Предоставление утверждения "Все" внешним пользователям в Microsoft 365
Итоги
Начиная с 23 марта 2018 г. мы обновляем поведение и управление доступом внешними пользователями в Microsoft 365.
После внесения этого изменения внешний пользователь увидит только содержимое, которое предоставляется этому пользователю или группам, к которым принадлежит пользователь. Внешние пользователи больше не увидят содержимое, которое предоставлено всем пользователям, всем прошедшим проверку подлинности или группам "Все пользователи форм". По умолчанию содержимое, которое предоставляет разрешения для этих групп, будет отображаться только пользователям вашей организации.
Администраторы могут изменить поведение по умолчанию, чтобы внешние пользователи могли видеть содержимое, которое предоставляется всем пользователям, всем прошедшим проверку подлинности или всем пользователям форм.
Дополнительные сведения
Общие сведения
В локальная служба Active Directory доменах специальная группа "Все" представляет все удостоверения в домене Active Directory. Он включает гостевую учетную запись домена, которая по умолчанию отключена. По умолчанию группа "Все" включает все учетные записи пользователей, добавляемые делегированными администраторами в домен.
Перед этим изменением Microsoft 365 поделился поведением доменов локальная служба Active Directory: каждый пользователь в идентификаторе Microsoft Entra клиента фактически считался членом группы "Все" после добавления утверждения "Все" в контекст безопасности пользователя. Это включало внешних пользователей. Это утверждение позволяет пользователю получить доступ к любому содержимому, к которому предоставлен общий доступ к группе "Все ".
Аналогичным образом все утверждения пользователей , прошедших проверку подлинности, и все пользователи форм были добавлены автоматически в контекст безопасности каждого пользователя. Это включало внешних пользователей, имеющих учетные записи в идентификаторе Microsoft Entra клиента. Эти утверждения позволяют пользователям получать доступ к любому содержимому, которое предоставляется всем группам пользователей с проверкой подлинности или всеми пользователями форм.
Microsoft 365 позволяет пользователям легко обмениваться данными и сотрудничать с пользователями внутри организации и за ее пределами. Когда пользователь в организации добавляет внешнего пользователя в группу Microsoft 365 или предоставляет общий доступ к содержимому с внешним пользователем и требует проверки подлинности ("вход") для доступа, учетная запись автоматически создается в идентификаторе Microsoft Entra для представления внешнего гостевого пользователя. Для создания учетной записи внешнего пользователя не требуется делегированный администратор.
Обновления доступа по умолчанию для внешних пользователей
Для повышения поддержки общего доступа на основе пользователей мы обновляем поведение и управление доступом внешними пользователями в Microsoft 365.
Начиная с 23 марта 2018 г. внешние пользователи больше не будут предоставлять утверждения "Все", "Все прошедшие проверку подлинности" или "Все пользователи форм" по умолчанию. Внешние пользователи получат доступ только к содержимому, к которому предоставлен общий доступ к группе, к которой принадлежит внешний пользователь, и к содержимому, который предоставляется напрямую внешнему пользователю. Внешние пользователи не будут иметь доступ к содержимому, совместно используемому этим трем специальным группам.
Новый вариант управления доступом для внешних пользователей
Используйте следующие рекомендации, чтобы предоставить доступ внешним пользователям для выбранных групп.
| Утверждение группы | Процедура | Результат |
|---|---|---|
| Для всех | Настройте клиент для предоставления утверждения "Все" внешним пользователям, выполнив командлет Set-SPOTenant -ShowEveryoneClaim $true Командлет Windows PowerShell. | Внешние пользователи, которым предоставлено утверждение "Все", имеют доступ к содержимому, которому предоставлен общий доступ к группе "Все". |
| Все прошедшие проверку подлинности пользователи и все пользователи форм | Настройте клиент для предоставления утверждений "Все прошедшие проверку подлинности" и "Все пользователи форм" внешним пользователям, выполнив командлет Set-SPOTenant -ShowAllUsersClaim $true командлет Windows PowerShell | Внешние пользователи, которым предоставлены утверждения "Все прошедшие проверку подлинности пользователей" и "Все пользователи форм", имеют доступ к содержимому, которое предоставляется всем пользователям, прошедшим проверку подлинности, и группам "Все пользователи форм". |
Использование групп Microsoft Entra и динамического членства вместо утверждений по умолчанию
Несмотря на то, что мы продолжаем предоставлять общий доступ всем пользователям, всем, кроме внешних пользователей, всем прошедшим проверку подлинности пользователям и группам "Все формы", мы рекомендуем реализовать управление доступом на основе ролей с помощью определяемых клиентом групп в идентификаторе Microsoft Entra. Сюда входят группы Microsoft 365.
Группы Microsoft 365 определяют членство и доступ к содержимому в службах и интерфейсах Microsoft 365. Многие службы Microsoft 365 уже поддерживают динамические группы Microsoft Entra, и эти службы определяются как набор правил, основанных на свойствах и бизнес-логике Microsoft Entra.
Динамические группы — лучший способ убедиться, что у соответствующих пользователей есть доступ к правильному содержимому. Динамические группы позволяют определить группу один раз с помощью определения, основанного на правилах. Имея эту возможность, вам не нужно добавлять или удалять участников в качестве изменений в организации.
Вопросы и ответы
Вопрос. Возможно ли в настоящее время отказаться от получения изменений в клиенте?
Ответ. В настоящее время нет официального процесса "отказаться". Если вы продолжаете использовать эти группы для совместного использования внешним пользователям, можно запустить следующий командлет в PowerShell до 23 марта 2018 г.:
Set-SPOTenant -ShowEveryoneClaim $true
Примечание.
По умолчанию значение свойства -ShowEveryoneClaim имеет значение True. Однако чтобы убедиться, что значение свойства не равно NULL, выполните эту команду, чтобы полностью обновить параметр. Если вы хотите убедиться, что этот параметр обновлен, обратитесь к служба поддержки Майкрософт.
Определение ресурсов, разрешенных всем внешним пользователям в клиенте
Необходимые компоненты
Скачайте средство поиска SharePoint.
Примечание.
Запросы в следующем разделе "Процесс" также можно запускать в веб-браузерах.
Создайте учетную запись потребителя в Outlook.com. Эта учетная запись является внешней для вашей организации. В этом примере предполагается, что учетная запись является contoso_externaluser@outlook.com.
Предположение
- Ваша организация Microsoft 365 — Contoso. Ваша организация использует contoso.sharepoint.com для сайтов и групп SharePoint и contoso-my.sharepoint.com для хранилища OneDrive.
- Вы являетесь администратором организации. Ваше удостоверение isadmin@contoso.com.
Обработка
- Настройте клиент для предоставления утверждения "Все" внешним пользователям, как определить ресурсы, к которым имеют доступ все внешние пользователи.