Concesión de la notificación Todos a usuarios externos en Microsoft 365
Resumen
A partir del 23 de marzo de 2018, estamos actualizando el comportamiento y la gobernanza del acceso por parte de usuarios externos en Microsoft 365.
Una vez realizado este cambio, un usuario externo verá solo el contenido que se comparte con ese usuario o con grupos a los que pertenece el usuario. Los usuarios externos ya no verán el contenido que se comparte con los grupos Todos, Todos los usuarios autenticados o Todos los usuarios de formularios . De forma predeterminada, el contenido al que se conceden permisos a estos grupos solo será visible para los usuarios de la organización.
Los administradores pueden cambiar el comportamiento predeterminado para permitir que los usuarios externos vean el contenido que se comparte con Todos, Todos los usuarios autenticados o Todos los usuarios de formularios.
Más información
Fondo
En Active Directory local dominios, el grupo especial Todos representa todas las identidades del dominio de Active Directory. Incluye la cuenta de invitado del dominio, que está deshabilitada de forma predeterminada. De forma predeterminada, el grupo Todos incluye todas las cuentas de usuario que agregan los administradores delegados al dominio.
Antes de este cambio, Microsoft 365 compartió el comportamiento de los dominios de Active Directory local: cada usuario del identificador de Microsoft Entra de un inquilino se consideraba efectivamente miembro del grupo Todos después de agregar una notificación De todos al contexto de seguridad del usuario. Esto incluía usuarios externos. Esta notificación permite al usuario acceder a cualquier contenido que se comparta con el grupo Todos .
Del mismo modo, las notificaciones Todos los usuarios autenticados y Todos los usuarios de formularios se agregaron automáticamente al contexto de seguridad de cada usuario. Esto incluía usuarios externos que tienen cuentas en el identificador de Microsoft Entra del inquilino. Estas notificaciones permiten a los usuarios acceder a cualquier contenido que se comparta con los grupos Todos los usuarios autenticados o Todos los usuarios de formularios .
Microsoft 365 permite a los usuarios compartir y colaborar sin problemas con los usuarios dentro y fuera de sus organizaciones. Cuando un usuario de su organización agrega un usuario externo a un grupo de Microsoft 365 o comparte contenido con un usuario externo y requiere autenticación ("inicio de sesión") para el acceso, se crea automáticamente una cuenta en microsoft Entra ID para representar al usuario invitado externo. No es necesario que un administrador delegado cree la cuenta para el usuario externo.
Actualizaciones del acceso predeterminado para usuarios externos
Para admitir mejor el uso compartido controlado por el usuario, estamos actualizando el comportamiento y la gobernanza del acceso por parte de usuarios externos en Microsoft 365.
A partir del 23 de marzo de 2018, los usuarios externos ya no recibirán las notificaciones Todos, Todos los usuarios autenticados o Todos los usuarios de formularios de forma predeterminada. A los usuarios externos solo se les concederá acceso al contenido que se comparte con el grupo al que pertenece el usuario externo y al contenido que se comparte directamente con el usuario externo. Los usuarios externos no tendrán acceso al contenido compartido con estos tres grupos especiales.
Nueva opción para controlar el acceso a usuarios externos
Use las instrucciones siguientes para conceder acceso a usuarios externos para los grupos seleccionados.
| Notificación de grupo | Procedimiento | Resultado |
|---|---|---|
| Todos | Configure el inquilino para conceder la notificación Todos a los usuarios externos mediante la ejecución del cmdlet Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Los usuarios externos a los que se concede la notificación Todos tienen acceso al contenido que se comparte con el grupo Todos . |
| Todos los usuarios autenticados y todos los usuarios de formularios | Configure el inquilino para conceder las notificaciones Todos los usuarios autenticados y Todos los usuarios de formularios a usuarios externos mediante la ejecución del cmdlet Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell | Los usuarios externos a los que se conceden las notificaciones Todos los usuarios autenticados y Todos los usuarios de formularios tienen acceso al contenido que se comparte con los grupos Todos los usuarios autenticados y Todos los usuarios de formularios. |
Usar grupos de Microsoft Entra y pertenencia dinámica en lugar de notificaciones predeterminadas
Aunque seguimos admitiendo el uso compartido con los grupos Todos, Todos excepto usuarios externos, Todos los usuarios autenticados y Todos los usuarios de formularios, le animamos a implementar la administración de acceso basado en roles mediante grupos definidos por el cliente en microsoft Entra ID. Esto incluye grupos de Microsoft 365.
Los grupos de Microsoft 365 definen la pertenencia y el acceso al contenido en los servicios y experiencias de Microsoft 365. Muchos servicios de Microsoft 365 ya admiten grupos dinámicos de Microsoft Entra y estos servicios se definen como un conjunto de reglas basadas en las propiedades y la lógica empresarial de Microsoft Entra.
Los grupos dinámicos son la mejor manera de asegurarse de que los usuarios adecuados tengan acceso al contenido correcto. Los grupos dinámicos permiten definir un grupo una vez mediante una definición basada en reglas. Al tener esta capacidad, no tiene que agregar ni quitar miembros a medida que cambia la organización.
Preguntas más frecuentes
P: ¿Actualmente es posible excluir al inquilino de recibir el cambio?
R: Actualmente, no hay ningún proceso oficial de "no participar". Si sigue usando estos grupos para compartir con usuarios externos, puede ejecutar el siguiente cmdlet en PowerShell antes del 23 de marzo de 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Nota
De forma predeterminada, el valor de la propiedad -ShowEveryoneClaim se establece en True. Sin embargo, para asegurarse de que el valor de la propiedad no es NULL, ejecute este comando para actualizar completamente la configuración. Si desea comprobar que la configuración está actualizada, póngase en contacto con Soporte técnico de Microsoft.
Identificación de recursos permitidos para todos los usuarios externos en el inquilino
Requisitos previos
Descargue la herramienta de consulta de búsqueda de SharePoint.
Nota
Las consultas de la siguiente sección "Proceso" también se pueden ejecutar en exploradores web.
Cree una cuenta de consumidor en Outlook.com. Esta cuenta es externa a su organización. En este ejemplo se supone que la cuenta es contoso_externaluser@outlook.com.
Supuestos
- Su organización de Microsoft 365 es Contoso. Su organización usa contoso.sharepoint.com para sitios y grupos de SharePoint y contoso-my.sharepoint.com para el almacenamiento de OneDrive.
- Es administrador de la organización. Su identidad isadmin@contoso.com.
Proceso
- Configure el inquilino para conceder la notificación Todos a los usuarios externos mediante Cómo determinar los recursos a los que tienen acceso todos los usuarios externos.