Gewähren des Anspruchs "Jeder" für externe Benutzer in Microsoft 365
Zusammenfassung
Ab dem 23. März 2018 aktualisieren wir das Verhalten und die Governance des Zugriffs durch externe Benutzer in Microsoft 365.
Nachdem diese Änderung vorgenommen wurde, wird einem externen Benutzer nur der Inhalt angezeigt, der für diesen Benutzer oder für Gruppen freigegeben wurde, zu denen der Benutzer gehört. Externen Benutzern werden keine Inhalte mehr angezeigt, die für die Gruppen Jeder, Alle authentifizierten Benutzer oder Alle Formularbenutzer freigegeben sind. Standardmäßig sind Inhalte, denen Berechtigungen für diese Gruppen erteilt werden, nur für die Benutzer Ihrer organization sichtbar.
Administratoren können das Standardverhalten ändern, damit externe Benutzer Inhalte anzeigen können, die für Alle, Alle authentifizierten Benutzer oder Alle Formularbenutzer freigegeben sind.
Weitere Informationen
Hintergrund
In lokales Active Directory Domänen stellt die spezielle Gruppe Jeder alle Identitäten in der Active Directory-Domäne dar. Es enthält das Gastkonto der Domäne, das standardmäßig deaktiviert ist. Standardmäßig enthält die Gruppe Jeder alle Benutzerkonten, die von delegierten Administratoren der Domäne hinzugefügt werden.
Vor dieser Änderung hat Microsoft 365 das Verhalten von lokales Active Directory Domänen geteilt: Jeder Benutzer in der Microsoft Entra ID eines Mandanten wurde effektiv als Mitglied der Gruppe Jeder betrachtet, nachdem Sie dem Sicherheitskontext des Benutzers einen Jeder-Anspruch hinzugefügt haben. Dies umfasste externe Benutzer. Dieser Anspruch ermöglicht es einem Benutzer, auf alle Inhalte zuzugreifen, die für die Gruppe Jeder freigegeben werden.
Auf ähnliche Weise wurden die Ansprüche Alle authentifizierten Benutzer und Alle Formularbenutzer automatisch dem Sicherheitskontext jedes Benutzers hinzugefügt. Dies umfasste externe Benutzer, die über Konten im Microsoft Entra ID des Mandanten verfügen. Diese Ansprüche ermöglichen Benutzern den Zugriff auf alle Inhalte, die für die Gruppen Alle authentifizierten Benutzer oder Alle Formularbenutzer freigegeben werden.
Microsoft 365 ermöglicht Benutzern die nahtlose Freigabe und Zusammenarbeit mit Benutzern innerhalb und außerhalb ihrer Organisation. Wenn ein Benutzer in Ihrem organization einen externen Benutzer zu einer Microsoft 365-Gruppe hinzufügt oder Inhalte für einen externen Benutzer freigibt und für den Zugriff eine Authentifizierung ("Anmeldung") erfordert, wird automatisch ein Konto in Microsoft Entra ID erstellt, um den externen Gastbenutzer darzustellen. Es ist nicht erforderlich, dass ein delegierter Administrator das Konto für den externen Benutzer erstellt.
Updates für den Standardzugriff für externe Benutzer
Um die benutzergesteuerte Freigabe besser zu unterstützen, aktualisieren wir das Verhalten und die Governance des Zugriffs durch externe Benutzer in Microsoft 365.
Ab dem 23. März 2018 werden externen Benutzern standardmäßig nicht mehr die Ansprüche Jeder, Alle authentifizierten Benutzer oder Alle Formularbenutzer gewährt. Externen Benutzern wird nur Zugriff auf Inhalte gewährt, die für die Gruppe freigegeben werden, zu der der externe Benutzer gehört, sowie auf Inhalte, die direkt für den externen Benutzer freigegeben werden. Externe Benutzer haben keinen Zugriff auf Inhalte, die für diese drei speziellen Gruppen freigegeben werden.
Neue Option zum Steuern des Zugriffs für externe Benutzer
Verwenden Sie die folgenden Richtlinien, um externen Benutzern Zugriff für die ausgewählten Gruppen zu gewähren.
| Gruppenanspruch | Verfahren | Ergebnis |
|---|---|---|
| Jeder | Konfigurieren Sie Ihren Mandanten, um externen Benutzern den Anspruch Jeder zu gewähren, indem Sie das Cmdlet Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell ausführen. | Externe Benutzer, denen der Anspruch Jeder gewährt wird, haben Zugriff auf Inhalte, die für die Gruppe Jeder freigegeben werden. |
| Alle authentifizierten Benutzer und Alle Formularbenutzer | Konfigurieren Sie Ihren Mandanten, um externen Benutzern die Ansprüche Alle authentifizierten Benutzer und Alle Formularbenutzer zu gewähren, indem Sie das Cmdlet Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell ausführen. | Externe Benutzer, denen die Ansprüche Alle authentifizierten Benutzer und Alle Formularbenutzer gewährt werden, haben Zugriff auf Inhalte, die für die Gruppen Alle authentifizierte Benutzer und Alle Formularbenutzer freigegeben sind. |
Verwenden von Microsoft Entra Gruppen und dynamischer Mitgliedschaft anstelle von Standardansprüchen
Obwohl wir weiterhin die Freigabe für die Gruppen Jeder, Jeder außer externen Benutzern, Alle authentifizierten Benutzer und Alle Formularbenutzer unterstützen, empfehlen wir Ihnen, die rollenbasierte Zugriffsverwaltung mithilfe von kundendefinierten Gruppen in Microsoft Entra ID zu implementieren. Dies schließt Microsoft 365-Gruppen ein.
Microsoft 365-Gruppen definieren die Mitgliedschaft und den Zugriff auf Inhalte in Microsoft 365-Diensten und -Umgebungen. Viele Microsoft 365-Dienste unterstützen bereits Microsoft Entra dynamischen Gruppen, und diese Dienste sind als Eine Reihe von Regeln definiert, die auf Microsoft Entra Eigenschaften und Geschäftslogik basieren.
Dynamische Gruppen sind die beste Möglichkeit, um sicherzustellen, dass die entsprechenden Benutzer Zugriff auf den richtigen Inhalt haben. Mit dynamischen Gruppen können Sie eine Gruppe einmal mithilfe einer Definition definieren, die auf Regeln basiert. Durch diese Möglichkeit müssen Sie keine Mitglieder hinzufügen oder entfernen, wenn sich Ihre organization ändert.
Häufig gestellte Fragen
F:Ist es derzeit möglich, den Erhalt der Änderung für Ihren Mandanten zu deaktivieren?
Eine: Derzeit gibt es keinen offiziellen Abmeldungsprozess. Wenn Sie diese Gruppen weiterhin für externe Benutzer verwenden, können Sie das folgende Cmdlet in PowerShell vor dem 23. März 2018 ausführen:
Set-SPOTenant -ShowEveryoneClaim $true
Hinweis
Standardmäßig ist der Wert der -ShowEveryoneClaim-Eigenschaft auf True festgelegt. Um jedoch sicherzustellen, dass der Eigenschaftswert nicht NULL ist, führen Sie diesen Befehl aus, um die Einstellung vollständig zu aktualisieren. Wenn Sie überprüfen möchten, ob die Einstellung aktualisiert wird, wenden Sie sich an Microsoft-Support.
Identifizieren von Ressourcen, die für alle externen Benutzer im Mandanten zulässig sind
Voraussetzungen
Laden Sie das SharePoint-Suchabfragetool herunter.
Hinweis
Die Abfragen im folgenden Abschnitt "Prozess" können auch in Webbrowsern ausgeführt werden.
Erstellen Sie unter Outlook.com ein Consumerkonto. Dieses Konto ist für Ihre organization extern. In diesem Beispiel wird davon ausgegangen, dass das Konto ist contoso_externaluser@outlook.com.
Annahme
- Ihr Microsoft 365-organization ist Contoso. Ihr organization verwendet contoso.sharepoint.com für SharePoint-Websites und -Gruppen und contoso-my.sharepoint.com für OneDrive-Speicher.
- Sie sind Administrator für die organization. Ihre Identität isadmin@contoso.com.
Prozess
- Konfigurieren Sie Ihren Mandanten so, dass der Anspruch Jeder externen Benutzern gewährt wird, indem Sie Ermitteln von Ressourcen, auf die alle externen Benutzer Zugriff haben.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für