向 Microsoft 365 中的外部用户授予 Everyone 声明

摘要

从 2018 年 3 月 23 日开始，我们将更新 Microsoft 365 中外部用户访问的行为和治理。

进行此更改后，外部用户将仅看到与该用户或用户所属的组共享的内容。 外部用户将不再看到共享给 “所有人”、“ 所有经过身份验证的用户”或“ 所有窗体” 用户组的内容。 默认情况下，授予这些组权限的内容将仅对组织的用户可见。

管理员可以更改默认行为，使外部用户能够查看共享给 “所有人”、“ 所有经过身份验证的用户”或“ 所有表单用户”的内容。

更多信息

背景

在本地 Active Directory域中，Everyone 特殊组表示 Active Directory 域中的所有标识。 它包括域的来宾帐户，该帐户在默认情况下处于禁用状态。 默认情况下， “每个人 ”组包括由委派管理员添加到域的所有用户帐户。

在此更改之前，Microsoft 365 共享了本地 Active Directory域的行为：在向用户的安全上下文添加 Everyone 声明后，租户Microsoft Entra ID中的每个用户实际上都被视为 Everyone组的成员。 这包括外部用户。 此声明使用户能够访问与 “每个人 ”组共享的任何内容。

同样， “所有经过身份验证的用户 ”和“ 所有窗体用户” 声明会自动添加到每个用户的安全上下文中。 这包括在租户Microsoft Entra ID中拥有帐户的外部用户。 这些声明使用户能够访问与 “所有经过身份验证的用户 ”或“ 所有窗体” 用户组共享的任何内容。

Microsoft 365 使用户能够与其组织内外的用户无缝共享和协作。 如果组织中的用户将外部用户添加到 Microsoft 365 组或与外部用户共享内容，并且需要身份验证 (“登录”) 才能访问，则会自动在 Microsoft Entra ID 中创建一个表示外部来宾用户的帐户。 委托的管理员无需为外部用户创建帐户。

汇报外部用户的默认访问权限

为了更好地支持用户驱动的共享，我们正在更新 Microsoft 365 中外部用户访问的行为和治理。

从 2018 年 3 月 23 日起，默认情况下，将不再向外部用户授予 “所有人”、“ 所有经过身份验证的用户”或 “所有表单用户 ”声明。 仅向外部用户授予与外部用户所属的组共享的内容以及直接与外部用户共享的内容的访问权限。 外部用户将无法访问与这三个特殊组共享的内容。

用于管理外部用户访问权限的新选项

使用以下准则向外部用户授予所选组的访问权限。

使用Microsoft Entra组和动态成员身份，而不是默认声明

尽管我们继续支持与“所有人”、“除外部用户以外的所有人”、“所有经过身份验证的用户”和“所有窗体”用户组共享，但我们鼓励你在 Microsoft Entra ID 中使用客户定义的组来实现基于角色的访问管理。 这包括 Microsoft 365 组。

Microsoft 365 组定义跨 Microsoft 365 服务和体验的成员身份和对内容的访问权限。 许多 Microsoft 365 服务已经支持Microsoft Entra动态组，这些服务定义为一组基于Microsoft Entra属性和业务逻辑的规则。

动态组是确保相应用户有权访问正确内容的最佳方式。 动态组允许使用基于规则的定义一次定义组。 拥有此功能后，无需在组织更改时添加或删除成员。

常见问题

问：目前是否可以选择退出租户接收更改？

答： 目前，没有官方的“选择退出”过程。 如果继续使用这些组与外部用户共享，则可以在 2018 年 3 月 23 日之前在 PowerShell 中运行以下 cmdlet：

Set-SPOTenant -ShowEveryoneClaim $true

标识租户中所有外部用户允许的资源

先决条件

• 下载 SharePoint 搜索查询工具。

  注意

  还可以在 Web 浏览器中运行以下“进程”部分中的查询。

• 在 Outlook.com 创建使用者帐户。 此帐户是组织外部的。 此示例假定帐户为 contoso_externaluser@outlook.com。

假设

• 你的 Microsoft 365 组织是 Contoso。 你的组织对 SharePoint 网站和组使用 contoso.sharepoint.com，contoso-my.sharepoint.com 用于 OneDrive 存储。
• 你是组织的管理员。 isadmin@contoso.com标识 。

流程

• 通过如何确定所有外部用户有权访问的资源，将租户配置为向外部用户授予 Everyone 声明。