Criptografia de Rótulo Bloqueia Acesso de Convidados: Checklist para Administradores
🔍 WiseChecker

Criptografia de Rótulo Bloqueia Acesso de Convidados: Checklist para Administradores

Quando você aplica um rótulo de sensibilidade que inclui criptografia a um documento do SharePoint, usuários convidados podem perder o acesso mesmo que as permissões do site permitam compartilhamento. Isso acontece porque as configurações de criptografia do rótulo substituem a política de compartilhamento do site. Neste artigo, você aprenderá por que a criptografia baseada em rótulo bloqueia o acesso de convidados e como identificar e corrigir o problema usando o centro de administração do SharePoint e o portal de conformidade do Microsoft Purview.

Principais Conclusões: Checklist para Administradores sobre Criptografia de Rótulo e Acesso de Convidados

  • Microsoft Purview > Proteção de Informações > Políticas de rótulo: Revise as configurações de criptografia de cada rótulo que bloqueia o acesso de convidados.
  • Centro de administração do SharePoint > Sites ativos > Permissões do site: Verifique se o compartilhamento com convidados está habilitado no nível do site.
  • Criptografia do rótulo > Atribuir permissões agora: Adicione usuários ou grupos convidados à lista de permissão do rótulo para restaurar o acesso.

ADVERTISEMENT

Por que a Criptografia Baseada em Rótulo Substitui as Permissões de Compartilhamento do Site

As permissões do site do SharePoint controlam se usuários externos podem acessar o site. Quando você aplica um rótulo de sensibilidade com criptografia a um documento, as permissões do rótulo têm prioridade sobre as configurações do site. Isso significa que um convidado que tem acesso ao site por meio de um link de compartilhamento ou convite direto pode ainda assim ser impedido de abrir o documento se o rótulo não incluir explicitamente esse convidado.

A criptografia em rótulos de sensibilidade usa o Azure Rights Management. O rótulo define quem pode visualizar, editar ou copiar o conteúdo. Se as configurações de criptografia do rótulo restringirem o acesso apenas a usuários internos ou grupos específicos, qualquer usuário convidado que tentar abrir o documento verá uma mensagem de acesso negado. O convidado não está listado nas permissões do rótulo, então a camada de criptografia rejeita a solicitação antes que o SharePoint verifique as permissões do site.

Como Funciona a Sobreposição de Criptografia

O SharePoint verifica as permissões nesta ordem: primeiro a criptografia do rótulo, depois as permissões do site. Se o rótulo bloquear o usuário, o SharePoint nunca avalia as permissões do site. Esse comportamento é proposital para proteger conteúdo sensível. Como administrador, você deve coordenar as configurações de criptografia do rótulo com suas políticas de compartilhamento com convidados.

Checklist para Identificar e Corrigir Acesso de Convidados Bloqueado por Criptografia de Rótulo

Use as etapas a seguir para diagnosticar e resolver problemas de acesso de convidados causados pela criptografia baseada em rótulo. Execute cada etapa em ordem.

  1. Confirme o erro de acesso do convidado
    Peça ao usuário convidado para reproduzir o erro. O usuário deve ver uma mensagem semelhante a “Você não tem permissão para abrir este documento” ou “Acesso negado.” Anote o texto exato do erro. Se o convidado puder acessar outros documentos no mesmo site, o problema provavelmente é específico do rótulo.
  2. Identifique qual rótulo está aplicado ao documento
    Faça login no site do SharePoint com credenciais de administrador. Navegue até a biblioteca de documentos e abra o documento no navegador. Nos metadados do documento ou no painel de informações, verifique a coluna Sensibilidade. Se a coluna não estiver visível, adicione-a através das configurações da biblioteca. Anote o nome do rótulo.
  3. Abra o rótulo no portal de conformidade do Microsoft Purview
    Vá para o portal de conformidade do Microsoft Purview e selecione Proteção de Informações > Rótulos. Encontre o rótulo identificado na etapa 2. Clique no rótulo para abrir suas configurações.
  4. Verifique as configurações de criptografia no rótulo
    Na configuração do rótulo, role até a seção Criptografia. Se a criptografia estiver desativada, o rótulo não está bloqueando o acesso de convidados. Se a criptografia estiver ativada, clique em Editar para visualizar as permissões. Procure a opção “Atribuir permissões agora” ou “Permitir que os usuários atribuam permissões.” Se “Atribuir permissões agora” estiver selecionado, revise a lista de usuários e grupos para verificar se há usuários convidados ou grupos externos.
  5. Verifique as configurações de compartilhamento com convidados no nível do site
    Abra o centro de administração do SharePoint em https://admin.microsoft.com/SharePoint. Vá para Sites ativos e selecione o site onde o documento reside. Clique em Configurações e role até a seção Compartilhamento externo. Certifique-se de que a configuração de compartilhamento não esteja definida como “Apenas pessoas em sua organização.” Para que o acesso de convidados funcione, o site deve permitir o compartilhamento com convidados novos e existentes.
  6. Adicione o usuário convidado às permissões de criptografia do rótulo
    Se o rótulo usar “Atribuir permissões agora”, volte às configurações do rótulo no Purview. Clique em Editar ao lado de Criptografia. Em Atribuir permissões agora, clique em Atribuir permissões. Adicione o endereço de e-mail do usuário convidado ou um grupo externo que contenha o convidado. Defina o nível de permissão desejado (por exemplo, Visualizador ou Revisor). Salve as configurações do rótulo e republique a política de rótulo, se necessário.
  7. Teste o acesso do convidado após a alteração
    Peça ao usuário convidado para acessar o documento novamente. Se o usuário ainda não conseguir abri-lo, verifique se a política de rótulo foi aplicada ao site. A propagação da política de rótulo pode levar até 24 horas. Você pode forçar uma atualização da política usando o comando do SharePoint Online Management Shell Set-SPOSite -Identity -SensitivityLabel .

ADVERTISEMENT

O que Verificar se o Acesso do Convidado Permanecer Bloqueado

O usuário convidado não está no mesmo locatário do Azure AD

A criptografia do rótulo funciona avaliando objetos de usuário do Azure AD. Se o usuário convidado foi convidado para o site do SharePoint, mas não possui um objeto de convidado B2B do Azure AD correspondente, o rótulo não consegue resolver o usuário. Vá para Azure AD > Usuários > Todos os usuários e verifique se o usuário convidado aparece. Se não, reconvide o convidado através do compartilhamento do site do SharePoint.

O rótulo é publicado para um grupo específico que exclui o site

Uma política de rótulo pode ser direcionada a usuários ou grupos específicos. Se os membros do site não estiverem incluídos na política de rótulo, o rótulo pode não ser aplicado corretamente. Verifique a política de rótulo em Purview > Proteção de Informações > Políticas de rótulo. Certifique-se de que o grupo de proprietários do site ou o grupo de todos os usuários esteja incluído.

O documento possui criptografia personalizada que substitui o rótulo

Se um usuário aplicou manualmente criptografia personalizada a um documento (por exemplo, através do cliente Azure Information Protection), essa criptografia pode persistir mesmo após a aplicação de um rótulo. Use o centro de administração do Microsoft 365 para verificar o status de criptografia do documento. Se existir criptografia personalizada, remova-a salvando novamente o documento sem permissões personalizadas.

Criptografia de Rótulo de Sensibilidade vs Compartilhamento com Convidados do Site: Comparação Rápida

Item Criptografia de Rótulo de Sensibilidade Compartilhamento com Convidados do Site
Escopo Aplica-se a documentos ou e-mails individuais Aplica-se a todo o site do SharePoint
Ordem de avaliação de permissões Avaliado primeiro Avaliado apenas se o rótulo permitir acesso
Inclusão de usuário convidado Deve ser adicionado explicitamente às permissões do rótulo Controlado pelas configurações de compartilhamento do site
Local de configuração Portal de conformidade do Microsoft Purview Centro de administração do SharePoint
Tempo de propagação Até 24 horas após a atualização da política de rótulo Instantâneo para alterações de link de compartilhamento

Agora você pode identificar se a criptografia do rótulo está bloqueando o acesso de convidados e aplicar a correção adequada. Comece verificando as permissões de criptografia do rótulo no Microsoft Purview. Se o rótulo usar “Atribuir permissões agora”, adicione o usuário convidado ou um grupo externo à lista de permissão. Para gerenciamento contínuo, crie uma política de rótulo que inclua usuários convidados por padrão quando a criptografia for necessária. Como dica avançada, use grupos dinâmicos do Azure AD para incluir automaticamente usuários convidados nas permissões do rótulo com base no domínio de e-mail.

ADVERTISEMENT