Aplica-se a

Smartsheet
  • Enterprise

Para obter mais informações sobre os tipos de planos e os recursos incluídos, consulte a página Planos do Smartsheet.

Recursos

Quem pode usar esse recurso?

Você deve ser um administrador de sistema licenciado para habilitar as políticas de governança Exigir conta corporativa e Exigir MFA para compartilhamento externo.

Descubra se esse recurso está incluído no Smartsheet Regions ou Smartsheet Gov.

Políticas de governança para colaboradores externos

As políticas Exigir conta corporativa e Exigir MFA aumentam a segurança para compartilhamento externo ao solicitar que os colaboradores externos entrem com login único (SSO) e uma camada adicional de autenticação (Exigir MFA) para obter acesso a qualquer conteúdo que você venha a compartilhar com eles.

PLANS

  • Enterprise

Para obter mais informações sobre os tipos de planos e os recursos incluídos, consulte a página Planos do Smartsheet.

Permissões

Você deve ser um administrador de sistema licenciado para habilitar as políticas de governança Exigir conta corporativa e Exigir MFA para compartilhamento externo.

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

O que é um colaborador externo?

Um usuário convidado a colaborar em uma planilha ou área de trabalho, mas que não é membro da organização ou do domínio proprietário da planilha ou da área de trabalho.

Essas políticas garantem que seus colaboradores externos usem um método seguro para fazer login e um que valide passivamente que eles ainda estão empregados na organização com a qual você pretende colaborar.

Quando um colaborador externo que não fez login com SSO/MFA tenta acessar um ativo que requer SSO/MFA, ele vê um aviso instruindo-o sobre a necessidade de fazer login via SSO para acessar o ativo.

Embora a opção “Exigir conta corporativa” esteja configurada em nível de plano, a opção “Exigir MFA” pode ser aplicada em toda a conta ou em áreas de trabalho específicas. Os administradores de sistema podem permitir que os administradores da área de trabalho decidam se desejam aplicar a camada de segurança adicional às áreas de trabalho específicas que possuem.

As políticas regem planilhas, relatórios e painéis, todos os itens que podem ser associados a uma área de trabalho.

Exigir conta corporativa

A exigência de conta corporativa é uma política em nível de plano que garante que o acesso ao Smartsheet seja restrito a usuários com credenciais corporativas autenticadas (SSO), reduzindo assim o risco de possível acesso não autorizado.

Métodos compatíveis

  • Conta de trabalho do Azure
  • Conta de trabalho do Google
  • SSO do SAML

Exigir MFA

Esta política exige que os colaboradores externos se autentiquem por meio da autenticação multifator (MFA), aprimorando a segurança para eles com uma camada adicional de verificação. Isso garante que, mesmo que uma senha seja comprometida, o acesso não autorizado possa ser frustrado pela funcionalidade da MFA.

  • Para ativar esta política, você deve primeiro habilitar a política Exigir conta corporativa.

  • Se o provedor de identidade (IdP) de um colaborador externo for incompatível com MFA ou não revelar o status de conclusão da MFA com o Smartsheet, nossa MFA exclusiva baseada em e-mail servirá como backup.

     

Métodos compatíveis

  • SAML (Okta, Azure, AD FS)
  • Conta de trabalho da Microsoft

  • Senha de e-mail de uso único

     

MFA baseada em e-mail

Este é um mecanismo de senha única (OTP) e com tempo de uso limitado fornecido por e-mail. Ele foi projetado para abordar cenários em que a MFA padrão por meio do IdP do colaborador não é possível.

Se o sistema não puder determinar se o colaborador externo concluiu a MFA em um ativo em que a política se aplica, um e-mail será enviado para sua conta assim que ele clicar no ativo.

Se o usuário inserir o código de verificação incorretamente três vezes consecutivas, será necessário esperar 30 minutos para tentar novamente.

Sobre o aplicativo móvel

  • Atualmente, o aplicativo móvel restringe automaticamente o acesso de colaboradores externos a ativos quando os administradores de sistema aplicam uma ou ambas as políticas no ativo.
  • Os colaboradores externos que atenderem à política de SSO receberão acesso a ativos protegidos por meio do aplicativo móvel.

Administradores de sistema

Para ativar esta política Exigir conta corporativa:

  1. Acesse o centro de administração.
  2. Selecione o ícone de menu e navegue até Configurações > Acesso externo seguro.

  3. Mova o botãoExigir conta corporativa para ativar a política.

    Se a opção de login interno não tiver o SSO ativado, a política Exigir conta corporativa será desativada automaticamente.

Para ativar a política Exigir MFA:

  1. Acesse o centro de administração.
  2. Selecione o ícone de menu e navegue até Configurações > Acesso externo seguro.
  3. Mova o botão Exigir MFA para ativar a política.
    • Para permitir que os administradores da área de trabalho apliquem a política em áreas de trabalho específicas, selecione o botão Adesão da área de trabalho.
    • Para aplicar a política em todos os ativos do plano, selecione Aplicar em todos os ativos do plano.
Secure External Access page

Administradores da área de trabalho

  • Os administradores da área de trabalho não podem configurar a política de exigência de conta corporativa em nível de plano. A configuração é exigida por um administrador de sistema.
  • Se um administrador de sistema ativar a opção Adesão da área de trabalho, os administradores de área de trabalho poderão aplicar a política Exigir MFA em áreas de trabalho específicas.

Para ativar a MFA para acesso à área de trabalho:

  1. Vá até a área de trabalho e selecione Compartilhar no canto superior direito. 
  2. Selecione Configurar na parte superior da janela de compartilhamento. 
  3. Mova o botão Exigir MFA para ativar o recurso. As configurações se aplicam a todos os itens da área de trabalho, não a itens individuais.
Activate MFA for workspace access

Lista de isentos

A lista de isentos (também conhecida como lista de domínios confiáveis) permite que os administradores de sistema especifiquem domínios e endereços de e-mail individuais que estão isentos das políticas.

A ativação de uma lista de isentos inicia a criação de uma planilha com colunas específicas. Todos os administradores de sistema têm acesso a esta planilha.

Para criar uma lista de isentos:

  1. Acesse o centro de administração.
  2. Selecione o ícone de menu e navegue até Configurações > Acesso externo seguro
  3. Em Configurações avançadas, selecione Criar planilha em uma das seguintes opções:
    • Domínios isentos
    • Endereços de e-mail isentos
  4. Para adicionar novos domínios ou endereços de e-mail à lista de isentos, insira-os na coluna Domínios/e-mails autorizados a compartilhar e use as colunas da caixa de seleção para indicar se a entidade está isenta das políticas.

Planilha da lista de isentos

Administradores de sistema só podem adicionar, editar e excluir linhas na planilha. A planilha contém as seguintes colunas:

  • Domínios/e-mails autorizados a compartilhar: lista os domínios/endereços de e-mail com os quais é permitido compartilhar conteúdo.
  • Isenção da exigência de conta corporativa: uma caixa de seleção que, quando marcada, isenta o domínio/endereço de e-mail da exigência de credenciais de conta corporativa para acessar conteúdo compartilhado.
  • Isenção da exigência de MFA: uma caixa de seleção que, quando marcada, isenta o domínio/endereço de e-mail da exigência do uso de MFA para acessar conteúdo compartilhado.
  • Modificado por: indica o último usuário que fez alterações na linha.
  • Modificado em: mostra a data e a hora em que a última modificação foi feita na linha.
  • Criado por: identifica o usuário que criou originalmente a entrada na planilha.
  • Criado: exibe a data e a hora em que a entrada foi criada.
  • Observações: um campo aberto para qualquer informação ou comentário adicional por trás do status do domínio/endereço de e-mail.
Exempt list sheet

Chamadas de API

Os colaboradores externos que usam chamadas de API públicas para acessar ativos compartilhados do Smartsheet protegidos pelas políticas Exigir conta corporativa ou Exigir MFA só podem obter acesso a esses ativos por meio da API do Smartsheet se seu domínio ou endereço de e-mail estiver na lista de isentos ou se for um domínio validado do plano.

Se seus colaboradores externos encontrarem problemas para acessar os ativos compartilhados, eles devem entrar em contato com o administrador de sistema do plano ao qual esses ativos pertencem.

Outros pontos importantes

  • Essas políticas se aplicam a usuários que não fazem parte de nenhum domínio validado no plano que habilitou a política ou de qualquer domínio/endereço de e-mail mencionado na lista isentos para essas políticas.
  • As senhas únicas (OTPs) emitidas têm uma validade de dez minutos. Após passar esse tempo, os usuários devem gerar um novo.
  • Se um administrador de sistema desativar a política Exigir conta corporativa enquanto a política Exigir MFA estiver ativada, uma mensagem de alerta será exibida informando que a desativação da política Exigir conta corporativa desativa automaticamente a política Exigir MFA.
  • Os administradores de sistema atuais são responsáveis por conceder acesso à planilha de lista de isentos a novos ou futuros administradores de sistema.
  • As atualizações (novas entradas de isenção) na lista de isentos podem levar até três minutos para serem aplicadas. 

Podemos desativar a funcionalidade de MFA baseada em e-mail quando a política Exigir MFA estiver habilitada?

Não. Assim que a política Exigir MFA estiver ativa, os administradores de sistema não poderão desativar a funcionalidade de MFA baseada em e-mail. Ela foi projetada como um backup para garantir a segurança contínua, mesmo que o método principal de MFA não esteja disponível.

Como os colaboradores externos que não fazem parte de nenhuma organização com as políticas Exigir conta corporativa/Exigir MFA acessarão o sistema? Especialmente aqueles que são consultores independentes?

  • Ela pode aproveitar logins sociais, como opções do Google SSO ou Microsoft (p. ex., gmail.com, live.com).
  • Eles podem receber um código baseado em e-mail (MFA baseado em e-mail) para verificação.
  • Os administradores de sistema podem adicionar usuários à lista de isenção, se necessário.
     

Como lidamos com objeções quando colaboradores externos não usam a Microsoft ou o Google para a política Exigir conta corporativa?

Para a política Exigir conta corporativa, atualmente há compatibilidade apenas com SSO do Google/Microsoft ou login do SAML corporativo.

Algum administrador de área de trabalho será capaz de implementar essas políticas?

Os administradores de área de trabalho poderão habilitar a política de exigência de MFA em nível de área de trabalho se um administrador de sistema tiver habilitado a política nesse nível. Os administradores da área de trabalho não podem configurar a política Exigir conta corporativa.

Existem domínios adicionados automaticamente à lista de isentos?

Sim. Todos os domínios verificados dentro do plano estão automaticamente isentos das políticas Exigir conta corporativa e Exigir MFA, pois os usuários desses domínios são tratados como usuários internos do plano.

Conteúdo relacionado

Este artigo foi útil?
SimNão