura de segurança para acesso externo.

Convite do Microsoft Teams

Por padrão, o Teams permite acesso externo. A organização pode se comunicar com domínios externos. Para restringir ou permitir domínios para o Teams, use o centro de administração do Teams.

Compartilhamento por meio do SharePoint e do OneDrive

O compartilhamento por meio do SharePoint e do OneDrive adiciona usuários que não estão no processo de gerenciamento de direitos.

Documentos enviados por email e rótulos de confidencialidade

Os usuários enviam documentos para usuários externos por email. Você pode usar rótulos de confidencialidade para restringir e criptografar o acesso a documentos.

Confira:saiba mais sobre rótulos de confidencialidade.

Ferramentas de colaboração não sancionadas

Alguns usuários provavelmente usam o Google Docs, Dropbox, Slack ou Zoom. Você pode bloquear o uso dessas ferramentas de uma rede corporativa, no nível do firewall e com o Gerenciamento de Aplicativos Móveis para dispositivos gerenciados pela organização. No entanto, essa ação bloqueia instâncias sancionadas e não bloqueia o acesso de dispositivos não gerenciados. Bloqueie as ferramentas que você não deseja e crie políticas para nenhum uso não sancionado.

Para obter mais informações sobre aplicativos de gerenciamento, consulte:

Próximas etapas

Confira os artigos a seguir para saber mais sobre como proteger o acesso externo aos recursos. Recomendamos que você siga a ordem listada.

  1. Determine sua estratégia de segurança para acesso externo com o Microsoft Entra ID

  2. Descobrir o estado atual da colaboração externa em sua organização

  3. Criar um plano de segurança para acesso externo aos recursos

  4. Proteger o acesso externo com grupos no Microsoft Entra ID e no Microsoft 365

  5. Transição para colaboração governada com o Microsoft Entra B2B (você está aqui)

  6. Gerenciar o acesso externo com o gerenciamento de direitos do Microsoft Entra

  7. Gerenciar o acesso externo com políticas de Acesso Condicional

  8. Controlar o acesso externo a recursos no Microsoft Entra ID com etiquetas de sensibilidade

  9. Proteger o acesso externo ao Microsoft Teams, Ao SharePoint e ao OneDrive for Business com a ID do Microsoft Entra

  10. Converter contas de convidados locais em contas de convidados no Microsoft Entra B2B

  • Last updated on