Ao gerenciar o OneDrive for Business da sua organização, controlar quais dispositivos podem sincronizar arquivos é uma medida de segurança essencial. Sem restrições de sincronização, os usuários podem sincronizar dados corporativos em computadores pessoais ou não gerenciados, aumentando o risco de vazamento de dados. Este artigo explica como configurar restrições de sincronização de locatário usando o centro de administração do Microsoft 365 e PowerShell. Você aprenderá a bloquear a sincronização em dispositivos não gerenciados, restringir a sincronização a faixas de IP específicas e aplicar regras de conformidade de dispositivos.
Principais Conclusões: Configurando Restrições de Sincronização de Locatário no OneDrive
- Centro de administração Microsoft 365 > Configurações > OneDrive > Sincronização: Controla restrições de sincronização em todo o locatário, bloqueio de tipos de arquivo e comportamento do Known Folder Move.
- Cmdlet PowerShell Set-SPOTenantSyncClientRestriction: Ativa ou desativa a sincronização em dispositivos não gerenciados e define faixas de IP permitidas.
- Política de Acesso Condicional no Azure AD: Exige dispositivos compatíveis ou ingressados no domínio antes de permitir a sincronização do OneDrive.
Entendendo as Restrições de Sincronização de Locatário no OneDrive for Business
As restrições de sincronização de locatário são políticas que controlam onde e como os usuários podem sincronizar arquivos do OneDrive. O objetivo principal é impedir que dados sejam sincronizados em dispositivos que não são gerenciados pela sua organização. Essas restrições funcionam no nível do locatário e se aplicam a todos os usuários, a menos que você crie exceções.
Existem três camadas principais de restrições de sincronização:
1. Restrição de Plataforma de Dispositivo
Você pode bloquear totalmente a sincronização em dispositivos Windows, macOS, Android ou iOS. Isso é útil se sua organização suporta apenas um sistema operacional específico.
2. Restrição de Dispositivo Não Gerenciado
Essa configuração bloqueia a sincronização em dispositivos que não estão ingressados no Azure AD ou não estão marcados como compatíveis no Intune. Quando ativada, os usuários veem uma mensagem de erro no OneDrive e não conseguem sincronizar nenhum arquivo.
3. Restrição de Faixa de IP
Você pode definir uma lista de endereços IP públicos permitidos. A sincronização só funciona quando o dispositivo está conectado a partir de uma dessas faixas de IP. Isso é comumente usado para restringir a sincronização a locais de escritórios corporativos.
Antes de configurar qualquer uma dessas restrições, você deve ter a função de administrador do SharePoint ou a função de administrador global no Microsoft 365. Você também precisa de uma licença que inclua Azure AD Premium P1 para políticas de Acesso Condicional.
Passos para Configurar Restrições de Sincronização Usando o Centro de Administração do Microsoft 365
O método mais fácil para a maioria dos administradores é usar as configurações de sincronização integradas no centro de administração.
- Abra o centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com sua conta de administrador global ou do SharePoint. - Navegue até as configurações do OneDrive
Na navegação à esquerda, expanda Configurações e selecione Configurações da organização. Role até OneDrive e clique nele. - Abra a guia Sincronização
No painel de configurações do OneDrive, clique na guia Sincronização na parte superior. - Ative as restrições de sincronização
Em Restrições de sincronização, marque a caixa Bloquear sincronização em dispositivos não gerenciados. Opcionalmente, marque Bloquear sincronização em plataformas de dispositivo específicas e selecione as plataformas a serem bloqueadas. - Defina restrições de faixa de IP
Se quiser restringir a sincronização a faixas de IP específicas, marque Permitir sincronização apenas em dispositivos que se conectam de faixas de IP específicas. Insira os endereços IP em notação CIDR, um por linha. Por exemplo, 203.0.113.0/24. - Salve as configurações
Clique em Salvar na parte inferior do painel. As alterações são aplicadas em até 15 minutos para todos os usuários.
Passos para Configurar Restrições de Sincronização Usando PowerShell
O PowerShell oferece mais controle, especialmente se você precisar aplicar configurações em vários locatários ou automatizar o processo.
- Instale o SharePoint Online Management Shell
Abra o Windows PowerShell como administrador e execute Install-Module -Name Microsoft.Online.SharePoint.PowerShell. Pressione Y para confirmar. - Conecte-se ao SharePoint Online
Execute Connect-SPOService -Url https://seulocatario-admin.sharepoint.com. Substitua seulocatario pelo nome real do seu locatário. Faça login com suas credenciais de administrador. - Bloqueie a sincronização em dispositivos não gerenciados
Execute Set-SPOTenantSyncClientRestriction -BlockSyncOnUnmanagedDevices $true. Isso aplica a restrição em todo o locatário. - Defina faixas de IP permitidas
Execute Set-SPOTenantSyncClientRestriction -ExcludedIPRanges @(“203.0.113.0/24″,”198.51.100.0/24”). Substitua as faixas de IP pelas suas. Use o parâmetro ExcludedIPRanges — ele define as faixas de IP permitidas. - Verifique as configurações
Execute Get-SPOTenantSyncClientRestriction para confirmar que BlockSyncOnUnmanagedDevices está como True e ExcludedIPRanges contém suas faixas de IP.
Usando Acesso Condicional para Controle Granular de Dispositivos
Para cenários mais avançados, como exigir uma versão específica do sistema operacional ou um dispositivo compatível, use o Acesso Condicional do Azure AD.
- Abra o Acesso Condicional do Azure AD
Acesse portal.azure.com, navegue até Azure Active Directory > Segurança > Acesso Condicional. - Crie uma nova política
Clique em + Nova política. Dê um nome a ela, como Sincronização do OneDrive – Exigir Dispositivo Compatível. - Atribua a política ao OneDrive
Em Atribuições > Aplicativos ou ações na nuvem, clique em Selecionar aplicativos. Pesquise por Office 365 SharePoint Online e selecione-o. Isso cobre a sincronização do OneDrive. - Defina condições
Em Condições > Plataformas de dispositivo, escolha as plataformas que deseja incluir. Em Aplicativos cliente, marque Aplicativos móveis e clientes desktop. - Exija dispositivo compatível
Em Concessão, selecione Conceder acesso. Marque Exigir que o dispositivo seja marcado como compatível. Opcionalmente, marque Exigir dispositivo ingressado no Azure AD híbrido. - Ative a política
Defina Ativar política como Ativado e clique em Criar.
Problemas Comuns e Exceções
Usuários veem o erro “Sincronização bloqueada pelo administrador de TI”
Esse erro aparece quando o dispositivo não é compatível ou não está ingressado no Azure AD. Verifique o status de conformidade do dispositivo no Intune ou Azure AD. Se o dispositivo for gerenciado, mas ainda estiver bloqueado, verifique se a política de Acesso Condicional inclui a condição correta de aplicativo cliente.
Restrição de faixa de IP bloqueia usuários legítimos
Se os usuários relatarem falhas de sincronização ao trabalhar de casa, o endereço IP residencial provavelmente não está na sua faixa de IP permitida. Adicione a faixa de IP residencial ao parâmetro ExcludedIPRanges no PowerShell. Como alternativa, use o Acesso Condicional com um local de rede confiável em vez de faixas de IP fixas.
Restrições de sincronização não se aplicam a todos os usuários
Verifique se você criou grupos de exceção. Nas configurações de sincronização do centro de administração, você pode adicionar usuários ou grupos específicos que estão isentos das restrições. Remova essas exceções se quiser que a política se aplique a todos.
Métodos de Restrição de Sincronização do OneDrive: Centro de Administração vs PowerShell vs Acesso Condicional
| Item | Centro de Administração Microsoft 365 | PowerShell | Acesso Condicional do Azure AD |
|---|---|---|---|
| Facilidade de uso | Muito fácil, baseado em GUI | Moderado, requer conhecimento de scripts | Moderado, requer licença Azure AD P1 |
| Controle de plataforma de dispositivo | Sim, bloqueia Windows/macOS/Android/iOS | Sem parâmetro direto, use Acesso Condicional | Sim, selecione plataformas específicas |
| Restrição de faixa de IP | Sim, insira faixas CIDR | Sim, via parâmetro ExcludedIPRanges | Sim, via locais nomeados |
| Exigir dispositivo compatível | Não | Não | Sim |
| Aplicar a grupos específicos | Sim, via lista de exclusão | Não | Sim, via atribuições de política |
Use o centro de administração para restrições rápidas em todo o locatário. Use o PowerShell para configurações automatizadas ou em lote. Use o Acesso Condicional quando precisar de requisitos granulares de conformidade de dispositivos ou controle de acesso baseado em localização.
Agora você pode configurar restrições de sincronização de locatário no OneDrive for Business usando três métodos diferentes. Comece bloqueando a sincronização em dispositivos não gerenciados no centro de administração para reduzir os riscos de vazamento de dados. Se precisar aplicar conformidade de dispositivos, crie uma política de Acesso Condicional que exija dispositivos compatíveis ou ingressados no Azure AD híbrido. Para automação avançada, use o cmdlet PowerShell Set-SPOTenantSyncClientRestriction para gerenciar faixas de IP e bloqueios de sincronização em vários locatários.