Jak zabránit přidávání hostů do konkrétní skupiny Microsoft 365 nebo týmu Microsoft Teams

Pokud chcete povolit přístup hosta většině skupin a týmů, ale máte místo, kde chcete zabránit přístupu hostů, můžete zablokovat přístup hostů pro jednotlivé skupiny a týmy. (Blokování přístupu hostů k týmu se provádí blokováním přístupu hostů k přidružené skupině.) Tím zabráníte přidávání nových hostů, ale neodeberou se hosté, kteří už jsou ve skupině nebo týmu.

Pokud ve vaší organizaci používáte popisky citlivosti, doporučujeme je použít k řízení přístupu hostů pro jednotlivé skupiny. Informace o tom, jak to udělat, najdete v článku Použití popisků citlivosti k ochraně obsahu v Microsoft Teams, skupinách Microsoft 365 a na sharepointových webech. Toto je doporučený přístup.

Změna nastavení skupiny pomocí Prostředí Microsoft Graph PowerShell

Přidáním nových hostů do jednotlivých skupin můžete také zabránit pomocí PowerShellu. (Nezapomeňte, že sharepointový web přidružený týmem má samostatné ovládací prvky sdílení hostů.)

Pokud chcete změnit nastavení přístupu hostů na úrovni skupiny, musíte použít beta verzi Microsoft Graph PowerShellu :

• Pokud jste modul ještě nenainstalovali, přečtěte si téma Instalace modulu Microsoft Graph PowerShell a postupujte podle pokynů.

• Pokud jste už nainstalovali beta verzi, spusťte příkaz Update-Module Microsoft.Graph.Beta a ujistěte se, že se jedná o nejnovější verzi tohoto modulu.

Poznámka

Ke spuštění těchto příkazů musíte mít oprávnění globálního správce.

Spusťte následující skript a změňte <GroupName> na název skupiny, ke které chcete blokovat přístup hostů.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "false"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Pokud chcete ověřit nastavení, spusťte tento příkaz:

(Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET) | ConvertTo-Json | ConvertFrom-Json | fl Value

Ověření vypadá takto:

Pokud chcete nastavení přepnout zpět tak, aby umožňovalo přístup hostů ke konkrétní skupině, spusťte následující skript a změňte <GroupName> na název skupiny, ke které chcete povolit přístup hostů.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "true"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Povolení nebo blokování přístupu hostů na základě jeho domény

Můžete povolit nebo zablokovat hosty, kteří používají určitou doménu. Pokud má například vaše firma (Contoso) partnerství s jinou firmou (Fabrikam), můžete přidat společnost Fabrikam na seznam povolených, aby uživatelé mohli tyto hosty přidat do svých skupin.

Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelům B2B z konkrétních organizací.

Přidání hostů do globálního adresáře

Ve výchozím nastavení se hosté v globálním adresáři Exchange nezobrazují. Pomocí níže uvedených kroků zviditelněte hosta v globálním adresáři.

Najděte ID objektu hosta spuštěním příkazu:

Get-MgBetaUser -All | ?{$_.CreationType -eq "Invitation"}

Pak spusťte následující příkaz s použitím odpovídajících hodnot ObjectID, GivenName, Surname, DisplayName a TelephoneNumber.

Update-MgBetaUser -UserId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -mobilePhone '555-555-5555'

Související témata

Doporučení k plánování zásad správného řízení pro spolupráci

Vytvoření plánu zásad správného řízení pro spolupráci

Správa členství ve skupině v Centrum pro správu Microsoftu 365

Microsoft Entra kontroly přístupu

Update-MgUser