Conceder a declaração Todos a usuários externos no Microsoft 365
Resumo
A partir de 23 de março de 2018, estamos atualizando o comportamento e a governança de acesso por usuários externos no Microsoft 365.
Depois que essa alteração for feita, um usuário externo verá apenas o conteúdo compartilhado com esse usuário ou com os grupos aos quais o usuário pertence. Os usuários externos não verão mais o conteúdo compartilhado com os grupos Todos, Todos os Usuários Autenticados ou Todos os Usuários de Formulários. Por padrão, o conteúdo concedido permissões a esses grupos ficará visível apenas para os usuários da sua organização.
Os administradores podem alterar o comportamento padrão para permitir que usuários externos vejam o conteúdo compartilhado com Todos, Todos os Usuários Autenticados ou Todos os Usuários de Formulários.
Mais Informações
Fundo
Nos domínios locais do Ative Directory, o grupo especial Todos representa todas as identidades no domínio do Ative Directory. Inclui a conta de convidado do domínio, que está desativada por predefinição. Por padrão, o grupo Todos inclui todas as contas de usuário adicionadas por administradores delegados ao domínio.
Antes dessa alteração, o Microsoft 365 compartilhava o comportamento de domínios locais do Ative Directory: cada usuário na ID do Microsoft Entra de um locatário era efetivamente considerado um membro do grupo Todos depois que você adicionou uma declaração Todos ao contexto de segurança do usuário. Isso incluiu usuários externos. Essa declaração permite que um usuário acesse qualquer conteúdo compartilhado com o grupo Todos .
Da mesma forma, as declarações Todos os usuários autenticados e Todos os usuários de formulários foram adicionadas automaticamente ao contexto de segurança de cada usuário. Isso incluiu usuários externos que têm contas na ID do Microsoft Entra do locatário. Essas declarações permitem que os usuários acessem qualquer conteúdo compartilhado com os grupos Todos os usuários autenticados ou Todos os usuários de formulários.
O Microsoft 365 permite que os usuários compartilhem e colaborem perfeitamente com usuários dentro e fora de suas organizações. Quando um usuário em sua organização adiciona um usuário externo a um grupo do Microsoft 365 ou compartilha conteúdo com um usuário externo e requer autenticação ("entrar") para acesso, uma conta é criada automaticamente no ID do Microsoft Entra para representar o usuário convidado externo. Não é necessário que um administrador delegado crie a conta para o usuário externo.
Atualizações do acesso padrão para usuários externos
Para oferecer melhor suporte ao compartilhamento orientado pelo usuário, estamos atualizando o comportamento e a governança do acesso por usuários externos no Microsoft 365.
A partir de 23 de março de 2018, os usuários externos não receberão mais as declarações Todos, Todos os Usuários Autenticados ou Todos os Formulários Usuários por padrão. Os usuários externos terão acesso apenas ao conteúdo compartilhado com o grupo ao qual o usuário externo pertence e ao conteúdo compartilhado diretamente com o usuário externo. Os utilizadores externos não terão acesso ao conteúdo partilhado com estes três grupos especiais.
Nova opção para controlar o acesso de utilizadores externos
Use as diretrizes a seguir para conceder acesso a usuários externos para os grupos selecionados.
| Reivindicação de grupo | Tramitação processual | Resultado |
|---|---|---|
| Todos | Configure seu locatário para conceder a declaração Todos a usuários externos executando o cmdlet Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Os usuários externos aos quais é concedida a declaração Todos têm acesso ao conteúdo compartilhado com o grupo Todos . |
| Todos os usuários autenticados e todos os usuários de formulários | Configure seu locatário para conceder as declarações Todos os Usuários Autenticados e Todos os Formulários Usuários a usuários externos executando o cmdlet Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell | Os usuários externos aos quais são concedidas as declarações Todos os Usuários Autenticados e Todos os Usuários de Formulários têm acesso ao conteúdo compartilhado com os grupos Todos os Usuários Autenticados e Todos os Usuários de Formulários. |
Usar grupos do Microsoft Entra e associação dinâmica em vez de declarações padrão
Embora continuemos a oferecer suporte ao compartilhamento com os grupos Todos, Todos exceto Usuários Externos, Todos os Usuários Autenticados e Todos os Usuários de Formulários, recomendamos que você implemente o gerenciamento de acesso baseado em função usando grupos definidos pelo cliente no Microsoft Entra ID. Isso inclui grupos do Microsoft 365.
Os grupos do Microsoft 365 definem a associação e o acesso ao conteúdo nos serviços e experiências do Microsoft 365. Muitos serviços do Microsoft 365 já oferecem suporte a grupos dinâmicos do Microsoft Entra e esses serviços são definidos como um conjunto de regras baseadas nas propriedades e na lógica de negócios do Microsoft Entra.
Os grupos dinâmicos são a melhor maneira de garantir que os usuários apropriados tenham acesso ao conteúdo correto. Os grupos dinâmicos permitem definir um grupo uma vez usando uma definição baseada em regras. Ao ter essa capacidade, você não precisa adicionar ou remover membros à medida que sua organização muda.
FAQ
P: Atualmente, é possível recusar o recebimento da alteração pelo seu inquilino?
R: Atualmente, não existe um processo oficial de "opt out". Se você continuar a usar esses grupos para compartilhar com usuários externos, poderá executar o seguinte cmdlet no PowerShell antes de 23 de março de 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Nota
Por padrão, o valor da propriedade -ShowEveryoneClaim é definido como True. No entanto, para certificar-se de que o valor da propriedade não é nulo, execute este comando para atualizar totalmente a configuração. Se você quiser verificar se a configuração está atualizada, entre em contato com o Suporte da Microsoft.
Identificação de recursos permitidos a todos os utilizadores externos no arrendamento
Pré-requisitos
Baixe a Ferramenta de Consulta de Pesquisa do SharePoint.
Nota
As consultas na seção "Processo" a seguir também podem ser executadas em navegadores da web.
Crie uma conta de consumidor em Outlook.com. Esta conta é externa à sua organização. Este exemplo pressupõe que a conta é contoso_externaluser@outlook.com.
Assunção
- Sua organização do Microsoft 365 é a Contoso. Sua organização usa contoso.sharepoint.com para sites e grupos do SharePoint e contoso-my.sharepoint.com para armazenamento do OneDrive.
- Você é um administrador da organização. A sua identidade isadmin@contoso.com.
Processo
- Configure seu locatário para conceder a declaração Todos a usuários externos por Como determinar recursos aos quais todos os usuários externos têm acesso.