Gi alle krav til eksterne brukere i Microsoft 365
Sammendrag
Fra og med 23. mars 2018 oppdaterer vi virkemåten og styringen av tilgang for eksterne brukere i Microsoft 365.
Når denne endringen er gjort, vil en ekstern bruker bare se innholdet som deles med denne brukeren eller med grupper som brukeren tilhører. Eksterne brukere vil ikke lenger se innhold som er delt med alle, alle godkjente brukere eller alle skjemabrukere. Som standard vil innhold som er gitt tillatelser til disse gruppene, bare være synlig for organisasjonens brukere.
Administratorer kan endre standard virkemåte for å gjøre det mulig for eksterne brukere å se innhold som er delt med alle, alle godkjente brukere eller alle skjemabrukere.
Mer informasjon
Bakgrunn
I lokal Active Directory domener representerer Alle-spesialgruppen alle identiteter i Active Directory-domenet. Det inkluderer domenets gjestekonto, som er deaktivert som standard. Alle-gruppen inneholder som standard alle brukerkontoer som legges til av delegerte administratorer til domenet.
Før denne endringen delte Microsoft 365 virkemåten til lokal Active Directory domener: Hver bruker i en leiers Microsoft Entra-ID ble effektivt ansett som medlem av Alle-gruppen etter at du la til et Alle-krav i brukerens sikkerhetskontekst. Dette inkluderte eksterne brukere. Denne påstanden gjør det mulig for en bruker å få tilgang til innhold som deles med Alle-gruppen .
På samme måte ble alle godkjente brukere og alle skjemabrukere lagt til automatisk i hver brukers sikkerhetskontekst. Dette inkluderte eksterne brukere som har kontoer i leierens Microsoft Entra-ID. Disse påstandene gjør det mulig for brukere å få tilgang til innhold som deles med alle godkjente brukere eller alle skjemabrukere .
Microsoft 365 gjør det mulig for brukere å dele og samarbeide sømløst med brukere i og utenfor organisasjonen. Når en bruker i organisasjonen legger til en ekstern bruker i en Microsoft 365-gruppe eller deler innhold med en ekstern bruker og krever godkjenning («pålogging») for tilgang, opprettes det automatisk en konto i Microsoft Entra-ID for å representere den eksterne gjestebrukeren. Det er ikke nødvendig for en delegert administrator å opprette kontoen for den eksterne brukeren.
Oppdateringer av standardtilgang for eksterne brukere
For bedre å støtte brukerdrevet deling oppdaterer vi virkemåten og styringen av tilgang for eksterne brukere i Microsoft 365.
Fra og med 23. mars 2018 vil ikke eksterne brukere lenger få alle, alle godkjente brukere eller alle skjemabrukere krav som standard. Eksterne brukere får bare tilgang til innhold som deles med gruppen som den eksterne brukeren tilhører, og til innhold som deles direkte med den eksterne brukeren. Eksterne brukere har ikke tilgang til innhold som deles med disse tre spesialgruppene.
Nytt alternativ for å styre tilgang for eksterne brukere
Bruk følgende retningslinjer for å gi tilgang til eksterne brukere for de valgte gruppene.
| Gruppekrav | Prosedyre | Resultat |
|---|---|---|
| Alle | Konfigurer leieren til å gi alle krav til eksterne brukere ved å kjøre Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell-cmdlet. | Eksterne brukere som er gitt Alle-kravet , har tilgang til innhold som deles til Alle-gruppen . |
| Alle godkjente brukere og alle skjemabrukere | Konfigurer leieren til å gi alle godkjente brukere og alle skjemabrukere krav til eksterne brukere ved å kjøre Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell-cmdlet | Eksterne brukere som får alle godkjente brukere og alle skjemabrukere har tilgang til innhold som deles til alle godkjente brukere og alle skjemabrukere . |
Bruke Microsoft Entra-grupper og dynamisk medlemskap i stedet for standardkrav
Selv om vi fortsetter å støtte deling med gruppene Alle, Alle unntatt eksterne brukere, Alle godkjente brukere og Alle skjemabrukere , oppfordrer vi deg til å implementere rollebasert tilgangsbehandling ved hjelp av kundedefinerte grupper i Microsoft Entra ID. Dette inkluderer Microsoft 365-grupper.
Microsoft 365-grupper definerer medlemskapet og tilgangen til innhold på tvers av Microsoft 365-tjenester og -opplevelser. Mange Microsoft 365-tjenester støtter allerede dynamiske microsoft Entra-grupper, og disse tjenestene er definert som et sett med regler som er basert på Microsoft Entra-egenskaper og forretningslogikk.
Dynamiske grupper er den beste måten å sikre at de aktuelle brukerne har tilgang til riktig innhold. Dynamiske grupper lar deg definere en gruppe én gang ved hjelp av en definisjon som er basert på regler. Ved å ha denne muligheten trenger du ikke å legge til eller fjerne medlemmer etter hvert som organisasjonen endres.
Vanlige spørsmål
Spørsmål: Er det for øyeblikket mulig å velge bort leieren fra å motta endringen?
Svar: For øyeblikket er det ingen offisiell «opt out»-prosess. Hvis du fortsetter å bruke disse gruppene til å dele til eksterne brukere, kan du kjøre følgende cmdlet i PowerShell før 23. mars 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Merk
Som standard er egenskapsverdien ShowEveryoneClaim satt til Sann. Hvis du vil forsikre deg om at egenskapsverdien ikke er null, kjører du denne kommandoen for å oppdatere innstillingen fullstendig. Hvis du vil bekrefte at innstillingen er oppdatert, kan du kontakte Microsoft Kundestøtte.
Identifisering av ressurser som er tillatt for alle eksterne brukere i leieforholdet
Forutsetning
Last ned spørringsverktøyet for SharePoint Search.
Merk
Spørringene i følgende «Prosess»-inndeling kan også kjøres i nettlesere.
Opprett en forbrukerkonto på Outlook.com. Denne kontoen er ekstern for organisasjonen. Dette eksemplet forutsetter at kontoen er contoso_externaluser@outlook.com.
Antakelse
- Microsoft 365-organisasjonen din er Contoso. Organisasjonen bruker contoso.sharepoint.com for SharePoint-nettsteder og -grupper, og contoso-my.sharepoint.com for Lagringsplass i OneDrive.
- Du er administrator for organisasjonen. isadmin@contoso.comIdentiteten din.
Prosess
- Konfigurer leieren til å gi alle krav til eksterne brukere ved å bestemme ressurser som alle eksterne brukere har tilgang til.