Bevilja alla anspråk till externa användare i Microsoft 365
Sammanfattning
Från och med den 23 mars 2018 uppdaterar vi beteendet och styrningen av åtkomst av externa användare i Microsoft 365.
När den här ändringen har gjorts ser en extern användare endast det innehåll som delas med användaren eller med grupper som användaren tillhör. Externa användare ser inte längre innehåll som delas till grupperna Alla, Alla autentiserade användare eller Alla formuläranvändare. Som standard visas innehåll som beviljas behörigheter till dessa grupper endast för organisationens användare.
Administratörer kan ändra standardbeteendet så att externa användare kan se innehåll som delas till Alla, Alla autentiserade användare eller Alla formuläranvändare.
Mer information
Bakgrund
I lokalni Active Directory domäner representerar specialgruppen Alla alla alla identiteter i Active Directory-domänen. Den innehåller domänens gästkonto, som är inaktiverat som standard. Som standard innehåller gruppen Alla alla alla användarkonton som läggs till av delegerade administratörer i domänen.
Före den här ändringen delade Microsoft 365 beteendet för lokalni Active Directory domäner: Varje användare i en klientorganisations Microsoft Entra-ID ansågs i praktiken vara medlem i gruppen Alla efter att du lagt till ett alla-anspråk i användarens säkerhetskontext. Detta inkluderade externa användare. Det här anspråket gör det möjligt för en användare att komma åt allt innehåll som delas med gruppen Alla .
På samma sätt lades anspråken Alla autentiserade användare och Alla formuläranvändare till automatiskt i varje användares säkerhetskontext. Detta inkluderade externa användare som har konton i klientorganisationens Microsoft Entra-ID. Dessa anspråk gör det möjligt för användare att komma åt allt innehåll som delas med grupperna Alla autentiserade användare eller Alla formuläranvändare .
Med Microsoft 365 kan användare dela och samarbeta sömlöst med användare inom och utanför sina organisationer. När en användare i din organisation lägger till en extern användare i en Microsoft 365-grupp eller delar innehåll med en extern användare och kräver autentisering ("inloggning") för åtkomst, skapas ett konto automatiskt i Microsoft Entra-ID för att representera den externa gästanvändaren. Det är inte nödvändigt för en delegerad administratör att skapa kontot för den externa användaren.
Uppdateringar av standardåtkomsten för externa användare
För att bättre stödja användardriven delning uppdaterar vi beteendet och styrningen av åtkomst av externa användare i Microsoft 365.
Från och med den 23 mars 2018 kommer externa användare inte längre att beviljas anspråken Alla, Alla autentiserade användare eller Alla formuläranvändare som standard. Externa användare beviljas endast åtkomst till innehåll som delas med den grupp som den externa användaren tillhör och till innehåll som delas direkt med den externa användaren. Externa användare har inte åtkomst till innehåll som delas med dessa tre specialgrupper.
Nytt alternativ för att styra åtkomsten för externa användare
Använd följande riktlinjer för att bevilja åtkomst till externa användare för de valda grupperna.
| Gruppanspråk | Procedur | Resultat |
|---|---|---|
| Alla | Konfigurera klientorganisationen för att bevilja alla anspråk till externa användare genom att köra Cmdleten Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Externa användare som beviljas anspråket Alla har åtkomst till innehåll som delas till gruppen Alla . |
| Alla autentiserade användare och alla formuläranvändare | Konfigurera klientorganisationen för att bevilja anspråken Alla autentiserade användare och alla formuläranvändare till externa användare genom att köra Cmdleten Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell | Externa användare som beviljas anspråken Alla autentiserade användare och Alla formuläranvändare har åtkomst till innehåll som delas till grupperna Alla autentiserade användare och Alla formuläranvändare. |
Använda Microsoft Entra-grupper och dynamiskt medlemskap i stället för standardanspråk
Även om vi fortsätter att stödja delning med grupperna Alla, Alla utom externa användare, Alla autentiserade användare och Alla formuläranvändare rekommenderar vi att du implementerar rollbaserad åtkomsthantering med hjälp av kunddefinierade grupper i Microsoft Entra-ID. Detta inkluderar Microsoft 365-grupper.
Microsoft 365-grupper definierar medlemskap och åtkomst till innehåll i Microsoft 365-tjänster och -upplevelser. Många Microsoft 365-tjänster stöder redan dynamiska Microsoft Entra-grupper, och dessa tjänster definieras som en uppsättning regler som baseras på Microsoft Entra-egenskaper och affärslogik.
Dynamiska grupper är det bästa sättet att se till att rätt användare har åtkomst till rätt innehåll. Med dynamiska grupper kan du definiera en grupp en gång med hjälp av en definition som baseras på regler. Genom att ha den här möjligheten behöver du inte lägga till eller ta bort medlemmar när din organisation ändras.
Vanliga frågor
F: Är det för närvarande möjligt att välja bort din klientorganisation från att ta emot ändringen?
S: För närvarande finns det ingen officiell "opt out"-process. Om du fortsätter att använda dessa grupper för att dela till externa användare kan du köra följande cmdlet i PowerShell före den 23 mars 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Kommentar
Som standard är egenskapsvärdet -ShowEveryoneClaim inställt på Sant. Men för att se till att egenskapsvärdet inte är null kör du det här kommandot för att uppdatera inställningen fullständigt. Om du vill kontrollera att inställningen har uppdaterats kontaktar du Microsoft Support.
Identifiera resurser som tillåts för alla externa användare i innehavare
Förutsättningar
Ladda ned frågeverktyget för SharePoint-sökning.
Kommentar
Frågorna i följande "Process"-avsnitt kan också köras i webbläsare.
Skapa ett konsumentkonto på Outlook.com. Det här kontot är externt för din organisation. Det här exemplet förutsätter att kontot är contoso_externaluser@outlook.com.
Antagande
- Din Microsoft 365-organisation är Contoso. Din organisation använder contoso.sharepoint.com för SharePoint-webbplatser och -grupper och contoso-my.sharepoint.com för OneDrive-lagring.
- Du är administratör för organisationen. Din identitet isadmin@contoso.com.
Process
- Konfigurera din klient för att bevilja alla anspråk till externa användare genom Att fastställa resurser som alla externa användare har åtkomst till.