Você precisa auditar quais usuários da sua organização compartilham arquivos e pastas do OneDrive com pessoas de fora da empresa. Sem uma revisão no nível do locatário, as configurações de compartilhamento externo podem se desviar das políticas de segurança, expondo dados confidenciais. Este artigo explica como usar o centro de administração do Microsoft 365 e o PowerShell para revisar todas as configurações de compartilhamento externo do OneDrive em um só lugar. Seguindo estas etapas, você pode confirmar que seu locatário está configurado corretamente e identificar quaisquer usuários que alteraram o escopo de compartilhamento padrão.
Principais Conclusões: Revisar Configurações de Compartilhamento Externo do OneDrive em Todo o Locatário
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > OneDrive > Compartilhamento: Visualize e altere o nível de compartilhamento externo padrão para todos os novos sites do OneDrive.
- Centro de administração do SharePoint > Políticas > Compartilhamento: Defina a política de compartilhamento externo em todo o locatário que se aplica a todos os sites do SharePoint e OneDrive, incluindo limites de compartilhamento de arquivos e pastas.
- SharePoint Online Management Shell (PowerShell): Use Get-SPOSite para recuperar a capacidade de compartilhamento exata de cada site do OneDrive e identificar sites que diferem do padrão do locatário.
O que Controla o Compartilhamento Externo do OneDrive no Nível do Locatário
O compartilhamento externo do OneDrive é governado por duas camadas de configurações no Microsoft 365. A primeira camada é a política de compartilhamento em todo o locatário, que define o nível máximo permitido de compartilhamento para todos os sites do SharePoint e OneDrive. A segunda camada é a configuração de compartilhamento por site, que pode ser mais restritiva que a política do locatário, mas nunca mais permissiva. Ao revisar o compartilhamento externo no nível do locatário, você verifica tanto a política do locatário quanto as configurações individuais do site para garantir que estejam alinhadas com seus requisitos de segurança.
A política de compartilhamento no nível do locatário inclui quatro níveis:
- Qualquer pessoa: Os usuários podem compartilhar arquivos e pastas com qualquer pessoa, incluindo links anônimos que não exigem login.
- Convidados novos e existentes: Os usuários podem compartilhar com pessoas de fora da organização que façam login com uma conta Microsoft ou uma conta corporativa ou de estudante.
- Convidados existentes: Os usuários podem compartilhar apenas com convidados que já existem no diretório Azure AD.
- Somente pessoas da sua organização: O compartilhamento externo está desabilitado para todos os sites.
A configuração por site para cada site do OneDrive pode ser definida em um nível igual ou mais restritivo que a política do locatário. Por exemplo, se a política do locatário permitir compartilhamento com qualquer pessoa, o OneDrive de um usuário específico pode ser limitado apenas a convidados existentes. Essa flexibilidade significa que uma revisão no nível do locatário deve verificar tanto a política global quanto as configurações individuais do site.
Etapas para Revisar as Configurações de Compartilhamento Externo do OneDrive Usando o Centro de Administração
- Abra o centro de administração do Microsoft 365
Acesse https://admin.microsoft.com e faça login com uma conta de Administrador Global ou Administrador do SharePoint. - Navegue até Configurações da organização
No painel de navegação esquerdo, selecione Configurações e depois Configurações da organização. - Selecione o serviço OneDrive
Na guia Serviços, role para baixo e clique em OneDrive. Se não o encontrar, use a caixa de pesquisa no topo da lista e digite OneDrive. - Revise a seção Compartilhamento
No painel de configurações do OneDrive, selecione a guia Compartilhamento. Aqui você verá o nível de compartilhamento padrão para novos sites do OneDrive. Essa configuração se aplica apenas a sites criados após a alteração. Para ver a política efetiva atual, revise a nota abaixo do menu suspenso que informa a política de compartilhamento do SharePoint no nível do locatário. - Verifique a política de compartilhamento do SharePoint em todo o locatário
Em uma guia separada do navegador, abra o centro de administração do SharePoint em https://admin.microsoft.com/SharePoint. No painel esquerdo, selecione Políticas e depois Compartilhamento. Em Compartilhamento externo, você verá a política no nível do locatário que se aplica a todos os sites do SharePoint e OneDrive. Este é o nível máximo permitido. Compare-o com a configuração padrão do OneDrive que você viu na etapa anterior.
Etapas para Revisar o Compartilhamento Externo do OneDrive Usando PowerShell
O centro de administração mostra a configuração padrão para novos sites do OneDrive e a política no nível do locatário. Para ver a configuração real de compartilhamento de cada site existente do OneDrive, você precisa usar o PowerShell. Este método é essencial para auditar a conformidade, pois muitos usuários podem ter alterado o nível de compartilhamento de seus sites após a criação.
Pré-requisitos para PowerShell
- Instale o SharePoint Online Management Shell. Abra o PowerShell como administrador e execute
Install-Module -Name Microsoft.Online.SharePoint.PowerShell. - Você deve ter permissões de Administrador do SharePoint ou Administrador Global.
Conectar ao SharePoint Online
- Abra o SharePoint Online Management Shell
Inicie o PowerShell como administrador e execute o seguinte comando para conectar:Connect-SPOService -Url https://seulocatario-admin.sharepoint.com
Substituaseulocatariopelo nome real do seu locatário. Faça login com suas credenciais de administrador quando solicitado.
Recuperar Sites do OneDrive com Suas Configurações de Compartilhamento
- Execute o comando Get-SPOSite para sites do OneDrive
Use o seguinte comando para obter todos os sites do OneDrive (também chamados de hosts de Meu Site):Get-SPOSite -Template "SPSPERS" -Limit All | Select-Object Url, SharingCapability
Este comando retorna a URL e a capacidade de compartilhamento atual de cada site do OneDrive de cada usuário. - Interprete os valores de SharingCapability
A saída mostra valores comoExternalUserAndGuestSharing(qualquer pessoa),ExternalUserSharingOnly(convidados novos e existentes),ExistingExternalUserSharingOnly(convidados existentes) ouDisabled(somente pessoas da sua organização). Compare esses valores com sua política exigida. - Filtrar sites que são mais permissivos que sua política
Para encontrar sites do OneDrive onde o compartilhamento está definido acima do permitido, execute:Get-SPOSite -Template "SPSPERS" -Limit All | Where-Object { $_.SharingCapability -ne "Disabled" } | Select-Object Url, SharingCapability
Ajuste o valor do filtro para corresponder ao seu nível máximo desejado.
Configurações Incorretas Comuns e Como Identificá-las
O Compartilhamento Padrão do OneDrive Está Definido como Qualquer Pessoa, mas a Política do Locatário Permite Apenas Convidados Existentes
Essa configuração é segura porque a política do locatário substitui o padrão por site. O nível de compartilhamento efetivo para novos sites será apenas convidados existentes. No entanto, se você alterar posteriormente a política do locatário para um nível mais permissivo, o padrão do OneDrive será aplicado. Para evitar riscos futuros, defina o padrão do OneDrive para corresponder à política pretendida.
Sites Individuais do OneDrive Têm uma Configuração Mais Permissiva que a Política do Locatário
Essa situação não pode ocorrer. A configuração por site é sempre limitada pela política do locatário. Se você vir um site com uma capacidade de compartilhamento que parece muito alta, verifique primeiro a política do locatário. A política do locatário pode ter sido alterada após a criação do site, mas o site ainda respeitará o máximo do locatário.
Alterações Feitas no Painel de Administração do OneDrive Não Afetam Sites Existentes
O nível de compartilhamento padrão no painel de configurações do OneDrive se aplica apenas a novos sites do OneDrive. Sites existentes mantêm suas configurações individuais. Para alterar o nível de compartilhamento de todos os sites existentes do OneDrive, use o centro de administração do SharePoint ou o PowerShell. No centro de administração do SharePoint, vá para Sites ativos, selecione todos os sites do OneDrive e escolha Compartilhamento na barra de ferramentas para atualização em massa.
| Item | Centro de Administração (Configurações do OneDrive) | PowerShell (Get-SPOSite) |
|---|---|---|
| Escopo | Configuração padrão apenas para novos sites do OneDrive | Capacidade de compartilhamento real de cada site existente do OneDrive |
| Facilidade de uso | Interface gráfica, sem necessidade de script | Requer conhecimento de PowerShell e instalação do módulo |
| Atualização em massa | Não é possível | Possível com Set-SPOSite canalizado do Get-SPOSite |
| Histórico de auditoria | Nenhum log de auditoria interno para alterações padrão | Pode exportar resultados para CSV para rastreamento de alterações |
| Melhor caso de uso | Verificação rápida da política pretendida para novos sites | Auditoria abrangente e correção de todos os sites |
Agora você pode revisar o compartilhamento externo do OneDrive no nível do locatário usando tanto o centro de administração quanto o PowerShell. Comece verificando a política de compartilhamento em todo o locatário no centro de administração do SharePoint para confirmar o nível máximo permitido. Em seguida, use o PowerShell para exportar a capacidade de compartilhamento real de cada site do OneDrive e identificar quaisquer sites que precisam de ajuste. Para conformidade contínua, agende um script mensal do PowerShell que envie por e-mail um relatório dos sites com níveis de compartilhamento acima do limite aprovado.