在 Microsoft 365 中將 Everyone 宣告授與外部使用者

  • 文章
  • 適用於:
    Azure Active Directory, Microsoft 365

摘要

從 2018 年 3 月 23 日開始,我們將更新 Microsoft 365 中外部使用者存取的行為和控管。

進行這項變更之後,外部使用者只會看到與該使用者或使用者所屬群組共享的內容。 外部使用者將不會再看到共用給 [所有人]、[ 所有已驗證的使用者] 或 [ 所有表單使用者 ] 群組的內容。 根據預設,授與這些群組許可權的內容將只會顯示給貴組織的使用者。

系統管理員可以變更預設行為,讓外部使用者查看共用給 所有人所有已驗證使用者所有表單用戶的內容。

其他相關資訊

Background

在 內部部署的 Active Directory 網域中,Everyone 特殊群組代表 Active Directory 網域中的所有身分識別。 它包含網域的來賓帳戶,預設為停用。 根據預設, Everyone 群組包含委派的系統管理員新增至網域的所有用戶帳戶。

在此變更之前,Microsoft 365 會共用 內部部署的 Active Directory 網域的行為:在您將 Everyone 宣告新增至使用者的安全性內容之後,租使用者 Microsoft Entra ID 中的每個用戶實際上都會被視為 Everyone 群組的成員。 這包括外部使用者。 此宣告可讓使用者存取與 Everyone 群組共用的任何內容。

同樣地, [所有已驗證的使用者 ] 和 [ 所有表單使用者 ] 宣告會自動新增至每個使用者的安全性內容。 這包括在租使用者 Microsoft Entra ID 中具有帳戶的外部使用者。 這些宣告可讓使用者存取與 [所有已驗證的使用者 ] 或 [ 所有表單使用者 ] 群組共用的任何內容。

Microsoft 365 可讓使用者與其組織內外的用戶順暢地共用及共同作業。 當組織中的使用者將外部使用者新增至 Microsoft 365 群組或與外部使用者共用內容,且需要驗證 (「登入」) 進行存取時,系統會在 Microsoft Entra ID 中自動建立帳戶來代表外部來賓使用者。 委派的系統管理員不需要為外部使用者建立帳戶。

匯報 外部用戶的預設存取權

為了更有效地支援使用者驅動共享,我們正在更新 Microsoft 365 中外部使用者存取的行為和控管。

從 2018 年 3 月 23 日開始,預設不會再授與外部使用者 所有人所有已驗證的使用者所有表單使用者 宣告。 外部使用者只能存取與外部使用者所屬群組共享的內容,以及直接與外部使用者共享的內容。 外部使用者將無法存取與這三個特殊群組共享的內容。

管理外部使用者存取權的新選項

使用下列指導方針,將所選群組的存取權授與外部使用者。

群組宣告 Procedure 結果
每個人 設定您的租用戶,藉由執行 Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell Cmdlet,將 Everyone 宣告授與外部使用者。 獲授與 Everyone 宣告的外部使用者可以存取共用給 Everyone 群組的內容。
所有已驗證的使用者所有表單使用者 設定您的租使用者,藉由執行 Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell Cmdlet,將所有已驗證的使用者和所有表單使用者宣告授與外部使用者 獲得 「所有已驗證的使用者 」和「 所有表單使用者 」宣告的外部使用者,可以存取共用給 「所有已驗證的使用者 」和「 所有表單使用者 」群組的內容。

使用 Microsoft Entra 群組和動態成員資格,而不是預設宣告

雖然我們繼續支援與 [所有人]、[外部使用者]、[所有已驗證的使用者] 和 [所有窗體使用者] 群組共用,但我們鼓勵您在 Microsoft Entra ID 中使用客戶定義的群組來實作角色型存取管理。 這包括 Microsoft 365 群組。

Microsoft 365 群組會定義跨 Microsoft 365 服務和體驗的內容成員資格和存取權。 許多 Microsoft 365 服務已支援 Microsoft Entra 動態群組,而這些服務會定義為一組以 Microsoft Entra 屬性和商業規則為基礎的規則。

動態群組是確保適當用戶能夠存取正確內容的最佳方式。 動態群組可讓您使用以規則為基礎的定義,一次定義群組。 藉由具備這項功能,您就不需要在組織變更時新增或移除成員。

常見問題集

問:目前是否可以退出您的租使用者,使其無法接收變更?

答: 目前沒有正式的「退出」程式。 如果您繼續使用這些群組與外部用戶共用,您可以在 2018 年 3 月 23 日之前於 PowerShell 中執行下列 Cmdlet:

Set-SPOTenant -ShowEveryoneClaim $true

注意事項

根據預設, -ShowEveryoneClaim 屬性值會設定為 True。 不過,若要確定屬性值不是 Null,請執行此命令以完整更新設定。 如果您想要確認設定已更新,請連絡 Microsoft 支援服務。

識別租使用者中所有外部使用者允許的資源

必要條件

  • 下載 SharePoint 搜尋查詢工具

    注意事項

    下列「處理」區段中的查詢也可以在網頁瀏覽器中執行。

  • 在 Outlook.com 建立取 者帳戶。 此帳戶是貴組織的外部帳戶。 這個範例假設帳戶是 contoso_externaluser@outlook.com。

假設

  • 您的 Microsoft 365 組織是 Contoso。 您的組織會針對 SharePoint 網站和群組使用 contoso.sharepoint.com,並針對 OneDrive 記憶體使用 contoso-my.sharepoint.com。
  • 您是組織的系統管理員。 您的身分識別 isadmin@contoso.com。

程序