Предоставление утверждения "Все" внешним пользователям в Microsoft 365
Сводка
Начиная с 23 марта 2018 г. мы обновляем поведение и управление доступом внешних пользователей в Microsoft 365.
После внесения этого изменения внешний пользователь будет видеть только содержимое, к которому предоставлен общий доступ этому пользователю или группам, к которым принадлежит пользователь. Внешние пользователи больше не будут видеть содержимое, которое предоставляется группам Все, Все пользователи, прошедшие проверку подлинности или Все пользователи форм . По умолчанию содержимое, которому предоставлены разрешения для этих групп, будет отображаться только пользователям вашей организации.
Администраторы могут изменить поведение по умолчанию, чтобы внешние пользователи могли просматривать содержимое, которое предоставляется всем,всем пользователям, прошедшим проверку подлинности, или всем пользователям форм.
Дополнительные сведения
Общие сведения
В локальная служба Active Directory доменах специальная группа Все представляет все удостоверения в домене Active Directory. Он включает гостевую учетную запись домена, которая отключена по умолчанию. По умолчанию группа Все включает все учетные записи пользователей, добавленные делегированными администраторами в домен.
До этого изменения Microsoft 365 поделилась поведением локальная служба Active Directory доменов: каждый пользователь в Microsoft Entra ID клиента фактически считается членом группы Все после добавления утверждения Все в контекст безопасности пользователя. Сюда входят внешние пользователи. Это утверждение позволяет пользователю получить доступ к любому содержимому, к которому предоставлен доступ группе Все .
Аналогичным образом утверждения Все аутентифицированные пользователи и Все пользователи форм были автоматически добавлены в контекст безопасности каждого пользователя. Сюда входят внешние пользователи, у которых есть учетные записи в Microsoft Entra ID клиента. Эти утверждения позволяют пользователям получать доступ к любому содержимому, доступ к которому предоставляется группам Все пользователи, прошедшие проверку подлинности , или Все пользователи форм .
Microsoft 365 позволяет пользователям легко обмениваться данными и совместно работать с пользователями внутри и за пределами своих организаций. Когда пользователь в вашей организации добавляет внешнего пользователя в группу Microsoft 365 или предоставляет доступ к содержимому с внешним пользователем и требует проверки подлинности ("вход") для доступа, учетная запись автоматически создается в Microsoft Entra ID для представления внешнего гостевого пользователя. Делегированный администратор не требуется создавать учетную запись для внешнего пользователя.
Обновления к доступу по умолчанию для внешних пользователей
Чтобы улучшить поддержку общего доступа на основе пользователей, мы обновляем поведение и управление доступом внешних пользователей в Microsoft 365.
Начиная с 23 марта 2018 г. внешним пользователям больше не будут предоставляться утверждения Все, Все прошедшие проверку подлинности или Все пользователи форм по умолчанию. Внешним пользователям будет предоставлен доступ только к содержимому, к которому предоставлен общий доступ группе, к которой принадлежит внешний пользователь, и к содержимому, доступ к которому предоставляется непосредственно внешнему пользователю. Внешние пользователи не будут иметь доступ к содержимому, к которому предоставлен общий доступ для этих трех специальных групп.
Новый параметр для управления доступом для внешних пользователей
Используйте следующие рекомендации, чтобы предоставить доступ внешним пользователям для выбранных групп.
| Утверждение группы | Процедура | Результат |
|---|---|---|
| Все | Настройте клиент для предоставления утверждения "Все" внешним пользователям, выполнив командлет Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell. | Внешние пользователи, которым предоставлено утверждение Все , имеют доступ к содержимому, которое предоставляется группе Все . |
| Все пользователи, прошедшие проверку подлинности , и все пользователи форм | Настройте клиент для предоставления утверждений "Все прошедшие проверку подлинности" и "Все пользователи форм" внешним пользователям с помощью командлета Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell | Внешние пользователи, которым предоставлены утверждения Все пользователи, прошедшие проверку подлинности и Все пользователи форм , имеют доступ к содержимому, которое предоставляется группам "Все пользователи с проверкой подлинности" и "Все пользователи форм ". |
Использование групп Microsoft Entra и динамического членства вместо утверждений по умолчанию
Хотя мы по-прежнему поддерживаем общий доступ с группами "Все", "Все, кроме внешних пользователей", "Все пользователи с проверкой подлинности" и "Все пользователи форм", мы рекомендуем реализовать управление доступом на основе ролей с помощью определяемых клиентом групп в Microsoft Entra ID. Сюда входят группы Microsoft 365.
Группы Microsoft 365 определяют членство и доступ к содержимому в службах и интерфейсах Microsoft 365. Многие службы Microsoft 365 уже поддерживают динамические группы Microsoft Entra, и эти службы определяются как набор правил, основанных на свойствах Microsoft Entra и бизнес-логике.
Динамические группы — это лучший способ убедиться, что у соответствующих пользователей есть доступ к правильному содержимому. Динамические группы позволяют определить группу один раз с помощью определения, основанного на правилах. Благодаря этой возможности вам не придется добавлять или удалять участников по мере изменения организации.
Вопросы и ответы
Вопрос.Можно ли в настоящее время отказаться от получения изменений клиентом?
A: В настоящее время нет официального процесса "отказаться". Если вы продолжите использовать эти группы для предоставления общего доступа внешним пользователям, до 23 марта 2018 г. в PowerShell можно выполнить следующий командлет:
Set-SPOTenant -ShowEveryoneClaim $true
Примечание.
По умолчанию значение свойства -ShowEveryoneClaim имеет значение True. Однако, чтобы убедиться, что значение свойства не равно NULL, выполните эту команду, чтобы полностью обновить параметр. Если вы хотите убедиться, что параметр обновлен, обратитесь к служба поддержки Майкрософт.
Определение ресурсов, разрешенных всем внешним пользователям в клиенте
Предварительные требования
Скачайте средство поиска SharePoint.
Примечание.
Запросы в следующем разделе "Процесс" также можно выполнять в веб-браузерах.
Создайте учетную запись потребителя на Outlook.com. Эта учетная запись является внешней для вашей организации. В этом примере предполагается, что учетная запись имеет значение contoso_externaluser@outlook.com.
Предположение
- Ваша организация Microsoft 365 — contoso. Ваша организация использует contoso.sharepoint.com для сайтов и групп SharePoint, а contoso-my.sharepoint.com для хранилища OneDrive.
- Вы являетесь администратором организации. Ваше удостоверение isadmin@contoso.com.
Процесс
- Настройте клиент для предоставления утверждения "Все " внешним пользователям в разделе Определение ресурсов, к которым имеют доступ все внешние пользователи.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по