Como administrador do SharePoint ou Teams, você pode notar que usuários que são membros de um canal privado no Teams não conseguem acessar o site do SharePoint associado, ou que as permissões no site não refletem a associação ao canal. Essa incompatibilidade ocorre porque cada canal privado cria um site do SharePoint separado com seu próprio conjunto de permissões, e esse site não é sincronizado automaticamente com a associação à equipe pai do Teams. Este artigo explica a causa raiz dessa lacuna de permissão e fornece um checklist passo a passo para administradores diagnosticarem e corrigirem a incompatibilidade.
Principais Conclusões: Correção de Incompatibilidade de Permissão do Site do Canal Privado
- Formato da URL do site do canal privado: Cada canal privado cria um site em https://[tenant].sharepoint.com/sites/[SiteName]-[ChannelName].
- Herança de permissão do site: O site do canal privado quebra a herança de permissão do site pai — você deve gerenciá-lo separadamente.
- Associação ao grupo do Microsoft 365: Os membros do canal privado não são adicionados ao grupo do Microsoft 365 pai; eles são armazenados em um grupo oculto específico do canal.
Por que as Permissões do Canal Privado Não Correspondem ao Teams
Quando você cria um canal privado no Teams, a Microsoft cria uma coleção de sites do SharePoint separada vinculada a esse canal. Essa coleção de sites fica oculta no centro de administração do SharePoint por padrão e usa uma estrutura de permissão única. Os membros do canal privado são armazenados em um grupo de segurança oculto do Azure AD, não no grupo do Microsoft 365 da equipe pai. Por isso, qualquer alteração que você fizer na associação da equipe pai não se propaga automaticamente para o site do canal privado.
O grupo de segurança oculto é nomeado [SiteName]-[ChannelName]-Members e fica visível apenas através do PowerShell ou do portal do Azure AD. Esse grupo é a única fonte da verdade para quem pode acessar o site do SharePoint do canal privado. Se você adicionar usuários manualmente ao site do canal privado por meio das permissões do SharePoint sem adicioná-los ao grupo oculto, esses usuários não aparecerão na lista de membros do canal do Teams.
A Quebra da Herança de Permissão
Por design, o site do canal privado quebra a herança de permissão do site pai. Isso significa que você não pode confiar nas permissões do site pai para conceder acesso ao conteúdo do canal privado. Qualquer usuário que precise de acesso deve ser adicionado através do Teams (recomendado) ou diretamente ao grupo de segurança oculto via PowerShell.
Checklist do Administrador: Diagnosticar e Corrigir a Incompatibilidade
Use este checklist para identificar onde a incompatibilidade de permissão existe e corrigi-la. Execute cada etapa em ordem.
- Identifique a URL do Site do Canal Privado
Abra o Teams e navegue até o canal privado. Selecione o nome do canal e clique em Abrir no SharePoint. A URL estará no formatohttps://[tenant].sharepoint.com/sites/[SiteName]-[ChannelName]. Copie esta URL para uso posterior. - Verifique as Permissões Atuais do Site
Acesse a URL do site do canal privado. Clique no ícone de engrenagem e selecione Permissões do site. Em Compartilhamento do site, clique em Configurações avançadas de permissões. Procure pelo grupo nomeado[SiteName]-[ChannelName]-Members. Se esse grupo estiver ausente, as permissões estão quebradas. - Compare os Membros do Canal com os Membros do Site
No Teams, selecione o canal privado e clique nos três pontos ao lado do nome do canal. Escolha Gerenciar canal. Anote a lista de membros. Depois, volte às permissões do site do SharePoint e compare a lista. Qualquer usuário na lista do canal que não esteja na lista do site indica uma incompatibilidade. - Adicione Usuários Ausentes via Teams (Método Preferido)
No Teams, vá até o canal privado, clique nos três pontos e selecione Gerenciar canal. Clique em Adicionar membro e digite o nome do usuário. Isso adiciona automaticamente o usuário ao grupo de segurança oculto e concede acesso ao site do SharePoint. Aguarde de 5 a 10 minutos para a permissão sincronizar. - Use o PowerShell para Verificar a Associação ao Grupo Oculto
Abra o SharePoint Online Management Shell e execute:Connect-SPOService -Url https://[tenant]-admin.sharepoint.com. Em seguida, executeGet-SPOSiteGroup -Site https://[tenant].sharepoint.com/sites/[SiteName]-[ChannelName]para listar todos os grupos do site. Procure pelo grupo que contémMembersno nome. UseGet-SPOSiteGroup -Site [URL] | Select-Object -ExpandProperty Userspara ver todos os membros desse grupo. - Corrija a Herança de Permissão se Estiver Quebrada
Se as permissões do site mostrarem permissões exclusivas, mas o grupo oculto estiver ausente, talvez seja necessário redefinir a herança. Vá para Permissões do site > Configurações avançadas de permissões. Na faixa de opções, clique em Herdar permissões para religar o site ao grupo oculto. Essa ação removerá quaisquer permissões adicionadas manualmente e restaurará a associação padrão do canal. - Verifique a Sincronização Após as Alterações
Após fazer qualquer alteração, peça a um usuário de teste que antes não conseguia acessar o site que tente abrir o site do SharePoint do canal privado. Se o acesso ainda for negado, verifique a associação do usuário no grupo oculto usando o PowerShell conforme descrito na etapa 5.
Se as Permissões do Site do Canal Privado Ainda Não Corresponderem
Mesmo após seguir o checklist, alguns problemas persistem. Aqui estão padrões de falha comuns e suas correções específicas.
Usuários Conseguem Acessar o Site, mas Não o Canal do Teams
Isso acontece quando você adicionou usuários diretamente às permissões do site do SharePoint em vez de através do Teams. Para corrigir, remova o usuário das permissões do site do SharePoint e adicione-o através da interface de gerenciamento do canal do Teams. Apenas o grupo oculto deve controlar o acesso.
O Grupo de Segurança Oculto Está Ausente do Site
Se o grupo oculto não aparecer nas permissões do site do SharePoint, o site pode ter sofrido um erro de provisionamento. Recrie o canal privado excluindo-o e recriando-o no Teams. Isso força o SharePoint a provisionar um novo site com o grupo oculto correto.
Alterações de Permissão Levam Mais de 24 Horas
Embora a sincronização de permissões geralmente seja concluída em 10 minutos, atrasos na replicação do Azure AD podem se estender por até 24 horas. Se as alterações não surtirem efeito após 24 horas, execute uma sincronização manual no centro de administração do SharePoint: vá para Centros de administração > SharePoint > Coleções de sites, selecione o site do canal privado e clique em Sincronizar.
Usuários Externos Não Conseguem Acessar o Site do Canal Privado
Usuários externos (convidados) devem ser adicionados primeiro à equipe pai do Teams. Depois que forem membros da equipe pai, podem ser adicionados ao canal privado através do Teams. O site do SharePoint então concederá acesso automaticamente. Não adicione usuários externos diretamente às permissões do site do SharePoint.
| Item | Associação ao Canal do Teams | Permissões do Site do SharePoint |
|---|---|---|
| Fonte da verdade | Grupo de segurança oculto do Azure AD | Associação ao grupo oculto |
| Herança de permissão | N/A — grupo separado por canal | Quebrada do site pai |
| Método de adição de usuário | Gerenciamento do canal do Teams | Gerenciamento do canal do Teams (preferido) ou PowerShell |
| Tempo de sincronização | 5–10 minutos | 5–10 minutos após atualização do grupo |
| Suporte a convidados externos | Requer associação à equipe pai primeiro | Automático após adição no Teams |
Agora você tem um checklist completo para identificar e resolver incompatibilidades de permissão entre sites de canais privados e o Teams. Execute as etapas em ordem sempre que uma incompatibilidade for relatada. Para monitoramento contínuo, agende um script semanal do PowerShell que compare a associação ao grupo oculto com as permissões do site do SharePoint e sinalize quaisquer diferenças. Essa abordagem proativa evita problemas de acesso antes que os usuários os relatem.