Office 365 组中的来宾访问

更新时间:2017 年 7 月

Office 365 组 中的来宾访问通过向组织外的人员授予组对话、文件、日历邀请和组笔记本访问权限,使你和团队能够与他们进行协作。任意组所有者都可授予来宾(包括合作伙伴、供应商或顾问)访问权限。

工作原理

Office 365 用户可以使用 Web 上的 Outlook 或 Outlook 2016 在其 Office 365 组中添加和管理来宾。来宾可以具有任意电子邮件地址,并且电子邮件帐户可以是工作帐户、个人帐户或学校帐户。

  • 步骤 1    组所有者将来宾添加到组或者由组成员提名来宾。组所有者批准提名。

  • 步骤 2    告知组所有者来宾在该组中可访问的内容。文本和图标组合可向所有组成员明确表明来宾参与情况。

  • 步骤 3   来宾收到一封欢迎电子邮件,并可参加组对话、接收和答复日历邀请以及访问组文件

  • 步骤 4    来宾可随时通过所有组电子邮件和日历邀请页脚中的链接退出组

来宾访问为租户级别设置,默认情况下处于启用状态。租户管理员可使用 PowerShell 管理来宾以及来宾对 Office 365 组资源的访问权限。有关说明,请参阅“管理”选项卡

来宾受邀加入组时会收到一封欢迎电子邮件,该邮件包含有关该组以及成为组成员后可使用的功能的简要信息。

来宾会收到欢迎电子邮件

来宾成员的所有互动均通过其电子邮件收件箱进行。他们无法访问组网站,但是可以接收日历邀请、参与电子邮件对话以及使用链接或附件打开共享文件(如果租户管理员已启用该功能)。

来宾收到的所有组电子邮件和日历邀请中包含一则使用“全部答复”答复组的提醒,并且包含查看组文件退出组的链接。示例如下:

来宾收到的所有来自组员的电子邮件上都有一个页脚,附有相关说明和链接

下表概括了来宾可以执行和无法执行的操作。

功能

允许来宾用户?

创建组

添加/删除组成员

删除组

加入组

是(通过邀请方式)

发起对话

答复对话

搜索对话

@提及组中的人员

固定/收藏组

删除对话

“赞”消息

管理会议

查看组日历

修改日历事件

将组日历添加到个人日历

查看和编辑组文件

是(如果租户管理员已启用此功能)

访问组 OneNote 笔记本

是(通过组成员发送的链接)

浏览组

默认情况下,组织的来宾访问功能处于启用状态。启用该功能后,组织中的每个人都可以将来宾用户添加到 Office 365 组。来宾将有权访问 Office 365 组的所有功能。

管理员可以控制是对整个组织的 Office 365 组还是单个 Office 365 组启用来宾访问。并且可以控制谁能允许来宾添加到组中。

在管理门户中管理来宾访问

  1. 使用 Office 365 全局管理员帐户登录 https://portal.office.com/adminportal/home

  2. 转到“用户”>“来宾用户”。

    展开导航窗格上的“用户”部分,管理“来宾用户”

如果来宾已存在于目录中(见上文),可通过 Office 管理中心或 Exchange 管理中心将其添加到组。

  1. 使用 Office 365 全局管理员帐户登录 https://portal.office.com/adminportal/home

  2. 转到“用户”>“来宾用户”。

    展开导航窗格上的“组”部分,管理组

  3. 选择要将来宾添加到的组,然后单击“成员”部分中的“编辑”。

    单击“编辑”管理组成员身份

  4. 选择要添加的来宾的姓名。

  5. 单击“保存”。

此时你无法通过 Office 管理中心或 Exchange 管理中心邀请来宾。如要集中邀请来宾,可以考虑使用 Azure Active Directory B2B 协作预览版。有关详细信息,请参阅关于 Azure AD B2B 协作预览版

目前无法从 Office 管理中心或 Exchange 管理中心添加或编辑来宾信息。若要编辑来宾帐户(如显示名称或个人资料照片),请转至你的 Azure Active Directory 门户。有关更多信息,请参阅了解 Office 365 标识和 Azure Active Directory

控制对 Office 365 组的来宾访问

默认情况下,来宾可以访问组文件和 OneNote。若要将其关闭,需要在组织级别关闭 SharePoint 外部共享设置。相关步骤,请参阅打开或关闭 SharePoint Online 的外部共享中的“管理 Office 365 组网站集的外部共享”部分。

但是,即使关闭了 SharePoint 外部共享设置,仍可基于 SharePoint 设置与新来宾用户共享 SharePoint 站点中的文件。若要详细了解,请参阅管理 SharePoint Online 环境的外部共享

默认情况下,组织中的共享选项处于启用状态。通过此选项可将来宾添加到组织中。若要关闭此选项:

  1. 使用 Office 365 全局管理员帐户登录 https://portal.office.com/adminportal/home

  2. 在导航菜单上,选择“设置”,然后选择“安全和隐私”。

  3. 将“允许向我的组织添加新来宾”的切换开关设置为“启用”/“关闭”。

    允许向组织添加来宾用户

  1. https://portal.office.com/adminportal/home 中使用 Office 365 管理员帐户登录。

  2. 在导航菜单上,选择“设置”,然后选择“服务和加载项”。

  3. 选择“Office 365 组”。

    Office 365 组

  4. 在“Office 365 组”页面上,将切换开关设置为“”或“”,具体取决于是否想要让组织外部人员访问 Office 365 组资源。

    如果将此切换开关设置为“”,可看到另一个选项,控制是否要允许组所有者向 Office 365 组添加组织外部人员。如果要允许组所有者添加来宾用户,将此开关设置为“”。

    允许组织外部人员访问 Office 365 组和资源

使用 PowerShell 控制来宾访问

重要提示:本文中的步骤需要预览版 用于 Windows PowerShell 的 Azure Active Directory 模块,具体而言是 AzureADPreview 模块,版本为 2.0.0.137 or later.

建议的最佳做法是始终保持最新:先卸载旧的 AzureADPreview 版本并获取最新版本,然后再运行 PowerShell 命令。

  1. 以管理员身份打开 Windows PowerShell:

    1. 在搜索栏中,键入 Windows PowerShell

    2. 右键单击 Windows PowerShell,然后选择“以管理员身份运行”。

      通过“以管理员身份​​运行​​”打开 PowerShell。

    Windows PowerShell 窗口会弹出打开。提示 C:\Windows\system32 意味着以管理员身份打开它。

    PowerShell 在首次打开时的显示外观。

  2. 要卸载早期版本的 AzureADPreview,请运行以下命令:

    Uninstall-Module AzureADPreview
  3. 要安装最新版本的 AzureADPreview,请运行以下命令:

    Install-Module AzureADPreview

    在有关不受信任的存储库的消息中,键入 Y。安装新模块需要一分钟左右的时间。

  1. 是否已按照上述“安装用于 Windows PowerShell 的 Azure Active Directory 模块的预览版本”部分中的说明,安装 AzureADPreview 模块?这些步骤不起作用的首要原因是未安装最新的预览版。

  2. 如果尚未执行此操作,打开计算机上的 Windows PowerShell 窗口(可以是普通 Windows PowerShell 窗口,也可以是通过选择“以管理员身份运行”打开的窗口)。

  3. 运行以下命令。在每个命令后,按 Enter

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入 Office 365 管理员帐户和密码以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  4. 运行以下命令:

    $template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified"}

  5. 查看是否已有 AzureADDirectorySetting 对象,如果已有,请保存对象 ID。运行以下命令:

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

    当且仅当该 cmdlet 出现一条错误说该对象不存在时,使用以下 cmdlet 创建一个对象:

    $template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified"}

    $settingsCopy = $template.CreateDirectorySetting()

    New-AzureADDirectorySetting -DirectorySetting $settingsCopy

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

  6. 将 AzureADDirectorySetting 对象复制回本地 $settingsCopy 变量:

    $settingsCopy = Get-AzureADDirectorySetting –Id $settingsObjectID

    这只是设置的副本;只有在将其复制回 AzureADDirectorySetting 对象后,更改才会生效。

  7. 设置选项,允许来宾访问 O365 组:

    $settingsCopy["AllowGuestsToAccessGroups"] = "true"

  8. 最后,(如上所述)为使更改生效,必须将设置复制回 AzureADDirectorySetting 对象:

    Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

  9. 若要验证更改是否生效,请从 AzureADDirectorySetting 对象检索值(不要仅查看 $settingsCopy 中的本地副本):

    (Get-AzureADDirectorySetting –Id $settingsObjectID).Values

    结果应如下所示:

    AllowGuestsToAccessGroups 应设置为 True

  1. 是否已按照上述“安装用于 Windows PowerShell 的 Azure Active Directory 模块的预览版本”部分中的说明,安装 AzureADPreview 模块?这些步骤不起作用的首要原因是未安装最新的预览版。

  2. 如果尚未执行此操作,打开计算机上的 Windows PowerShell 窗口(可以是普通 Windows PowerShell 窗口,也可以是通过选择“以管理员身份运行”打开的窗口)。

  3. 运行以下命令。在每个命令后,按 Enter

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入 Office 365 管理员帐户和密码以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  4. 运行以下命令:

    $template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified"}

  5. 查看是否已有 AzureADDirectorySetting 对象,如果已有,请保存对象 ID

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

    当且仅当该 cmdlet 出现一条错误说该对象不存在时,使用以下命令创建一个对象:

    $template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified"}

    $settingsCopy = $template.CreateDirectorySetting()

    New-AzureADDirectorySetting -DirectorySetting $settingsCopy

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

  6. 将 AzureADDirectorySetting 对象复制回本地 $settingsCopy 变量:

    $settingsCopy = Get-AzureADDirectorySetting –Id $settingsObjectID

    这只是设置的副本;只有在将其复制回 AzureADDirectorySetting 对象后,更改才会生效。

  7. 设置选项,允许将来宾添加到所有 O365 组:

    $settingsCopy["AllowToAddGuests"] = "true"

  8. 最后,(如上所述)为使更改生效,必须将设置复制回 AzureADDirectorySetting 对象:

    Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

  9. 若要验证更改是否生效,请从 AzureADDirectorySetting 对象检索值(不要仅查看 $settingsCopy 中的本地副本):

    (Get-AzureADDirectorySetting –Id $settingsObjectID).Values

  1. 是否已按照上述“安装用于 Windows PowerShell 的 Azure Active Directory 模块的预览版本”部分中的说明,安装 AzureADPreview 模块?这些步骤不起作用的首要原因是未安装最新的预览版。

  2. 如果尚未执行此操作,打开计算机上的 Windows PowerShell 窗口(可以是普通 Windows PowerShell 窗口,也可以是通过选择“以管理员身份运行”打开的窗口)。

  3. 运行以下命令。在每个命令后,按 Enter

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入 Office 365 管理员帐户和密码以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  4. 运行以下命令。

    $template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}

  5. 运行以下命令。

    $settingsCopy = $template.CreateDirectorySetting()

  6. 运行以下命令。设置为“False”以阻止来宾访问特定组。设置为“True”以允许来宾访问特定组。

    $settingsCopy["AllowToAddGuests"]=$False

  7. 运行以下命令。

    $groupID= (Get-AzureADGroup -SearchString "YourGroupEmailAddress").ObjectId

    可将 YourGroupEmailAddress 替换为类似于 Information@contoso.com 的内容。

  8. 运行以下命令。

    New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

    同步需要 2-3 分钟。

  9. 若要验证设置,请运行以下命令:

    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values 

    验证如下所示:

    验证

可允许或阻止使用特定域的来宾用户。例如,假设你的企业 (Contoso) 与另一家企业 (Fabrikam) 有合作关系。可将 Fabrikam 添加到“允许”列表,使用户可将这些来宾添加到其组中。

有关详细信息,请参阅允许/阻止来宾访问 Office 365 组

对于最终用户

来宾是不属于你所在组织的员工、学生或成员的人员。它们没有贵组织的学校或工作帐户。

否。来宾访问包含于所有 Office 365 商业高级版和 Office 365 企业版订阅之中。

否。只能将组织外部的人员(如合作伙伴或顾问)添加为来宾。你可以邀请组织内部的人员作为常规组成员加入。

是的,可以。外部邮件联系人是公司全局地址列表中列出的联系人。例如,定期向贵组织提供服务的供应商公司即属于此类联系人。

你的租户管理员必须首先对租户启用来宾功能,然后你方可添加来宾。如果显示“请与你的管理员联系”消息,则来宾功能可能尚未启用。有关详细信息,请参阅“管理”选项卡

来宾成员无法查看受信息权限管理 (IRM) 保护的邮件。

如果答复组邮件时出现未送达报告,则可能是由于使用的电子邮件地址与你加入或被添加到该组时所用的电子邮件地址不同。例如,如果你使用 seanc@contoso.com 加入该组,但是尝试使用 seanc@service.contoso.com 答复收件箱中的组邮件,则你将收到未送达报告。

不可以。仅可与已受邀加入该组的来宾共享 Office 365 组文件。

新式附件是存储于 OneDrive for Business 上的文件。只需一个链接即可将其发送给所有收件人。由于文件存储于云中,因此所有收件人均可阅读和编辑文件,无需协调各个副本。有关更多信息,请参阅更智能的附件

Office 365 组中的新式附件仅可与组成员共享。将包含新式附件的邮件转发给组中的来宾成员时,来宾使用用户名和密码登录后可以访问该附件。如果该邮件转发至不属于组成员的用户,则该用户无法打开附件。

可以。虽然此时来宾不会收到欢迎电子邮件,但是拥有的权限与其他所有来宾成员相同。如果尚未迁移通讯组列表,请参阅将通讯组列表迁移到 Office 365 组,了解相关说明。包含来宾的通讯组列表无法迁移。

连接 Office 365 的 Yammer 组当前不支持来宾访问,但是可在 Yammer 网络中创建不连接的外部组。有关说明,请参阅在 Yammer 中创建和管理外部组

来宾可能由于多种原因而未接收到组对话。有关详细,请参阅来宾用户收不到组对话

对于管理员

  • 如果已为组织启用此选项,Office 365 组所有者可以添加来宾用户。

  • 全局管理员可向组织中的所有 Office 365 组添加来宾用户。

  • Office 365 组的所有者和全局管理员(组的所有者)可通过 Outlook on Web 将来宾用户添加到 Office 365 组。

  • 若要与 SharePoint 站点或 Office 365 组中的来宾共享文件,请参阅共享组文件

  • 通过 Azure Active Directory B2B 协作将来宾添加到组织中。Azure Active Directory B2B 协作允许公司管理员通过向 B2B 协作门户上传不超过 2000 行的逗号分隔值 (CSV) 文件邀请并授权一组外部用户。有关详细信息,请参阅 Azure Active Directory B2B 协作

可以,全局管理员可使用 Azure Active Directory Powershell cmdlet 禁用公司对象上的“AllowGuestAccessToGroups”属性,假定 SharePoint 网站的外部共享已“打开”。

可在 Azure Active Directory 中设置来宾设置。对于整个 Office 365 组织,所做更改需要 2 - 24 小时才会生效。

否。仅可与已受邀加入该组的来宾共享 Office 365 组文档库。但仍可通过 SharePoint Online 中的文件共享与来宾用户共享单个组文件。

是的,请阅读管理与组连接的团队网站以了解详细信息。

否,无法阻止单个来宾用户。

否,目前尚不可以。

作为组成员的来宾用户都会随组同步回本地。

是的,可以。外部邮件联系人是公司全局地址列表中列出的联系人。例如,定期向贵组织提供服务的供应商公司即属于此类联系人。

连接 Office 365 的 Yammer 组当前不支持来宾访问,但是可在 Yammer 网络中创建不连接的外部组。有关说明,请参阅在 Yammer 中创建和管理外部组

相关主题

了解 Office 365 组
来宾收不到组电子邮件对话
在 Office 365 管理中心内管理组成员身份
根据来宾的域允许/拒绝其对 Office 365 组的访问
Azure Active Directory 访问权限评审

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×