Gi alle krav til eksterne brukere i Microsoft 365

  • Artikkel
  • Gjelder for:
    Azure Active Directory, Microsoft 365

Sammendrag

Fra og med 23. mars 2018 oppdaterer vi virkemåten og styringen av tilgang for eksterne brukere i Microsoft 365.

Når denne endringen er gjort, vil en ekstern bruker bare se innholdet som deles med denne brukeren, eller med grupper som brukeren tilhører. Eksterne brukere vil ikke lenger se innhold som er delt med gruppene Alle, Alle godkjente brukere eller Alle skjemabrukere . Som standard vil innhold som er gitt tillatelser til disse gruppene, bare være synlig for organisasjonens brukere.

Administratorer kan endre standard virkemåte for å gjøre det mulig for eksterne brukere å se innhold som er delt med alle, alle godkjente brukere eller alle skjemabrukere.

Mer informasjon

Bakgrunn

I lokal Active Directory domener representerer alle spesialgruppen Alle identiteter i Active Directory-domenet. Det inkluderer domenets gjestekonto, som er deaktivert som standard. Alle-gruppen inkluderer som standard alle brukerkontoer som legges til av delegerte administratorer til domenet.

Før denne endringen delte Microsoft 365 virkemåten til lokal Active Directory domener: Hver bruker i en leiers Microsoft Entra ID ble effektivt ansett som medlem av Alle-gruppen etter at du la til et Alle-krav i brukerens sikkerhetskontekst. Dette inkluderte eksterne brukere. Denne påstanden gjør det mulig for en bruker å få tilgang til innhold som deles med Alle-gruppen .

På samme måte ble alle godkjente brukere og alle skjemabrukere lagt til automatisk i hver brukers sikkerhetskontekst. Dette omfattet eksterne brukere som har kontoer i leierens Microsoft Entra ID. Disse påstandene gjør det mulig for brukere å få tilgang til innhold som deles med alle godkjente brukere eller alle skjemabrukere .

Microsoft 365 gjør det mulig for brukere å dele og samarbeide sømløst med brukere i og utenfor organisasjonen. Når en bruker i organisasjonen legger til en ekstern bruker i en Microsoft 365-gruppe eller deler innhold med en ekstern bruker og krever godkjenning («pålogging») for tilgang, opprettes det automatisk en konto i Microsoft Entra ID for å representere den eksterne gjestebrukeren. Det er ikke nødvendig for en delegert administrator å opprette kontoen for den eksterne brukeren.

Oppdateringer til standardtilgang for eksterne brukere

For bedre å støtte brukerdrevet deling oppdaterer vi virkemåten og styringen av tilgang for eksterne brukere i Microsoft 365.

Fra og med 23. mars 2018 vil ikke eksterne brukere lenger få krav fra alle, alle godkjente brukere eller alle skjemabrukere som standard. Eksterne brukere får bare tilgang til innhold som deles med gruppen som den eksterne brukeren tilhører, og til innhold som deles direkte med den eksterne brukeren. Eksterne brukere har ikke tilgang til innhold som deles med disse tre spesialgruppene.

Nytt alternativ for å styre tilgang for eksterne brukere

Bruk følgende retningslinjer for å gi tilgang til eksterne brukere for de valgte gruppene.

Gruppekrav Prosedyre Resultat
Alle Konfigurer leieren til å gi alle krav til eksterne brukere ved å kjøre Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell cmdlet. Eksterne brukere som er gitt alle-kravet , har tilgang til innhold som deles med Alle-gruppen .
Alle godkjente brukere og alle skjemabrukere Konfigurer leieren til å gi alle godkjente brukere og alle skjemabrukere krav til eksterne brukere ved å kjøre Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell cmdlet Eksterne brukere som er gitt alle godkjente brukere og alle skjemabrukere har tilgang til innhold som er delt med alle godkjente brukere og alle skjemabrukere .

Bruk Microsoft Entra grupper og dynamisk medlemskap i stedet for standardkrav

Selv om vi fortsetter å støtte deling med alle,alle unntatt eksterne brukere, alle godkjente brukere og alle skjemabrukere, oppfordrer vi deg til å implementere rollebasert tilgangsadministrasjon ved hjelp av kundedefinerte grupper i Microsoft Entra ID. Dette inkluderer Microsoft 365-grupper.

Microsoft 365-grupper definerer medlemskap og tilgang til innhold på tvers av Microsoft 365-tjenester og -opplevelser. Mange Microsoft 365-tjenester støtter allerede Microsoft Entra dynamiske grupper, og disse tjenestene er definert som et sett med regler som er basert på Microsoft Entra egenskaper og forretningslogikk.

Dynamiske grupper er den beste måten å sikre at de riktige brukerne har tilgang til riktig innhold på. Dynamiske grupper lar deg definere en gruppe én gang ved hjelp av en definisjon som er basert på regler. Ved å ha denne muligheten trenger du ikke å legge til eller fjerne medlemmer etter hvert som organisasjonen endrer seg.

Vanlige spørsmål

Spørsmål:Er det for øyeblikket mulig å velge bort leieren fra å motta endringen?

A: For øyeblikket er det ingen offisiell «opt out»-prosess. Hvis du fortsetter å bruke disse gruppene til å dele til eksterne brukere, kan du kjøre følgende cmdlet i PowerShell før 23. mars 2018:

Set-SPOTenant -ShowEveryoneClaim $true

Obs!

Som standard er egenskapsverdien -ShowEveryoneClaim satt til Sann. Hvis du vil forsikre deg om at egenskapsverdien ikke er null, kjører du denne kommandoen for å oppdatere innstillingen fullstendig. Hvis du vil bekrefte at innstillingen er oppdatert, kan du kontakte Microsoft Kundestøtte.

Identifisering av ressurser som er tillatt for alle eksterne brukere i leieforholdet

Forutsetninger

  • Last ned spørringsverktøyet for SharePoint Search.

    Obs!

    Spørringene i følgende «Prosess»-inndeling kan også kjøres i nettlesere.

  • Opprett en forbrukerkonto på Outlook.com. Denne kontoen er utenfor organisasjonen. Dette eksemplet forutsetter at kontoen er contoso_externaluser@outlook.com.

Forutsetning

  • Microsoft 365-organisasjonen din er Contoso. Organisasjonen bruker contoso.sharepoint.com for SharePoint-nettsteder og -grupper, og contoso-my.sharepoint.com for Lagringsplass i OneDrive.
  • Du er administrator for organisasjonen. isadmin@contoso.comIdentiteten din.

Prosessen