Conceder a declaração Todos para usuários externos no Microsoft 365
Resumo
A partir de 23 de março de 2018, estamos atualizando o comportamento e a governança do acesso por usuários externos no Microsoft 365.
Depois que essa alteração for feita, um usuário externo verá apenas o conteúdo compartilhado com esse usuário ou com grupos aos quais o usuário pertence. Os usuários externos não verão mais o conteúdo compartilhado para os grupos Todos, Todos os Usuários Autenticados ou Usuários de Todos os Formulários . Por padrão, o conteúdo que recebe permissões para esses grupos ficará visível apenas para os usuários da sua organização.
Os administradores podem alterar o comportamento padrão para permitir que os usuários externos vejam o conteúdo compartilhado com todos, todos os usuários autenticados ou usuários de todos os formulários.
Informações adicionais
Background
Em domínios Active Directory local, o grupo especial Todos representa todas as identidades no domínio do Active Directory. Ele inclui a conta de convidado do domínio, que é desabilitada por padrão. Por padrão, o grupo Todos inclui todas as contas de usuário adicionadas por administradores delegados ao domínio.
Antes dessa alteração, o Microsoft 365 compartilhou o comportamento de domínios Active Directory local: cada usuário no Microsoft Entra ID de um locatário foi efetivamente considerado um membro do grupo Everyone depois que você adicionou uma declaração Todos ao contexto de segurança do usuário. Isso incluiu usuários externos. Essa declaração permite que um usuário acesse qualquer conteúdo compartilhado com o grupo Todos .
Da mesma forma, as declarações todos os usuários autenticados e todos os formulários foram adicionados automaticamente ao contexto de segurança de cada usuário. Isso incluiu usuários externos que têm contas no Microsoft Entra ID do locatário. Essas declarações permitem que os usuários acessem qualquer conteúdo compartilhado com os grupos Todos os Usuários Autenticados ou Usuários de Todos os Formulários .
O Microsoft 365 permite que os usuários compartilhem e colaborem perfeitamente com usuários dentro e fora de suas organizações. Quando um usuário em sua organização adiciona um usuário externo a um grupo do Microsoft 365 ou compartilha conteúdo com um usuário externo e requer autenticação ("entrada") para acesso, uma conta é criada automaticamente em Microsoft Entra ID para representar o usuário convidado externo. Não é necessário que um administrador delegado crie a conta para o usuário externo.
Atualizações ao acesso padrão para usuários externos
Para dar melhor suporte ao compartilhamento controlado pelo usuário, estamos atualizando o comportamento e a governança do acesso por usuários externos no Microsoft 365.
A partir de 23 de março de 2018, os usuários externos não receberão mais as declarações Todos, Todos os Usuários Autenticados ou Todos os Formulários usuários por padrão. Os usuários externos terão acesso apenas ao conteúdo compartilhado com o grupo ao qual o usuário externo pertence e ao conteúdo compartilhado diretamente com o usuário externo. Os usuários externos não terão acesso ao conteúdo compartilhado com esses três grupos especiais.
Nova opção para controlar o acesso de usuários externos
Use as diretrizes a seguir para conceder acesso a usuários externos para os grupos selecionados.
| Declaração de grupo | Procedure | Resultado |
|---|---|---|
| Todos | Configure seu locatário para conceder a declaração Todos aos usuários externos executando o cmdlet Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Usuários externos que recebem a declaração Todos têm acesso ao conteúdo compartilhado com o grupo Todos . |
| Todos os usuários autenticados e todos os usuários de formulários | Configure seu locatário para conceder as declarações todos os usuários autenticados e todos os formulários aos usuários externos executando o cmdlet Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell | Usuários externos que recebem as declarações Todos os Usuários Autenticados e Todos os Formulários Os usuários têm acesso ao conteúdo compartilhado para os grupos Todos os Usuários Autenticados e Todos os Usuários de Formulários . |
Usar grupos Microsoft Entra e associação dinâmica em vez de declarações padrão
Embora continuemos apoiando o compartilhamento com os grupos Todos, Todos, Exceto Usuários Externos, Todos os Usuários Autenticados e Todos os Usuários de Formulários, incentivamos você a implementar o gerenciamento de acesso baseado em função usando grupos definidos pelo cliente em Microsoft Entra ID. Isso inclui grupos do Microsoft 365.
Os grupos do Microsoft 365 definem a associação e o acesso ao conteúdo em serviços e experiências do Microsoft 365. Muitos serviços do Microsoft 365 já dão suporte a Microsoft Entra grupos dinâmicos e esses serviços são definidos como um conjunto de regras baseadas em propriedades Microsoft Entra e lógica de negócios.
Grupos dinâmicos são a melhor maneira de garantir que os usuários apropriados tenham acesso ao conteúdo correto. Grupos dinâmicos permitem definir um grupo uma vez usando uma definição baseada em regras. Ao ter essa capacidade, você não precisa adicionar ou remover membros à medida que sua organização muda.
Perguntas frequentes
P:No momento, é possível optar por não receber a alteração pelo locatário?
Um: Atualmente, não há nenhum processo oficial de "opt out". Se você continuar a usar esses grupos para compartilhar com usuários externos, poderá executar o seguinte cmdlet no PowerShell antes de 23 de março de 2018:
Set-SPOTenant -ShowEveryoneClaim $true
Observação
Por padrão, o valor da propriedade -ShowEveryoneClaim é definido como True. No entanto, para garantir que o valor da propriedade não seja nulo, execute este comando para atualizar totalmente a configuração. Se você quiser verificar se a configuração está atualizada, entre em contato com Suporte da Microsoft.
Identificar recursos permitidos para todos os usuários externos no locatário
Pré-requisitos
Baixe a Ferramenta de Consulta de Pesquisa do SharePoint.
Observação
As consultas na seção "Processo" a seguir também podem ser executadas em navegadores da Web.
Crie uma conta de consumidor no Outlook.com. Essa conta é externa à sua organização. Este exemplo pressupõe que a conta seja contoso_externaluser@outlook.com.
Suposição
- Sua organização do Microsoft 365 é a Contoso. Sua organização usa contoso.sharepoint.com para sites e grupos do SharePoint e contoso-my.sharepoint.com para armazenamento do OneDrive.
- Você é um administrador da organização. Sua identidade isadmin@contoso.com.
Processo
- Configure seu locatário para conceder a declaração Todos aos usuários externos por Como determinar recursos aos quais todos os usuários externos têm acesso.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de