外部共享概述
利用 SharePoint Online 的外部共享功能,组织中的用户可以与组织外部的人员(例如合作伙伴、供应商、客户或用户)共享内容。 如果组织有多个订阅,还可以使用外部共享在多个 Microsoft 365 订阅上的许可用户之间共享。 SharePoint 中的外部共享是 与 Microsoft 365 安全协作 的一部分。
外部共享规划应作为 SharePoint 整体权限规划的一部分包含在内。 本文介绍了用户共享时的情况,具体取决于他们共享的内容以及与谁共享。
如果你想要直接设置共享,请选择要启用的方案:
(如果要尝试共享文件或文件夹,请参阅共享 OneDrive 文件和文件夹或在 Microsoft 365 中共享 SharePoint 文件或文件夹。)
注意
默认情况下,为整个 SharePoint Online 环境及其中的网站启用外部共享。 你可能希望在用户开始使用网站之前,或在你确切知道希望如何使用外部共享之后全局禁用外部共享。
外部共享设置的工作原理
SharePoint Online 在组织级别和网站级别(以前称为“网站集”级别)具有外部共享设置。 若要允许在任何网站上进行外部共享,必须在组织级别允许共享。 然后,可以限制其他网站的外部共享。 如果网站的外部共享选项与组织级别共享选项不匹配,则将始终应用限制性最高的值。
无论在组织级别或网站级别选择哪个选项,更具限制性的功能仍适用。 例如,如果选择允许使用“任何人”链接(以前称为“可共享”链接或“匿名访问”链接)进行未经身份验证共享,则用户仍可与登录的来宾以及内部用户共享。
重要
即使你的组织级别设置允许外部共享,默认情况下也不是所有新网站都允许外部共享。 Microsoft 365 组连接团队网站的默认共享设置是“新来宾和现有来宾”。通信网站和经典网站的默认值为“仅限组织中的人员”。
安全和隐私
如果具有绝不能外部共享的机密信息,我们建议将该信息存储在已禁用外部共享的网站中。 请根据需要创建其他网站,以便用于外部共享。 这有助于你通过阻止对敏感信息的外部访问来管理安全性风险。
注意
若要限制网站上内容的内部共享,可以阻止网站成员共享,并启用访问请求。 有关信息,请参阅设置和管理访问请求。
当用户与多个来宾共享文件夹时,来宾将能够在“管理访问权限”面板中查看该文件夹(以及其中的任何项目)的彼此名称。
共享 Microsoft 365 与组连接的团队网站
当你或你的用户使用 Microsoft 365 组(例如在 Outlook 中,或通过在 Microsoft Teams 中创建团队)时,将会创建 SharePoint 团队网站。 管理员和用户也可以在 SharePoint 中创建团队网站,这将创建 Microsoft 365 组。 对于与组连接的团队网站,组所有者将添加为网站所有者,组成员将添加为网站成员。 大多数情况下,你希望通过将人员添加至 Microsoft 365 组来共享这些网站。 但是,你却只能共享此网站。
重要
所有组成员均必须具有访问此团队网站的权限,这一点非常重要。 如果删除组的权限,则许多协作任务(例如在 Teams 聊天中共享文件)将无法工作。 如果希望来宾访问此网站,则只将来宾添加到组。 有关 Microsoft 365 组的来宾访问权限的信息,请参阅在组中管理来宾访问权限。
用户共享时的情况
当用户与组织外部人员共享时,系统以电子邮件形式向该人员发送邀请,其中包含指向共享项目的链接。
登录的收件人
当用户共享网站时,系统将提示收件人使用以下帐户登录:
- Microsoft 帐户
- 来自其他组织的 Azure AD 中的工作或学校帐户
当用户共享文件和文件夹时,如果收件人具有以下帐户,则也会收到登录提示:
- Microsoft 帐户
这些收件人通常会作为来宾添加到你的目录中,另外,这些来宾具有与内部用户相同的权限和组。 (若要确保所有来宾都添加到你的目录中,请使用 sharePoint OneDrive 与 Azure AD B2B 数据库。)
由于来宾没有组织中的许可证,他们只能执行基本协作任务:
他们可以使用 Office.com 查看和编辑文档。 如果你的计划包含 Office Professional Plus,除非你为来宾分配许可证,否则他们无法在自己的计算机上安装桌面版 Office。
他们可以根据已获得的权限级别在网站上执行任务。 例如,如果添加某个来宾作为网站成员,他们将具有“编辑”权限,可添加、编辑和删除列表,也可查看、添加、更新和删除列表项及文档。
他们将能够在网站上查看其他类型的内容,具体取决于他们获得的权限。 例如,他们可以导航到共享网站中的其他子网站。 他们还将能够执行查看网站源之类的操作。
如果经过身份验证的来宾需要更强大的功能(例如 OneDrive 存储或创建 Power Automate 流),则必须向其分配适当的许可证。 为此,请以全局管理员身份登录到Microsoft 365 管理中心,确保“预览”处于关闭状态,转到“活动用户”页,选择来宾,单击“更多”,然后单击“编辑产品许可证”。
提供验证码的收件人
当用户共享文件或文件夹时,如果收件人具有以下帐户,系统会要求他们输入验证码:
- 来自其他组织的 Azure AD 中的工作或学校帐户
- Azure AD 中非 Microsoft 帐户或工作或学校帐户的电子邮件地址
如果未启用 Azure AD B2B 集成,则收件人每次访问文件或文件夹时都要输入验证码,且不会添加到目录中。
如果启用了 Azure AD B2B 集成,则系统会提示收件人登录或使用一次性密码,具体取决于贵组织的 Azure AD B2B 设置。
有关 B2B Azure AD,请参阅 SharePoint 和 OneDrive 与 Azure AD B2B 集成。
注意
除非用户在 Azure AD 中拥有 Microsoft 帐户或工作或学校帐户,否则无法与其共享网站。
不需要进行身份验证的收件人
拥有链接的任何人(组织内部或外部)都可以访问文件和文件夹,而无需登录或提供验证码。 这些链接可以不受限制地进行传递,并且在被删除或过期(如果设置了过期日期)之前一直有效。 无法验证使用这些链接的用户的身份,但是当用户访问或编辑共享内容时,他们的 IP 地址会被记录在审核日志中。
通过“任何人”链接访问文件和文件夹的用户不会被添加到你的组织目录中,也无法为其分配许可证。 他们也不能使用“任何人”链接访问网站。 他们只能查看或编辑自己具有“任何人”链接的特定文件或文件夹。
停止共享
可以删除来宾对共享项目的相应权限,或者从他们作为来宾所属的目录中删除他们,通过这些方式停止与来宾共享。
可以通过转到共享的文件或文件夹并删除链接,停止与拥有“任何人”链接的用户共享。
需要更多帮助吗?
如果你对本主题有技术问题,你可能会发现在 SharePoint 论坛上发布这些问题会有所帮助。 这是寻找其他遇到过类似问题或遇到相同情况的人的宝贵资源。
另请参阅
Microsoft 如何管理和实现与 SharePoint 之间的外部共享和协作 (Microsoft Ignite)