向外部用户授予 Everyone Office 365
备注
Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章。
摘要
从 2018 年 3 月 23 开始,我们将更新 Office 365 中的外部用户访问的行为和管理。
进行此更改后,外部用户将只能看到与该用户或该用户所属的组共享的内容。 外部用户将不再看到共享给 Everyone、All Authenticated Users 或 All Forms Users 组 的内容。 默认情况下,向这些组授予权限的内容将仅对组织的用户可见。
管理员可以更改默认行为,以使外部用户能够查看共享给"任何人"、"所有经过身份验证的用户"或"所有 窗体用户"的内容。
更多信息
背景
在本地 Active Directory 域中 ,Everyone 特殊组表示 Active Directory 域中的所有标识。 这包括域的来宾帐户,该帐户默认处于禁用状态。 默认情况下 ,Everyone 组包含委派管理员添加到域的所有用户帐户。
在此更改之前,Office 365共享本地 Active Directory 域的行为:将 Everyone 声明添加到用户的安全上下文后,租户 Azure Active Directory (Azure AD) 中的每个用户实际上被视为 Everyone 组的成员。 这包括外部用户。 此声明使用户能够访问与 Everyone 组共享 的任何 内容。
同样 ,"所有经过身份验证的用户" 和"所有窗体用户"声明也自动添加到每个用户的安全上下文中。 这包括在租户中拥有帐户的外部Azure AD。 这些声明使用户能够访问与"所有经过身份验证的用户"或"所有窗体用户组 "共享的任何 内容。
Office 365使用户可以与组织内外的用户无缝共享和协作。 当贵组织的用户向 Office 365 组添加外部用户或与外部用户共享内容并需要身份验证 ("登录") 以访问时,会自动在 Azure AD 中创建一个帐户来表示外部来宾用户。 委派管理员无需为外部用户创建帐户。
对外部用户的默认访问的更新
为了更好地支持用户驱动的共享,我们正在更新外部用户访问的行为Office 365。
从 2018 年 3 月 23 开始,默认情况下不再向外部用户授予 Everyone、All Authenticated Users 或 All Forms Users 声明。 仅向外部用户授予对与外部用户所属的组共享的内容以及直接与外部用户共享的内容的访问权限。 外部用户将无法访问与这三个特殊组共享的内容。
管理外部用户访问的新选项
使用以下准则为所选组的外部用户授予访问权限。
| 组声明 | 步骤 | 结果 |
|---|---|---|
| 每个人 | 配置租户以通过运行 Set-SPOTenant -ShowEveryoneClaim cmdlet 将 Everyone 声明授予$true Windows PowerShell声明。 | 被授予 Everyone 声明的外部用户有权访问共享给 Everyone 组的内容。 |
| 所有经过身份验证的用户****和所有表单用户 | 通过运行 Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell cmdlet 将租户配置为向外部用户授予"所有经过身份验证的用户"和"所有表单用户"声明 | 被授予"所有经过身份验证的用户"和"所有窗体用户"声明的外部用户有权访问共享给"所有经过身份验证的用户"和"所有窗体用户"组 的内容。 |
使用Azure AD组和动态成员资格,而不是默认声明
尽管我们继续支持与 Everyone、Everyone Except External Users、All Authenticated Users 和 All Forms Users 组共享,但我们鼓励您通过使用 Azure AD 中的客户定义组来实现基于角色的访问管理。 这包括Office 365组。
Office 365组定义跨服务与体验的内容Office 365访问权限。 许多Office 365服务已经支持Azure AD组,这些服务定义为一组基于属性和业务逻辑Azure AD的规则。
动态组是确保相应用户有权访问正确内容的最佳方法。 使用动态组,可以使用基于规则的定义一次定义组。 通过拥有此功能,无需在组织更改时添加或删除成员。
常见问题
问**:当前是否可选择退出租户接收此更改?**
答: 目前,没有正式的"选择退出"过程。 如果您继续使用这些组与外部用户共享,您可以在 2018 年 3 月 23 之前在 PowerShell 中运行以下 cmdlet:
Set-SPOTenant -ShowEveryoneClaim $true
备注
默认情况下 ,-ShowEveryoneClaim 属性值设置为 True。 但是,若要确保属性值不 为空,请运行此命令以完全更新设置。 如果要验证该设置是否更新,请联系 Microsoft 支持部门。
标识对租赁中所有外部用户授予的权限的资源
先决条件
下载 SharePoint查询工具。
备注
以下"进程"部分中的查询还可以在 Web 浏览器中运行。
在 Outlook.com 上创建使用者帐户。 此帐户在组织外部。此示例将帐户表示为 contoso_externaluser@outlook.com 。
假设
- YourOffice 365 organization is Contoso. 您的组织将 contoso.sharepoint.com 用于SharePoint组,contoso-my.sharepoint.com 用于OneDrive存储。
- 你是组织的管理员。 你的标识 isadmin@contoso.com 。
流程
- 通过如何确定所有外部用户都有权访问的资源,将租户配置为向外部用户授予 Everyone 声明。