Ao compartilhar um documento regulado do OneDrive for Business com um usuário externo, o destinatário geralmente vê uma página de acesso negado. Isso acontece porque as políticas de segurança do Microsoft 365, regras de prevenção contra perda de dados e configurações de compartilhamento bloqueiam o acesso externo a arquivos confidenciais. O problema não é um bug; é uma proteção deliberada que pode ser ajustada se sua organização permitir o compartilhamento externo. Este artigo explica os motivos exatos pelos quais usuários externos recebem acesso negado e fornece uma correção passo a passo para administradores e proprietários de documentos.
Principais conclusões: Corrigir acesso negado para documentos regulados compartilhados externamente
- Centro de administração do Microsoft 365 > SharePoint > Compartilhamento: Controla as configurações de compartilhamento externo em toda a organização que substituem os links de compartilhamento do OneDrive.
- Portal de conformidade do Microsoft Purview > Prevenção contra perda de dados (DLP): Bloqueia o compartilhamento externo de documentos regulados com base em rótulos de confidencialidade ou padrões de conteúdo.
- Permissões de link de compartilhamento do OneDrive: Use o tipo de link “Pessoas específicas” e atribua direitos de edição ou visualização a usuários externos em vez de links “Qualquer pessoa”.
Por que usuários externos veem acesso negado em documentos regulados
Erros de acesso negado para usuários externos são causados por uma ou mais das seguintes camadas de segurança no Microsoft 365. Cada camada deve permitir o compartilhamento externo para que o link funcione.
Configurações de compartilhamento externo no nível da organização
O administrador global configura o compartilhamento externo no nível do locatário no centro de administração do SharePoint. Se a organização definiu o compartilhamento externo como “Apenas pessoas em sua organização”, nenhum usuário externo pode acessar qualquer arquivo compartilhado. Essa configuração substitui todas as outras configurações de compartilhamento. Mesmo que o proprietário do documento crie um link “Qualquer pessoa”, a política do locatário o bloqueia.
Configurações de compartilhamento no nível do site ou do OneDrive
Cada site do OneDrive herda o padrão de compartilhamento do locatário, mas pode ser alterado por um administrador. Se o compartilhamento no nível do site estiver definido como “Convidados novos e existentes” ou “Convidados existentes”, os usuários externos devem ter uma conta de convidado no Azure AD. Links compartilhados sem provisionamento de convidado falharão com acesso negado.
Políticas de prevenção contra perda de dados
As políticas DLP do Microsoft Purview examinam arquivos em busca de tipos de informações confidenciais, como números de cartão de crédito, números de passaporte ou dados regulados personalizados. Quando uma política DLP detecta uma correspondência e está configurada para bloquear o compartilhamento externo, ela revoga o link de compartilhamento ou bloqueia o download. O usuário externo vê acesso negado mesmo que o link de compartilhamento seja válido.
Rótulos de confidencialidade
Arquivos com rótulos de confidencialidade que têm a configuração “Criptografar arquivos e e-mail” aplicada restringem o acesso a usuários ou grupos específicos. Se o rótulo estiver definido como “Permitir que os usuários atribuam permissões” e o usuário externo não estiver incluído, o arquivo permanecerá criptografado para ele. O resultado é acesso negado.
Etapas para corrigir acesso negado em links de compartilhamento externo
Siga estas etapas em ordem. Pare quando a correção resolver o problema para seu cenário.
- Verifique a política de compartilhamento externo do locatário
Entre no centro de administração do Microsoft 365. Vá para Configurações > Configurações da organização > Segurança e privacidade > Compartilhamento. Certifique-se de que a opção “Permitir que os usuários adicionem novos convidados à organização” esteja ativada. Se estiver desativada, nenhum compartilhamento externo é permitido. Ative-a e salve. Aguarde até 30 minutos para a alteração ser propagada. - Verifique as configurações de compartilhamento do centro de administração do SharePoint
No centro de administração, abra SharePoint > Políticas > Compartilhamento. Em Compartilhamento externo, selecione um nível que permita o compartilhamento com usuários externos. Para documentos regulados, escolha “Convidados novos e existentes” ou “Qualquer pessoa” se estiver em conformidade com sua governança de dados. Clique em Salvar. - Revise as configurações de compartilhamento do site específico do OneDrive
Vá para SharePoint > Sites > Sites ativos. Encontre o site do OneDrive do usuário afetado. Clique no nome do site, depois em Configurações > Compartilhamento. Certifique-se de que o nível de compartilhamento externo não seja mais restritivo que a configuração do locatário. Por exemplo, se o locatário permite “Qualquer pessoa”, o site pode ser definido como “Qualquer pessoa” ou inferior. Defina-o para o nível necessário e salve. - Verifique as políticas DLP que afetam documentos regulados
No portal de conformidade do Microsoft Purview, vá para Prevenção contra perda de dados > Políticas. Localize qualquer política que tenha como alvo o tipo de dado regulado, como “Número de Seguro Social dos EUA” ou um rótulo de confidencialidade personalizado. Abra a política e selecione Ações. Certifique-se de que a ação “Restringir acesso ou criptografar o conteúdo” não esteja configurada para bloquear usuários externos. Se estiver, altere a ação para “Notificar usuários com dica e e-mail” ou remova a restrição. Salve a política. - Verifique o rótulo de confidencialidade no documento
Abra o documento no OneDrive ou SharePoint. Selecione o arquivo e depois Detalhes no painel direito. Em Propriedades, verifique o rótulo de confidencialidade. Se o rótulo tiver criptografia, o proprietário deve compartilhar o arquivo com o usuário externo como convidado no Azure AD. Vá para Azure AD > Usuários > Todos os usuários > Novo usuário convidado e convide o usuário externo. Em seguida, compartilhe o arquivo diretamente com essa conta de convidado usando o link “Pessoas específicas”. - Recrie o link de compartilhamento com as permissões corretas
No OneDrive, selecione o documento regulado. Clique em Compartilhar. Escolha Pessoas específicas em vez de “Qualquer pessoa com o link”. Insira o endereço de e-mail do usuário externo. Defina a permissão como Pode visualizar ou Pode editar, conforme apropriado. Clique em Enviar. O usuário externo recebe um e-mail com o link. Esse método ignora as políticas DLP que bloqueiam o acesso anônimo.
Se usuários externos ainda receberem acesso negado após a correção principal
O usuário externo não aceitou o convite de convidado
Ao compartilhar com “Pessoas específicas”, o usuário externo deve aceitar o convite de convidado no Azure AD antes de acessar o arquivo. Verifique se o usuário aparece como convidado em Azure AD > Usuários. Se o status for “Aceitação pendente”, reenvie o convite da caixa de diálogo de compartilhamento ou do Azure AD. O usuário deve clicar em “Aceitar” no e-mail para concluir o processo.
O arquivo está check-out ou bloqueado por outro usuário
Se o documento estiver check-out no SharePoint ou bloqueado por uma sessão de coautoria, os usuários externos veem acesso negado. Peça ao proprietário para fazer check-in do arquivo. No OneDrive, selecione o arquivo e clique em Check-in na barra de ferramentas. Após o check-in, compartilhe o link novamente.
Políticas de Acesso Condicional bloqueiam o usuário externo
As políticas de Acesso Condicional do Azure AD podem exigir autenticação multifator, dispositivos em conformidade ou intervalos de IP específicos. Se o usuário externo não atender a esses requisitos, o acesso é negado. Verifique Azure AD > Segurança > Acesso Condicional para políticas que visam usuários convidados ou identidades externas. Trabalhe com sua equipe de segurança para criar uma exceção para o compartilhamento de documentos regulados, se necessário.
Tipos de link de compartilhamento externo para documentos regulados: Comparação
| Item | Qualquer pessoa com o link | Pessoas específicas com acesso de convidado |
|---|---|---|
| Descrição | Acesso anônimo; sem necessidade de login | Requer conta de convidado no Azure AD e login |
| Controle de acesso | Sem autenticação | Autenticado via conta Microsoft ou conta corporativa |
| Impacto da política DLP | Frequentemente bloqueado por DLP para dados regulados | Permitido se a política DLP permitir compartilhamento com convidados |
| Criptografia de rótulo de confidencialidade | Não suportado; arquivos criptografados não podem ser acessados anonimamente | Suportado se o convidado estiver incluído nas permissões do rótulo |
| Trilha de auditoria | Limitada; apenas endereço IP e token anônimo | Registro de auditoria completo com identidade do usuário |
| Melhor para documentos regulados | Não recomendado | Recomendado |
Para documentos regulados, sempre use o tipo de link “Pessoas específicas”. Isso garante que o usuário externo se autentique e esteja em conformidade com as políticas de segurança da sua organização. O tipo de link “Qualquer pessoa” ignora a autenticação e tem maior probabilidade de ser bloqueado por DLP e rótulos de confidencialidade.
Agora você pode identificar qual camada de segurança bloqueia o compartilhamento externo de documentos regulados e aplicar a correção adequada. Comece verificando a política de compartilhamento do locatário, depois vá para DLP e rótulos de confidencialidade. Como próximo passo, revise as políticas de Acesso Condicional da sua organização para usuários convidados. Uma dica avançada: crie uma política DLP dedicada com uma exceção para compartilhamento com convidados para reduzir tickets de suporte enquanto mantém a proteção de dados.