Microsoft 365 で Everyone 要求を外部ユーザーに付与する
まとめ
2018 年 3 月 23 日以降、Microsoft 365 の外部ユーザーによるアクセスの動作とガバナンスが更新されます。
この変更が行われると、外部ユーザーには、そのユーザーまたはユーザーが属しているグループと共有されているコンテンツのみが表示されます。 外部ユーザーには、 Everyone、 All Authenticated Users、または All Forms Users グループと共有されているコンテンツが表示されなくなります。 既定では、これらのグループに対するアクセス許可が付与されているコンテンツは、組織のユーザーにのみ表示されます。
管理者は、既定の動作を変更して、外部ユーザーが Everyone、 All Authenticated Users、または All Forms Users に共有されているコンテンツを表示できるようにします。
その他の情報
背景
オンプレミスの Active Directory ドメインでは、Everyone 特殊なグループは、Active Directory ドメイン内のすべての ID を表します。 これにはドメインのゲスト アカウントが含まれています。このアカウントは既定で無効になっています。 既定では、 Everyone グループには、委任された管理者によってドメインに追加されるすべてのユーザー アカウントが含まれます。
この変更の前に、Microsoft 365 は、オンプレミスの Active Directory ドメインの動作を共有していました。テナントの Microsoft Entra ID のすべてのユーザーは、ユーザーのセキュリティ コンテキストに Everyone 要求を追加した後、実質的に Everyone グループのメンバーと見なされていました。 これには外部ユーザーが含まれていました。 この要求により、ユーザーは Everyone グループと共有されているコンテンツにアクセスできます。
同様に、 All Authenticated Users および All Forms Users 要求は、各ユーザーのセキュリティ コンテキストに自動的に追加されました。 これには、テナントの Microsoft Entra ID にアカウントを持つ外部ユーザーが含まれていました。 これらの要求により、ユーザーは、 All Authenticated Users または All Forms Users グループと共有されるすべてのコンテンツにアクセスできます。
Microsoft 365 を使用すると、ユーザーは組織内外のユーザーとシームレスに共有および共同作業を行うことができます。 組織内のユーザーが外部ユーザーを Microsoft 365 グループに追加するか、外部ユーザーとコンテンツを共有し、アクセスに認証 ("サインイン") を必要とする場合、外部ゲスト ユーザーを表すアカウントが Microsoft Entra ID で自動的に作成されます。 代理管理者が外部ユーザーのアカウントを作成する必要はありません。
外部ユーザーの既定のアクセスの更新
ユーザー主導の共有をより適切にサポートするために、Microsoft 365 の外部ユーザーによるアクセスの動作とガバナンスを更新しています。
2018 年 3 月 23 日以降、外部ユーザーには既定で Everyone、 All Authenticated Users、または All Forms Users 要求が付与されなくなります。 外部ユーザーには、外部ユーザーが属するグループと共有されているコンテンツと、外部ユーザーと直接共有されるコンテンツへのアクセスのみが付与されます。 外部ユーザーは、これら 3 つの特別なグループと共有されているコンテンツにアクセスできません。
外部ユーザーのアクセスを管理するための新しいオプション
選択したグループの外部ユーザーにアクセス権を付与するには、次のガイドラインを使用します。
| グループ要求 | 手順 | 結果 |
|---|---|---|
| すべてのユーザー | Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell コマンドレットを実行して、Everyone 要求を外部ユーザーに付与するようにテナントを構成します。 | Everyone 要求が付与されている外部ユーザーは、Everyone グループに共有されているコンテンツにアクセスできます。 |
| すべての認証済みユーザー および すべてのフォーム ユーザー | Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell コマンドレットを実行して、All Authenticated Usersおよび All Forms Users 要求を外部ユーザーに付与するようにテナントを構成します | All Authenticated Users および All Forms Users 要求が付与されている外部ユーザーは、All Authenticated Users および All Forms Users グループに共有されているコンテンツにアクセスできます。 |
既定の要求の代わりに Microsoft Entra グループと動的メンバーシップを使用する
Everyone、Everyone Except External Users、All Authenticated Users、および All Forms Users グループとの共有は引き続きサポートされますが、Microsoft Entra ID でユーザー定義グループを使用してロールベースのアクセス管理を実装することをお勧めします。 これには、Microsoft 365 グループが含まれます。
Microsoft 365 グループは、Microsoft 365 のサービスとエクスペリエンス全体のコンテンツへのメンバーシップとアクセスを定義します。 多くの Microsoft 365 サービスは既に Microsoft Entra 動的グループをサポートしており、これらのサービスは、Microsoft Entra のプロパティとビジネス ロジックに基づく一連のルールとして定義されています。
動的グループは、適切なユーザーが適切なコンテンツにアクセスできるようにする最適な方法です。 動的グループを使用すると、ルールに基づく定義を使用してグループを 1 回定義できます。 この機能を使用することで、組織の変更に合わせてメンバーを追加または削除する必要はありません。
よく寄せられる質問
Q: 現在、テナントが変更を受け取ることをオプトアウトできますか?
A: 現在、公式の "オプトアウト" プロセスはありません。 これらのグループを引き続き使用して外部ユーザーと共有する場合は、2018 年 3 月 23 日より前に PowerShell で次のコマンドレットを実行できます。
Set-SPOTenant -ShowEveryoneClaim $true
Note
既定では、 -ShowEveryoneClaim プロパティの値は True に設定されます。 ただし、プロパティ値が null ではないことを確認するにはこのコマンドを実行して設定を完全に更新します。 設定が更新されたことを確認する場合は、Microsoft サポートにお問い合わせください。
テナント内のすべての外部ユーザーに許可されているリソースの識別
前提条件
SharePoint 検索クエリ ツールをダウンロードします。
Note
次の 「プロセス」セクションのクエリは、Web ブラウザーでも実行できます。
Outlook.comでコンシューマー アカウントを作成します。 このアカウントは組織の外部にあります。 この例では、アカウントが contoso_externaluser@outlook.comされていることを前提としています。
前提
- Microsoft 365 組織は Contoso です。 組織では、SharePoint サイトとグループに contoso.sharepoint.com を使用し、OneDrive ストレージの contoso-my.sharepoint.com を使用しています。
- あなたは組織の管理者です。 ID isadmin@contoso.com。
プロセス
- Everyone 要求を外部ユーザーに付与するようにテナントを構成します。すべての外部ユーザーがアクセスできるリソースを決定する方法。