Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen

Sie können eine Zulassungsliste oder eine Sperrliste verwenden, um Einladungen für Benutzer der B2B-Zusammenarbeit aus bestimmten Organisationen zuzulassen bzw. zu blockieren. Wenn Sie beispielsweise Domänen persönlicher E-Mail-Adressen blockieren möchten, können Sie eine Sperrliste einrichten, die Domänen wie Gmail.com und Outlook.com enthält. Oder wenn zwischen Ihrem Unternehmen und anderen Unternehmen (z.B. Contoso.com, Fabrikam.com, und Litware.com) eine Partnerschaft besteht und Sie Einladungen nur auf diese Unternehmen beschränken möchten, können Sie Ihrer Zulassungsliste Contoso.com, Fabrikam.com, und Litware.com hinzufügen.

In diesem Artikel werden zwei Möglichkeiten zum Konfigurieren einer Zulassungs- oder Sperrliste für die B2B-Zusammenarbeit erläutert:

• Im Portal durch Konfigurieren von Einschränkungen für die Zusammenarbeit in den Einstellungen für externe Zusammenarbeit in Ihrer Organisation
• Über PowerShell

Wichtige Hinweise

• Sie können entweder eine Zulassungsliste oder eine Sperrliste erstellen. Sie können jedoch nicht beide Listentypen einrichten. Standardmäßig sind alle Domänen, die nicht in der Zulassungsliste aufgeführt sind, in der Sperrliste enthalten (und umgekehrt).
• Sie können nur jeweils eine Richtlinie pro Organisation erstellen. Sie können die Richtlinie so aktualisieren, dass sie weitere Domänen enthält, oder Sie können die Richtlinie löschen und eine neue erstellen.
• Die Anzahl der Domänen, die Sie einer Zulassungs- oder Sperrliste hinzufügen können, wird nur durch die Richtliniengröße eingeschränkt. Dieser Grenzwert bezieht sich auf die Anzahl der Zeichen, sodass Sie eine größere Anzahl kürzerer Domänen oder weniger längere Domänen haben können. Die Maximalgröße der gesamten Richtlinie beträgt 25 KB (25.000 Zeichen) einschließlich der Zulassungs- oder Sperrliste sowie aller weiteren Parameter, die für andere Features konfiguriert sind.
• Diese Liste ist unabhängig von Zulassungs- oder Blockierungslisten für OneDrive und SharePoint Online. Wenn Sie einzelne Dateifreigaben in SharePoint Online einschränken möchten, müssen Sie eine Zulassungs- oder Sperrliste für OneDrive und SharePoint Online einrichten. Weitere Informationen finden Sie unter Einschränken der Freigabe von SharePoint- und OneDrive-Inhalten nach Domäne.
• Diese Liste gilt nicht für externe Benutzer*innen, die die Einladung bereits eingelöst haben. Die Liste wird nach dem Einrichten erzwungen. Wenn eine Benutzereinladung ausstehend ist und Sie eine Richtlinie festlegen, die die Domäne des Benutzers bzw. der Benutzerin blockiert, kann der Benutzer bzw. die Benutzerin die Einladung nicht einlösen.
• Sowohl die Einstellungen für die Erlaubnis-/Blockierliste als auch für den mandantenübergreifenden Zugriff werden zum Zeitpunkt der Einladung überprüft.

Festlegen der Richtlinie für die Zulassungs- oder Sperrliste im Portal

Standardmäßig ist die Einstellung Allow invitations to be sent to any domain (most inclusive) (Senden von Einladungen an jede Domäne zulassen (am umfassendsten)) aktiviert. In diesem Fall können Sie B2B-Benutzer von jeder Organisation einladen.

Hinzufügen einer Sperrliste

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Hierbei handelt es sich um das typische Szenario, bei dem Ihre Organisation mit nahezu allen Organisationen arbeiten möchte, jedoch verhindern möchte, dass Benutzer von bestimmten Domänen als B2B-Benutzer eingeladen werden.

So fügen Sie eine Sperrliste hinzu:

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

2. Browsen Sie zu Identität>Externe Identitäten>Externe Zusammenarbeitseinstellungen.

3. Wählen Sie unter Collaboration restrictions (Zusammenarbeitseinschränkungen) die Option Deny invitations to the specified domains (Einladungen an die angegebene Domäne verweigern) aus.

4. Geben Sie unter Zieldomänen den Namen einer der Domänen ein, die Sie blockieren möchten. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Beispiel:

   

5. Klicken Sie auf Speichern, wenn Sie fertig sind.

Wenn Sie nach dem Festlegen der Richtlinie versuchen, einen Benutzer von einer blockierten Domäne einzuladen, wird eine Meldung angezeigt, dass die Domäne des Benutzers derzeit durch die Einladungsrichtlinie blockiert ist.

Hinzufügen einer Zulassungsliste

Hierbei handelt es sich um eine restriktivere Konfiguration, in der Sie bestimmte Domänen in der Zulassungsliste festlegen und Einladungen auf andere nicht aufgeführte Organisationen oder Domänen einschränken können.

Wenn Sie eine Zulassungsliste verwenden möchten, stellen Sie sicher, dass Sie Ihre Geschäftsanforderungen umfassend evaluieren. Wenn Sie diese Richtlinie zu restriktiv festlegen, senden die Benutzer*innen möglicherweise Dokumente per E-Mail oder finden andere Möglichkeiten der nicht durch die IT-Abteilung genehmigten Zusammenarbeit.

So fügen Sie eine Zulassungsliste hinzu:

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

2. Browsen Sie zu Identität>Externe Identitäten>Externe Zusammenarbeitseinstellungen.

3. Wählen Sie unter Einschränkungen für die Zusammenarbeit die Option Einladungen nur für die angegebenen Domänen zulassen (restriktivste Einstellung) aus.

4. Geben Sie unter Zieldomänen den Namen einer der Domänen ein, die Sie zulassen möchten. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Beispiel:

   

5. Klicken Sie auf Speichern, wenn Sie fertig sind.

Wenn Sie nach dem Festlegen der Richtlinie versuchen, einen Benutzer einzuladen, der nicht in der Zulassungsliste ist, wird eine Meldung angezeigt, dass die Domäne des Benutzers derzeit durch die Einladungsrichtlinie blockiert ist.

Wechseln von der Zulassungsliste zur Sperrliste und umgekehrt

Wenn Sie zwischen Richtlinien wechseln, wird jeweils die vorhandene Richtlinienkonfiguration verworfen. Sichern Sie daher vor dem Wechseln zur anderen Liste die Details der jeweiligen Konfiguration.

Festlegen der Richtlinie für die Zulassungs- oder Sperrliste mithilfe von PowerShell

Voraussetzungen

Hinweis

Das AzureADPreview-Modul ist kein vollständig unterstütztes Modul, da es sich in der Vorschauphase befindet.

Zum Festlegen der Zulassungs- oder Sperrliste mithilfe von PowerShell müssen Sie die Vorschauversion des Azure AD PowerShell-Moduls installieren. Genauer gesagt: Sie müssen die AzureADPreview-Modulversion 2.0.0.98 oder höher installieren.

So überprüfen Sie die Version des Moduls (und ob es installiert ist)

1. Öffnen Sie Windows PowerShell als Benutzer mit erhöhten Rechten („Als Administrator ausführen“).

2. Führen Sie den folgenden Befehl aus, um festzustellen, ob auf Ihrem Computer Versionen des Azure AD PowerShell-Moduls installiert sind:

   Get-Module -ListAvailable AzureAD*
   

Wenn das Modul nicht installiert oder nicht die erforderliche Version installiert ist, gehen Sie folgendermaßen vor:

• Wenn keine Ergebnisse zurückgegeben werden, führen Sie den folgenden Befehl aus, um die neueste Version des AzureADPreview-Moduls zu installieren:

  Install-Module AzureADPreview
  

• Wenn nur das AzureAD-Modul in den Ergebnissen angezeigt wird, führen Sie die folgenden Befehle aus, um das AzureADPreview-Modul zu installieren:

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Wenn nur das AzureADPreview-Modul in den Ergebnissen angezeigt wird, es sich jedoch um eine frühere Version als 2.0.0.98 handelt, führen Sie die folgenden Befehle aus, um die Version zu aktualisieren:

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• Wenn die Module AzureAD und AzureADPreview in den Ergebnissen angezeigt werden, es sich bei der Version des AzureADPreview Modul jedoch um eine frühere Version als 2.0.0.98 handelt, führen Sie die folgenden Befehle aus, um die Version zu aktualisieren:

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

Konfigurieren der Richtlinie mithilfe der AzureADPolicy-Cmdlets

Verwenden Sie zum Erstellen einer Zulassungs- oder Sperrliste das Cmdlet New-AzureADPolicy. Im folgenden Beispiel wird gezeigt, wie Sie eine Sperrliste festlegen, mit der die Domäne live.com blockiert wird.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Nachstehend sehen Sie das gleiche Beispiel, jedoch mit einer Inline-Richtliniendefinition.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Verwenden Sie zum Festlegen der Richtlinie für die Zulassungs- oder Sperrliste das Cmdlet Set-AzureADPolicy. Beispiel:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Verwenden Sie zum Abrufen der Richtlinie das Cmdlet Get-AzureADPolicy. Beispiel:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Verwenden Sie zum Entfernen der Richtlinie das Cmdlet Remove-AzureADPolicy. Beispiel:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Nächste Schritte

• Mandantenübergreifende Zugriffseinstellungen
• Einstellungen für externe Zusammenarbeit.