Conceder a declaração Todos a usuários externos no Microsoft 365
Resumo
A partir de 23 de março de 2018, estamos atualizando o comportamento e a governança do acesso por usuários externos no Microsoft 365.
Depois que essa alteração for feita, um usuário externo verá apenas o conteúdo compartilhado com esse usuário ou com grupos aos quais o usuário pertence. Os usuários externos não verão mais o conteúdo compartilhado com os grupos Todos, Todos os Usuários Autenticados ou Todos os Usuários de Formulários. Por padrão, o conteúdo que recebe permissões para esses grupos ficará visível apenas para os usuários da sua organização.
Os administradores podem alterar o comportamento padrão para permitir que usuários externos vejam o conteúdo compartilhado com Todos, Todos os Usuários Autenticados ou Todos os Usuários de Formulários.
Mais informações
Tela de fundo
Em domínios locais do Active Directory, o grupo especial Todos representa todas as identidades no domínio do Active Directory. Inclui a conta de convidado do domínio, que está desabilitada por padrão. Por padrão, o grupo Todos inclui todas as contas de usuário adicionadas por administradores delegados ao domínio.
Antes dessa alteração, o Microsoft 365 compartilhava o comportamento dos domínios locais do Active Directory: cada usuário na ID do Microsoft Entra de um locatário era efetivamente considerado um membro do grupo Todos depois que você adicionava uma declaração Todos ao contexto de segurança do usuário. Isso incluiu usuários externos. Essa declaração permite que um usuário acesse qualquer conteúdo compartilhado com o grupo Todos .
Da mesma forma, as declarações Todos os usuários autenticados e Todos os usuários de formulários foram adicionadas automaticamente ao contexto de segurança de cada usuário. Isso incluiu usuários externos que têm contas na ID do Microsoft Entra do locatário. Essas declarações permitem que os usuários acessem qualquer conteúdo compartilhado com os grupos Todos os usuários autenticados ou Todos os usuários de formulários .
O Microsoft 365 permite que os usuários compartilhem e colaborem perfeitamente com usuários dentro e fora de suas organizações. Quando um usuário em sua organização adiciona um usuário externo a um grupo do Microsoft 365 ou compartilha conteúdo com um usuário externo e requer autenticação ("entrada") para acesso, uma conta é criada automaticamente na ID do Microsoft Entra para representar o usuário convidado externo. Não é necessário que um administrador delegado crie a conta para o usuário externo.
Atualizações para o acesso padrão para usuários externos
Para dar melhor suporte ao compartilhamento controlado pelo usuário, estamos atualizando o comportamento e a governança do acesso por usuários externos no Microsoft 365.
A partir de 23 de março de 2018, os usuários externos não receberão mais as declarações Todos, Todos os Usuários Autenticados ou Todos os Usuários de Formulários por padrão. Os usuários externos terão acesso apenas ao conteúdo compartilhado com o grupo ao qual o usuário externo pertence e ao conteúdo compartilhado diretamente com o usuário externo. Os usuários externos não terão acesso ao conteúdo compartilhado com esses três grupos especiais.
Nova opção para controlar o acesso de usuários externos
Use as diretrizes a seguir para conceder acesso a usuários externos para os grupos selecionados.
| Declaração de grupo | Procedimento | Resultado |
|---|---|---|
| Todos | Configure seu locatário para conceder a declaração Todos a usuários externos executando o Set-SPOTenant -ShowEveryoneClaim $true cmdlet Windows PowerShell. | Os usuários externos que recebem a declaração Todos têm acesso ao conteúdo compartilhado com o grupo Todos . |
| Todos os usuários autenticados e todos os usuários de formulários | Configure seu locatário para conceder as declarações Todos os Usuários Autenticados e Todos os Usuários de Formulários a usuários externos executando o Set-SPOTenant -ShowAllUsersClaim $true cmdlet do Windows PowerShell | Os usuários externos que recebem as declarações Todos os Usuários Autenticados e Todos os Usuários de Formulários têm acesso ao conteúdo compartilhado com os grupos Todos os Usuários Autenticados e Todos os Usuários de Formulários. |
Usar grupos do Microsoft Entra e associação dinâmica em vez de declarações padrão
Embora continuemos a dar suporte ao compartilhamento com os grupos Todos, Todos, exceto Usuários Externos, Todos os Usuários Autenticados e Todos os Usuários de Formulários, recomendamos que você implemente o gerenciamento de acesso baseado em função usando grupos definidos pelo cliente na ID do Microsoft Entra. Isso inclui grupos do Microsoft 365.
Os grupos do Microsoft 365 definem a associação e o acesso ao conteúdo nos serviços e experiências do Microsoft 365. Muitos serviços do Microsoft 365 já dão suporte a grupos dinâmicos do Microsoft Entra e esses serviços são definidos como um conjunto de regras baseadas nas propriedades e na lógica de negócios do Microsoft Entra.
Os grupos dinâmicos são a melhor maneira de garantir que os usuários apropriados tenham acesso ao conteúdo correto. Os grupos dinâmicos permitem que você defina um grupo uma vez usando uma definição baseada em regras. Ao ter essa capacidade, você não precisa adicionar ou remover membros à medida que sua organização muda.
Perguntas frequentes
P: No momento, é possível recusar que seu locatário receba a alteração?
R: Atualmente, não há um processo oficial de "desativação". Se você continuar a usar esses grupos para compartilhar com usuários externos, poderá executar o seguinte cmdlet no PowerShell antes de 23 de março de 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Observação
Por padrão, o valor da propriedade -ShowEveryoneClaim é definido como True. No entanto, para garantir que o valor da propriedade não seja nulo, execute este comando para atualizar totalmente a configuração. Se você quiser verificar se a configuração está atualizada, entre em contato com o Suporte da Microsoft.
Identificando recursos permitidos a todos os usuários externos na tenancy
Pré-requisitos
Baixe a Ferramenta de Consulta de Pesquisa do SharePoint.
Observação
As consultas na seção "Processo" a seguir também podem ser executadas em navegadores da Web.
Crie uma conta de consumidor em Outlook.com. Essa conta é externa à sua organização. Este exemplo pressupõe que a conta é contoso_externaluser@outlook.com.
Hipóteses
- Sua organização do Microsoft 365 é a Contoso. Sua organização usa contoso.sharepoint.com para sites e grupos do SharePoint e contoso-my.sharepoint.com para armazenamento do OneDrive.
- Você é um administrador da organização. Sua identidade isadmin@contoso.com.
Processar
- Configure seu locatário para conceder a declaração Todos a usuários externos em Como determinar os recursos aos quais todos os usuários externos têm acesso.