Udzielanie wszystkim oświadczeń użytkownikom zewnętrznym na platformie Microsoft 365
Podsumowanie
Od 23 marca 2018 r. aktualizujemy zachowanie i nadzór nad dostępem użytkowników zewnętrznych na platformie Microsoft 365.
Po wprowadzeniu tej zmiany użytkownik zewnętrzny będzie widzieć tylko zawartość udostępnioną temu użytkownikowi lub grupom, do których należy użytkownik. Użytkownicy zewnętrzni nie będą już widzieć zawartości udostępnionej wszystkim, wszystkim uwierzytelnieni użytkownikom ani wszystkim użytkownikom formularzy. Domyślnie zawartość, która ma przyznane uprawnienia do tych grup, będzie widoczna tylko dla użytkowników organizacji.
Administratorzy mogą zmienić domyślne zachowanie, aby umożliwić użytkownikom zewnętrznym wyświetlanie zawartości udostępnionej wszystkim, wszystkim uwierzytelnieni użytkownikom lub wszystkim użytkownikom formularzy.
Więcej informacji
Tło
W domenach lokalna usługa Active Directory grupa specjalna Wszyscy reprezentuje wszystkie tożsamości w domenie usługi Active Directory. Obejmuje ono konto gościa domeny, które jest domyślnie wyłączone. Domyślnie grupa Wszyscy zawiera wszystkie konta użytkowników dodane przez administratorów delegowanych do domeny.
Przed tą zmianą platforma Microsoft 365 udostępniła zachowanie domen lokalna usługa Active Directory: każdy użytkownik w identyfikatorze Microsoft Entra w dzierżawie został skutecznie uznany za członka grupy Wszyscy po dodaniu oświadczenia Wszyscy do kontekstu zabezpieczeń użytkownika. Obejmowało to użytkowników zewnętrznych. To oświadczenie umożliwia użytkownikowi dostęp do dowolnej zawartości udostępnionej grupie Wszyscy .
Podobnie oświadczenia Wszyscy uwierzytelnieni użytkownicy i Wszyscy użytkownicy formularzy zostały automatycznie dodane do kontekstu zabezpieczeń każdego użytkownika. Obejmowało to użytkowników zewnętrznych, którzy mają konta w identyfikatorze Microsoft Entra ID dzierżawy. Te oświadczenia umożliwiają użytkownikom dostęp do dowolnej zawartości udostępnionej grupom Wszyscy uwierzytelnieni użytkownicy lub Wszyscy użytkownicy formularzy.
Platforma Microsoft 365 umożliwia użytkownikom bezproblemowe udostępnianie i współpracę z użytkownikami wewnątrz organizacji i poza nimi. Gdy użytkownik w organizacji dodaje użytkownika zewnętrznego do grupy platformy Microsoft 365 lub udostępnia zawartość użytkownikowi zewnętrznemu i wymaga uwierzytelnienia ("logowania") w celu uzyskania dostępu, konto zostanie automatycznie utworzone w identyfikatorze Microsoft Entra w celu reprezentowania zewnętrznego użytkownika-gościa. Nie jest konieczne, aby administrator delegowany utworzył konto dla użytkownika zewnętrznego.
Aktualizacje domyślnego dostępu dla użytkowników zewnętrznych
Aby lepiej obsługiwać udostępnianie oparte na użytkownikach, aktualizujemy zachowanie i nadzór nad dostępem użytkowników zewnętrznych na platformie Microsoft 365.
Od 23 marca 2018 r. użytkownicy zewnętrzni nie otrzymają już oświadczeń Wszyscy, Wszyscy uwierzytelnieni użytkownicy ani Wszyscy użytkownicy formularzy. Użytkownicy zewnętrzni otrzymają dostęp tylko do zawartości udostępnionej grupie, do której należy użytkownik zewnętrzny, oraz do zawartości udostępnianej bezpośrednio użytkownikowi zewnętrznemu. Użytkownicy zewnętrzni nie będą mieli dostępu do zawartości udostępnionej tym trzem grupom specjalnym.
Nowa opcja zarządzania dostępem dla użytkowników zewnętrznych
Skorzystaj z poniższych wskazówek, aby udzielić dostępu użytkownikom zewnętrznym dla wybranych grup.
| Oświadczenie grupy | Procedura | Wynik |
|---|---|---|
| Każdy | Skonfiguruj dzierżawę, aby przyznać użytkownikom zewnętrznym oświadczenie Wszyscy , uruchamiając polecenie cmdlet Set-SPOTenant -ShowEveryoneClaim $true programu Windows PowerShell. | Użytkownicy zewnętrzni, którym udzielono oświadczenia Wszyscy mają dostęp do zawartości udostępnionej grupie Wszyscy . |
| Wszyscy uwierzytelnieni użytkownicy i wszyscy użytkownicy formularzy | Skonfiguruj dzierżawę, aby przyznać użytkownikom zewnętrznym oświadczenia Wszyscy uwierzytelnieni użytkownicy i Wszyscy użytkownicy formularzy, uruchamiając polecenie cmdlet Set-SPOTenant -ShowAllUsersClaim $true programu Windows PowerShell | Użytkownicy zewnętrzni, którym udzielono oświadczeń Wszyscy uwierzytelnieni użytkownicy i Wszyscy użytkownicy formularzy, mają dostęp do zawartości udostępnionej grupom Wszyscy uwierzytelnieni użytkownicy i Wszyscy użytkownicy formularzy. |
Używanie grup Entra firmy Microsoft i członkostwa dynamicznego zamiast domyślnych oświadczeń
Mimo że nadal obsługujemy udostępnianie wszystkim, wszyscy z wyjątkiem użytkowników zewnętrznych, wszystkich uwierzytelnionych użytkowników i grup Wszyscy użytkownicy formularzy, zachęcamy do zaimplementowania zarządzania dostępem na podstawie ról przy użyciu grup zdefiniowanych przez klienta w identyfikatorze Entra firmy Microsoft. Obejmuje to grupy platformy Microsoft 365.
Grupy platformy Microsoft 365 definiują członkostwo i dostęp do zawartości w usługach i środowiskach platformy Microsoft 365. Wiele usług platformy Microsoft 365 już obsługuje grupy dynamiczne Firmy Microsoft Entra, a te usługi są definiowane jako zestaw reguł opartych na właściwościach firmy Microsoft i logice biznesowej.
Grupy dynamiczne to najlepszy sposób, aby upewnić się, że odpowiedni użytkownicy mają dostęp do odpowiedniej zawartości. Grupy dynamiczne umożliwiają definiowanie grupy jednorazowo przy użyciu definicji opartej na regułach. Dzięki tej możliwości nie musisz dodawać ani usuwać członków w miarę wprowadzania zmian w organizacji.
Często zadawane pytania
.: Czy obecnie można zrezygnować z otrzymywania zmian w dzierżawie?
1: Obecnie nie ma oficjalnego procesu "rezygnacji". Jeśli nadal używasz tych grup do udostępniania użytkownikom zewnętrznym, możesz uruchomić następujące polecenie cmdlet w programie PowerShell przed 23 marca 2018 r.:
Set-SPOTenant -ShowEveryoneClaim $true
Uwaga
Domyślnie wartość właściwości -ShowEveryoneClaim ma wartość True. Aby jednak upewnić się, że wartość właściwości nie ma wartości null, uruchom to polecenie, aby w pełni zaktualizować ustawienie. Jeśli chcesz sprawdzić, czy ustawienie zostało zaktualizowane, skontaktuj się z pomoc techniczna firmy Microsoft.
Identyfikowanie zasobów dozwolonych dla wszystkich użytkowników zewnętrznych w dzierżawie
Wymagania wstępne
Pobierz narzędzie kwerendy wyszukiwania programu SharePoint.
Uwaga
Zapytania w poniższej sekcji "Proces" można również uruchamiać w przeglądarkach internetowych.
Utwórz konto konsumenta w Outlook.com. To konto jest zewnętrzne dla Twojej organizacji. W tym przykładzie przyjęto założenie, że konto to contoso_externaluser@outlook.com.
Przypuszczenie
- Twoja organizacja platformy Microsoft 365 to Contoso. Twoja organizacja używa contoso.sharepoint.com dla witryn i grup programu SharePoint oraz contoso-my.sharepoint.com dla magazynu w usłudze OneDrive.
- Jesteś administratorem organizacji. Twoja tożsamość isadmin@contoso.com.
Przetwarzaj
- Skonfiguruj dzierżawę, aby przyznać użytkownikom zewnętrznym oświadczenie wszyscy według sposobu określania zasobów, do których mają dostęp wszyscy użytkownicy zewnętrzni.