Gewähren des Anspruchs "Jeder" für externe Benutzer in Microsoft 365
Übersicht
Ab dem 23. März 2018 aktualisieren wir das Verhalten und die Governance des Zugriffs durch externe Benutzer in Microsoft 365.
Nachdem diese Änderung vorgenommen wurde, sieht ein externer Benutzer nur die Inhalte, die für diesen Benutzer oder für Gruppen freigegeben werden, zu denen der Benutzer gehört. Externe Benutzer sehen keine Inhalte mehr, die für alle Benutzer, alle authentifizierten Benutzer oder alle Formularbenutzergruppen freigegeben sind. Standardmäßig sind Inhalte, denen Berechtigungen für diese Gruppen erteilt wurden, nur für die Benutzer Ihrer Organisation sichtbar.
Administratoren können das Standardverhalten ändern, um externen Benutzern das Anzeigen von Inhalten zu ermöglichen, die für jeden freigegeben wurden, alle authentifizierten Benutzer oder alle Formularbenutzer.
Weitere Informationen
Hintergrund
In lokales Active Directory Domänen stellt die spezielle Gruppe "Jeder" alle Identitäten in der Active Directory-Domäne dar. Sie enthält das Gastkonto der Domäne, das standardmäßig deaktiviert ist. Standardmäßig enthält die Gruppe "Jeder " alle Benutzerkonten, die von delegierten Administratoren zur Domäne hinzugefügt werden.
Vor dieser Änderung hat Microsoft 365 das Verhalten von lokales Active Directory Domänen freigegeben: Jeder Benutzer in der Microsoft Entra-ID eines Mandanten wurde effektiv als Mitglied der Gruppe "Jeder" betrachtet, nachdem Sie einen Anspruch "Jeder" zum Sicherheitskontext des Benutzers hinzugefügt haben. Dies umfasste externe Benutzer. Dieser Anspruch ermöglicht es einem Benutzer, auf alle Inhalte zuzugreifen, die für die Gruppe "Jeder" freigegeben sind.
Ebenso wurden die Ansprüche "Alle authentifizierten Benutzer " und "Alle Formularbenutzer " automatisch dem Sicherheitskontext jedes Benutzers hinzugefügt. Dazu gehören externe Benutzer, die Über Konten in der Microsoft Entra-ID des Mandanten verfügen. Diese Ansprüche ermöglichen Benutzern den Zugriff auf alle Inhalte, die für die Gruppen "Alle authentifizierten Benutzer " oder "Alle Formularbenutzer " freigegeben sind.
Microsoft 365 ermöglicht Benutzern das nahtlose Teilen und Zusammenarbeiten mit Benutzern innerhalb und außerhalb ihrer Organisation. Wenn ein Benutzer in Ihrer Organisation einer Microsoft 365-Gruppe einen externen Benutzer hinzufügt oder Inhalte für einen externen Benutzer freigibt und eine Authentifizierung ("Anmeldung") erfordert, wird automatisch ein Konto in Microsoft Entra ID erstellt, um den externen Gastbenutzer darzustellen. Es ist nicht erforderlich, dass ein delegierter Administrator das Konto für den externen Benutzer erstellt.
Aktualisierungen des Standardzugriffs für externe Benutzer
Um die benutzergesteuerte Freigabe besser zu unterstützen, aktualisieren wir das Verhalten und die Governance des Zugriffs durch externe Benutzer in Microsoft 365.
Ab dem 23. März 2018 erhalten externe Benutzer standardmäßig nicht mehr die Ansprüche "Jeder", "Alle authentifizierten Benutzer" oder "Alle Formularbenutzer" . Externen Benutzern wird nur Zugriff auf Inhalte gewährt, die für die Gruppe freigegeben sind, zu der der externe Benutzer gehört, und auf Inhalte, die direkt mit dem externen Benutzer geteilt werden. Externe Benutzer haben keinen Zugriff auf Inhalte, die für diese drei speziellen Gruppen freigegeben werden.
Neue Option zum Steuern des Zugriffs für externe Benutzer
Verwenden Sie die folgenden Richtlinien, um externen Benutzern zugriff auf die ausgewählten Gruppen zu gewähren.
| Gruppenanspruch | Verfahren | Ergebnis |
|---|---|---|
| Jeder | Konfigurieren Sie Ihren Mandanten so, dass der Anspruch "Jeder" externen Benutzern gewährt wird, indem Sie das Cmdlet Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell ausführen. | Externe Benutzer, denen der Anspruch "Jeder " gewährt wird, haben Zugriff auf Inhalte, die für die Gruppe "Jeder" freigegeben sind. |
| Alle authentifizierten Benutzer und alle Formularbenutzer | Konfigurieren Sie Ihren Mandanten so, dass die Ansprüche "Alle authentifizierten Benutzer " und "Alle Formularbenutzer " externen Benutzern gewährt werden, indem Sie das Set-SPOTenant -ShowAllUsersClaim-$true Windows PowerShell-Cmdlet ausführen. | Externe Benutzer, denen die Ansprüche "Alle authentifizierten Benutzer " und "Alle Formularbenutzer " gewährt werden, haben Zugriff auf Inhalte, die für die Gruppen "Alle authentifizierten Benutzer " und "Alle Formularbenutzer " freigegeben sind. |
Verwenden von Microsoft Entra-Gruppen und dynamischer Mitgliedschaft anstelle von Standardansprüchen
Obwohl wir weiterhin die Freigabe für "Jeder", "Jeder mit Ausnahme externer Benutzer", "Alle authentifizierten Benutzer" und "Alle Formularbenutzer"-Gruppen unterstützen, empfehlen wir Ihnen, die rollenbasierte Zugriffsverwaltung mithilfe von kundendefinierten Gruppen in microsoft Entra ID zu implementieren. Dazu gehören Microsoft 365-Gruppen.
Microsoft 365-Gruppen definieren die Mitgliedschaft und den Zugriff auf Inhalte über Microsoft 365-Dienste und -Erfahrungen hinweg. Viele Microsoft 365-Dienste unterstützen bereits dynamische Microsoft Entra-Gruppen, und diese Dienste werden als eine Reihe von Regeln definiert, die auf Microsoft Entra-Eigenschaften und Geschäftslogik basieren.
Dynamische Gruppen sind die beste Möglichkeit, um sicherzustellen, dass die entsprechenden Benutzer Zugriff auf die richtigen Inhalte haben. Mit dynamischen Gruppen können Sie eine Gruppe einmal definieren, indem Sie eine Definition verwenden, die auf Regeln basiert. Durch diese Möglichkeit müssen Sie keine Mitglieder hinzufügen oder entfernen, wenn Sich Ihre Organisation ändert.
Häufig gestellte Fragen
F: Ist es derzeit möglich, Ihren Mandanten davon abzuweisen, die Änderung zu erhalten?
A: Derzeit gibt es keinen offiziellen "Opt-out"-Prozess. Wenn Sie diese Gruppen weiterhin für externe Benutzer freigeben möchten, können Sie das folgende Cmdlet in PowerShell vor dem 23. März 2018 ausführen:
Set-SPOTenant -ShowEveryoneClaim $true
Notiz
Standardmäßig ist der Wert der Eigenschaft "-ShowEveryoneClaim " auf "True" festgelegt. Um jedoch sicherzustellen, dass der Eigenschaftswert nicht NULL ist, führen Sie diesen Befehl aus, um die Einstellung vollständig zu aktualisieren. Wenn Sie überprüfen möchten, ob die Einstellung aktualisiert wird, wenden Sie sich an Microsoft-Support.
Identifizieren von Ressourcen, die für alle externen Benutzer im Mandanten zulässig sind
Voraussetzungen
Laden Sie das SharePoint-Suchabfragetool herunter.
Notiz
Die Abfragen im folgenden Abschnitt "Prozess" können auch in Webbrowsern ausgeführt werden.
Erstellen Sie ein Verbraucherkonto bei Outlook.com. Dieses Konto ist außerhalb Ihrer Organisation. In diesem Beispiel wird davon ausgegangen, dass das Konto ist contoso_externaluser@outlook.com.
Annahme
- Ihre Microsoft 365-Organisation ist Contoso. Ihre Organisation verwendet contoso.sharepoint.com für SharePoint-Websites und -Gruppen und contoso-my.sharepoint.com für OneDrive-Speicher.
- Sie sind administrator für die Organisation. Ihre Identität isadmin@contoso.com.
Prozess
- Konfigurieren Sie Ihren Mandanten so, dass der Anspruch "Jeder" externen Benutzern gewährt wird, indem Sie Festlegen von Ressourcen bestimmen, auf die alle externen Benutzer Zugriff haben.