Visitantes do SharePoint Podem Editar Arquivos Mesmo com Permissão de Leitura: O que os Proprietários do Site Devem Verificar
🔍 WiseChecker

Visitantes do SharePoint Podem Editar Arquivos Mesmo com Permissão de Leitura: O que os Proprietários do Site Devem Verificar

Você definiu um grupo de membros do site do SharePoint com permissão de Leitura, mas os usuários desse grupo ainda podem editar arquivos. Esse problema ocorre porque o SharePoint possui várias camadas de permissão que substituem a configuração de Leitura no nível do site. A causa mais comum é uma herança de permissão quebrada em uma biblioteca de documentos, pasta ou arquivo individual que concede permissão de Edição ou Contribuição ao mesmo grupo ou a um grupo mais amplo, como Todos, exceto usuários externos. Este artigo explica exatamente onde verificar e como corrigir as quatro camadas de permissão que permitem que visitantes editem arquivos apesar da permissão de Leitura.

Principais Conclusões: Quatro Camadas de Permissão Que Permitem Edição por Visitantes

  • Herança de permissão quebrada em uma biblioteca, pasta ou arquivo: Permissões exclusivas em qualquer nível podem conceder direitos de Edição a um grupo somente leitura.
  • Central de administração do SharePoint > Compartilhamento > Links de Qualquer Pessoa: Se links de Qualquer Pessoa estiverem habilitados, os usuários podem compartilhar arquivos com permissão de edição, mesmo que o site esteja configurado como Leitura.
  • Associação ao Grupo do Microsoft 365: Um visitante do site pode ser membro do Grupo do Microsoft 365 associado, o que concede acesso de Edição ao site conectado ao grupo.
  • Permissões de aplicativos Power Platform ou de terceiros: Um aplicativo ou fluxo pode ter recebido direitos de Edição por meio de permissões de aplicativo do SharePoint ou registros de aplicativo do Azure AD.

ADVERTISEMENT

Por que Visitantes do SharePoint Podem Editar Arquivos Mesmo com Permissão de Leitura

A avaliação de permissão do SharePoint é aditiva. A permissão efetiva que um usuário tem em um arquivo é a soma de todas as permissões que ele recebe de grupos do site, permissões de biblioteca, permissões de pasta, permissões de arquivo e links de compartilhamento. Uma permissão de Leitura no nível do site não bloqueia o acesso de edição concedido em um nível inferior. Isso significa que um usuário no grupo Visitantes (Leitura) pode editar um arquivo se a biblioteca, pasta ou o próprio arquivo tiver permissões exclusivas que incluam esse usuário ou um grupo ao qual ele pertence.

Herança de Permissão Quebrada

Quando uma biblioteca, pasta ou arquivo para de herdar permissões de seu pai, ele obtém sua própria Lista de Controle de Acesso (ACL). Se essa ACL incluir o grupo Visitantes com permissão de Contribuição ou Edição, os usuários desse grupo podem editar arquivos dentro desse contêiner. Este é o cenário mais comum.

Links de Compartilhamento com Permissão de Edição

Um proprietário ou membro do site pode criar um link de compartilhamento configurado como Edição e enviá-lo para qualquer pessoa, incluindo usuários do grupo Visitantes. Se o tipo de link for Qualquer Pessoa (anônimo), qualquer pessoa com o link pode editar o arquivo. Se o tipo de link for Pessoas na sua organização, todos os usuários autenticados no locatário podem editar. Esses links ignoram completamente as permissões de Leitura no nível do site.

Associação ao Grupo do Microsoft 365

Sites de equipe conectados a grupos têm um Grupo do Microsoft 365 oculto. Se um usuário for adicionado como membro desse grupo (não o grupo Visitantes do SharePoint), ele recebe acesso de Edição ao site por meio do nível de permissão padrão do SharePoint do grupo. O grupo Visitantes do SharePoint e o Grupo do Microsoft 365 são separados. Um usuário pode estar no grupo Visitantes (Leitura) mas também ser membro do Grupo do Microsoft 365 (Edição).

Permissões de Aplicativo ou Service Principal

Fluxos do Power Automate, Power Apps ou aplicativos de terceiros podem receber permissões do SharePoint por meio de registros de aplicativo do Azure AD. Se um aplicativo tiver Sites.ReadWrite.All ou Sites.FullControl.All, ele pode editar arquivos em nome de qualquer usuário, incluindo visitantes. O usuário vê a capacidade de edição no navegador porque a permissão do aplicativo é aplicada à sessão do usuário.

Passos para Verificar e Corrigir Cada Camada de Permissão

Verificar Herança Quebrada em Bibliotecas, Pastas e Arquivos

  1. Navegue até o site onde o problema ocorre
    Abra o site do SharePoint no seu navegador. Vá para a biblioteca de documentos que contém os arquivos editáveis.
  2. Verifique a herança de permissão da biblioteca
    Selecione a biblioteca. Clique no ícone de engrenagem (Configurações) e escolha Configurações da biblioteca. Em Permissões e Gerenciamento, clique em Permissões para esta biblioteca de documentos. Se a faixa de opções mostrar um botão rotulado como Parar de Herdar Permissões, a biblioteca usa permissões exclusivas. Clique nesse botão para ver a ACL atual. Remova quaisquer grupos que tenham permissão de Edição ou Contribuição se eles devem ter apenas Leitura.
  3. Verifique a herança de pastas e arquivos
    Navegue até uma pasta ou arquivo que os visitantes podem editar. Clique com o botão direito no item e selecione Gerenciar acesso. Em Configurações avançadas, clique em Parar de Herdar Permissões. Revise a lista de usuários e grupos. Remova quaisquer entradas que concedam Edição ou Contribuição ao grupo Visitantes ou a usuários que devem ter apenas Leitura.
  4. Restaure a herança se apropriado
    Se as permissões exclusivas não forem necessárias, clique em Excluir Permissões Exclusivas na faixa de opções. Isso restaura a herança do site pai. Todos os usuários terão então a permissão de Leitura no nível do site.

Verificar e Restringir Links de Compartilhamento

  1. Abra o arquivo ou pasta que os visitantes podem editar
    Selecione o arquivo ou pasta. Clique no botão Compartilhar na barra de ferramentas.
  2. Revise os links de compartilhamento existentes
    Na caixa de diálogo Compartilhar, clique no menu suspenso de configurações do link. Procure por qualquer link que mostre Pode editar. Se o tipo de link for Qualquer Pessoa com o link, clique no ícone de engrenagem ao lado do link e selecione Remover link.
  3. Desabilite links de Qualquer Pessoa no nível do site
    Vá para Configurações do site > Permissões do site. Clique em Configurações de compartilhamento. Em Compartilhamento, defina o tipo de link como Apenas pessoas na sua organização ou Pessoas específicas. Desmarque Permitir edição. Isso impede a criação de links de edição anônimos.
  4. Desabilite links de Qualquer Pessoa no nível do locatário
    Abra a Central de administração do SharePoint > Políticas > Compartilhamento. Em Compartilhamento externo, defina SharePoint e OneDrive como Convidados novos e existentes ou Apenas pessoas na sua organização. Desmarque Permitir que convidados compartilhem itens que não possuem. Este é um controle em todo o locatário.

Verificar Associação ao Grupo do Microsoft 365

  1. Abra o site do SharePoint e vá para Permissões do site
    Clique no ícone de engrenagem e selecione Permissões do site. Em Grupo do Microsoft 365, clique no nome do grupo.
  2. Revise os membros do grupo
    Na página do Grupo do Microsoft 365, clique em Membros. Procure por usuários que também estão no grupo Visitantes do SharePoint. Se um usuário estiver listado aqui, ele tem acesso de Edição por meio do grupo. Remova-o do grupo se ele deve ter apenas acesso de Leitura.
  3. Altere o nível de permissão do SharePoint do grupo
    Se você deseja que o Grupo do Microsoft 365 tenha apenas Leitura, não é possível alterá-lo diretamente. Você deve criar um grupo separado do SharePoint com permissão de Leitura e adicionar os usuários lá. Em seguida, remova os usuários do Grupo do Microsoft 365.

Verificar Permissões de Aplicativo

  1. Abra a Central de administração do SharePoint
    Vá para admin.microsoft.com > Central de administração do SharePoint. Em Avançado, clique em Acesso à API.
  2. Revise os aplicativos aprovados
    Procure por qualquer aplicativo que tenha permissão Sites.ReadWrite.All ou Sites.FullControl.All. Clique no nome do aplicativo para ver detalhes. Se o aplicativo não for necessário, clique em Remover permissão.
  3. Verifique fluxos do Power Automate
    Vá para flow.microsoft.com. Selecione Soluções > Solução Padrão. Procure por fluxos que usam conectores do SharePoint com permissão de Edição. Remova ou modifique o fluxo para usar permissões somente leitura.

ADVERTISEMENT

Se o SharePoint Ainda Tiver Problemas Após a Correção Principal

Usuários Podem Editar Arquivos Após Você Remover Permissões Exclusivas

Se você restaurou a herança, mas os usuários ainda editam, verifique se o site é conectado a um grupo e se o usuário é membro do Grupo do Microsoft 365. Verifique também se o usuário possui um link de compartilhamento que foi criado antes de você alterar as permissões. Links existentes permanecem válidos até expirarem ou serem excluídos.

Visitantes Podem Editar Arquivos em um Subsite

Um subsite pode ter suas próprias configurações de permissão. Se o subsite herdar do site pai, a permissão de Leitura do pai se aplica. Mas se o subsite tiver permissões exclusivas, ele pode conceder Edição ao grupo Visitantes. Verifique as configurações de permissão do subsite e restaure a herança ou remova a permissão de Edição.

Usuários Podem Editar Arquivos por Meio de um Power App

Um Power App pode usar uma referência de conexão que tem permissão de Edição. Vá para make.powerapps.com. Selecione o aplicativo e clique em Editar. Em Fontes de dados, revise a conexão do SharePoint. Se a conexão usar uma conta de serviço com permissão de Edição, os usuários do aplicativo podem editar arquivos por meio do aplicativo, mesmo que sua própria conta tenha apenas Leitura. Altere a conexão para usar uma permissão delegada ao usuário ou uma conta de serviço com apenas Leitura.

Níveis de Permissão do Site vs. Permissões do Grupo do Microsoft 365

Item Grupo do Site do SharePoint Grupo do Microsoft 365
Escopo da permissão Apenas o site do SharePoint Todos os recursos conectados ao grupo (site, Planner, Teams, etc.)
Nível de permissão padrão Leitura, Edição ou Controle Total Edição no site (Membros), Leitura no site (Convidados)
Como os usuários são adicionados Manualmente via Permissões do site Manualmente via Central de administração do Microsoft 365 ou SharePoint
Pode ser alterado para apenas Leitura Sim, editando o nível de permissão do grupo Não, a permissão do site do grupo é fixa. Os usuários devem ser movidos para um grupo do SharePoint

Para evitar esse problema, sempre verifique tanto o grupo Visitantes do SharePoint quanto a associação ao Grupo do Microsoft 365 ao atribuir permissão de Leitura. Use a Central de administração do SharePoint > Sites ativos > selecione o site > Permissões para ver uma visão consolidada de todos os níveis de permissão. Se você precisar restringir um usuário a apenas Leitura, remova-o do Grupo do Microsoft 365 e adicione-o apenas ao grupo Visitantes do SharePoint.

Após fazer essas alterações, teste com um usuário que tenha apenas permissão de Leitura. Abra o site em uma janela privada do navegador, faça login como esse usuário e tente editar um arquivo. Se a opção de edição ainda estiver disponível, verifique novamente as permissões da biblioteca e da pasta em busca de permissões exclusivas restantes.

ADVERTISEMENT