Udělení deklarace identity Všichni externím uživatelům v Microsoftu 365
Shrnutí
Od 23. března 2018 aktualizujeme chování a zásady správného řízení přístupu externími uživateli v Microsoftu 365.
Po provedení této změny uvidí externí uživatel jenom obsah sdílený s tímto uživatelem nebo se skupinami, do kterých uživatel patří. Externí uživatelé už neuvidí obsah, který se sdílí se skupinami Všichni, Všichni ověření uživatelé nebo Všichni uživatelé formulářů. Ve výchozím nastavení se obsah udělená oprávnění k těmto skupinám zobrazí jenom uživatelům vaší organizace.
Správci můžou změnit výchozí chování a umožnit externím uživatelům zobrazit obsah sdílený všem uživatelům, všem ověřeným uživatelům nebo všem uživatelům formulářů.
Další informace
Pozadí
V místní Active Directory doménách představuje speciální skupina Všichni všechny identity v doméně služby Active Directory. Zahrnuje účet hosta domény, který je ve výchozím nastavení zakázaný. Ve výchozím nastavení skupina Všichni zahrnuje všechny uživatelské účty přidané delegovanými správci do domény.
Před touto změnou Microsoft 365 sdílel chování místní Active Directory domén: Každý uživatel v ID Microsoft Entra tenanta byl po přidání deklarace identity Všichni do kontextu zabezpečení uživatele efektivně považován za člena skupiny Všichni. To zahrnovalo externí uživatele. Tato deklarace identity umožňuje uživateli přístup k veškerému obsahu, který je sdílený se skupinou Všichni .
Podobně se deklarace identity Všichni ověření uživatelé a Všichni formuláře automaticky přidají do kontextu zabezpečení každého uživatele. To zahrnovalo externí uživatele, kteří mají účty v ID Microsoft Entra tenanta. Tyto deklarace identity umožňují uživatelům přístup k veškerému obsahu, který je sdílený se skupinami Všichni ověření uživatelé nebo Všichni uživatelé formulářů .
Microsoft 365 umožňuje uživatelům bez problémů sdílet a spolupracovat s uživateli uvnitř i mimo jejich organizace. Když uživatel ve vaší organizaci přidá externího uživatele do skupiny Microsoftu 365 nebo sdílí obsah s externím uživatelem a vyžaduje ověření pro přístup, vytvoří se účet automaticky v MICROSOFT Entra ID, aby představoval externího uživatele typu host. Není nutné, aby delegovaný správce vytvořil účet pro externího uživatele.
Aktualizace výchozího přístupu pro externí uživatele
Abychom mohli lépe podporovat sdílení řízené uživatelem, aktualizujeme chování a zásady správného řízení přístupu externími uživateli v Microsoftu 365.
Od 23. března 2018 už nebudou externím uživatelům uděleny deklarace identity Všichni, Všichni ověření uživatelé nebo Všichni uživatelé formulářů . Externím uživatelům bude udělen přístup pouze k obsahu, který je sdílený se skupinou, do které patří externí uživatel, a k obsahu, který je sdílený přímo s externím uživatelem. Externí uživatelé nebudou mít přístup k obsahu, který je sdílený s těmito třemi zvláštními skupinami.
Nová možnost řízení přístupu pro externí uživatele
Pomocí následujících pokynů udělte přístup externím uživatelům pro vybrané skupiny.
| Deklarace identity skupiny | Procedura | Výsledek |
|---|---|---|
| Každý | Nakonfigurujte tenanta tak, aby udělil deklaraci identity Všichni externím uživatelům spuštěním rutiny Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShellu. | Externí uživatelé, kteří mají udělenou deklaraci identity Všichni , mají přístup k obsahu sdílenému skupině Všichni . |
| Všichni ověření uživatelé a všichni uživatelé formulářů | Nakonfigurujte tenanta tak, aby externím uživatelům udělil deklarace identity Všichni ověření uživatelé a Všichni formuláře spuštěním rutiny Set-SPOTenant -ShowAllUsersClaim $true windows PowerShellu. | Externí uživatelé, kteří mají udělené deklarace identity Všichni ověření uživatelé a Všichni uživatelé formulářů , mají přístup k obsahu, který se sdílí se skupinami Všichni ověření uživatelé a Všichni uživatelé formulářů . |
Používejte skupiny Microsoft Entra a dynamické členství místo výchozích deklarací identity.
I když nadále podporujeme sdílení se skupinami Všichni, Všichni kromě externích uživatelů, Všichni ověření uživatelé a Všichni uživatelé formulářů, doporučujeme implementovat správu přístupu na základě role pomocí skupin definovaných zákazníkem v Microsoft Entra ID. To zahrnuje skupiny Microsoftu 365.
Skupiny Microsoft 365 definují členství a přístup k obsahu napříč službami a prostředími Microsoftu 365. Řada služeb Microsoft 365 již podporuje dynamické skupiny Microsoft Entra a tyto služby jsou definovány jako sada pravidel, která jsou založená na vlastnostech Microsoft Entra a obchodní logice.
Dynamické skupiny představují nejlepší způsob, jak zajistit, aby příslušní uživatelé měli přístup ke správnému obsahu. Dynamické skupiny umožňují definovat skupinu jednou pomocí definice založené na pravidlech. Díky této možnosti nemusíte přidávat ani odebírat členy při změnách vaší organizace.
Často kladené dotazy
Otázka: Je v současné době možné odhlásit vašeho tenanta od přijetí změny?
A: V současné době neexistuje žádný oficiální proces odhlášení. Pokud tyto skupiny nadále používáte ke sdílení externím uživatelům, můžete v PowerShellu spustit následující rutinu před 23. březnem 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Poznámka:
Ve výchozím nastavení je hodnota vlastnosti -ShowEveryoneClaim nastavena na Hodnotu True. Chcete-li se však ujistit, že hodnota vlastnosti není null, spusťte tento příkaz k úplné aktualizaci nastavení. Pokud chcete ověřit, že je nastavení aktualizované, obraťte se na podpora Microsoftu.
Identifikace prostředků povolených všem externímuživatelům
Požadavky
Stáhněte nástroj vyhledávacího dotazu SharePointu.
Poznámka:
Dotazy v následující části Proces je možné spustit také ve webových prohlížečích.
Vytvořte uživatelský účet na Outlook.com. Tento účet je pro vaši organizaci externí. Tento příklad předpokládá, že účet je contoso_externaluser@outlook.com.
Předpoklad
- Vaše organizace Microsoft 365 je Contoso. Vaše organizace používá contoso.sharepoint.com pro sharepointové weby a skupiny a contoso-my.sharepoint.com pro úložiště OneDrive.
- Jste správcem organizace. Vaše identita isadmin@contoso.com.
Zpracovat
- Nakonfigurujte tenanta tak, aby udělil deklaraci identity Všichni externím uživatelům pomocí postupu určení prostředků, ke kterým mají přístup všichni externí uživatelé.