Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen
Sie können eine Zulassungsliste oder eine Sperrliste verwenden, um Einladungen für Benutzer der B2B-Zusammenarbeit aus bestimmten Organisationen zuzulassen bzw. zu blockieren. Wenn Sie beispielsweise Domänen persönlicher E-Mail-Adressen blockieren möchten, können Sie eine Sperrliste einrichten, die Domänen wie Gmail.com und Outlook.com enthält. Oder wenn zwischen Ihrem Unternehmen und anderen Unternehmen (z.B. Contoso.com, Fabrikam.com, und Litware.com) eine Partnerschaft besteht und Sie Einladungen nur auf diese Unternehmen beschränken möchten, können Sie Ihrer Zulassungsliste Contoso.com, Fabrikam.com, und Litware.com hinzufügen.
In diesem Artikel werden zwei Möglichkeiten zum Konfigurieren einer Zulassungs- oder Sperrliste für die B2B-Zusammenarbeit erläutert:
- Im Portal durch Konfigurieren von Einschränkungen für die Zusammenarbeit in den Einstellungen für externe Zusammenarbeit in Ihrer Organisation
- Über PowerShell
Wichtige Hinweise
- Sie können entweder eine Zulassungsliste oder eine Sperrliste erstellen. Sie können jedoch nicht beide Listentypen einrichten. Standardmäßig sind alle Domänen, die nicht in der Zulassungsliste aufgeführt sind, in der Sperrliste enthalten (und umgekehrt).
- Sie können nur jeweils eine Richtlinie pro Organisation erstellen. Sie können die Richtlinie so aktualisieren, dass sie weitere Domänen enthält, oder Sie können die Richtlinie löschen und eine neue erstellen.
- Die Anzahl der Domänen, die Sie einer Zulassungs- oder Sperrliste hinzufügen können, wird nur durch die Richtliniengröße eingeschränkt. Dieser Grenzwert bezieht sich auf die Anzahl der Zeichen, sodass Sie eine größere Anzahl kürzerer Domänen oder weniger längere Domänen haben können. Die Maximalgröße der gesamten Richtlinie beträgt 25 KB (25.000 Zeichen) einschließlich der Zulassungs- oder Sperrliste sowie aller weiteren Parameter, die für andere Features konfiguriert sind.
- Diese Liste ist unabhängig von Zulassungs- oder Blockierungslisten für OneDrive for Business und SharePoint Online. Wenn Sie einzelne Dateifreigaben in SharePoint Online einschränken möchten, müssen Sie eine Zulassungs- oder Sperrliste für OneDrive for Business und SharePoint Online einrichten. Weitere Informationen finden Sie unter Eingeschränkte Domänenfreigabe in SharePoint Online und OneDrive for Business.
- Diese Liste gilt nicht für externe Benutzer, die die Einladung bereits eingelöst haben. Die Liste wird nach dem Einrichten erzwungen. Wenn eine Benutzereinladung ausstehend ist und Sie eine Richtlinie festlegen, die die Domäne des Benutzers blockiert, kann der Benutzer die Einladung nicht einlösen.
Festlegen der Richtlinie für die Zulassungs- oder Sperrliste im Portal
Standardmäßig ist die Einstellung Allow invitations to be sent to any domain (most inclusive) (Senden von Einladungen an jede Domäne zulassen (am umfassendsten)) aktiviert. In diesem Fall können Sie B2B-Benutzer von jeder Organisation einladen.
Hinzufügen einer Sperrliste
Hierbei handelt es sich um das typische Szenario, bei dem Ihre Organisation mit nahezu allen Organisationen arbeiten möchte, jedoch verhindern möchte, dass Benutzer von bestimmten Domänen als B2B-Benutzer eingeladen werden.
So fügen Sie eine Sperrliste hinzu:
Melden Sie sich beim Azure-Portal an.
Wählen Sie Azure Active Directory>Benutzer>Benutzereinstellungen aus.
Wählen Sie unter Externe Benutzer die Option Externe Einstellungen zur Zusammenarbeit verwalten aus.
Wählen Sie unter Collaboration restrictions (Zusammenarbeitseinschränkungen) die Option Deny invitations to the specified domains (Einladungen an die angegebene Domäne verweigern) aus.
Geben Sie unter ZIELDOMÄNEN den Namen einer der Domänen ein, die Sie blockieren möchten. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Beispiel:
Klicken Sie auf Speichern, wenn Sie fertig sind.
Wenn Sie nach dem Festlegen der Richtlinie versuchen, einen Benutzer von einer blockierten Domäne einzuladen, wird eine Meldung angezeigt, dass die Domäne des Benutzers derzeit durch die Einladungsrichtlinie blockiert ist.
Hinzufügen einer Zulassungsliste
Hierbei handelt es sich um eine restriktivere Konfiguration, in der Sie bestimmte Domänen in der Zulassungsliste festlegen und Einladungen auf andere nicht aufgeführte Organisationen oder Domänen einschränken können.
Wenn Sie eine Zulassungsliste verwenden möchten, stellen Sie sicher, dass Sie Ihre Geschäftsanforderungen umfassend evaluieren. Wenn Sie diese Richtlinie zu restriktiv festlegen, senden die Benutzer möglicherweise Dokumente per E-Mail oder finden andere Möglichkeiten der nicht durch die IT-Abteilung genehmigten Zusammenarbeit.
So fügen Sie eine Zulassungsliste hinzu:
Melden Sie sich beim Azure-Portal an.
Wählen Sie Azure Active Directory>Benutzer>Benutzereinstellungen aus.
Wählen Sie unter Externe Benutzer die Option Externe Einstellungen zur Zusammenarbeit verwalten aus.
Wählen Sie unter Einschränkungen für die Zusammenarbeit die Option Einladungen nur für die angegebenen Domänen zulassen (restriktivste Einstellung) aus.
Geben Sie unter ZIELDOMÄNEN den Namen einer der Domänen ein, die Sie zulassen möchten. Geben Sie für mehrere Domänen jede Domäne in einer neuen Zeile ein. Beispiel:
Klicken Sie auf Speichern, wenn Sie fertig sind.
Wenn Sie nach dem Festlegen der Richtlinie versuchen, einen Benutzer einzuladen, der nicht in der Zulassungsliste ist, wird eine Meldung angezeigt, dass die Domäne des Benutzers derzeit durch die Einladungsrichtlinie blockiert ist.
Wechseln von der Zulassungsliste zur Sperrliste und umgekehrt
Wenn Sie zwischen Richtlinien wechseln, wird jeweils die vorhandene Richtlinienkonfiguration verworfen. Sichern Sie daher vor dem Wechseln zur anderen Liste die Details der jeweiligen Konfiguration.
Festlegen der Richtlinie für die Zulassungs- oder Sperrliste mithilfe von PowerShell
Voraussetzungen
Hinweis
Das AzureADPreview-Modul ist kein vollständig unterstütztes Modul, da es sich in der Vorschauphase befindet.
Zum Festlegen der Zulassungs- oder Sperrliste mithilfe von PowerShell müssen Sie die Vorschauversion des Azure Active Directory-Moduls für Windows PowerShell installieren. Genauer gesagt: Sie müssen die AzureADPreview-Modulversion 2.0.0.98 oder höher installieren.
So überprüfen Sie die Version des Moduls (und ob es installiert ist)
Öffnen Sie Windows PowerShell als Benutzer mit erhöhten Rechten („Als Administrator ausführen“).
Führen Sie den folgenden Befehl aus, um festzustellen, ob auf Ihrem Computer Versionen des Azure Active Directory-Moduls für Windows PowerShell installiert sind:
Get-Module -ListAvailable AzureAD*
Wenn das Modul nicht installiert oder nicht die erforderliche Version installiert ist, gehen Sie folgendermaßen vor:
Wenn keine Ergebnisse zurückgegeben werden, führen Sie den folgenden Befehl aus, um die neueste Version des AzureADPreview-Moduls zu installieren:
Install-Module AzureADPreviewWenn nur das AzureAD-Modul in den Ergebnissen angezeigt wird, führen Sie die folgenden Befehle aus, um das AzureADPreview-Modul zu installieren:
Uninstall-Module AzureAD Install-Module AzureADPreviewWenn nur das AzureADPreview-Modul in den Ergebnissen angezeigt wird, es sich jedoch um eine frühere Version als 2.0.0.98 handelt, führen Sie die folgenden Befehle aus, um die Version zu aktualisieren:
Uninstall-Module AzureADPreview Install-Module AzureADPreviewWenn das AzureAD- und das AzureADPreview-Modul in den Ergebnissen angezeigt werden, es sich jedoch um eine frühere Version des AzureADPreview-Moduls als 2.0.0.98 handelt, führen Sie die folgenden Befehle aus, um die Version zu aktualisieren:
Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Konfigurieren der Richtlinie mithilfe der AzureADPolicy-Cmdlets
Verwenden Sie zum Erstellen einer Zulassungs- oder Sperrliste das Cmdlet New-AzureADPolicy. Im folgenden Beispiel wird gezeigt, wie Sie eine Sperrliste festlegen, mit der die Domäne live.com blockiert wird.
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Nachstehend sehen Sie das gleiche Beispiel, jedoch mit einer Inline-Richtliniendefinition.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Verwenden Sie zum Festlegen der Richtlinie für die Zulassungs- oder Sperrliste das Cmdlet Set-AzureADPolicy. Beispiel:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Verwenden Sie zum Abrufen der Richtlinie das Cmdlet Get-AzureADPolicy. Beispiel:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Verwenden Sie zum Entfernen der Richtlinie das Cmdlet Remove-AzureADPolicy. Beispiel:
Remove-AzureADPolicy -Id $currentpolicy.Id
Nächste Schritte
Eine Übersicht über Azure AD B2B finden Sie unter Was ist die Azure AD B2B-Zusammenarbeit?
Weitere Informationen zum Verwalten der B2B-Zusammenarbeit in Ihrer Organisation finden Sie unter Einstellungen für externe Zusammenarbeit.
Informationen zum bedingten Zugriff und zur B2B-Zusammenarbeit finden Sie unter Bedingter Zugriff für Benutzer von B2B-Zusammenarbeit.