Se os sites de equipa criados pelo Teams estão a conceder “Editar” para (quase) toda a gente por padrão, este guia mostra como virar o jogo: colocar “Leitura” como acesso inicial — preferencialmente sem download — sem quebrar integrações do Teams, com passos detalhados e automação via PnP PowerShell.
Entenda o comportamento padrão do Teams/SharePoint
Ao criar um Team “oficial”, o SharePoint Online provisiona um site de equipa conectado ao Microsoft 365 e gera, automaticamente, três grupos internos do site:
- Owners — Controle total do site;
- Members — nível Editar (podem criar/excluir listas e bibliotecas, alterar vistas, adicionar/remover colunas, entre outros);
- Visitors — nível Leitura (visualizam, sem alterar).
Em muitas organizações, novos colaboradores entram em grupos “genéricos” (AD/Entra) que acabam com acesso no site via Members, herdando Editar por padrão. Além disso, em sites de equipa modernos, o grupo Members costuma ser o grupo padrão do site, o que torna a ação “Editar permissões do utilizador” cinzenta (desativada). Na prática, isto impede a troca rápida de “Editar” para “Contribuir” ou “Leitura”.
O receio de remover o grupo Members é legítimo: ele é parte da cola que integra Teams ⇄ SharePoint (canais, guias, partilhas). A solução não é eliminá-lo, e sim rebaixar o seu poder de forma segura — depois de ajustar qual grupo é o padrão do site.
O que muda entre Editar, Contribuir e Leitura
| Nível | O que permite | Risco se for padrão | Cenário recomendado |
|---|---|---|---|
| Editar | Alterar estrutura (listas, colunas, vistas), adicionar apps, gerir conteúdos em massa. | Quebra de listas/vistas, exclusões acidentais, desvios de governança. | Apenas para equipas de conteúdo ou curadores. |
| Contribuir | Criar/editar itens e documentos, sem mexer na estrutura do site. | Alterações indevidas de conteúdo (controláveis por versões/aprovação). | Trabalho diário da equipa. |
| Leitura | Visualizar itens e documentos; por padrão permite download. | Vazamento de informação por cópias locais. | Acesso inicial de novos colaboradores e stakeholders. |
Visão geral do plano
O caminho mais seguro é em cinco frentes: criar um grupo próprio de leitura, torná-lo padrão, então rebaixar o Members; para “sem download”, usar um nível de permissão personalizado e/ou políticas de proteção; quebrar heranças onde necessário; e automatizar para não repetir trabalho.
| Objetivo | Passos sugeridos | Observações úteis |
|---|---|---|
| Conceder leitura por padrão | 1) Criar o grupo “Leitura‑apenas (sem download)”; 2) Em Configurações → Permissões do site → Configurações avançadas, defini-lo como grupo padrão do site. | Passo essencial; só após trocar o grupo padrão costuma destravar a edição do Members. |
| Reduzir o poder do Members | 1) Volte a Permissões; 2) Selecione Members → Editar permissões do utilizador (agora habilitado); 3) Troque de “Editar” para “Contribuir” ou “Leitura”. | Não elimine o grupo; rebaixar evita impacto no Teams. |
| Impedir download | A) Criar um nível personalizado de leitura sem download e aplicá-lo ao novo grupo; OU B) Usar políticas de proteção (IRM/rótulos de sensibilidade) e/ou Acesso Condicional com restrições de sessão. | “Leitura” nativo permite download; combine nível custom com políticas para melhor cobertura. |
| Quebrar herança quando preciso | Em bibliotecas específicas, use Configurações → Permissões para esta biblioteca → Interromper herança antes de ajustar grupos. | Evita que o site pai sobrescreva as alterações. |
| Automatizar novas equipas | Provisionar via PowerShell/PnP: criar o grupo de leitura, torná-lo padrão, e rebaixar o Members. | Elimina retrabalho e garante consistência. |
Passo a passo detalhado
Criar um grupo de leitura (com opção “sem download”)
- No site do SharePoint conectado ao Team, clique no ícone da roda → Permissões do site → Configurações avançadas de permissões.
- Selecione Configurações na ribbon/clássico (ou use o menu “…” na interface moderna) → Novo grupo.
- Nomeie como Leitura‑apenas (sem download) e atribua inicialmente o nível Leitura (vai ajustar mais adiante, se for “sem download”).
- Guarde o grupo.
Tornar o novo grupo o grupo padrão do site
- Em Configurações do site → Permissões do site → Configurações avançadas de permissões, abra Configurações → Configurações da permissão.
- Procure a secção Grupos associados e defina o seu novo grupo como Grupo de visitantes e/ou Grupo padrão do site.
- Guarde. Em muitos casos, isto “liberta” o botão Editar permissões do utilizador para o group Members.
Rebaixar o Members de Editar para Contribuir (ou Leitura)
- Volte à página Permissões do site.
- Abra o grupo … Members.
- Clique em Editar permissões do utilizador e troque Editar por Contribuir (recomendado) ou Leitura (se a equipa não precisa alterar conteúdo).
- Guarde e teste com uma conta de membro comum.
Bloquear download: quando usar nível personalizado vs. políticas
“Leitura” nativo permite descarregar. Para “sem download” consistente, combine camadas:
- Nível de permissão personalizado: clone “Leitura” e remova, no mínimo, a capacidade de Abrir no aplicativo de ambiente de trabalho (desabilitando “Integração com cliente”), ocultando ações como “Sincronizar” e “Baixar”. Nota: isso mitiga mas não cobre 100% dos formatos (p.ex., ficheiros que não têm visualização web tendem a descarregar).
- Proteção com rótulos/IRM: aplique rótulos de sensibilidade com políticas de “Exibição apenas no navegador” ou criptografia que bloqueia extração/guardar cópia.
- Acesso Condicional (restrições de sessão): políticas de “web-only” e “block download” para SharePoint/OneDrive, inclusive em dispositivos não conformes.
- Partilha com link “Bloquear download”: ao partilhar externamente, use o alternador Bloquear download no diálogo de partilha (onde disponível).
Boa prática: aplique o nível personalizado Leitura (sem download) ao grupo “Leitura‑apenas (sem download)” e, se fizer sentido, também ao Members rebaixado. Cubra exceções com rótulos/CA em bibliotecas críticas.
Quebrar herança com segurança
- Na biblioteca onde precisa regras diferentes, abra Definições da biblioteca → Permissões para esta biblioteca.
- Clique em Interromper herança → confirme.
- Remova grupos desnecessários (p.ex., Members), mantenha Owners, e adicione o seu grupo Leitura‑apenas com o nível desejado.
- Documente o que foi quebrado e por quê (evita surpresas no futuro).
Procedimento completo para criar um nível de permissão de “Leitura (sem download)”
O SharePoint não tem uma caixa literal “Download”. O caminho real é ajustar permissões de cliente e visualização para reduzir superfícies de cópia:
- Em Permissões do site → Configurações → Níveis de permissão → Adicionar um novo nível de permissão.
- Nome: Leitura – sem download (web). Baseie-se em Leitura e desmarque capacidades como Usar recursos de integração com o cliente e quaisquer ações que exponham “Abrir no aplicativo de ambiente de trabalho”.
- Guarde e aplique ao grupo Leitura‑apenas (sem download).
Limitações: formatos sem visualização web (ZIP, alguns CAD, executáveis) continuam a descarregar para abrir; capturas de ecrã não podem ser totalmente impedidas em clientes não geridos; por isso, complemente com Acesso Condicional e rótulos.
Automação com PnP PowerShell
Para padronizar novos sites/Teams, use um script de provisionamento. Exemplo de referência (ajuste nomes conforme o seu tenant e políticas):
# Requisitos: módulo PnP.PowerShell instalado
1) Conectar ao site
Connect-PnPOnline -Url "https://contoso.sharepoint.com/sites/Marketing" -Interactive
2) Criar grupo de leitura (se não existir)
\$owners = Get-PnPGroup -AssociatedOwnerGroup
if (-not (Get-PnPGroup -Identity "Leitura-apenas (sem download)" -ErrorAction SilentlyContinue)) {
New-PnPGroup -Title "Leitura-apenas (sem download)" -Owner \$owners.LoginName | Out-Null
}
3) Tornar o grupo padrão (visitantes)
Set-PnPWeb -AssociatedVisitorGroup "Leitura-apenas (sem download)"
4) Rebaixar o Members de Edit para Contribute
\$members = Get-PnPGroup -AssociatedMemberGroup
Remover "Edit"
Remove-PnPRoleFromGroup -Identity \$members.LoginName -RoleDefinition "Edit" -ErrorAction SilentlyContinue
Adicionar "Contribute"
Add-PnPRoleToGroup -Identity \$members.LoginName -RoleDefinition "Contribute"
5) (Opcional) Criar e aplicar um nível de leitura sem download
Nota: ajustar a lista de permissões base às políticas da sua organização.
if (-not (Get-PnPRoleDefinition -Identity "Leitura – sem download (web)" -ErrorAction SilentlyContinue)) {
Add-PnPRoleDefinition ` -RoleName "Leitura – sem download (web)"`
-Description "Leitura com bloqueio a apps cliente e opções de descarregar" \`
-BasePermissions @(
"ViewPages","ViewListItems","ViewVersions","ViewFormPages",
"Open","BrowseUserInfo","UseRemoteAPIs" # Sem Client Integration
)
}
Aplicar ao grupo de leitura
Remove-PnPRoleFromGroup -Identity "Leitura-apenas (sem download)" -RoleDefinition "Read" -ErrorAction SilentlyContinue
Add-PnPRoleToGroup -Identity "Leitura-apenas (sem download)" -RoleDefinition "Leitura – sem download (web)"
Write-Host "Padrão de leitura criado e Members rebaixado com sucesso."Dicas de produção:
• Prefira autenticação por certificado e app registration para execução headless;
• Coloque estes passos em Templates PnP (arquivos .pnp) usados pelo seu motor de provisionamento;
• Valide com uma conta “utilizador padrão” após cada alteração.
Fluxo de decisão para “sem download”
- Precisa bloquear download para todos os ficheiros e fora do perímetro? → Acesso Condicional com restrições de sessão + rótulos de sensibilidade (criptografia).
- Apenas Office/formatos com visualização web? → Nível “Ver apenas”/leitura custom + bloquear apps cliente.
- Bibliotecas específicas com informação confidencial? → Quebre herança e aplique o nível custom + rótulo obrigatório.
- Partilhas externas pontuais? → Use o link com Bloquear download.
Testes recomendados antes de produção
- Conta de novo colaborador (sem pertença ao Team): deve abrir ficheiros no navegador; sem opções de descargar/sincronizar; sem “Abrir no app”.
- Conta de membro do Team: com “Contribuir”, deve criar/editar documento, mas não alterar vistas/colunas.
- Dispositivo não conforme (BYOD): com Acesso Condicional, deve ter “web-only” e bloqueio de download.
- Formatos que não têm visualização web: documente exceções e medidas compensatórias.
Erros comuns e como evitar
- Excluir o grupo Members: pode quebrar integrações do Teams. Em vez disso, rebaixe permissões.
- Esquecer de trocar o grupo padrão: o botão Editar permissões permanece desativado; faça da leitura o grupo padrão primeiro.
- Confiar apenas em “Leitura” nativo: ainda permite download. Use nível custom e/ou políticas.
- Alterar no site pai e esquecer bibliotecas: quebre herança onde necessário para evitar sobrescritas.
- Não testar com utilizadores reais: contas admin veem opções diferentes; valide com perfis de negócio.
Checklist de governação
| Tarefa | Estado | Notas |
|---|---|---|
| Criar grupo “Leitura‑apenas (sem download)” | ☐ | |
| Tornar o grupo de leitura o padrão do site | ☐ | |
| Rebaixar Members de Editar para Contribuir | ☐ | |
| Definir nível de permissão “Leitura – sem download (web)” | ☐ | |
| Aplicar Acesso Condicional (web-only/block download) | ☐ | |
| Aplicar rótulos de sensibilidade/IRM nas bibliotecas críticas | ☐ | |
| Quebrar herança nas bibliotecas necessárias | ☐ | |
| Script de provisionamento PnP pronto e documentado | ☐ | |
| Plano de teste com contas não admin | ☐ |
Perguntas frequentes
Alterar o nível do Members para “Contribuir” quebra o Teams?
Não. O Teams continua a usar o site para ficheiros de canais normalmente. “Contribuir” é suficiente para colaboração de conteúdo.
Posso aplicar “Leitura – sem download” a toda a organização?
Pode, mas evite sobrepor políticas genéricas que travem equipas que precisam editar. Prefira aplicar como padrão inicial e promover permissões conforme necessidade.
“Ver apenas” realmente bloqueia downloads?
Para ficheiros suportados por visualização web (Office, alguns PDFs), as ações de descarregar e abrir no app ficam bloqueadas. Para formatos sem viewer, o SharePoint pode fazer o download para abrir — por isso políticas de Acesso Condicional e rótulos são o complemento ideal.
É seguro remover o grupo Members?
Não recomendado. Além do risco técnico, perde-se o caminho de evolução de permissões. Rebaixe e mantenha.
Como lidar com bibliotecas com exceções de negócio?
Quebre a herança, aplique grupos e níveis específicos, e documente claramente o motivo e o responsável pela exceção.
Modelo de comunicação aos utilizadores
Assunto: Novos padrões de acesso em sites do Teams
A partir de hoje, novos utilizadores entram com Leitura por padrão. Quando precisarem colaborar, os proprietários podem promover para Contribuir. Para informação sensível, aplicamos “leitura sem download” e rótulos. Esta mudança protege dados e mantém a colaboração ágil.
Resumo acionável
- Não elimine o Members; rebaixe-o.
- Trocar o grupo padrão é o truque para desbloquear a edição do Members.
- Para sem download, use um nível de permissão custom + políticas (IRM/rótulos, Acesso Condicional).
- Automatize com PnP PowerShell para escalar com segurança.
- Teste em site piloto e documente antes de produção.
Exemplo de roteiro para novos sites de equipa
- Provisionar o Team e o site.
- Criar grupo “Leitura‑apenas (sem download)”.
- Tornar esse grupo o padrão do site.
- Rebaixar Members para Contribuir.
- Aplicar nível “Leitura – sem download (web)” ao grupo de leitura.
- Habilitar políticas de sessão (web-only) e rótulos sobre as bibliotecas sensíveis.
- Quebrar herança onde necessário e catalogar exceções.
- Executar testes funcionais; publicar comunicação.
Conclusão
Seguindo estes passos, novos colaboradores entram com leitura (e, quando possível, sem download), enquanto membros existentes mantêm o acesso adequado. O Team continua a funcionar sem riscos, e a TI ganha controlo fino com governança repetível. Defina o grupo de leitura como padrão, rebaixe o Members e complemente com políticas de proteção — esse trio resolve o problema de raiz.