Microsoft 365 の外部ユーザーに Everyone 要求を付与する
概要
2018 年 3 月 23 日以降、Microsoft 365 の外部ユーザーによるアクセスの動作とガバナンスが更新されています。
この変更が行われた後、外部ユーザーには、そのユーザーまたはユーザーが属するグループと共有されているコンテンツのみが表示されます。 外部ユーザーは、[ すべてのユーザー]、[ すべての認証済みユーザー]、または [ すべてのフォーム ユーザー] グループに共有されているコンテンツが表示されなくなります。 既定では、これらのグループに対するアクセス許可が付与されたコンテンツは、organizationのユーザーにのみ表示されます。
管理者は、既定の動作を変更して、外部ユーザーが Everyone、 All Authenticated Users、または All Forms Users に共有されているコンテンツを表示できるようにします。
詳細情報
背景
オンプレミスの Active Directory ドメインでは、Everyone 特殊グループは Active Directory ドメイン内のすべての ID を表します。 これには、既定で無効になっているドメインのゲスト アカウントが含まれます。 既定では、[ すべてのユーザー ] グループには、委任された管理者によってドメインに追加されるすべてのユーザー アカウントが含まれます。
この変更の前に、Microsoft 365 はオンプレミスの Active Directory ドメインの動作を共有しました。テナントのMicrosoft Entra ID内のすべてのユーザーは、ユーザーのセキュリティ コンテキストに Everyone 要求を追加した後、実質的に Everyone グループのメンバーと見なされていました。 これには外部ユーザーが含まれていました。 この要求を使用すると、ユーザーは Everyone グループと共有されるすべてのコンテンツにアクセスできます。
同様に、 すべての認証済みユーザー と すべてのフォーム ユーザー の要求は、各ユーザーのセキュリティ コンテキストに自動的に追加されました。 これには、テナントのMicrosoft Entra IDにアカウントを持つ外部ユーザーが含まれていました。 これらの要求を使用すると、すべての 認証済みユーザー または すべてのフォーム ユーザー グループと共有されているコンテンツにユーザーがアクセスできるようになります。
Microsoft 365 を使用すると、ユーザーは組織内外のユーザーとシームレスに共有および共同作業を行うことができます。 organizationのユーザーが外部ユーザーを Microsoft 365 グループに追加するか、外部ユーザーとコンテンツを共有し、アクセスに認証 ("サインイン") を必要とする場合、外部ゲスト ユーザーを表すアカウントがMicrosoft Entra IDに自動的に作成されます。 委任された管理者が外部ユーザーのアカウントを作成する必要はありません。
外部ユーザーの既定のアクセスに更新する
ユーザー主導の共有をより適切にサポートするために、Microsoft 365 の外部ユーザーによるアクセスの動作とガバナンスを更新しています。
2018 年 3 月 23 日以降、外部ユーザーには既定で Everyone、 All Authenticated Users、または All Forms Users クレームが付与されなくなります。 外部ユーザーには、外部ユーザーが属するグループと共有されているコンテンツと、外部ユーザーと直接共有されるコンテンツへのアクセスのみが付与されます。 外部ユーザーは、これら 3 つの特別なグループと共有されているコンテンツにアクセスできません。
外部ユーザーのアクセスを管理するための新しいオプション
選択したグループの外部ユーザーにアクセス権を付与するには、次のガイドラインを使用します。
| グループ要求 | 手順 | 結果 |
|---|---|---|
| すべてのユーザー | Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell コマンドレットを実行して、Everyone 要求を外部ユーザーに付与するようにテナントを構成します。 | Everyone 要求が付与されている外部ユーザーは、Everyone グループに共有されているコンテンツにアクセスできます。 |
| すべての認証済みユーザー と すべてのフォーム ユーザー | Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell コマンドレットを実行して、すべての認証済みユーザーとすべてのフォーム ユーザーの要求を外部ユーザーに付与するようにテナントを構成する | [すべての認証済みユーザー] および [すべてのフォーム ユーザー] クレームが付与されている外部ユーザーは、[すべての認証済みユーザー] グループと [すべてのフォーム ユーザー] グループに共有されているコンテンツにアクセスできます。 |
既定の要求の代わりにMicrosoft Entra グループと動的メンバーシップを使用する
すべてのユーザー、外部ユーザーを除くすべてのユーザー、すべての認証済みユーザー、およびすべてのフォーム ユーザー グループとの共有は引き続きサポートされますが、Microsoft Entra IDでユーザー定義のグループを使用してロールベースのアクセス管理を実装することをお勧めします。 これには、Microsoft 365 グループが含まれます。
Microsoft 365 グループは、Microsoft 365 サービスとエクスペリエンス全体のコンテンツへのメンバーシップとアクセスを定義します。 多くの Microsoft 365 サービスは動的グループMicrosoft Entra既にサポートしており、これらのサービスは、Microsoft Entraプロパティとビジネス ロジックに基づく一連のルールとして定義されています。
動的グループは、適切なユーザーが正しいコンテンツにアクセスできるようにする最善の方法です。 動的グループを使用すると、ルールに基づく定義を使用して、グループを 1 回定義できます。 この機能を使用すると、organizationの変更に応じてメンバーを追加または削除する必要はありません。
FAQ
Q:現在、テナントが変更を受け取ることをオプトアウトすることは可能ですか?
A: 現時点では、公式の "オプトアウト" プロセスはありません。 これらのグループを引き続き使用して外部ユーザーと共有する場合は、2018 年 3 月 23 日より前に PowerShell で次のコマンドレットを実行できます。
Set-SPOTenant -ShowEveryoneClaim $true
注:
既定では、 -ShowEveryoneClaim プロパティの値は True に設定 されています。 ただし、プロパティ値が null でないことを確認するには、このコマンドを実行して設定を完全に更新します。 設定が更新されたことを確認する場合は、Microsoft サポートにお問い合わせください。
テナント内のすべての外部ユーザーに許可されるリソースの識別
前提条件
SharePoint 検索クエリ ツールをダウンロードします。
注:
次の [プロセス] セクションのクエリは、Web ブラウザーでも実行できます。
Outlook.com でコンシューマー アカウントを作成 します。 このアカウントは、organizationの外部にあります。 この例では、アカウント contoso_externaluser@outlook.comが であると想定しています。
仮定
- Microsoft 365 organizationは Contoso です。 organizationでは、SharePoint サイトとグループに contoso.sharepoint.com を使用し、OneDrive ストレージの contoso-my.sharepoint.com を使用します。
- organizationの管理者です。 自分の isadmin@contoso.comID。
プロセス
- すべての外部ユーザーがアクセスできるリソース を 決定する方法に関するページで、Everyone 要求 を外部ユーザーに付与するようにテナントを構成します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示