Concedere all'attestazione tutti gli utenti esterni in Office 365

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Riepilogo

A partire dal 23 marzo 2018, si sta aggiornando il comportamento e la governance dell'accesso da parte di utenti esterni in Office 365.

Dopo la modifica apportata, un utente esterno vedrà solo il contenuto condiviso con l'utente o con i gruppi a cui appartiene l'utente. Gli utenti esterni non vedranno più il contenuto condiviso con tutti, con tutti gli utenti autenticatio con tutti i gruppi di utenti di moduli. Per impostazione predefinita, il contenuto a cui vengono concesse le autorizzazioni per questi gruppi sarà visibile solo agli utenti dell'organizzazione.

Gli amministratori possono modificare il comportamento predefinito per consentire agli utenti esterni di visualizzare il contenuto condiviso con tutti, tutti gli utenti autenticatitutti gli utenti di moduli.

Ulteriori informazioni

Sfondo

Nei domini di Active Directory locali, il gruppo speciale tutti rappresenta tutte le identità nel dominio di Active Directory. Questo include l'account Guest del dominio, che è disabilitato per impostazione predefinita. Per impostazione predefinita, il gruppo Everyone include tutti gli account utente aggiunti dagli amministratori delegati al dominio.

Prima di questa modifica, Office 365 condivideva il comportamento dei domini di Active Directory locali: ogni utente in Azure Active Directory (Azure AD) di un tenant è stato effettivamente considerato un membro del gruppo Everyone dopo aver aggiunto Everyoneun'   attestazione Everyone al contesto di sicurezza dell'utente. Inclusi gli utenti esterni. L'attestazione consente a un utente di accedere a qualsiasi contenuto condiviso con il gruppo Everyone .

Analogamente, le attestazioni tutti gli utenti autenticati   e tutti gli utenti   di moduli sono state aggiunte automaticamente al contesto di sicurezza di ogni utente. Sono inclusi gli utenti esterni che dispongono di account nell'Azure AD del tenant. Tali attestazioni consentono agli utenti di accedere a qualsiasi contenuto condiviso con tutti gli utenti autenticati o con tutti i gruppi di moduli .

Office 365 consente agli utenti di condividere e collaborare agevolmente con gli utenti all'interno e all'esterno delle loro organizzazioni. Quando un utente dell'organizzazione aggiunge un utente esterno a un gruppo di Office 365 o condivide il contenuto con un utente esterno e richiede l'autenticazione ("accesso") per l'accesso, viene creato automaticamente un account in Azure AD per rappresentare l'utente Guest esterno. Non è necessario che un amministratore delegato crei l'account per l'utente esterno.

Aggiornamenti per l'accesso predefinito per gli utenti esterni

Per migliorare la condivisione basata su utenti, è possibile aggiornare il comportamento e la governance dell'accesso da parte di utenti esterni in Office 365.

A partire dal 23 marzo 2018, agli utenti esterni non verrà più concesso il tuttitutti gli utenti autenticatio tutte le attestazioni degli utenti di moduli per impostazione predefinita. Agli utenti esterni verrà concesso l'accesso solo ai contenuti condivisi con il gruppo a cui appartiene l'utente esterno e al contenuto condiviso direttamente con l'utente esterno. Gli utenti esterni non avranno accesso al contenuto condiviso con questi tre gruppi speciali.

Nuova opzione per gestire l'accesso per gli utenti esterni

Utilizzare le linee guida seguenti per concedere l'accesso agli utenti esterni per i gruppi selezionati.

Attestazione di gruppo Procedura Risultato
Tutti Configurare il tenant per concedere all' Everyone   utente esterno l'attestazione di tutti tramite l'esecuzione del cmdlet set-SPOTenant-ShowEveryoneClaim $true Windows PowerShell. Gli utenti esterni a cui è Everyoneconcessa l'   attestazione Everyone hanno accesso al contenuto condiviso nel gruppo Everyone   .
Tutti gli utenti   autenticati e tutti gli utenti dei moduli Configurare il tenant per concedere a tutti gli utenti autenticati   e tutti gli utenti di modulile   attestazioni a utenti esterni eseguendo il cmdlet set-SPOTenant-ShowAllUsersClaim $true Windows PowerShell Gli utenti esterni a cui vengono concesse le attestazioni tutti gli utenti autenticati   e tutti gli utenti di moduli   hanno accesso al contenuto condiviso nei gruppi tutti gli utenti autenticati   e tutti gli utenti di moduli .

Utilizzare i gruppi di Azure AD e l'appartenenza dinamica anziché le attestazioni predefinite

Anche se si continua a supportare la condivisione con tutti, tutti tranne gli utenti esterni, tutti gli utenti autenticatie tutti i gruppi di utenti di moduli, si consiglia di implementare la gestione dell'accesso basato sui ruoli utilizzando gruppi definiti dal cliente in Azure ad. Sono inclusi i gruppi di Office 365.

I gruppi di Office 365 definiscono l'appartenenza e l'accesso al contenuto tra i servizi e le esperienze di Office 365. Molti servizi di Office 365 supportano già gruppi dinamici di Azure AD e questi servizi sono definiti come un insieme di regole basate sulle proprietà di Azure AD e sulla logica aziendale.

I gruppi dinamici sono il modo migliore per assicurarsi che gli utenti appropriati abbiano accesso al contenuto corretto. I gruppi dinamici consentono di definire un gruppo una volta utilizzando una definizione basata sulle regole. Se si dispone di questa funzionalità, non è necessario aggiungere o rimuovere membri Man mano che l'organizzazione cambia.

Domande frequenti

D: è possibile escludere il tenant dalla ricezione di questa modifica?

A: Attualmente, non esiste alcun processo "opt-out" ufficiale. Se si continua a utilizzare questi gruppi per la condivisione con utenti esterni, è possibile eseguire il cmdlet seguente in PowerShell prima del 23 marzo 2018:

Set-SPOTenant -ShowEveryoneClaim $true

Nota

Per impostazione predefinita, il valore della proprietà -ShowEveryoneClaim è impostato su true. Tuttavia, per assicurarsi che il valore della proprietà non sia null, eseguire questo comando per aggiornare completamente l'impostazione. Se si desidera verificare che l'impostazione sia stata aggiornata, contattare il supporto tecnico Microsoft.

Identificazione delle risorse autorizzate a tutti gli utenti esterni nel contratto di locazione

Prerequisiti

  • Scaricare lo strumento di query di ricerca di SharePoint.

    Nota

    Le query nella sezione "Process" seguente possono essere eseguite anche nei Web browser.

  • Creare un account consumer in Outlook.com. Questo account è esterno all'organizzazione. In questo exampleassumes l'account è contoso_externaluser@outlook.com .

Presupposti

  • YourOffice 365 Organization è contoso. L'organizzazione utilizza contoso.sharepoint.com per i siti e i gruppi di SharePoint e contoso-my.sharepoint.com per l'archiviazione di OneDrive.
  • Si è un amministratore per l'organizzazione. Youridentity isadmin@contoso.com .

Procedura