Office 365 の外部ユーザーに、“Everyone” アクセス許可を付与する方法

適用対象: Office 365

概要


2018 3 23 日から、Office 365 の外部ユーザーのアクセス制御および動作を更新しています。

この変更が適用されると、外部ユーザーが閲覧できるのは、自身と共有されているコンテンツ、または自身が所属するグループと共有されているコンテンツのみとなります。今後、外部ユーザーは、EveryoneAll Authenticated Usersまたは All Forms Users” グループに共有されたコンテンツを閲覧できなくなります。既定では、上記のアクセス許可が付与されたグループのコンテンツを閲覧できるのは、組織ユーザーのみです。

管理者がこの既定の設定を変更することで、外部ユーザーは、EveryoneAll Authenticated Usersまたは All Forms Usersのアクセス許可によって共有されているコンテンツを閲覧できます。

詳細情報


背景

オンプレミスの Active Directory ドメインにおいて、Everyoneのアクセス許可が付与される特別なグループは、ドメインのゲスト アカウントを含む Active Directory ドメインのすべてのユーザーのことであり、これは既定で無効になっています。既定では、Everyoneグループには、代理管理者によってドメインに追加されたすべてのユーザー アカウントが含まれます。

本機能が変更される前の、オンプレミス環境の Active Directory ドメインにおける Office 365 の共有動作では、Azure Active Directory (Azure AD) テナント内のすべてのユーザーについて、Everyoneのアクセス許可を追加することで、ユーザーのセキュリティ コンテキストで事実上 Everyoneとみなされていました。これには、外部ユーザーも含まれていました。Everyoneのアクセス許可により、ユーザーは Everyoneグループに共有されたあらゆるコンテンツにアクセスできるようになります。

同様に、All Authenticated Usersおよび All Forms Usersのアクセス許可は、各ユーザーのセキュリティ コンテキストに自動的に追加されました。テナントの Azure AD にアカウントを所有する外部ユーザーにも、本動作が適用されていました。これらのアクセス許可により、ユーザーは、All Authenticated Usersグループまたは All Forms Usersグループに共有されたあらゆるコンテンツにアクセスできるようになります。

Office 365 において、ユーザーは組織内外のユーザーとシームレスに共有や共同作業を行うことができます。組織ユーザーが、外部ユーザーを Office 365 グループに追加したり、コンテンツを外部ユーザーと共有したりしてアクセス時に認証 (サインイン) を要求すると、外部のゲスト ユーザーに相当するアカウントが Azure AD に自動的に作成されます。代理管理者が、外部ユーザーのアカウントを新規作成する必要はありません。

外部ユーザーの既定のアクセス許可に関する更新

ユーザー主導の共有をさらに支援できるよう、Office 365 の外部ユーザーのアクセス制御および動作を更新しています。

2018 3 23 日から、外部ユーザーには、既定で EveryoneAll Authenticated Usersまたは All Forms Usersのアクセス許可が付与されなくなりました。外部ユーザーには、自身が所属するグループと共有されているコンテンツ、および自身と直接共有されているコンテンツにのみアクセスできるアクセス許可が付与されます。外部ユーザーは、前述の 3 つの特別なグループに対して共有されるコンテンツにはアクセスできなくなりました。

外部ユーザーに付与されるアクセス許可を制御する新しい選択肢

 

以下のガイドラインに従って、選択したグループへのアクセス許可を外部ユーザーに付与します。

アクセス許可のグループ

手順

結果

Everyone 以下の Windows PowerShell コマンドレットを実行し、外部ユーザーに Everyoneのアクセス許可を付与するようテナントを構成します。

Set-SPOTenant -ShowEveryoneClaim $true
Everyoneのアクセス許可を付与された外部ユーザーは、Everyoneグループと共有されているコンテンツにアクセスできます。
All Authenticated Users および All Forms Users  以下の Windows PowerShell コマンドレットを実行し、外部ユーザーに All Authenticated Users All Forms Usersのアクセス許可を付与するようテナントを構成します。

Set-SPOTenant -ShowAllUsersClaim $true
All Authenticated Users All Forms Usersのアクセス許可を付与された外部ユーザーは、All Authenticated Usersまたは All Forms Usersグループと共有されているコンテンツにアクセスできます。

 

既定のアクセス許可の代わりに、Azure AD グループと動的メンバーシップを使用する

引き続き EveryoneEveryone Except External UsersAll Authenticated Usersおよび All Forms Usersのアクセス許可を使用して共有を行うことはできますが、お客様自身で作成した Azure AD のグループ (Office 365 グループを含む) を使用して、ロールベースのアクセス管理を実施することを推奨します。

Office 365 グループを使用すると、メンバーシップを割り当て、Office 365 サービスやエクスペリエンス全体のコンテンツへのアクセスが可能になります。多くの Office 365 サービスにおいて、既に Azure AD の動的グループはサポートされており、これらのサービスは Azure AD プロパティやビジネス ロジックを基盤とした一連のルールにより定義されています。

動的グループは、適切なユーザーを適切なコンテンツにアクセスさせるための最善の方法です。動的グループによって、ルールに基づいたグループを 1 回で定義することができるため、組織が変わってもメンバーを追加したり削除したりする必要はありません。

よく寄せられる質問 (FAQ)


Q: 現時点で、テナントに本変更が適用されないように設定することはできますか?

A: 現時点では、正式に本変更の適用を無効化する処理はありません。引き続き、前述のグループを使用して外部ユーザーとの共有を希望する場合は、以下のコマンドレットを 2018 3 23 日以前に実行する必要がありました。

Set-SPOTenant -ShowEveryoneClaim $true


: -ShowEveryoneClaim プロパティの値は、既定で True となっていますが、本プロパティの値が nullとならないようにするためには、上記のコマンドレットを実行して設定を完全に更新してください。設定が更新されているかを確認する場合は、Microsoft サポートに問い合わせてください。

テナント レベルで、すべての外部ユーザーがアクセス権を保持するリソースを特定する


前提条件

  • 以下のリンク先より、SharePoint Search Query Tool をダウンロードします。https://github.com/SharePoint/PnP-Tools/tree/master/Solutions/SharePoint.Search.QueryTool (英語)

    : 以下の「処理」セクションに記載されているクエリは、ブラウザーでも実行可能です。
  • outlook.com のコンシューマー アカウントを作成します。本アカウントは、組織外のアカウントとなります。例えば、以下のようなアカウントとなります。
    contoso_externaluser@outlook.com

前提

  • ご利用の Office 365 組織は、Contoso であると仮定します。この組織では、SharePoint サイトやグループに contoso.sharepoint.com を使用しており、OneDrive ストレージに contoso-my.sharepoint.com を使用しています。
  • 本組織の管理者のアカウントは、admin@contoso.com です。

処理

  • 以下の資料を参照し、外部ユーザーに、Everyoneのアクセス許可を付与するようテナントを構成します。

    4089174: すべての外部ユーザーがアクセス権を持つリソースを確認する方法