Ao convidar um usuário convidado para um site do SharePoint, ele pode receber uma mensagem de acesso negado mesmo com as permissões de compartilhamento corretas. Esse problema geralmente ocorre porque um rótulo de sensibilidade do Microsoft 365 aplicado ao site ou aos seus documentos inclui criptografia que impede o acesso externo. O rótulo pode restringir o acesso a usuários ou grupos específicos e bloquear convidados completamente. Este artigo explica por que a criptografia baseada em rótulo substitui as permissões do site e quais configurações um proprietário do site deve verificar para permitir o acesso de convidados.
Principais Conclusões: O Que Verificar Quando a Criptografia do Rótulo Bloqueia Convidados
- Central de conformidade do Microsoft 365 > Rótulos de sensibilidade > Configurações de criptografia: Controla se os convidados podem descriptografar conteúdo rotulado. Deve ser configurado para permitir usuários externos.
- Central de administração do SharePoint > Sites ativos > Rótulo de sensibilidade do site: O rótulo aplicado a um site pode herdar criptografia que bloqueia convidados. Verifique a atribuição atual do rótulo do site.
- Microsoft Purview Information Protection > Políticas de rótulo > Rótulos publicados: Determina quais rótulos os usuários podem aplicar. Certifique-se de que o rótulo seja publicado nos grupos corretos e inclua criptografia amigável para convidados.
Por Que a Criptografia Baseada em Rótulo Bloqueia o Acesso de Convidados
Os rótulos de sensibilidade no Microsoft 365 podem impor criptografia em documentos e sites. Quando um rótulo é aplicado a um site do SharePoint, as configurações de criptografia do rótulo definem quem pode ler ou editar o conteúdo. Se o rótulo restringir o acesso apenas a usuários dentro da sua organização, qualquer usuário convidado que tentar acessar o site ou um documento rotulado terá o acesso negado.
A causa raiz é que as permissões do SharePoint e a criptografia do rótulo de sensibilidade operam de forma independente. As configurações de compartilhamento do SharePoint podem permitir o compartilhamento externo, mas a criptografia do rótulo atua como uma camada separada. Mesmo que um convidado apareça na lista de membros do site, o conteúdo criptografado permanece inacessível para ele. As regras de criptografia do rótulo são aplicadas no nível do arquivo e substituem as permissões do site.
Como a Criptografia Funciona nos Rótulos de Sensibilidade
Um rótulo de sensibilidade usa o Azure Rights Management para aplicar criptografia. O rótulo pode atribuir usuários ou grupos específicos como visualizadores ou editores autorizados. Por padrão, muitos rótulos são configurados com a opção “Atribuir permissões agora” e a lista inclui apenas usuários internos. Ao selecionar “Permitir que os usuários atribuam permissões”, o rótulo se torna mais flexível, mas ainda pode não permitir convidados a menos que seja explicitamente configurado.
Os rótulos também podem ser aplicados automaticamente por meio de políticas de rotulagem automática. Nesse caso, a criptografia é adicionada aos documentos sem intervenção do usuário. Se um convidado tentar abrir um arquivo que foi rotulado automaticamente com criptografia que exclui usuários externos, o acesso é bloqueado.
Etapas para Verificar e Corrigir a Criptografia do Rótulo para Acesso de Convidados
Para restaurar o acesso de convidados, você deve revisar o rótulo de sensibilidade aplicado ao site e aos seus documentos. Siga estas etapas para identificar e ajustar as configurações de criptografia.
- Identifique o rótulo de sensibilidade no site do SharePoint
Vá para a central de administração do SharePoint. Em Sites, selecione Sites ativos. Clique no nome do site que está com problemas de acesso de convidados. No painel que abrir, procure o campo Rótulo de sensibilidade. Se um rótulo estiver atribuído, anote o nome do rótulo. Se nenhum rótulo estiver atribuído, o problema pode vir de rótulos aplicados diretamente aos documentos. - Abra o rótulo na central de conformidade do Microsoft 365
Vá para a central de conformidade do Microsoft 365. Em Soluções, selecione Proteção de informações. Clique na guia Rótulos de sensibilidade. Encontre o rótulo anotado na etapa 1 e clique no nome dele para abrir as configurações do rótulo. - Verifique a configuração de criptografia
Nas configurações do rótulo, role até a seção Criptografia. Clique em Editar. Se a criptografia estiver desativada, o rótulo não bloqueia convidados. Se a criptografia estiver ativada, revise a opção Atribuir permissões agora. Clique em Atribuir permissões agora e depois no link Atribuir permissões. Observe a lista de Usuários e grupos. Se a lista contiver apenas usuários internos ou grupos que excluem convidados, os convidados não poderão descriptografar o conteúdo. - Adicione convidados ou altere o escopo da criptografia
Para permitir convidados, você pode adicionar endereços de e-mail de convidados individuais à lista de Usuários e grupos. Como alternativa, altere a criptografia para Permitir que os usuários atribuam permissões. Essa opção permite que a pessoa que aplica o rótulo escolha quem pode acessar o arquivo. Você também pode marcar a caixa “Permitir acesso offline” e definir uma expiração personalizada, se necessário. Salve as configurações do rótulo. - Publique o rótulo atualizado
Após alterar o rótulo, clique em Publicar rótulos. Selecione a política que contém este rótulo e clique em Avançar. Certifique-se de que o rótulo seja publicado para os usuários corretos. Se você quiser que o rótulo esteja disponível para aplicação manual, inclua-o em uma política de rótulo atribuída aos proprietários ou editores do site. Conclua o assistente de publicação. - Verifique o acesso de convidados após a alteração
Peça ao convidado para sair e entrar novamente. Faça o convidado navegar até o site do SharePoint e abrir um documento que falhou anteriormente. Se o rótulo era a causa, o convidado agora deve conseguir acessar o conteúdo. Se o acesso ainda for negado, verifique se o documento em si tem um rótulo diferente aplicado diretamente.
Se o Acesso de Convidados Ainda Estiver Bloqueado Após a Correção Principal
Rótulos no Nível do Documento Substituem Rótulos do Site
Um documento pode ter um rótulo de sensibilidade aplicado diretamente que difere do rótulo do site. Para verificar, abra o documento no SharePoint. Clique no ícone de informações no canto superior direito. Procure por Sensibilidade no painel de detalhes. Se um rótulo for exibido, anote seu nome e repita as etapas acima para esse rótulo. O rótulo do documento tem precedência sobre o rótulo do site.
Políticas de Rotulagem Automática Aplicam Criptografia Automaticamente
Se sua organização usa políticas de rotulagem automática, os documentos podem ser rotulados e criptografados sem nenhuma ação manual. Na central de conformidade, vá para Proteção de informações > Rotulagem automática. Revise todas as políticas que visam sites do SharePoint. Se uma política aplicar um rótulo com criptografia que exclui convidados, você deve modificar o rótulo ou criar uma exceção para sites acessíveis por convidados.
O Acesso de Convidados Exige uma Conta de Convidado do Microsoft 365
Mesmo com configurações de rótulo corretas, um convidado deve ter uma conta de convidado válida do Microsoft 365. O convidado deve aceitar o convite e entrar com sua conta Microsoft ou conta de convidado do Azure AD B2B. Se a conta do convidado estiver expirada ou bloqueada, o acesso falhará. Verifique Azure AD > Usuários > Usuários convidados para confirmar o status da conta.
Rótulo do Site vs Rótulo do Documento: Efeito da Criptografia em Convidados
| Item | Rótulo do Site (Criptografia Aplicada) | Rótulo do Documento (Criptografia Aplicada) |
|---|---|---|
| Escopo | Afeta todos os documentos no site, a menos que tenham seu próprio rótulo | Afeta apenas aquele documento específico |
| Acesso de convidados | Bloqueado se a criptografia excluir usuários externos | Bloqueado se a criptografia excluir o convidado |
| Comportamento de substituição | O rótulo do documento substitui o rótulo do site | O rótulo de maior prioridade é aplicado |
| Como corrigir | Altere a criptografia do rótulo ou atribua um rótulo diferente ao site | Remova ou altere o rótulo do documento |
Como proprietário do site, agora você pode identificar se um rótulo de sensibilidade está bloqueando o acesso de convidados e ajustar as configurações de criptografia adequadamente. Comece verificando o rótulo atribuído ao site na central de administração do SharePoint. Em seguida, modifique a criptografia do rótulo para incluir usuários convidados ou mude para um rótulo que permita permissões atribuídas pelo usuário. Para problemas persistentes, inspecione os rótulos no nível do documento e as políticas de rotulagem automática. Um próximo passo prático é criar um site de teste com uma conta de convidado para validar se a configuração do rótulo funciona antes de implementar as alterações amplamente.