Ao abrir ficheiros/arquivos do Excel a partir do OneDrive ou do SharePoint, alguns utilizadores/usuários veem um aviso de segurança inesperado. Este guia explica por que acontece, como mitigar por política (GPO/Intune), e o que os administradores devem verificar no Centro de Administração do Microsoft 365.
Visão geral do problema
Ao abrir um livro do Excel guardado no OneDrive ou no SharePoint, surge o pop‑up:
“This content presents a potential security issue. Do you trust this content?”
Em contextos Microsoft 365 geridos, este aviso costuma ser supérfluo quando o conteúdo provém do tenant da própria organização. Em 2024, a Microsoft classificou o comportamento como incidente de serviço e, mesmo após comunicações de correção, o sintoma persistiu intermitentemente para alguns tenants. Por isso, além de acompanhar o estado oficial, convém aplicar uma mitigação via políticas de confiança para reduzir fricção sem relaxar a segurança.
Resumo do que foi apurado
- O comportamento foi identificado pela Microsoft como incidente SP843810: “Some users may incorrectly receive a security warning prompt when opening Excel files in SharePoint Online.”
- Houve comunicações de correção a partir de 13 ago 2024, mas surgiram relatos do sintoma até meados de set 2024 em alguns inquilinos/tenants.
- Uma mitigação comum e recomendada é mapear os domínios do seu tenant de SharePoint/OneDrive para a zona Sites confiáveis do Windows/Office (via GPO ou Intune), reduzindo prompts indevidos sem alterar permissões do SharePoint.
Plano de ação recomendado
- Verificar o estado oficial no Microsoft 365
Administradores devem consultar Service health no Centro de Administração do Microsoft 365 e procurar pelo ID SP843810. Apenas admins do tenant veem detalhes e a linha do tempo de correções. - Aplicar mitigação por política a nível organizacional
Configure a política Site to Zone Assignment List para colocar os domínios do seu tenant na zona Sites confiáveis (2):https://{seu-tenant}.sharepoint.com → 2 https://{seu-tenant}-my.sharepoint.com → 2Faça-o por GPO (Active Directory) ou por Intune (Settings Catalog / Administrative Templates). - Mitigação local no dispositivo
Onde não houver gestão por políticas, adicione manualmente os mesmos endereços em Opções da Internet → Segurança → Sites confiáveis. - Workaround imediato
Transferir/baixar o ficheiro para o disco local (ex.: Downloads) e abrir a partir daí costuma evitar o aviso em muitos cenários corporativos. - Abrir chamado de suporte
Se o problema persistir após as políticas e com Office atualizado, o admin deve abrir um ticket no Centro de Administração do Microsoft 365, mencionando a versão do Excel e o ID SP843810.
O que a política de Sites confiáveis faz (e o que não faz)
A atribuição de sites à zona Sites confiáveis não concede permissões no SharePoint/OneDrive nem ignora auditorias. Ela apenas indica ao Windows/Office que estes endereços são internos e confiáveis, reduzindo prompts de segurança excessivos.
Não faz com que macros maliciosas sejam executadas sem controlo. Ao contrário, mantenha as salvaguardas fundamentais ativas (ver seção de segurança abaixo).
Guia detalhado com GPO (Active Directory)
Onde configurar
Use uma GPO em Computer Configuration ou User Configuration:
Windows Components → Internet Explorer → Internet Control Panel → Security Page → Site to Zone Assignment List
Apesar do nome “Internet Explorer”, estas definições continuam a reger o mecanismo de zonas do Windows/WinINet, ainda utilizado por várias aplicações, incluindo Office.
Entradas recomendadas
| Valor do nome (site) | Dados (zona) | Observações |
|---|---|---|
https://{seu-tenant}.sharepoint.com | 2 | Domínio principal do SharePoint Online do seu tenant. |
https://{seu-tenant}-my.sharepoint.com | 2 | URL de sites pessoais/OneDrive for Business do seu tenant. |
Boas práticas ao preencher
- Use https e sem trailing slash (
/no final). - Não use curingas amplos como
*.sharepoint.com. Restrinja ao seu tenant para manter o princípio de Zero Trust. - Se usar a GPO em Computer, aplica-se à máquina; em User, ao perfil do utilizador. Escolha conforme a sua estratégia.
- Documente a GPO e aplique por OU/coleções de dispositivos apropriadas. Teste num grupo piloto antes do roll‑out.
Como validar a aplicação
- Abra Opções da Internet → Segurança → selecione Sites confiáveis → Sites e confirme os endereços.
- Alternativamente, verifique o registo/registro:
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsOs domínios do seu tenant devem aparecer com valorhttps=2. - Reinicie o Excel e teste abrindo um ficheiro do SharePoint/OneDrive do seu tenant.
Guia detalhado com Intune (Settings Catalog)
Perfil de configuração
- Em Intune, crie um novo perfil: Plataforma Windows 10 e posterior → Tipo Settings Catalog.
- Clique em Add settings e pesquise por Site to Zone Assignment List.
- Adicione as definições em Internet Explorer → Internet Control Panel → Security Page (disponíveis em âmbito Machine e/ou User).
- Insira as entradas:
https://{seu-tenant}.sharepoint.com → 2 https://{seu-tenant}-my.sharepoint.com → 2 - Atribua a grupos de dispositivos/usuários, publique e acompanhe a conformidade.
Dicas de implementação
- Se já existir uma política semelhante por GPO, evite conflito. Prefira uma única origem de verdade por escopo.
- Monitore o Device status e Per‑setting status no Intune para confirmar a aplicação.
- Documente a exceção de segurança como mitigação relacionada ao incidente 2024 e inclua critérios de revisão periódica.
Mitigação local sem GPO/Intune
Em dispositivos não geridos, o utilizador pode adicionar manualmente os sites:
- Abrir Painel de Controlo/Controle → Opções da Internet.
- Separador/Guia Segurança → selecionar Sites confiáveis → clicar em Sites.
- Adicionar:
https://{seu-tenant}.sharepoint.com https://{seu-tenant}-my.sharepoint.com - Confirmar e reiniciar o Excel.
Alternativa rápida quando não há privilégios
- Transferir/baixar o ficheiro para o disco local e abrir a partir da pasta Downloads ou outra pasta local.
- Em alguns cenários, “Abrir na aplicação da área de trabalho” diretamente pelo navegador pode contornar o prompt quando o mapeamento de zonas já foi aplicado.
Recomendações de segurança que não deve desativar
Mitigar o aviso não é sinónimo de relaxar a segurança. Combine as políticas de zona com salvaguardas essenciais:
- Bloquear macros de ficheiros da Internet (Block macros from the Internet) deve permanecer ativado por política do Office.
- Proteções avançadas como Microsoft Defender para Office (Safe Attachments/Safe Links) ajudam a travar conteúdos maliciosos carregados inadvertidamente.
- Governança de conteúdos no SharePoint/OneDrive (permissões mínimas, sharing controlado, expiração de links) limita a superfície de ataque.
- Restrinja a confiança a apenas os domínios do seu tenant. Evite adicionar
*.sharepoint.compor comodidade.
Tabela de referência rápida
| Cenário | Ação sugerida | Impacto esperado |
|---|---|---|
| Excel abre ficheiros do tenant com aviso de segurança | Adicionar tenant do SharePoint/OneDrive aos Sites confiáveis (zona 2) | Redução/eliminação do pop‑up indevido |
| Conteúdos de fora do tenant | Manter bloqueios (macros da Internet, Safe Links/Attachments) | Menor risco de execução de código malicioso |
| Utilizadores sem gestão por políticas | Adicionar manualmente em Opções da Internet → Sites confiáveis | Mitigação local sem quebrar o baseline de segurança |
| Sintoma persiste após mitigação | Verificar Service health, atualizar Office, abrir ticket citando SP843810 | Rastreamento e correção orientada com suporte |
Notas sobre a mensagem OLE
Alguns utilizadores reportaram em paralelo a mensagem “Excel is waiting for another application to complete an OLE action”. Em muitos casos, foi um sintoma secundário e desapareceu quando o problema principal foi mitigado. Se persistir, vale revisar suplementos COM, chamadas externas (Power Query, ligações OLE/ODBC) e testar em Modo de Segurança do Office.
Atualizações de Office e Windows
- Confirme que os dispositivos estão em canal de atualização coerente com a política da empresa (Mensal/Semianual) e a receber as últimas compilações do Microsoft 365 Apps.
- Mantenha o OneDrive Sync Client atualizado; integrações com o Office podem influenciar a experiência de abertura de ficheiros na área de trabalho.
Perguntas frequentes
Adicionar aos Sites confiáveis enfraquece a segurança?
Não, quando restrito ao seu tenant específico. A política apenas reduz prompts indevidos. Continue a aplicar bloqueios de macros, Defender para Office e boas práticas de partilha/permiteções.
A política aplica-se ao Edge/WinHTTP?
O mapeamento de zonas é consumido por componentes WinINet e pelo Office, afetando decisões de confiança. O Edge moderno tem controlos próprios, mas respeitar Sites confiáveis ajuda na integração com o Office e autenticação.
Posso usar curinga como *.sharepoint.com para simplificar?
Não recomendado. Prefira mapear apenas https://{seu-tenant}.sharepoint.com e https://{seu-tenant}-my.sharepoint.com para manter o princípio de privilégio mínimo.
Como reverter se necessário?
Remova as entradas na GPO/Intune e force atualização de políticas (gpupdate ou sincronização no Intune). Em dispositivos locais, retire os sites de Sites confiáveis.
Como confirmar que um URL está realmente na zona 2?
Abra Opções da Internet → Segurança e use o botão Sites da zona Sites confiáveis. Também é possível inspecionar o registo/registro nos caminhos ZoneMap\Domains listados acima.
Modelos prontos para colar
Lista para a política Site to Zone Assignment List
https://{seu-tenant}.sharepoint.com 2
https://{seu-tenant}-my.sharepoint.com 2Script .reg para dispositivos avulsos (usar com cautela)
Nota: ajuste seu-tenant antes de aplicar. Execute como utilizador para definir em HKCU ou como administrador para definir em HKLM.
Windows Registry Editor Version 5.00
; Modo utilizador (HKCU)
\[HKEY\CURRENT\USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\seu-tenant]
"https"=dword:00000002
\[HKEY\CURRENT\USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\seu-tenant-my]
"https"=dword:00000002
; Modo máquina (HKLM) - opcional
\[HKEY\LOCAL\MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\seu-tenant]
"https"=dword:00000002
\[HKEY\LOCAL\MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\seu-tenant-my]
"https"=dword:00000002Checklist para admins
- Confirmar no Service health se há notas recentes relacionadas ao Excel/SharePoint e ao ID SP843810.
- Decidir a abordagem de política: GPO, Intune ou ambas (evitando sobreposição).
- Aplicar Site to Zone Assignment List com os dois domínios do tenant na zona 2.
- Garantir que “Block macros from the Internet” permanece ativo e que Defender para Office está operativo.
- Testar com um grupo piloto e recolher feedback.
- Fazer roll‑out gradual e monitorizar casos residuais; abrir ticket se necessário, citando versão do Excel e SP843810.
Conclusão
O aviso “This content presents a potential security issue” ao abrir ficheiros do OneDrive/SharePoint foi associado ao incidente SP843810 e, apesar das correções comunicadas em 2024, pode aparecer esporadicamente. A mitigação consistente e segura é mapear os seus domínios do SharePoint/OneDrive para Sites confiáveis (zona 2) via GPO/Intune, mantendo ao mesmo tempo as políticas de proteção do Office e do Microsoft Defender. Com isso, a experiência do utilizador melhora sem sacrificar os controlos de segurança essenciais.