Concedere l'attestazione Everyone agli utenti esterni in Microsoft 365
Riepilogo
A partire dal 23 marzo 2018, verrà aggiornato il comportamento e la governance dell'accesso da parte di utenti esterni in Microsoft 365.
Dopo aver apportato questa modifica, un utente esterno visualizzerà solo il contenuto condiviso con tale utente o con i gruppi a cui appartiene l'utente. Gli utenti esterni non visualizzeranno più il contenuto condiviso con i gruppi Everyone, All Authenticated Users o All Forms Users . Per impostazione predefinita, il contenuto a cui vengono concesse le autorizzazioni per questi gruppi sarà visibile solo agli utenti dell'organizzazione.
Gli amministratori possono modificare il comportamento predefinito per consentire agli utenti esterni di visualizzare il contenuto condiviso con Tutti, Tutti gli utenti autenticati o Tutti gli utenti dei moduli.
Ulteriori informazioni
Background
In Active Directory locale domini, il gruppo speciale Everyone rappresenta tutte le identità nel dominio di Active Directory. Include l'account guest del dominio, che è disabilitato per impostazione predefinita. Per impostazione predefinita, il gruppo Everyone include tutti gli account utente aggiunti dagli amministratori delegati al dominio.
Prima di questa modifica, Microsoft 365 condivideva il comportamento dei domini Active Directory locale: ogni utente nel Microsoft Entra ID di un tenant veniva effettivamente considerato membro del gruppo Everyone dopo aver aggiunto un'attestazione Everyone al contesto di sicurezza dell'utente. Inclusi gli utenti esterni. Questa attestazione consente a un utente di accedere a qualsiasi contenuto condiviso con il gruppo Everyone .
Analogamente, le attestazioni Tutti gli utenti autenticati e Tutti gli utenti dei moduli sono state aggiunte automaticamente al contesto di sicurezza di ogni utente. Sono inclusi gli utenti esterni che dispongono di account nella Microsoft Entra ID del tenant. Queste attestazioni consentono agli utenti di accedere a qualsiasi contenuto condiviso con i gruppi Tutti gli utenti autenticati o Tutti gli utenti del modulo .
Microsoft 365 consente agli utenti di condividere e collaborare senza problemi con gli utenti all'interno e all'esterno delle organizzazioni. Quando un utente dell'organizzazione aggiunge un utente esterno a un gruppo di Microsoft 365 o condivide contenuto con un utente esterno e richiede l'autenticazione ("accesso") per l'accesso, viene creato automaticamente un account in Microsoft Entra ID per rappresentare l'utente guest esterno. Non è necessario che un amministratore delegato crei l'account per l'utente esterno.
Aggiornamenti all'accesso predefinito per gli utenti esterni
Per supportare meglio la condivisione basata sugli utenti, microsoft aggiorna il comportamento e la governance dell'accesso da parte di utenti esterni in Microsoft 365.
A partire dal 23 marzo 2018, agli utenti esterni non verranno più concesse le attestazioni Everyone, All Authenticated Users o All Forms Users per impostazione predefinita. Agli utenti esterni verrà concesso l'accesso solo al contenuto condiviso con il gruppo a cui appartiene l'utente esterno e al contenuto condiviso direttamente con l'utente esterno. Gli utenti esterni non avranno accesso al contenuto condiviso con questi tre gruppi speciali.
Nuova opzione per gestire l'accesso per gli utenti esterni
Usare le linee guida seguenti per concedere l'accesso agli utenti esterni per i gruppi selezionati.
| Attestazione di gruppo | Procedura | Risultato |
|---|---|---|
| Tutti | Configurare il tenant per concedere l'attestazione Everyone agli utenti esterni eseguendo il cmdlet Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Gli utenti esterni a cui viene concessa l'attestazione Everyone hanno accesso al contenuto condiviso al gruppo Everyone . |
| Tutti gli utenti autenticati e tutti gli utenti dei moduli | Configurare il tenant per concedere le attestazioni Tutti gli utenti autenticati e Tutti gli utenti di form agli utenti esterni eseguendo il cmdlet Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell | Gli utenti esterni a cui vengono concesse le attestazioni Tutti gli utenti autenticati e Tutti gli utenti dei moduli hanno accesso al contenuto condiviso ai gruppi Tutti gli utenti autenticati e Tutti gli utenti dei moduli . |
Usare Microsoft Entra gruppi e l'appartenenza dinamica anziché le attestazioni predefinite
Anche se continuiamo a supportare la condivisione con i gruppi Everyone, Everyone Except External Users, All Authenticated Users e All Forms Users, è consigliabile implementare la gestione degli accessi in base al ruolo usando gruppi definiti dal cliente in Microsoft Entra ID. Sono inclusi i gruppi di Microsoft 365.
I gruppi di Microsoft 365 definiscono l'appartenenza e l'accesso al contenuto nei servizi e nelle esperienze di Microsoft 365. Molti servizi di Microsoft 365 supportano già Microsoft Entra gruppi dinamici e questi servizi sono definiti come un set di regole basate su proprietà Microsoft Entra e logica di business.
I gruppi dinamici sono il modo migliore per assicurarsi che gli utenti appropriati abbiano accesso al contenuto corretto. I gruppi dinamici consentono di definire un gruppo una sola volta usando una definizione basata sulle regole. Grazie a questa capacità, non è necessario aggiungere o rimuovere membri quando l'organizzazione cambia.
Domande frequenti
D:È attualmente possibile rifiutare esplicitamente il tenant dalla ricezione della modifica?
Un: Attualmente, non esiste un processo ufficiale di "opt-out". Se si continuano a usare questi gruppi per condividere con utenti esterni, è possibile eseguire il cmdlet seguente in PowerShell prima del 23 marzo 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Nota
Per impostazione predefinita, il valore della proprietà -ShowEveryoneClaim è impostato su True. Tuttavia, per assicurarsi che il valore della proprietà non sia Null, eseguire questo comando per aggiornare completamente l'impostazione. Per verificare che l'impostazione sia aggiornata, contattare supporto tecnico Microsoft.
Identificazione delle risorse consentite a tutti gli utenti esterni nella tenancy
Prerequisiti
Scaricare lo strumento di query di ricerca di SharePoint.
Nota
Le query nella sezione "Processo" seguente possono essere eseguite anche nei Web browser.
Creare un account consumer in Outlook.com. Questo account è esterno all'organizzazione. In questo esempio si presuppone che l'account sia contoso_externaluser@outlook.com.
Presupposto
- L'organizzazione di Microsoft 365 è Contoso. L'organizzazione usa contoso.sharepoint.com per siti e gruppi di SharePoint e contoso-my.sharepoint.com per l'archiviazione di OneDrive.
- L'utente è un amministratore dell'organizzazione. Identità dell'utente isadmin@contoso.com.
Procedura
- Configurare il tenant per concedere l'attestazione Everyone agli utenti esterni in Base a come determinare le risorse a cui hanno accesso tutti gli utenti esterni.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per