Iedereen claimen aan externe gebruikers in Microsoft 365
Samenvatting
Vanaf 23 maart 2018 werken we het gedrag en de governance van toegang door externe gebruikers in Microsoft 365 bij.
Nadat deze wijziging is aangebracht, ziet een externe gebruiker alleen de inhoud die wordt gedeeld met die gebruiker of met groepen waartoe de gebruiker behoort. Externe gebruikers zien geen inhoud meer die wordt gedeeld met de groepen Iedereen, Alle geverifieerde gebruikers of Alle formuliergebruikers . Inhoud die is verleend aan deze groepen, is standaard alleen zichtbaar voor de gebruikers van uw organisatie.
Beheerders kunnen het standaardgedrag wijzigen om externe gebruikers in staat te stellen inhoud te zien die wordt gedeeld met Iedereen, Alle geverifieerde gebruikers of Alle formuliergebruikers.
Meer informatie
Achtergrond
In on-premises Active Directory-domeinen vertegenwoordigt de speciale groep Iedereen alle identiteiten in het Active Directory-domein. Het bevat het gastaccount van het domein, dat standaard is uitgeschakeld. De groep Iedereen bevat standaard alle gebruikersaccounts die door gedelegeerde beheerders aan het domein worden toegevoegd.
Vóór deze wijziging heeft Microsoft 365 het gedrag van on-premises Active Directory-domeinen gedeeld: elke gebruiker in de Microsoft Entra-id van een tenant werd in feite beschouwd als lid van de groep Iedereen nadat u een Iedereen-claim hebt toegevoegd aan de beveiligingscontext van de gebruiker. Dit omvat externe gebruikers. Met deze claim kan een gebruiker toegang krijgen tot alle inhoud die wordt gedeeld met de groep Iedereen .
Op dezelfde manier worden de claims Alle geverifieerde gebruikers en Alle formulierengebruikers automatisch toegevoegd aan de beveiligingscontext van elke gebruiker. Dit omvat externe gebruikers met accounts in de Microsoft Entra-id van de tenant. Met deze claims kunnen gebruikers toegang krijgen tot alle inhoud die wordt gedeeld met de groepen Alle geverifieerde gebruikers of Alle formulierengebruikers .
Met Microsoft 365 kunnen gebruikers naadloos delen en samenwerken met gebruikers binnen en buiten hun organisatie. Wanneer een gebruiker in uw organisatie een externe gebruiker toevoegt aan een Microsoft 365-groep of inhoud deelt met een externe gebruiker en verificatie ('aanmelden') vereist voor toegang, wordt automatisch een account gemaakt in Microsoft Entra-id om de externe gastgebruiker weer te geven. Het is niet nodig dat een gedelegeerde beheerder het account voor de externe gebruiker maakt.
Updates voor de standaardtoegang voor externe gebruikers
Om gebruikersgestuurd delen beter te ondersteunen, werken we het gedrag en de governance van toegang door externe gebruikers in Microsoft 365 bij.
Vanaf 23 maart 2018 krijgen externe gebruikers standaard de claims Iedereen, Alle geverifieerde gebruikers of Alle formulierengebruikers niet meer. Externe gebruikers krijgen alleen toegang tot inhoud die wordt gedeeld met de groep waartoe de externe gebruiker behoort en tot inhoud die rechtstreeks met de externe gebruiker wordt gedeeld. Externe gebruikers hebben geen toegang tot inhoud die wordt gedeeld met deze drie speciale groepen.
Nieuwe optie voor het beheren van toegang voor externe gebruikers
Gebruik de volgende richtlijnen om toegang te verlenen aan externe gebruikers voor de geselecteerde groepen.
| Groepsclaim | Procedure | Resultaat |
|---|---|---|
| Iedereen | Configureer uw tenant om de claim Iedereen toe te kennen aan externe gebruikers door de Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell-cmdlet uit te voeren. | Externe gebruikers die de claim Iedereen krijgen, hebben toegang tot inhoud die wordt gedeeld met de groep Iedereen . |
| Alle geverifieerde gebruikers en alle formuliergebruikers | Configureer uw tenant om de alle geverifieerde gebruikers en alle formulierengebruikers claims te verlenen aan externe gebruikers door de set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell-cmdlet uit te voeren | Externe gebruikers die de claims Alle geverifieerde gebruikers en Alle formulierengebruikers krijgen, hebben toegang tot inhoud die wordt gedeeld met de groepen Alle geverifieerde gebruikers en Alle formulierengebruikers . |
Microsoft Entra-groepen en dynamisch lidmaatschap gebruiken in plaats van standaardclaims
Hoewel we delen blijven ondersteunen met iedereen, iedereen behalve externe gebruikers, alle geverifieerde gebruikers en alle formulierengebruikers, raden we u aan om op rollen gebaseerd toegangsbeheer te implementeren met behulp van door de klant gedefinieerde groepen in Microsoft Entra ID. Dit omvat Microsoft 365-groepen.
Microsoft 365-groepen definiëren het lidmaatschap en de toegang tot inhoud in Microsoft 365-services en -ervaringen. Veel Microsoft 365-services ondersteunen al dynamische Microsoft Entra-groepen en deze services worden gedefinieerd als een set regels die zijn gebaseerd op Microsoft Entra-eigenschappen en bedrijfslogica.
Dynamische groepen zijn de beste manier om ervoor te zorgen dat de juiste gebruikers toegang hebben tot de juiste inhoud. Met dynamische groepen kunt u een groep eenmalig definiëren met behulp van een definitie die is gebaseerd op regels. Als u deze mogelijkheid hebt, hoeft u geen leden toe te voegen of te verwijderen wanneer uw organisatie verandert.
Veelgestelde vragen
V: Is het momenteel mogelijk om uw tenant te afmelden voor het ontvangen van de wijziging?
A: Momenteel is er geen officieel 'opt-out'-proces. Als u deze groepen blijft gebruiken om te delen met externe gebruikers, kunt u de volgende cmdlet uitvoeren in PowerShell vóór 23 maart 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Notitie
De eigenschapswaarde -ShowEveryoneClaim is standaard ingesteld op True. Als u er echter voor wilt zorgen dat de eigenschapswaarde niet null is, voert u deze opdracht uit om de instelling volledig bij te werken. Als u wilt controleren of de instelling is bijgewerkt, neemt u contact op met Microsoft Ondersteuning.
Resources identificeren die zijn toegestaan voor alle externe gebruikers in de tenancy
Vereisten
Download het sharePoint-zoekqueryprogramma.
Notitie
De query's in de volgende sectie Proces kunnen ook worden uitgevoerd in webbrowsers.
Maak een consumentenaccount op Outlook.com. Dit account is extern voor uw organisatie. In dit voorbeeld wordt ervan uitgegaan dat het account is contoso_externaluser@outlook.com.
Veronderstelling
- Uw Microsoft 365-organisatie is Contoso. Uw organisatie gebruikt contoso.sharepoint.com voor SharePoint-sites en -groepen en contoso-my.sharepoint.com voor OneDrive-opslag.
- U bent een beheerder voor de organisatie. Uw identiteit isadmin@contoso.com.
Proces
- Configureer uw tenant om de claim Iedereen te verlenen aan externe gebruikers door resources te bepalen waartoe alle externe gebruikers toegang hebben.