Accorder la revendication Tout le monde aux utilisateurs externes dans Microsoft 365
Résumé
À compter du 23 mars 2018, nous mettons à jour le comportement et la gouvernance de l’accès par les utilisateurs externes dans Microsoft 365.
Une fois cette modification effectuée, un utilisateur externe voit uniquement le contenu partagé avec cet utilisateur ou avec des groupes auxquels appartient l’utilisateur. Les utilisateurs externes ne verront plus de contenu partagé avec tous les utilisateurs authentifiés ou tous les groupes d’utilisateurs de formulaires. Par défaut, le contenu accordé aux autorisations accordées à ces groupes sera visible uniquement pour les utilisateurs de votre organisation.
Les administrateurs peuvent modifier le comportement par défaut pour permettre aux utilisateurs externes de voir le contenu partagé à tout le monde, tous les utilisateurs authentifiés ou tous les utilisateurs de formulaires.
Informations supplémentaires
Background
Dans Active Directory local domaines, le groupe spécial Tout le monde représente toutes les identités du domaine Active Directory. Il inclut le compte invité du domaine, qui est désactivé par défaut. Par défaut, le groupe Tout le monde inclut tous les comptes d’utilisateur ajoutés par les administrateurs délégués au domaine.
Avant cette modification, Microsoft 365 a partagé le comportement des domaines Active Directory local : chaque utilisateur dans l’ID Microsoft Entra d’un locataire a été considéré comme membre du groupe Tout le monde après avoir ajouté une revendication Tout le monde au contexte de sécurité de l’utilisateur. Cela comprenait des utilisateurs externes. Cette revendication permet à un utilisateur d’accéder à tout contenu partagé avec le groupe Tout le monde .
De même, les revendications Tous les utilisateurs authentifiés et Tous les utilisateurs de formulaires ont été ajoutées automatiquement au contexte de sécurité de chaque utilisateur. Cela inclut les utilisateurs externes qui ont des comptes dans l’ID Microsoft Entra du locataire. Ces revendications permettent aux utilisateurs d’accéder à tout contenu partagé avec les groupes Tous les utilisateurs authentifiés ou Tous les utilisateurs de formulaires .
Microsoft 365 permet aux utilisateurs de partager et de collaborer en toute transparence avec les utilisateurs à l’intérieur et à l’extérieur de leurs organisations. Lorsqu’un utilisateur de votre organisation ajoute un utilisateur externe à un groupe Microsoft 365 ou partage du contenu avec un utilisateur externe et nécessite l’authentification (« connexion ») pour l’accès, un compte est automatiquement créé dans Microsoft Entra ID pour représenter l’utilisateur invité externe. Il n’est pas nécessaire pour un administrateur délégué de créer le compte de l’utilisateur externe.
Mises à jour de l’accès par défaut pour les utilisateurs externes
Pour mieux prendre en charge le partage piloté par l’utilisateur, nous mettons à jour le comportement et la gouvernance de l’accès par les utilisateurs externes dans Microsoft 365.
À compter du 23 mars 2018, les utilisateurs externes ne reçoivent plus les revendications Tout le monde, Tous les utilisateurs authentifiés ou Tous les utilisateurs authentifiés par défaut. Les utilisateurs externes reçoivent un accès uniquement au contenu partagé avec le groupe auquel appartient l’utilisateur externe et au contenu qui est partagé directement avec l’utilisateur externe. Les utilisateurs externes n’auront pas accès au contenu partagé avec ces trois groupes spéciaux.
Nouvelle option pour régir l’accès pour les utilisateurs externes
Utilisez les instructions suivantes pour accorder l’accès aux utilisateurs externes pour les groupes sélectionnés.
| Revendication de groupe | Procédure | Résultat |
|---|---|---|
| Tout le monde | Configurez votre locataire pour accorder la revendication Tout le monde aux utilisateurs externes en exécutant l’applet de commande Set-SPOTenant -ShowEveryoneClaim $true Applet de commande Windows PowerShell. | Les utilisateurs externes auxquels la revendication Tout le monde a accès au contenu partagé au groupe Tout le monde . |
| Tous les utilisateurs authentifiés et tous les utilisateurs de formulaires | Configurez votre locataire pour accorder les revendications Tous les utilisateurs authentifiés et tous les utilisateurs de formulaires aux utilisateurs externes en exécutant l’applet de commande Set-SPOTenant -ShowAllUsersClaim $true applet de commande Windows PowerShell | Les utilisateurs externes auxquels les revendications Tous les utilisateurs authentifiés et tous les utilisateurs de formulaires ont accès au contenu partagé à tous les utilisateurs authentifiés et à tous les groupes d’utilisateurs de formulaires. |
Utiliser les groupes Microsoft Entra et l’appartenance dynamique au lieu des revendications par défaut
Bien que nous continuions à prendre en charge le partage avec tout le monde, tout le monde sauf les utilisateurs externes, tous les utilisateurs authentifiés et tous les groupes d’utilisateurs de formulaires, nous vous encourageons à implémenter la gestion des accès en fonction du rôle à l’aide de groupes définis par le client dans Microsoft Entra ID. Cela inclut les groupes Microsoft 365.
Les groupes Microsoft 365 définissent l’appartenance et l’accès au contenu dans les services et expériences Microsoft 365. De nombreux services Microsoft 365 prennent déjà en charge les groupes dynamiques Microsoft Entra, et ces services sont définis comme un ensemble de règles basées sur les propriétés microsoft Entra et la logique métier.
Les groupes dynamiques sont le meilleur moyen de s’assurer que les utilisateurs appropriés ont accès au contenu approprié. Les groupes dynamiques vous permettent de définir un groupe une fois à l’aide d’une définition basée sur des règles. En ayant cette capacité, vous n’avez pas besoin d’ajouter ou de supprimer des membres à mesure que votre organisation change.
Forum aux questions
Q : Est-il actuellement possible de refuser à votre locataire de recevoir la modification ?
R : Actuellement, il n’y a pas de processus officiel de « refus ». Si vous continuez à utiliser ces groupes pour partager des utilisateurs externes, vous pouvez exécuter l’applet de commande suivante dans PowerShell avant le 23 mars 2018 :
Set-SPOTenant -ShowEveryoneClaim $true
Note
Par défaut, la valeur de la propriété -ShowEveryoneClaim est définie sur True. Toutefois, pour vous assurer que la valeur de la propriété n’est pas null, exécutez cette commande pour mettre à jour entièrement le paramètre. Si vous souhaitez vérifier que le paramètre est mis à jour, contactez Support Microsoft.
Identification des ressources autorisées pour tous les utilisateurs externes dans la location
Conditions préalables
Téléchargez l’outil de requête de recherche SharePoint.
Note
Les requêtes de la section « Processus » suivante peuvent également être exécutées dans les navigateurs web.
Créez un compte consommateur à Outlook.com. Ce compte est externe à votre organisation. Cet exemple suppose que le compte est contoso_externaluser@outlook.com.
Supposition
- Votre organisation Microsoft 365 est Contoso. Votre organisation utilise contoso.sharepoint.com pour les sites et groupes SharePoint, et contoso-my.sharepoint.com pour le stockage OneDrive.
- Vous êtes administrateur de l’organisation. Votre identité isadmin@contoso.com.
Process
- Configurez votre locataire pour accorder la revendication Tout le monde aux utilisateurs externes en déterminant les ressources auxquelles tous les utilisateurs externes ont accès.