如何授予所有人声称对 Office 365 中的外部用户

适用于: SharePoint Online服务器Windows Server 2016 详细

概要


从开始的 3 月 23,2018,我们将更新的行为和公司治理的 Office 365 中的外部用户访问。

在进行此更改后,外部用户将看到与该用户或用户所属的组共享的内容。外部用户将不会看到所有人所有经过身份验证的用户,或所有窗体用户组共享的内容。默认情况下,向这些组授予权限的内容将只向您的组织的用户可见。

管理员可以更改默认行为,以使外部用户可以看到所有人所有经过身份验证的用户,或所有窗体用户共享的内容。

详细信息


背景

在内部部署 Active Directory 域中,每个人都特别组表示 Active Directory 域中所有的标识。这包括域的来宾帐户,默认禁用的。默认情况下, Everyone组包含所有委派管理员添加到域的用户帐户。

之前这一更改,Office 365 共享内部部署 Active Directory 域的行为: 租户的 Azure 活动目录 (AD Azure) 中的每个用户有效地被认为所有人组的成员添加到的每个人都声明之后用户的安全上下文。这包括外部用户。此声明使用户可以访问共享的Everyone组的任何内容。

同样,所有经过身份验证的用户所有窗体用户索赔已自动添加,到每个用户的安全上下文。这包括外部租户的 Azure 中拥有帐户的用户广告。这些声明使用户能够访问任何具有所有经过身份验证的用户窗体中的所有用户组共享的内容。

Office 365 使用户能够共享和与组织内外的用户无缝协作。当您的组织中的用户将外部用户添加到 Office 365 组或共享内容,与外部用户和访问的要求 ("登录") 的身份验证时,在 Azure 的广告来表示外部 guest 用户自动创建帐户。它没有必要为接受委派的管理员可以创建外部用户的帐户。

对外部用户的默认访问权限

更好地支持面向用户的共享,我们将更新的行为和公司治理的 Office 365 中的外部用户访问。

从开始的 3 月 23,2018,外部用户将不再被授予所有人所有经过身份验证的用户所有窗体用户索赔默认情况下。外部用户将被授予访问权限仅用到外部用户所属组的直接与外部用户共享的内容共享的内容。外部用户不会访问与这三个特殊组共享的内容。

新的选项来控制外部用户访问

使用下列准则向外部用户所选的组授予访问权限。

组声明

过程

结果

每个人都 配置您的租户要通过运行下面的 Windows PowerShell cmdlet 授予给外部用户每个人索赔:

Set-SPOTenant -ShowEveryoneClaim $true
外部用户被授予每个人索赔人有权对Everyone组共享的内容。
所有经过身份验证的用户窗体中的所有用户 配置您的组织可以通过运行下面的 Windows PowerShell cmdlet 授予对外部用户进行身份验证的所有用户所有窗体用户索赔:

Set-SPOTenant -ShowAllUsersClaim $true
外部用户的经过身份验证的所有用户所有窗体用户索赔被授予有权到所有经过身份验证的用户窗体中的所有用户组共享的内容。

 

而不是默认声明使用 Azure AD 组和动态成员身份

尽管我们继续支持与每个人每个人除了外部用户所有通过身份验证的用户所有窗体用户组共享,我们鼓励您使用来实现基于角色的访问管理在 Azure 广告客户定义的组。其中包括 Office 365 组。

Office 365 组内容定义的成员资格和访问整个 Office 365 提供服务和经验。许多 Office 365 服务已经支持 Azure 广告动态组,并且这些服务被定义为一套基于 Azure AD 属性和业务逻辑的规则。

动态组是最好的方法,以确保适当的用户有权访问正确的内容。动态组,可以通过使用基于规则的定义中定义一组一次。由于有这种能力,无需添加或移除成员随着您的组织的变化。

常见问题


问:是目前可能退出您租户接收此更改?

答:目前尚无正式的"退出"过程。如果继续使用这些组来与外部用户共享,您可以运行以下 cmdlet PowerShell 之前 2018,3 月 23。

Set-SPOTenant -ShowEveryoneClaim $true


注意:默认情况下, -ShowEveryoneClaim属性值设置为True。但是,若要确保该属性值不是null,运行此命令来完全更新的设置。如果您想要验证设置已更新,请与 Microsoft 支持部门联系。

向组织中的所有外部用户无标识资源


系统必备组件

假设

  • Office 365 的组织Contoso.您组织使用 contoso。 sharepoint.com 为 SharePoint 站点和组,以及 contoso 我。 sharepoint.com OneDrive 存储。
  • 是组织管理员。您标识是管理contoso.com @.

进程

  • 配置您的组织授予每个人都可以声明为外部用户通过使用下面的 Microsoft 知识库文章:

    4089174如何确定所有外部用户有权访问的资源