Conceder à declaração todos para usuários externos no Office 365

Observação

O Office 365 ProPlus está sendo renomeado como Microsoft 365 Apps para empresas. Para obter mais informações sobre essa mudança, leia esta postagem de blog.

Resumo

A partir de 23 de março de 2018, estamos atualizando o comportamento e a governança de acesso por usuários externos no Office 365.

Após essa alteração ser feita, um usuário externo verá apenas o conteúdo compartilhado com esse usuário ou com grupos aos quais o usuário pertence. Os usuários externos não verão mais o conteúdo compartilhado para os grupos todosusuários autenticadosou todos os usuários de formulários . Por padrão, o conteúdo que receberá permissões para esses grupos ficará visível somente para os usuários da sua organização.

Os administradores podem alterar o comportamento padrão para permitirque usuários externos vejam o conteúdo compartilhado para todos, todos os usuários autenticadosou todos os usuários de formulários.

Informações adicionais

Segundo plano

Em domínios do Active Directory local, o grupo especial todos representa todas as identidades no domínio do Active Directory. Isso inclui a conta de convidado do domínio, que é desabilitada por padrão. Por padrão, o grupo todos inclui todas as contas de usuário adicionadas por administradores delegados ao domínio.

Antes dessa alteração, o Office 365 compartilhou o comportamento de domínios locais do Active Directory: cada usuário no Azure Active Directory do locatário (Azure AD) era efetivamente considerado um membro do grupo todos depois que você adicionou uma declaração todos   ao contexto de segurança do usuário. Isso incluiu os usuários externos. Essa declaração permite que um usuário acesse qualquer conteúdo compartilhado com o grupo todos .

Da mesma forma, as declarações todos os usuários autenticados   e todos os formulários de usuários   foram adicionadas automaticamente ao contexto de segurança de cada usuário. Isso incluiu usuários externos que têm contas no Azure AD do locatário. Essas declarações permitem que os usuários acessem qualquer conteúdo compartilhado com todos os usuários autenticados ou todos os grupos de usuários de formulários .

O Office 365 permite que os usuários compartilhem e colaborem de forma transparente com os usuários dentro e fora de suas organizações. Quando um usuário em sua organização adiciona um usuário externo a um grupo do Office 365 ou compartilha conteúdo com um usuário externo e requer autenticação ("entrada") para o Access, uma conta é criada automaticamente no Azure AD para representar o usuário convidado externo. Não é necessário para um administrador delegado criar a conta do usuário externo.

Atualizações para o acesso padrão para usuários externos

Para dar suporte melhor ao compartilhamento controlado pelo usuário, estamos atualizando o comportamento e a governança de acesso por usuários externos no Office 365.

A partir de 23 de março de 2018, os usuários externos não receberão mais as permissões todos, todos os usuários autenticadosou todos os formulários que os usuários afirmam por padrão. Os usuários externos terão acesso somente ao conteúdo compartilhado com o grupo ao qual o usuário externo pertence e ao conteúdo compartilhado diretamente com o usuário externo. Os usuários externos não terão acesso ao conteúdo compartilhado com esses três grupos especiais.

Nova opção para controlar o acesso de usuários externos

Use as diretrizes a seguir para conceder acesso a usuários externos para os grupos selecionados.

Declaração de grupo Procedure Resultado
Todos Configure seu locatário para conceder a Declaração todos   para usuários externos executando o cmdlet set-SPOTenant-ShowEveryoneClaim $true Windows PowerShell. Usuários externos que recebem a Declaração todos   têm acesso ao conteúdo compartilhado para o grupo todos   .
Todos os usuários   autenticados e todos os usuários de formulários Configure seu locatário para conceder a todos os usuários autenticados   e todos os formulários que os usuários   afirmam para usuários externos executando o cmdlet set-SPOTenant-ShowAllUsersClaim $true Windows PowerShell Usuários externos que recebem todos os usuários autenticados   e todos os formulários que os usuários   declarações têm acesso ao conteúdo compartilhado para todos os grupos de usuários autenticados   e todos os formulários .

Usar grupos do Azure AD e associação dinâmica em vez de declarações padrão

Embora continuemos a dar suporte ao compartilhamento com todos osgrupos de usuários, todos exceto usuários externos, todos os usuários autenticadose todos os formulários , incentivamos você a implementar o gerenciamento de acesso baseado em função usando grupos definidos pelo cliente no Azure AD. Isso inclui os grupos do Office 365.

Os grupos do Office 365 definem a associação e o acesso ao conteúdo nos serviços e experiências do Office 365. Muitos serviços do Office 365 já dão suporte a grupos dinâmicos do Azure AD, e esses serviços são definidos como um conjunto de regras baseadas nas propriedades do Azure AD e na lógica de negócios.

Os grupos dinâmicos são a melhor maneira de garantir que os usuários apropriados tenham acesso ao conteúdo correto. Grupos dinâmicos permitem que você defina um grupo uma vez usando uma definição baseada em regras. Ao ter essa capacidade, não é necessário adicionar ou remover membros à medida que sua organização é alterada.

Perguntas frequentes

P: atualmente, é possível recusar o locatário para receber essa alteração?

A: No momento, não há nenhum processo oficial de "recusar". Se você continuar a usar esses grupos para compartilhar usuários externos, poderá executar o seguinte cmdlet no PowerShell antes de 23 de março de 2018:

Set-SPOTenant -ShowEveryoneClaim $true

Observação

Por padrão, o valor da propriedade -ShowEveryoneClaim é definido como true. No entanto, para garantir que o valor da propriedade não seja nulo, execute este comando para atualizar completamente a configuração. Se quiser verificar se a configuração foi atualizada, entre em contato com o suporte da Microsoft.

Identificando recursos com permissão para todos os usuários externos na locação

Pré-requisitos

  • Baixe a ferramenta de consulta de pesquisa do SharePoint.

    Observação

    As consultas na seção "processo" a seguir também podem ser executadas em navegadores da Web.

  • Crie uma conta de consumidor em Outlook.com. Essa conta é externa à sua organização. Este exampleassumes que a conta é contoso_externaluser@outlook.com .

@

  • YourOffice 365 a organização é contoso. Sua organização usa o contoso.sharepoint.com para sites e grupos do SharePoint e contoso-my.sharepoint.com para armazenamento do OneDrive.
  • Você é um administrador da organização. Youridentity isadmin@contoso.com .

Processo