Private Rooms no ONLYOFFICE Workspace

Private Rooms no ONLYOFFICE Workspace oferecem edição colaborativa em tempo real com criptografia de ponta a ponta (AES‑256) e sem necessidade de senhas adicionais. Este guia mostra como ativar a funcionalidade, conectar o aplicativo de desktop para criptografia local e inclui práticas, verificações e FAQ para administradores e usuários.

Logotipo do ONLYOFFICE Workspace

ONLYOFFICE Workspace é uma solução self‑hosted e open‑source para gestão de equipes e colaboração que inclui:

ONLYOFFICE Docs — editores online para documentos de texto, planilhas e apresentações (AGPL v.3).
ONLYOFFICE Groups — plataforma de colaboração que agrega gestão de documentos, projetos, clientes e e‑mail e um painel de administração (Apache 2.0).
ONLYOFFICE Mail Server — solução para criar e gerenciar caixas de correio corporativas (GPL v.2).
ONLYOFFICE XMPP Server — aplicação para troca de mensagens instantâneas (GPL v.2).

Este tutorial explica, passo a passo, como ativar e usar Private Rooms para coedição criptografada em tempo real dentro do seu ambiente ONLYOFFICE Workspace.

O que são Private Rooms

Private Rooms são espaços de trabalho protegidos dentro do ONLYOFFICE onde todo o conteúdo é criptografado localmente no cliente usando AES‑256 antes de ser enviado ao servidor. Em outras palavras, a encriptação e a desencriptação ocorrem na máquina do usuário; o servidor recebe apenas dados cifrados e não detém as chaves de leitura.

Definição rápida: AES‑256 é um algoritmo de cifra simétrica amplamente utilizado para proteger dados em trânsito e em repouso; aqui ele é aplicado no cliente para cada entrada de edição.

Importante: Private Rooms funcionam através da interface do aplicativo desktop ONLYOFFICE, que atua como o ponto final de segurança (endpoint). Isso permite que os usuários editem documentos de forma colaborativa sem expor o conteúdo em texto simples no servidor.

Vantagens principais:

Coedição em tempo real com criptografia ponta a ponta.
Sem necessidade de senhas adicionais: as credenciais de cifragem são geradas e gerenciadas automaticamente pelo cliente.
Compatível com os formatos .docx, .xlsx, .pptx.

Quando Private Rooms é mais apropriado:

Ambientes com requisitos fortes de confidencialidade (documentos legais, propriedade intelectual, dados sensíveis).
Organizações que preferem um modelo self‑hosted sem delegar chaves ao provedor.

Contraexemplo/limitação: Private Rooms não substituem controles de governança como DLP (Data Loss Prevention) no servidor; eles protegem o conteúdo durante a edição e o armazenamento cifrado, mas a governança administrativa central deve considerar políticas de retenção e auditoria fora do escopo da criptografia do conteúdo.

Modelo de segurança em poucas linhas

Criptografia: AES‑256 no cliente.
Geração de chaves: automática e local pelo aplicativo desktop.
Compartilhamento: só é possível com usuários que possuam credenciais de cifragem válidas.
Senhas: não há senha adicional para o usuário final — as credenciais são trocadas automaticamente entre participantes autorizados.

Notas: este modelo reduz o risco de exposição no servidor, mas depende da segurança dos terminais (dispositivos dos usuários). Hardening e proteção do endpoint continuam essenciais.

O que pode e o que não pode ser feito dentro de Private Rooms

Você pode:

Criar e fazer upload de arquivos (.docx, .xlsx, .pptx).
Navegar pelos seus arquivos protegidos e por arquivos compartilhados com você.
Criar pastas dentro da Private Room.
Mover seus arquivos dentro da Private Room.
Excluir arquivos permanentemente.
Compartilhar arquivos com usuários que possuam credenciais de cifragem.
Coeditar documentos em tempo real.

Você não pode:

Copiar arquivos para fora do ambiente protegido (restrição de exportação direta via interface).
Mover arquivos compartilhados por outros para fora da Private Room.
Mover arquivos para fora da Private Room (por exemplo, para espaços públicos no servidor) sem descaracterizar a proteção.
Compartilhar arquivos com usuários que não tenham credenciais de cifragem.
Fazer upload de pastas inteiras (upload por arquivo apenas).
Sobrescrever arquivos existentes por movimentação ou upload que contornem as checagens de versão.
Restaurar versões de arquivo quando a política de versão for incompatível com a cifragem.

Passo 1: Verificar/ativar Private Rooms no servidor

Se você ainda não instalou o ONLYOFFICE Workspace, siga um guia de instalação para o seu SO (por exemplo, o tutorial do HowtoForge para Ubuntu usando o script fornecido). Após a instalação, verifique se Private Rooms está ativado — geralmente vem habilitado por padrão.

Abra o ONLYOFFICE Workspace no navegador.
Acesse o módulo Documentos. Procure pela pasta Private Room.
Se não estiver visível, ative em Control Panel → Modules → Documents (ou pesquise por Private Room nas configurações).

Painel para ativar Private Rooms no ONLYOFFICE

Dica administrativa: confira as permissões do módulo e os logs de ativação no painel de administração para confirmar que o serviço de assinatura/cripto está operacional.

Passo 2: Instalar o aplicativo ONLYOFFICE Desktop Editors

O aplicativo desktop é responsável por gerar as credenciais de cifragem e executar AES‑256 localmente. Instale a versão mais recente do ONLYOFFICE Desktop Editors disponível para sua distribuição.

Instalação a partir do pacote DEB (Debian/Ubuntu):

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys CB2DE8E5

Abra o arquivo de fontes com um editor de texto (por exemplo, nano):

nano /etc/apt/sources.list

Adicione a seguinte linha ao arquivo /etc/apt/sources.list:

deb https://download.onlyoffice.com/repo/debian squeeze main

Em seguida, execute:

sudo apt-get update
sudo apt-get install onlyoffice-desktopeditors

Instalação via snap (alternativa multiplataforma no Linux):

sudo apt update
sudo apt install snapd
snap install onlyoffice-desktopeditors

Compatibilidade: há builds para Windows e macOS no site oficial caso seus usuários não estejam em Linux; para Windows/macOS, baixe o instalador correspondente.

Passo 3: Conectar o aplicativo desktop ao Workspace

Abra o ONLYOFFICE Desktop Editors.
Vá para Connect to cloud (ou Conectar ao servidor) na interface.
Insira o endereço web do seu ONLYOFFICE Workspace (URL do web office) e autentique com seu usuário.

Janela de conexão do ONLYOFFICE Desktop com o servidor

Após o login, acesse a seção Private Room no aplicativo. A interface mostrará seus arquivos protegidos; agora qualquer edição será cifrada localmente e sincronizada com o servidor de forma segura.

Visão da Private Room no ONLYOFFICE com arquivos protegidos

Observações práticas:

A primeira vez que o aplicativo gera as credenciais pode levar alguns segundos adicionais ao criar/abrir um documento.
Se estiver em uma rede corporativa com proxies/inspeção SSL, assegure que o tráfego do Desktop Editors para o servidor seja permitido sem interferência que altere o fluxo de chave.

Boas práticas e hardening de segurança

Endpoints seguros: mantenha o sistema operacional e o antivírus atualizados nos dispositivos que usarão Private Rooms.
Backups: Faça backups do servidor, lembrando que os arquivos estarão cifrados — restauração de backups deve ser compatível com o fluxo de chave do aplicativo.
Políticas de acesso: aplique MFA para as contas do Workspace para reduzir risco de comprometimento de credenciais.
Isolamento de funções: limite permissão de ativação/desativação de módulos a administradores confiáveis.
Auditoria: habilite logs de acesso e sincronização para detectar acesso suspeito.

Risco e mitigação:

Risco: Comprometimento do endpoint. Mitigação: EDR, atualizações, criptografia de disco local.
Risco: Interferência de middleboxes que alterem tráfego. Mitigação: bypass por listas de exceção ou VPN segura.

Checklist para administradores (implantação)

Confirmar versão do Workspace compatível com Private Rooms.
Habilitar módulo Private Room no Control Panel.
Garantir comunicação segura entre desktop e servidor (certificados válidos).
Testar fluxo de criação/compartilhamento com 2 contas distintas.
Documentar procedimento de recuperação e backup compatível com cifragem.

Checklist para usuários finais

Instalar ONLYOFFICE Desktop Editors.
Conectar ao Workspace com credenciais corporativas.
Confirmar presença da pasta Private Room na interface do aplicativo.
Testar coedição com colega que também tenha o app conectado.

Testes de aceitação básicos

Crie um documento .docx na Private Room e verifique se outro usuário conectado pode coeditar.
Faça upload de uma imagem ao documento e confirme que a imagem sincroniza cifrada sem exposição no servidor.
Tente compartilhar com um usuário sem Desktop Editors conectado; a ação deve ser bloqueada.

Alternativas e modelos mentais

Alternativas de solução quando Private Rooms não atende:

Usar uma solução de edição com criptografia de arquivos em repouso apenas (ex.: armazenamento cifrado) — boa para armazenamento, ruim para edição colaborativa em tempo real.
Plataformas de edição hospedadas com gerenciamento de chaves pelo provedor — conveniência com menor controle de chave.

Mental model: pense em Private Rooms como “uma sala segura dentro do seu escritório digital”: as paredes (servidor) guardam caixas (arquivos), mas apenas quem tem a chave local (aplicativo desktop) consegue ver o conteúdo.

Privacidade e conformidade (GDPR e proteção de dados)

Os dados são criptografados no cliente e o servidor armazena apenas o conteúdo cifrado, o que reduz superfície de exposição em caso de vazamento do servidor.
Para conformidade com GDPR, documente onde as chaves são geradas e quais controles de acesso estão em vigor. Ainda assim, registros de metadados (nomes de arquivos, timestamps, usuários) podem existir no servidor e devem estar cobertos por políticas de retenção.

Fluxo de decisão rápido (Mermaid)

flowchart TD
  A[Precisa editar em tempo real com criptografia?] -->|Sim| B[Instalar Desktop Editors]
  A -->|Não| C[Usar criptografia em repouso]
  B --> D[Conectar ao Workspace]
  D --> E{Outro colaborador tem Desktop Editors?}
  E -->|Sim| F[Coeditar com Private Rooms]
  E -->|Não| G[Compartilhamento negado — solicitar instalação]

Perguntas frequentes

Private Rooms exige senhas adicionais?

Não. O aplicativo desktop gera e gerencia automaticamente as credenciais de criptografia. O usuário final apenas se autentica no Workspace normalmente.

Posso recuperar um arquivo excluído na Private Room?

Depende da política de backup e versionamento do seu servidor: a interface da Private Room pode restringir restauração de versões cifradas. Configure backups compatíveis antes de depender de restauração.

O servidor consegue ler os documentos armazenados?

Não: o servidor armazena dados cifrados. Sem as credenciais geradas localmente pelos clientes autorizados, o conteúdo não é legível.

Posso usar Private Rooms em dispositivos móveis?

Atualmente a criptografia em tempo real funciona através do ONLYOFFICE Desktop Editors. Verifique atualizações do produto para suporte móvel.

O que acontece se eu perder o acesso ao meu dispositivo?

Se o dispositivo era o único com as credenciais geradas, você precisará das políticas de compartilhamento prévias com outros usuários para recuperar acesso; por isso, configure procedimentos de recuperação e backups.

Resumo final

Private Rooms no ONLYOFFICE Workspace adicionam uma camada de confidencialidade para edição colaborativa com criptografia AES‑256 realizada no cliente. A ativação é simples: habilite o módulo no Workspace, instale o ONLYOFFICE Desktop Editors e conecte‑se ao servidor. Implemente controles de endpoint, backups compatíveis e políticas de acesso para maximizar segurança e disponibilidade.

Extras:

Verifique compatibilidade de versão antes de implantar em produção.
Documente e treine usuários em procedimentos de recuperação.

FAQ adicional e passos de auditoria podem ser incluídos conforme a maturidade da sua organização.

Habilitar Private Rooms no ONLYOFFICE Workspace