Udělení nároku Všichni externím uživatelům v Microsoftu 365
Souhrn
Od 23. března 2018 aktualizujeme chování a zásady správného řízení přístupu externích uživatelů v Microsoftu 365.
Po provedení této změny se externímu uživateli zobrazí pouze obsah sdílený s tímto uživatelem nebo se skupinami, do kterých uživatel patří. Externím uživatelům se už nezobrazí obsah sdílený se skupinami Všichni, Všichni ověření uživatelé nebo Všichni uživatelé formulářů . Ve výchozím nastavení bude obsah, který má udělená oprávnění k těmto skupinám, viditelný jenom uživatelům vaší organizace.
Správci můžou změnit výchozí chování tak, aby externím uživatelům umožnili zobrazit obsah, který je sdílený všemuživatelům, Všem ověřeným uživatelům nebo Všem uživatelům formulářů.
Další informace
Pozadí
Ve místní Active Directory doménách představuje speciální skupina Všichni všechny identity v doméně služby Active Directory. Zahrnuje účet hosta domény, který je ve výchozím nastavení zakázaný. Ve výchozím nastavení skupina Všichni zahrnuje všechny uživatelské účty přidané delegovanými správci do domény.
Před touto změnou microsoft 365 sdílel chování místní Active Directory domén: Každý uživatel v Microsoft Entra ID tenanta byl po přidání deklarace Všichni do kontextu zabezpečení uživatele v podstatě považován za člena skupiny Everyone. To zahrnovalo externí uživatele. Tato deklarace identity umožňuje uživateli přístup k veškerému obsahu, který je sdílený se skupinou Everyone .
Podobně se do kontextu zabezpečení každého uživatele automaticky přidaly deklarace identity Všichni ověření uživatelé a Všichni uživatelé formulářů . To zahrnovalo externí uživatele, kteří mají účty v Microsoft Entra ID tenanta. Tyto deklarace identity umožňují uživatelům přístup k veškerému obsahu, který je sdílený se skupinami Všichni ověření uživatelé nebo Všichni uživatelé formulářů .
Microsoft 365 umožňuje uživatelům bezproblémově sdílet a spolupracovat s uživateli v rámci organizace i mimo ni. Když uživatel ve vaší organizaci přidá externího uživatele do skupiny Microsoft 365 nebo sdílí obsah s externím uživatelem a vyžaduje ověření ("přihlášení") pro přístup, vytvoří se v Microsoft Entra ID účet, který bude externího uživatele typu host představovat. Není nutné, aby delegovaný správce vytvářel účet pro externího uživatele.
Aktualizace na výchozí přístup pro externí uživatele
Abychom lépe podporovali sdílení řízené uživatelem, aktualizujeme chování a zásady správného řízení přístupu externích uživatelů v Microsoftu 365.
Od 23. března 2018 se externím uživatelům ve výchozím nastavení nebudou udělovat deklarace všichni, Všichni ověření uživatelé nebo Všichni uživatelé formulářů . Externím uživatelům bude udělen přístup pouze k obsahu sdílenému se skupinou, do které externí uživatel patří, a k obsahu, který je sdílen přímo s externím uživatelem. Externí uživatelé nebudou mít přístup k obsahu, který se sdílí s těmito třemi speciálními skupinami.
Nová možnost řízení přístupu pro externí uživatele
Pomocí následujících pokynů udělte přístup externím uživatelům vybraným skupinám.
| Deklarace identity skupiny | Postup | Result (Výsledek) |
|---|---|---|
| Každý | Nakonfigurujte tenanta tak, aby externím uživatelům udělil deklaraci identity Everyone spuštěním rutiny Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Externí uživatelé, kterým je udělena deklarace všichni , mají přístup k obsahu, který se sdílí se skupinou Everyone . |
| Všichni ověření uživatelé a všichni uživatelé formulářů | Nakonfigurujte tenanta tak, aby externím uživatelům udělil deklarace identity All Authenticated Users a All Forms Users, a to spuštěním rutiny Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell. | Externí uživatelé, kterým jsou uděleny deklarace identity Všichni ověření uživatelé a Všichni uživatelé formulářů , mají přístup k obsahu, který se sdílí se skupinami Všichni ověření uživatelé a Všichni uživatelé formulářů . |
Použití Microsoft Entra skupin a dynamického členství místo výchozích deklarací identity
I když i nadále podporujeme sdílení se skupinami Všichni, Všichni kromě externích uživatelů, Všichni ověření uživatelé a Všichni uživatelé formulářů, doporučujeme implementovat správu přístupu na základě role pomocí skupin definovaných zákazníkem v Microsoft Entra ID. To zahrnuje skupiny Microsoft 365.
Skupiny Microsoft 365 definují členství a přístup k obsahu napříč službami a prostředími Microsoftu 365. Mnoho služeb Microsoft 365 už podporuje Microsoft Entra dynamických skupin a tyto služby jsou definované jako sada pravidel založených na Microsoft Entra vlastnostech a obchodní logice.
Dynamické skupiny představují nejlepší způsob, jak zajistit, aby příslušní uživatelé měli přístup ke správnému obsahu. Dynamické skupiny umožňují definovat skupinu jednou pomocí definice založené na pravidlech. Díky této možnosti nemusíte přidávat ani odebírat členy, protože se vaše organizace mění.
Časté otázky
Otázka:Je v současné době možné vyjádřit výslovný nesouhlas s přijímáním změn u vašeho tenanta?
A: V současné době neexistuje žádný oficiální proces odhlášení. Pokud tyto skupiny dál používáte ke sdílení s externími uživateli, můžete do 23. března 2018 v PowerShellu spustit následující rutinu:
Set-SPOTenant -ShowEveryoneClaim $true
Poznámka
Ve výchozím nastavení je hodnota vlastnosti -ShowEveryoneClaim nastavená na Hodnotu True. Chcete-li se však ujistit, že hodnota vlastnosti není null, spusťte tento příkaz a plně aktualizujte nastavení. Pokud chcete ověřit, že je nastavení aktualizované, kontaktujte prosím podpora Microsoftu.
Identifikace prostředků povolených pro všechny externí uživatele v tenantské službě
Požadavky
Stáhněte si nástroj sharepointového vyhledávacího dotazu.
Poznámka
Dotazy v následující části "Proces" lze také spustit ve webových prohlížečích.
Vytvořte si uživatelský účet na Outlook.com. Tento účet je externí pro vaši organizaci. Tento příklad předpokládá, že účet je contoso_externaluser@outlook.com.
Předpoklad
- Vaše organizace Microsoft 365 je Contoso. Vaše organizace používá contoso.sharepoint.com pro sharepointové weby a skupiny a contoso-my.sharepoint.com pro úložiště OneDrive.
- Jste správcem organizace. Vaše identita isadmin@contoso.com.
Proces
- Nakonfigurujte tenanta tak, aby externím uživatelům udělil deklaraci identity Everyone podle postupu určení prostředků, ke kterým mají všichni externí uživatelé přístup.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro