向 Microsoft 365 中的外部用户授予“每个人”声明

• 适用于:

  Azure Active Directory, Microsoft 365

总结

从 2018 年 3 月 23 日开始，我们将更新 Microsoft 365 中外部用户访问的行为和管理。

进行此更改后，外部用户将仅看到与该用户共享的内容或用户所属的组。 外部用户将不再看到与 “所有人”、“ 所有经过身份验证的用户”或 “所有窗体用户组 ”共享的内容。 默认情况下，授予这些组权限的内容仅对组织的用户可见。

管理员可以更改默认行为，使外部用户能够查看共享给 每个人、 所有经过身份验证的用户或 所有窗体用户的内容。

更多信息

背景

在本地 Active Directory域中，“每个人”特殊组表示 Active Directory 域中的所有标识。 它包括域的来宾帐户，该帐户默认处于禁用状态。 默认情况下， “每个人 ”组包括委派管理员添加到域的所有用户帐户。

在此更改之前，Microsoft 365 共享本地 Active Directory域的行为：在向用户的安全上下文添加“每个人”声明后，租户Microsoft Entra ID 中的每个用户实际上都被视为“每个人”组的成员。 这包括外部用户。 此声明允许用户访问与 “每个人 ”组共享的任何内容。

同样， 所有经过身份验证的用户 和 所有窗体用户 声明会自动添加到每个用户的安全上下文中。 这包括租户Microsoft Entra ID 中有帐户的外部用户。 这些声明使用户能够访问与 “所有经过身份验证的用户 ”或 “所有窗体用户组 ”共享的任何内容。

Microsoft 365 使用户能够与组织内外的用户无缝共享和协作。 当组织中的用户将外部用户添加到 Microsoft 365 组或与外部用户共享内容并要求进行身份验证（“登录”）进行访问时，将自动在 Microsoft Entra ID 中创建帐户来表示外部来宾用户。 委派管理员无需为外部用户创建帐户。

对外部用户的默认访问的更新

为了更好地支持用户驱动共享，我们将在 Microsoft 365 中更新外部用户的行为和管理访问权限。

从 2018 年 3 月 23 日开始，默认情况下将不再向 外部用户授予“每个人”、“ 所有经过身份验证的用户”或 “所有表单用户 ”声明。 仅向外部用户授予对与外部用户所属组共享的内容以及与外部用户直接共享的内容的访问权限。 外部用户无法访问与这三个特殊组共享的内容。

用于管理外部用户访问权限的新选项

使用以下准则向所选组的外部用户授予访问权限。

组声明	过程	Result
所有人	通过运行 Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell cmdlet，将租户配置为向外部用户授予每个人声明。	被授予 “每个人 ”声明的外部用户有权访问共享给 “每个人 ”组的内容。
所有经过身份验证的用户 和 所有窗体用户	通过运行 Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell cmdlet，将租户配置为向外部用户授予所有经过身份验证的用户和所有窗体用户声明	被授予 “所有经过身份验证的用户 ”和 “所有窗体用户 ”声明的外部用户有权访问共享给 “所有经过身份验证的用户 ”和 “所有窗体用户 ”组的内容。

使用Microsoft Entra 组和动态成员身份，而不是默认声明

尽管我们继续支持与“所有人”、“除外部用户”、“所有经过身份验证的用户”和“所有表单用户组”共享，但我们鼓励你在 Microsoft Entra ID 中使用客户定义组来实现基于角色的访问管理。 这包括Microsoft 365 个组。

Microsoft 365 个组定义跨 Microsoft 365 个服务和体验对内容的成员身份和访问权限。 许多Microsoft 365 服务已经支持Microsoft Entra 动态组，这些服务定义为一组基于 Microsoft Entra 属性和业务逻辑的规则。

动态组是确保适当的用户有权访问正确内容的最佳方式。 动态组允许使用基于规则的定义一次性定义组。 通过具有此功能，无需在组织更改时添加或删除成员。

常见问题解答

问：目前是否可以选择退出租户来接收更改？

答： 目前，没有官方的“选择退出”过程。 如果继续使用这些组向外部用户共享，可以在 2018 年 3 月 23 日之前在 PowerShell 中运行以下 cmdlet：

Set-SPOTenant -ShowEveryoneClaim $true

注意

默认情况下， -ShowEveryoneClaim 属性值设置为 True。 但是，若要确保属性值不 为 null，请运行以下命令以完全更新设置。 如果要验证设置是否已更新，请联系Microsoft 支持部门。

标识租户中所有外部用户允许的资源

先决条件

• 下载 SharePoint 搜索查询工具。

  注意

  以下“进程”部分中的查询也可以在 Web 浏览器中运行。

• 在 Outlook.com 创建使用者帐户。 此帐户在组织外部。 此示例假定帐户为 contoso_externaluser@outlook.com.

假设

• Microsoft 365 组织为 Contoso。 你的组织对 SharePoint 网站和组使用 contoso.sharepoint.com，并为 OneDrive 存储使用 contoso-my.sharepoint.com。
• 你是组织的管理员。 你的标识 isadmin@contoso.com。

处理

• 将租户配置为通过如何确定所有外部用户有权访问的资源，向外部用户授予“每个人”声明。