Blog do Chesley

Constantemente vejo as informações das organizações expostas e essa falta de cuidado torna a utilização do Microsoft Teams uma experiencia muito ruim para todos.

Os motivos que isso acontece em quase 100% das vezes é a falta de profundidade na administração da ferramenta, o Microsoft Teams possui diversos mecanismos de proteção e quando esses mecanismos são explorados pelo administrador toda a organização fica mais protegida!

Alguns exemplos de falta de administração podemos listar abaixo e se sua organização se encaixa em algum desses exemplos saiba que você está no lugar certo! Eu vou te ajudar!

1. Acesso de usuários convidados sem controle
2. Equipes sem o mínimo de gerenciamento
3. Canais sem o mínimo de gerencialmente
4. Acesso a qualquer link enviado, sem controle e sem análise
5. Download de qualquer tipo de documento, sem controle e sem análise
6. Acessos sem revisão
7. Equipes sem classificação
8. Informações sem Retenção
9. Informações sem controle por DLP

Vamos realizar uma serie de postagens sobre a proteção de equipes, canais e informações no Microsoft teams, e essas situação desconfortantes não vão mais acontecer em sua organização.

Para começar, vamos configurar o acesso dos usuários convidados (guest)

Acesso de convidado no Microsoft Teams

Um convidado tem acesso a equipes, documentos em canais, recursos, bate-papos e aplicativos para pessoas fora de sua organização, o acesso do um convidado no ambiente do Microsoft 365 é bem amplo e precisa ser controlado.

Antes de falar dos controles vamos primeiro aprender a habilitar o acesso de um convidado no ambiente.

Um convidado é alguém que não tem uma conta escolar ou profissional, por exemplo, alguém que que tem um e-mail próprio como parceiros, fornecedores ou consultores externos, grosso modo, qualquer pessoa fora de sua organização, qualquer pessoa com uma conta comercial, ou pessoal como outlook.com, gmail.com, chesley.com.br.

O acesso de convidado no Teams requer a configuração de outras configurações no Microsoft 365, incluindo configurações no Azure AD, Microsoft 365 Groups e SharePoint.

Configurações de colaboração externa do Azure

Com as configurações de colaboração externo é possível especificar quais as funções podem convidar usuários externos e também podemos permitir ou bloquear domínios e diversas opções para restringir o que os usuários convidados podem ver em nosso Azure AD:

• Determinar o acesso do usuário convidado : o Azure AD permite restringir o que os usuários convidados externos podem ver em seu diretório do Azure AD. Por exemplo, você pode limitar a visualização de membros de grupos dos usuários convidados ou permitir que os convidados visualizem apenas suas próprias informações de perfil.
• Especifique quem pode convidar convidados : por padrão, todos os usuários em sua organização, incluindo usuários convidados de colaboração B2B, podem convidar usuários externos para colaboração B2B. Se você quiser limitar a capacidade de enviar convites, poderá ativar ou desativar convites para todos ou limitar convites a determinadas funções.
• Habilitar a inscrição de autoatendimento de convidado por meio de fluxos de usuário : para aplicativos que você cria, você pode criar fluxos de usuário que permitem que um usuário se inscreva em um aplicativo e crie uma nova conta de convidado. Você pode habilitar o recurso em suas configurações de colaboração externa e, em seguida, adicionar um fluxo de usuário de inscrição de autoatendimento ao seu aplicativo .
• Permitir ou bloquear domínios : você pode usar restrições de colaboração para permitir ou negar convites para os domínios que você especificar. Para obter detalhes, consulte Permitir ou bloquear domínios .

Para colaboração B2B com outras organizações do Azure AD, você também deve revisar suas configurações de acesso entre locatários para garantir sua colaboração B2B de entrada e saída e acesso de escopo a usuários, grupos e aplicativos específicos.

Definir configurações no portal

1. Entre no portal do Azure usando uma conta de administrador global e abra o serviço Azure Active Directory .
2. Selecione Identidades externas > Configurações de colaboração externa .

Em Acesso de usuário convidado , escolha o nível de acesso que você deseja que os usuários convidados tenham:

• Os usuários convidados têm o mesmo acesso que os membros (mais inclusivo) : essa opção oferece aos convidados o mesmo acesso aos recursos do Azure AD e aos dados do diretório que os usuários membros. (cuidado com isso)
  • Os usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório : (Padrão) Essa configuração bloqueia convidados de determinadas tarefas de diretório, como enumerar usuários, grupos ou outros recursos de diretório. Os convidados podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão .
  • O acesso do usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório (mais restritivos) : Com essa configuração, os convidados podem acessar apenas seus próprios perfis. Os convidados não têm permissão para ver perfis, grupos ou associações de grupos de outros usuários.
• Em Configurações de convite de convidado , escolha as configurações apropriadas:
  • Qualquer pessoa na organização pode convidar usuários convidados, incluindo convidados e não administradores (mais inclusive) : para permitir que convidados na organização convidem outros convidados, incluindo aqueles que não são membros de uma organização, selecione este botão de opção. (CUIDADO COM ISSO)
  • Usuários membros e usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo convidados com permissões de membro : Para permitir que usuários membros e usuários com funções de administrador específicas convidem convidados, selecione este botão de opção.
  • Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados : Para permitir que apenas os usuários com funções de administrador convidem convidados, selecione este botão de opção. As funções de administrador incluem Administrador Global, Administrador de Usuário e Convidado Convidado .
  • Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivos) : Para impedir que todos na organização convidem convidados, selecione este botão de opção.
• Em Habilitar a inscrição de autoatendimento para convidados por meio de fluxos de usuário , selecione Sim se quiser criar fluxos de usuário que permitem que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, consulte Adicionar um fluxo de usuário de inscrição de autoatendimento a um aplicativo .

• Em configurações de licença de usuário externo , você pode controlar se os usuários externos podem se remover da sua organização. Se você definir essa opção como Não, os usuários externos precisarão entrar em contato com seu administrador ou contato de privacidade para serem removidos.
  • Sim : os usuários podem sair da organização sem a aprovação do seu administrador ou contato de privacidade.
  • Não : os usuários não podem deixar sua organização por conta própria. Eles verão uma mensagem orientando-os a entrar em contato com seu administrador ou contato de privacidade para solicitar a remoção da sua organização.

 Importante

Você pode definir as configurações de licença de usuário externo somente se tiver adicionado suas informações de privacidade ao seu locatário do Azure AD. Caso contrário, esta configuração não estará disponível.

• Em Restrições de colaboração , você pode optar por permitir ou negar convites para os domínios que especificar e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas .

Licenciamento para acesso de convidados

O acesso de convidado pode ser usado com todas as assinaturas do Microsoft 365 Business Standard, Microsoft 365 Enterprise e Microsoft 365 Education. Nenhuma licença adicional do Microsoft 365 é necessária. 

Configurando O Microsoft Teams para Usuários externos

1. navegue até o Centro administrativo do Teams https://admin.teams.microsoft.com
2. Na navegação à esquerda do centro administrativo teams, selecione Users > Guest Access.
3. Na página de acesso ao Convidado, verifique se permitir o acesso ao hóspede em equipes está ativado. Se não, selecione On.
4. Role para baixo e para baixo na seção Mensagens, desabilita as mensagens enviadas
5. Role para baixo e selecione Salvar.

Agora você ativou com sucesso o acesso dos convidados e os proibiu de excluir suas mensagens enviadas para equipes em seu inquilino.

Explore as demais opções e veja aquelas que melhor se encaixam em sua organização.

Conclusão

Agora você consegue convidar e adicionar pessoas externas em suas equipes, nas próximas postagens vamos explorar como proteger nossa organização dos acessos externos sem coibir essa prática.

Referencias

https://docs.microsoft.com/en-us/microsoftteams/guest-access

https://docs.microsoft.com/en-us/microsoft-365/solutions/setup-secure-collaboration-with-teams?view=o365-worldwide

https://docs.microsoft.com/en-us/microsoft-365/solutions/collaborate-as-team?view=o365-worldwide