Microsoft 365 来宾共享设置参考
本文提供了可能影响 Microsoft 365 工作负载的组织外人员共享的各种设置参考:Teams、Microsoft 365 组、SharePoint 和 OneDrive。 这些设置位于 Microsoft Entra ID、Microsoft 365、Teams 和 SharePoint 管理中心。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
Microsoft Entra ID
管理员角色:全局管理员
Microsoft Entra ID 是 Microsoft 365 使用的目录服务。 Microsoft Entra 组织关系设置直接影响 Teams 中的共享,Microsoft 365 组、SharePoint 和 OneDrive。
注意
仅当已配置 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成 时,这些设置才会影响 SharePoint。 下表假定已对此进行了配置。
外部协作设置
导航:Microsoft Entra 管理中心> 标识 > 外部标识 > 外部协作设置
| 设置 | 默认值 | 说明 |
|---|---|---|
| 来宾用户访问 | 来宾用户对目录对象的属性和成员资格具有受限访问权限 | 确定 来宾在 Entra ID Microsoft中拥有的权限。 |
| 来宾邀请限制 | 组织中的任何人都可以邀请来宾用户(包括来宾和非管理员) | 确定来宾、成员和管理员是否可以邀请来宾加入组织。 此设置会影响 Microsoft 365 共享体验,例如 Teams 和 SharePoint。 |
| 通过用户流启用来宾自助注册 | 不支持 | 确定你是否可以创建用户流来允许某人注册你创建的应用并创建新的来宾帐户。 |
| 外部用户离开设置 | 是 | 确定来宾是否可以从组织中删除自己。 |
| 协作限制 | 允许向任何域发送邀请 | 此设置允许你为共享指定允许或阻止的域列表。 如果指定了允许的域,则只能将共享邀请发送到这些域。 指定拒绝的域后,共享邀请无法发送到这些域。 此设置会影响 Microsoft 365 共享体验,例如 Teams 和 SharePoint。 还可以通过使用 SharePoint 中的域允许列表或阻止列表来允许或阻止域。 |
这些设置会影响邀请用户加入目录的方式。 它们不会影响与已在目录中的来宾共享。
跨租户访问设置
导航:Microsoft Entra 管理中心> 标识 > 外部标识 > 跨租户访问设置 > 默认设置选项卡
默认设置适用于所有外部Microsoft Entra 组织,但具有组织特定设置的组织除外。 来宾 (B2B 协作) 和 Microsoft Entra B2B 直连 用户有单独的设置。
可以在“组织设置”选项卡上配置特定 组织的设置 。可以在“ Microsoft云设置 ”选项卡上配置与其他云环境的连接。
入站访问设置
入站访问设置控制外部Microsoft Entra 组织中的用户是否可以访问组织中的资源。
| 设置 | 默认值 | 说明 |
|---|---|---|
| B2B 协作 - 外部用户和组 | 全部允许 | 确定其他Microsoft Entra 组织中的哪些人员可以作为来宾访问组织中的资源。 |
| B2B 协作 - 应用程序 | 全部允许 | 确定组织中可以向来宾授予访问哪些应用的权限。 |
| B2B 直接连接 - 外部用户和组 | 全部阻止 | 确定是否可以通过 B2B 直接连接向其他 Microsoft Entra 组织中的人员授予对组织中的资源的访问权限。 |
| B2B 直接连接 - 应用程序 | 全部阻止 | 确定可以向组织中的 B2B 直接连接用户授予访问哪些应用的权限。 |
| 信任设置 | Disabled | 确定条件访问策略是否接受来自其他Microsoft Entra 组织的声明,前提是这些组织中的人员访问你的资源。 |
出站访问设置
出站访问设置控制用户是否可以访问外部组织中的资源。
| 设置 | 默认值 | 说明 |
|---|---|---|
| B2B 协作 - 外部用户和组 | 全部允许 | 确定组织中的哪些用户可以作为来宾访问其他Microsoft Entra 组织中的资源。 |
| B2B 协作 - 应用程序 | 全部允许 | 确定其他 Microsoft Entra 组织中的哪些应用可以授予用户作为来宾的访问权限。 |
| B2B 直接连接 - 外部用户和组 | 全部阻止 | 确定可以通过 B2B 直连向组织中的哪些用户授予对其他Microsoft Entra 组织中的资源的访问权限。 |
| B2B 直接连接 - 应用程序 | 全部阻止 | 确定其他 Microsoft Entra 组织中的哪些应用可以通过 B2B 直接连接授予用户访问权限。 |
租户限制
租户限制设置 控制用户可以在你管理的设备上使用的外部帐户的类型。
| 设置 | 默认值 | 说明 |
|---|---|---|
| 外部用户和组 | 全部阻止 | 控制用户是否可以使用外部帐户从网络或设备访问外部应用程序。 |
| 外部应用程序 | 全部阻止 | 控制用户可以访问的外部应用程序。 |
Microsoft 365
管理员角色:全局管理员
Microsoft 365 管理中心具有用于共享和 Microsoft 365 组的组织级别设置。
共享
导航:Microsoft 365 管理中心>“设置”>组织设置>“安全 & 隐私 ”选项卡“>共享”。
| 设置 | 默认值 | 说明 |
|---|---|---|
| 允许用户将新的来宾添加到组织 | 打开 | 设置为 “是”时,Microsoft Entra ID 成员可以通过Microsoft Entra ID 邀请来宾;如果设置为 “否”,则不能。 设置为“是”时,Microsoft 365 组成员可以在所有者批准的情况下邀请来宾;设置为“否”时,Microsoft 365 组成员也可以在所有者批准的情况下邀请来宾,但所有者必须是全局管理员才能批准。 请注意, 成员可以邀请 引用Microsoft Entra ID (中的成员,而不是来宾) ,而不是Microsoft 365 中的网站或组成员。 此设置更改了 Microsoft Entra ID 外部协作设置中的 来宾邀请限制 设置。 |
Microsoft 365 组
导航:Microsoft 365 管理中心>设置> 365 组Microsoft组织设置>
| 设置 | 默认值 | 说明 |
|---|---|---|
| 允许组织外部的组成员访问组内容 | 打开 | 设置为“打开”时,来宾可以访问组内容;设置为“关闭”时,则不能访问。 对于来宾与Microsoft 365 个组或团队交互的任何方案,此设置都应为 “打开 ”。 |
| 允许组所有者将组织外部的人员添加到组 | 打开 | 启用时,Microsoft 365 个组或团队的所有者可以邀请新来宾加入该组或团队。 设置为“关闭”时,则不能。 对于将来宾添加到组的任何情况,此设置应为“打开”。 |
这些设置均为组织级别的设置。 有关如何在组级别更改这些设置的信息,请参阅 为特定组创建 设置。
Teams
Teams 来宾访问开关必须为 “打开 ”,其他来宾设置才能可用。
管理员角色: Teams 服务管理员
来宾访问
导航:Teams 管理中心>用户>来宾访问权限
| 设置 | 默认值 | 说明 |
|---|---|---|
| 来宾访问权限 | 打开 | 打开或关闭整个 Teams 的来宾访问。 更改后,此设置可能需要 24 小时才能生效。 |
来宾呼叫
导航:Teams 管理中心>用户>来宾访问权限
| 设置 | 默认值 | 说明 |
|---|---|---|
| 拨打私人电话 | 打开 | 设置为“打开”时,来宾可以在 Teams 中进行对等呼叫;设置为“关闭”时,则不能执行此操作。 |
来宾会议
导航:Teams 管理中心>用户>来宾访问权限
| 设置 | 默认值 | 说明 |
|---|---|---|
| 视频会议 | 打开 | 设置为“打开”时,来宾可以在电话和会议中使用视频;设置为“关闭”时,则不能执行此操作。 |
| 屏幕共享 | 整个屏幕 | 如果未 启用,来宾无法在 Teams 中共享其屏幕。 设置为“单个应用程序”时,来宾只能在其屏幕上共享一个应用程序。 设置为“整个屏幕”时,来宾可以选择共享应用程序或其整个屏幕。 |
| 在频道中立即开会 | 开 | 打开时,来宾可以在 Teams 频道中使用“立即开会”功能;当关闭时,他们不能。 |
来宾消息传递
导航:Teams 管理中心>用户>来宾访问权限
| 设置 | 默认值 | 说明 |
|---|---|---|
| 编辑已发送的消息 | 打开 | 设置为“打开”时,来宾可以编辑他们之前发送的消息;设置为“关闭”时,则无法执行此操作。 |
| 删除已发送的消息 | 打开 | 设置为“打开”时,来宾可以删除他们之前发送的消息;设置为“关闭”时,则无法执行此操作。 |
| 删除聊天 | 打开 | 启用后,来宾可以在 Teams 中删除整个聊天对话;当关闭时,他们不能。 |
| 聊天 | 打开 | 设置为“打开”时,来宾可以使用 Teams 中的聊天功能;设置为“关闭”时,则不能使用该功能。 |
| 对话中的 Giphy | 打开 | 设置为“打开”时,来宾可以在对话中使用 Giphy;设置为“关闭”时,则不能使用它。 |
| Giphy 内容评级 | 适度 | 设置为“允许所有内容”时,无论内容评级如何,来宾都可以在聊天中插入所有 Giphy。 设置为“适度”时,来宾可以在聊天中插入 Giphys,但会适度限制成人内容。 设置为“严格”时,来宾可以在聊天中插入 Giphys,但会限制插入成人内容。 |
| 对话中的 Meme | 打开 | 设置为“打开”时,来宾可以在对话中使用 Meme;设置为“关闭”时,则不能使用它。 |
| 对话中的贴纸 | 打开 | 设置为“打开”时,来宾可以在对话中使用贴纸;设置为“关闭”时,则不能使用它。 |
| 邮件的沉浸式阅读器。 | 打开 | 打开时,来宾可以在沉浸式阅读器中查看消息;当关闭时,他们不能。 |
SharePoint 和 OneDrive(组织级别)
管理员角色:SharePoint 管理员
这些设置会影响组织中的所有站点。 它们不会影响 Microsoft 365 组或 Teams,但我们建议将这些设置与 Microsoft 365 组和 Teams 的设置保持一致,以避免用户体验问题。 (例如,如果 Teams 中允许来宾共享,但不允许在 SharePoint 中共享,则 Teams 中的来宾将无法访问“文件”选项卡,因为 Teams 文件存储在 SharePoint 中。)
SharePoint 和 OneDrive 共享设置
由于 OneDrive 是 SharePoint 中的网站层次结构,因此组织级别共享设置将直接影响 OneDrive,如同影响其他 SharePoint 网站一样。
导航: SharePoint 管理中心 >策略>共享
| 设置 | 默认值 | 说明 |
|---|---|---|
| SharePoint | 任何人 | 指定 SharePoint 网站允许的最宽松共享权限。 |
| OneDrive | 任何人 | 指定 OneDrive 网站允许的最宽松共享权限。 此设置不能比 SharePoint 设置更宽松。 |
SharePoint 和 OneDrive 高级共享设置
导航: SharePoint 管理中心 >策略>共享
| 设置 | 默认值 | 说明 |
|---|---|---|
| 按域限制外部共享 | 关闭 | 此设置允许你为共享指定允许或阻止的域列表。 如果指定了允许的域,则只能将共享邀请发送到这些域。 指定拒绝的域后,共享邀请无法发送到这些域。 此设置会影响组织中的所有 SharePoint 和 OneDrive 网站。 还可以在站点级别设置此项。 |
| 仅允许特定安全组中的用户在外部共享 | 关闭 | 如果想要在 SharePoint 和 OneDrive 中限制可与来宾进行共享的人员,则可以通过将共享限制为指定安全组中的人员来实现这一点。 这些设置不会影响通过 Microsoft 365 组或 Teams 进行共享。 尽管只能由指定安全组中的人员来共享文档和文件夹,但通过组或团队邀请的来宾还有权访问关联的网站。 对于每个指定的组,可以选择哪些用户可以与 “任何人” 链接共享。 |
| 允许来宾共享不属于他们的项目 | 打开 | 打开时,来宾可以与其他用户或来宾共享他们不拥有的项目;当关闭时,他们不能。 来宾始终可以共享其拥有完全控制权的项目。 |
| 对网站或 OneDrive 的来宾访问权限将在此天数后自动过期 | 打开 | 此设置允许指定来宾对站点的访问到期后的天数。 网站所有者可以管理访问续订。 还可以在站点级别设置此项。 |
| 使用验证码的人员必须在此天数后重新进行身份验证 | 关闭 | 此设置允许你要求使用一次性密码进行身份验证的用户在特定天数后重新进行身份验证。 |
SharePoint 和 OneDrive 文件和文件夹链接设置
在 SharePoint 和 OneDrive 中共享文件和文件夹时,系统会向共享收件人发送一个具有该文件或文件夹权限的链接,而不是授予对文件或文件夹本身的直接访问权限。 提供了多种类型的链接,你可以选择在共享文件或文件夹时向用户显示的默认链接类型。 你还可以为“任何人”链接设置权限和到期选项。
导航: SharePoint 管理中心 >策略>共享
| 设置 | 默认值 | 说明 |
|---|---|---|
| 选择用户在 SharePoint 和 OneDrive 中共享文件和文件夹时默认选择的链接类型 | 使用此链接的任何人 | 指定用户共享文件或文件夹时默认显示的共享链接。 如果需要,用户可以在共享前更改此选项。 如果将默认设置设为“使用此链接的任何人”并且指定的网站不允许“任何人”共享,则“仅限组织中的人员”将显示为该网站的默认设置。 |
| 选择默认选择用于共享链接的权限 | 查看和编辑 | 指定创建“任何人”链接时向用户提供的文件权限级别。 如果已选择“查看”,则用户只能创建具有查看权限的“任何人”文件链接。 如果已选择“查看和编辑”,则用户可以在创建链接时选择查看权限或查看和编辑权限。 |
| 这些链接必须在该天数内过期 | 关闭(无过期期限) | 指定“任何人”链接在创建后的多少天内过期。 无法续订过期的链接。 如果需要在过期后继续共享,用户可以创建新链接。 |
| 这些链接可以授予这些权限 | 查看、编辑和上传 | 指定创建“任何人”链接时向用户提供的文件夹权限级别。 如果已选择“查看”,则用户只能创建具有查看权限的“任何人”文件夹链接。 如果已选择“查看、编辑和上传”,则用户可以在创建链接时选择查看权限或查看、编辑和上传权限。 |
SharePoint(网站级别)
管理员角色:SharePoint 管理员
由于这些设置受组织范围的 SharePoint 设置的约束,因此,如果组织级别设置发生更改,网站的有效共享设置可能会更改。 如果你在此处选择设置,并且组织级别随后设置为更严格的值,则此网站将以这一更严格的值运行。 例如,如果你选择“任何人”,并且组织级别设置随后设为“新来宾和现有来宾”,则此网站将仅允许新来宾和现有来宾进行共享。 如果组织级别设置随后设置回“任何人”,则此网站将再次允许使用“任何人”链接。
网站共享
可为 SharePoint 中的每个网站设置来宾共享权限。 此设置适用于网站共享以及文件和文件夹共享。 (任何人 共享不适用于网站共享。如果选择 “任何人”,用户将能够使用 “任何人” 链接共享文件和文件夹,以及网站本身与新的和现有的来宾。)
如果网站应用了敏感度标签,该标签可能会控制外部共享设置。 有关详细信息,请参阅使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容。
导航: SharePoint 管理中心 >“活动网站> ”选择“网站 >设置” 选项卡“ >更多共享设置”
(对于频道网站,请在“频道 网站 ”列中选择 “网站 ”,然后选择该站点。)
| 设置 | 默认值 | 说明 |
|---|---|---|
| 网站内容可与以下人员共享 | 因网站类型而异(参见下表) | 指示此网站允许的外部共享类型。 此处提供的选项取决于 SharePoint 的组织级别共享设置。 |
网站访问、文件和文件夹链接设置
可以为每个网站设置链接类型和权限、来宾访问过期和 任何人 链接的默认值。 在网站级别进行设置时,这些设置会覆盖组织级别的设置。 请注意,如果在组织级别禁用 了“任何人” 链接, 则“任何人” 将不会是网站级别的可用链接类型。
导航: SharePoint 管理中心 >“活动网站> ”选择“网站 >设置” 选项卡“ >更多共享设置”
(对于频道网站,请在“频道 网站 ”列中选择 “网站 ”,然后选择该站点。)
| 设置 | 默认值 | 说明 |
|---|---|---|
| 按域限制共享 | 关闭 | 此设置允许你为共享指定允许或阻止的域列表。 如果指定了允许的域,则只能将共享邀请发送到这些域。 指定拒绝的域后,共享邀请无法发送到这些域。 此设置不能用于覆盖在组织或Microsoft Entra ID 级别设置的域限制。 |
| 来宾访问过期 | 与组织级别设置相同 | 此设置允许指定来宾对站点的访问到期后的天数。 网站所有者可以管理访问续订。 |
| 默认共享链接类型 | 与组织级别设置相同 | 此设置允许你指定在此网站中显示给用户的默认共享链接。 “与组织级别设置相同”选项由组织和网站共享设置的组合进行定义。 |
| 任何人链接过期 | 与组织级别设置相同 | 指定在此网站中为文件或文件夹创建 任何人 链接后过期的天数。 无法续订过期的链接。 如果需要在过期后继续共享,用户可以创建新链接。 |
| 默认链接权限 | 与组织级别设置相同 | 此设置允许指定默认权限 (查看或编辑) 共享为此网站中的文件和文件夹创建的链接。 |
默认网站共享设置
下表显示了每种网站类型的默认共享设置。
| 网站类型 | 默认共享设置 |
|---|---|
| 经典 | 仅组织内部人员 |
| OneDrive | 任何人 |
| 与组连接的网站(包括 Teams) | 新来宾和现有来宾 — 如果 Microsoft 365 组设置“允许组所有者将组织外部的人员添加到组”设置为“打开”;否则为“仅现有来宾” |
| 通信 | 仅组织内部人员 |
| 不含组的新式网站 (#STS3 TeamSite) | 仅组织内部人员 |
注意
根通信站点 (tenant-name.sharepoint.com) 具有“任何人”这一默认共享设置。