ユーザーの外部ユーザーに Everyone クレームを付与Office 365

注意

Office 365 用リソース は、 エンタープライズ向け Microsoft 365 アプリに名前変更されています。 この変更の詳細については、 このブログの投稿を参照してください。

概要

2018 年 3 月 23 日から、外部ユーザーによるアクセスの動作とガバナンスが更新Office 365。

この変更が行われた後、外部ユーザーには、そのユーザーまたはユーザーが属するグループと共有されているコンテンツだけが表示されます。 外部ユーザーには、[すべてのユーザー] 、[すべての認証済みユーザー] 、または [すべてのフォーム ユーザー] グループに共有されている コンテンツが表示され なくなりました。 既定では、これらのグループに対するアクセス許可が付与されたコンテンツは、組織のユーザーにのみ表示されます。

管理者は、既定の動作を変更して、すべてのユーザー、すべての認証済みユーザー 、またはすべてのフォーム ユーザーに共有されているコンテンツを外部ユーザー に表示できます

詳細情報

背景

オンプレミスの Active Directory ドメインでは 、Everyone 特殊グループは Active Directory ドメイン内のすべての ID を表します。 これには、既定で無効になっているドメインのゲスト アカウントが含まれます。 既定では 、Everyone グループには 、委任された管理者によってドメインに追加されるすべてのユーザー アカウントが含まれています。

この変更の前に、Office 365 はオンプレミスの Active Directory ドメインの動作を共有しました。テナントの Azure Active Directory (Azure AD) のすべてのユーザーは、ユーザーのセキュリティ コンテキストに Everyone クレームを追加した後、Everyone グループのメンバーと効果的に見なされました。 これには、外部ユーザーが含まれていました。 このクレームにより、ユーザーは Everyone グループと共有されているコンテンツに アクセス できます。

同様に、 すべての認証ユーザーと すべてのフォーム ユーザー クレームは、各ユーザーのセキュリティ コンテキストに自動的に追加されました。 これには、テナントの Azure アカウントにアカウントを持つ外部ユーザー AD。 これらのクレームを使用すると、ユーザーは[すべての認証済みユーザー ] または [すべてのフォーム ユーザー] グループと共有されているコンテンツ にアクセス できます。

Office 365を使用すると、ユーザーは組織の内部および外部のユーザーとシームレスに共有および共同作業できます。 組織内のユーザーが外部ユーザーを Office 365 グループに追加するか、外部ユーザーとコンテンツを共有し、アクセスに認証 ("サインイン") が必要な場合、外部ゲスト ユーザーを表すアカウントが Azure AD に自動的に作成されます。 委任された管理者が外部ユーザーのアカウントを作成する必要はありません。

外部ユーザーの既定のアクセスへの更新

ユーザー駆動型の共有をより良くサポートするために、外部ユーザーによるアクセスの動作とガバナンスを更新Office 365。

2018 年 3 月 23 日より、外部ユーザーには既定ですべてのユーザー 、すべての認証済みユーザー、またはすべてのフォーム ユーザークレームが付与されなくなりました。 外部ユーザーには、外部ユーザーが属するグループと共有されているコンテンツと、外部ユーザーと直接共有されるコンテンツへのアクセス権だけが付与されます。 外部ユーザーは、これら 3 つの特別なグループと共有されるコンテンツにアクセスすることはできません。

外部ユーザーのアクセスを管理する新しいオプション

次のガイドラインを使用して、選択したグループの外部ユーザーにアクセス権を付与します。

グループクレーム 手順 結果
すべてのユーザー Set-SPOTenant -ShowEveryoneClaim コマンドレットを実行して、外部ユーザーに Everyone クレームを付与$true Windows PowerShellします。 Everyone クレームを付与された外部ユーザーは 、Everyone グループに共有されているコンテンツに アクセス できます。
すべての認証ユーザーと****すべてのフォーム ユーザー Set-SPOTenant -ShowAllUsersClaim コマンドレットを実行して、すべての認証ユーザーおよびすべてのフォーム ユーザークレームを外部ユーザーに付与$true Windows PowerShellします。 [すべての認証ユーザー] および [すべての フォームユーザー] クレームが付与されている外部ユーザーは、[すべての認証済みユーザー] および [すべてのフォーム ユーザー] グループに共有されているコンテンツに アクセス できます。

既定のクレームAD代わりに Azure のグループと動的メンバーシップを使用する

引き続きすべてのユーザー、外部ユーザーを除くすべてのユーザー、すべての認証済みユーザー、およびすべてのフォーム ユーザー グループとの共有をサポートしますが、Azure AD で顧客定義グループを使用して役割ベースのアクセス管理を実装するようにお勧めしています。 これには、グループOffice 365含まれます。

Office 365グループは、サービスとエクスペリエンス全体のメンバーシップとコンテンツOffice 365を定義します。 多Office 365サービスは既に Azure AD 動的グループをサポートしています。これらのサービスは、Azure AD プロパティとビジネス ロジックに基づく一連のルールとして定義されています。

動的グループは、適切なユーザーが適切なコンテンツにアクセスできる最善の方法です。 動的グループを使用すると、ルールに基づく定義を使用してグループを 1 回定義できます。 この機能を使用すると、組織の変更に合ってメンバーを追加または削除する必要が生じかねない。

よくあるご質問 (FAQ)

Q: 現在、テナントがこの変更を受け取るのをオプトアウトできますか?

A: 現在、公式の "オプトアウト" プロセスはありません。 これらのグループを引き続き使用して外部ユーザーと共有する場合は、2018 年 3 月 23 日より前に PowerShell で次のコマンドレットを実行できます。

Set-SPOTenant -ShowEveryoneClaim $true

注意

既定では 、-ShowEveryoneClaim プロパティの値は True に設定 されています。 ただし、プロパティ値が null で設定されていないか確認するには、このコマンドを実行して設定を完全に更新します。 設定が更新されたと確認する場合は、Microsoft サポートにお問い合わせください。

テナント内のすべての外部ユーザーに対してアクセス許可を持つリソースを識別する

前提条件

  • 検索クエリ ツールSharePointをダウンロードします

    注意

    次の [プロセス] セクションのクエリは、Web ブラウザーでも実行できます。

  • Outlook.com で コンシューマー アカウントを作成します。 このアカウントは組織の外部です。この例では、アカウントが . contoso_externaluser@outlook.com

前提条件

  • YourOffice 365 組織は Contoso です。 組織は、contoso.sharepoint.com とSharePointに使用し、contoso-my.sharepoint.com をOneDriveします。
  • 組織の管理者です。 Youridentity isadmin@contoso.com .

プロセス

  • すべての外部ユーザーがアクセス権を持つリソースを決定する方法で、Everyone クレームを外部ユーザーに付与するテナントを構成します