Visitantes conseguem editar arquivos mesmo com permissão de Leitura: causa raiz e solução
🔍 WiseChecker

Visitantes conseguem editar arquivos mesmo com permissão de Leitura: causa raiz e solução

Você definiu um grupo de site ou nível de permissão como Leitura, mas os visitantes ainda conseguem editar arquivos. Esse problema geralmente ocorre porque a herança de permissões do SharePoint está quebrada ou porque o site usa associação a um grupo do Microsoft 365 que concede acesso adicional. A causa raiz é que as permissões do usuário podem se acumular de várias fontes, como permissões diretas no site, permissões em nível de item ou associação a um grupo do Microsoft 365 que tem acesso mais alto. Este artigo explica por que essa incompatibilidade ocorre e fornece uma correção passo a passo para restaurar o acesso somente leitura verdadeiro.

Principais conclusões: corrigir permissões de Leitura que permitem edição

  • Configurações do site > Permissões > Verificar permissões: Use esta ferramenta para ver exatamente quais permissões um usuário tem e de qual fonte.
  • Central de administração do SharePoint > Sites ativos > Permissões do site: Revise e redefina permissões exclusivas para restaurar a herança do site pai.
  • Central de administração do Microsoft 365 > Grupos: Verifique se o visitante é membro do grupo do Microsoft 365 do site, que concede acesso de Edição ou Controle Total.

ADVERTISEMENT

Por que visitantes conseguem editar arquivos com permissão de Leitura

As permissões do SharePoint são aditivas. O nível de permissão efetivo de um usuário é a permissão mais alta que ele recebe de qualquer fonte. Se você atribuir a um usuário o nível de permissão Leitura em um site, mas esse usuário também for membro do grupo do Microsoft 365 do site que tem permissões de Edição ou Controle Total, ele terá acesso de Edição apesar da atribuição de Leitura.

Outra causa comum é a herança de permissão quebrada. Quando um site, biblioteca ou pasta tem permissões exclusivas, um usuário pode ter recebido acesso de Edição diretamente nesse item. A permissão de Leitura do site pai não substitui a permissão de Edição no nível do item. Além disso, links de compartilhamento que concedem acesso de Edição podem ignorar as configurações de permissão no nível do site.

Fontes de permissão que substituem a Leitura

Um usuário pode obter acesso de Edição de qualquer uma destas fontes:

  • Associação direta ao grupo do Microsoft 365 do site
  • Permissões exclusivas em um subsite, biblioteca, pasta ou arquivo
  • Links de compartilhamento com permissão de Edição enviados ao usuário
  • Associação a um grupo de segurança que concede acesso de Edição
  • Atribuições de função no Azure AD, como Administrador Global ou Administrador do SharePoint

Etapas para identificar e corrigir a substituição de permissão

Siga estas etapas para determinar por que um usuário pode editar arquivos e restaurar o acesso somente leitura.

  1. Verifique as permissões efetivas do usuário
    Acesse o site onde o problema ocorre. Selecione o ícone de engrenagem Configurações > Permissões do site. Escolha Verificar permissões. Insira o endereço de e-mail do usuário. Revise os resultados para ver quais níveis de permissão o usuário tem e a fonte de cada permissão. Se o usuário tiver Edição ou Contribuição de qualquer fonte, isso explica o problema.
  2. Remova o usuário do grupo do Microsoft 365
    Se o usuário for membro do grupo do Microsoft 365 do site, vá para Central de administração do Microsoft 365 > Grupos > Grupos ativos. Selecione o grupo do site. Em Membros, remova o usuário. O usuário perderá o acesso de Edição desse grupo. O usuário ainda terá acesso de Leitura se atribuído no nível do site.
  3. Redefina permissões exclusivas em subsites, bibliotecas ou itens
    Se a ferramenta Verificar permissões mostrar uma fonte de permissão como um item específico, navegue até esse item. Selecione Configurações > Configurações da biblioteca (ou Configurações da lista) > Permissões para esta biblioteca de documentos. Na faixa de opções, selecione Excluir permissões exclusivas. Confirme a ação. O item herdará as permissões do site pai.
  4. Revogue links de compartilhamento que concedem acesso de Edição
    Acesse a biblioteca ou o arquivo. Selecione os três pontos (Mais) > Gerenciar acesso. Em Links, encontre qualquer link que tenha permissão de Edição. Selecione os três pontos ao lado desse link e escolha Remover link. Isso impede que os usuários acessem o arquivo por meio desse link.
  5. Verifique a cadeia de herança de permissões do site
    Vá para Configurações do site > Permissões do site. Na faixa de opções, selecione Gerenciar pai. Isso mostra o site pai. Se o site pai tiver permissões exclusivas, verifique também essas permissões. Restaure a herança do site pai, se necessário, selecionando Herdar permissões na faixa de opções.

ADVERTISEMENT

Se os visitantes ainda tiverem acesso de Edição após a correção principal

O usuário é membro de um grupo de segurança com acesso de Edição

Um usuário pode estar em um grupo de segurança que recebeu permissões de Edição no site. Use a ferramenta Verificar permissões novamente. Se a fonte for um grupo de segurança, remova o usuário desse grupo no Azure AD ou no SharePoint. Como alternativa, altere o nível de permissão do grupo de segurança para Leitura no site.

O usuário tem uma função do Azure AD que concede permissões elevadas

Administradores Globais e Administradores do SharePoint sempre têm Controle Total sobre todos os sites. Você não pode reduzir o acesso deles por meio de permissões no nível do site. Se o usuário precisar apenas de acesso de Leitura, remova a função do Azure AD. Vá para Central de administração do Microsoft 365 > Usuários > Usuários ativos. Selecione o usuário. Em Funções, desmarque a função elevada.

A herança está quebrada em um subsite

Se o site tiver subsites com permissões exclusivas, o usuário pode ter acesso de Edição em um subsite mesmo que o site pai tenha Leitura. Verifique as permissões de cada subsite usando a ferramenta Verificar permissões. Redefina a herança no subsite ou remova a permissão de Edição direta do usuário nesse subsite.

Permissão de Leitura vs Permissão de Edição: principais diferenças

Nível de permissão Leitura Edição
Visualizar arquivos Sim Sim
Baixar arquivos Sim Sim
Editar arquivos Não Sim
Excluir arquivos Não Sim
Carregar novos arquivos Não Sim
Criar novas pastas Não Sim
Alterar configurações do site Não Não

A tabela acima mostra que a permissão de Leitura permite apenas visualizar e baixar. Qualquer capacidade de editar, excluir ou carregar indica que o usuário tem um nível de permissão efetivo mais alto. Use as etapas deste artigo para identificar e remover a fonte dessa permissão mais alta.

Agora você pode diagnosticar e corrigir a situação em que visitantes conseguem editar arquivos mesmo com permissão de Leitura. Use a ferramenta Verificar permissões primeiro para encontrar a fonte exata da substituição. Em seguida, remova o usuário do grupo do Microsoft 365 ou redefina permissões exclusivas nos itens afetados. Para problemas persistentes, revise as funções do Azure AD e as associações a grupos de segurança. Uma dica prática: após fazer alterações, execute a ferramenta Verificar permissões novamente para confirmar que o nível de permissão efetivo do usuário agora é Leitura.

ADVERTISEMENT