Permitir o bloquear invitaciones a usuarios B2B procedentes de determinadas organizaciones

Puede usar una lista de permitidos o de bloqueados para permitir o bloquear las invitaciones de usuarios de colaboración B2B procedentes de determinadas organizaciones. Por ejemplo, si quiere bloquear dominios de direcciones de correo electrónico personales, puede configurar una lista de bloqueados que contenga dominios como Gmail.com y Outlook.com. O bien, si su empresa tiene una asociación con otras empresas como Contoso.com, Fabrikam.com y Litware.com, y quiere restringir las invitaciones a solo estas organizaciones, puede agregar Contoso.com, Fabrikam.com y Litware.com a la lista de permitidos.

En este artículo se describen dos maneras de configurar una lista de permitidos o de bloqueados para la colaboración B2B:

• En el portal mediante la configuración de restricciones de colaboración en Configuración de colaboración externa de la organización
• Mediante PowerShell

Consideraciones importantes

• Puede crear una lista de permitidos o de bloqueados. No se pueden configurar ambos tipos de listas. De forma predeterminada, los dominios que no están en la lista de permitidos están en la de bloqueados y viceversa.
• Solo puede crear una directiva por organización. Puede actualizar la directiva para incluir más dominios, o puede eliminar la directiva para crear una nueva.
• El número de dominios que puede agregar a una lista de permitidos o de bloqueados solo se ve limitado por el tamaño de la directiva. Este límite se aplica al número de caracteres, por lo que puede tener más dominios más cortos o menos dominios más largos. El tamaño máximo de toda la directiva es de 25 KB (25 000 caracteres), que incluye la lista de permitidos o de bloqueados y cualquier otro parámetro configurado para otras características.
• Esta lista funciona con independencia de las listas de permitidos o bloqueados de OneDrive y SharePoint Online. Si quiere restringir el uso compartido individual de archivos en SharePoint Online, debe configurar una lista de permitidos o de bloqueados para OneDrive y SharePoint Online. Para obtener más información, consulte Restringir el uso compartido de contenido de SharePoint y OneDrive por dominio.
• Esta lista no se aplica a usuarios externos que ya han canjeado la invitación. La lista se aplicará después de configurarla. Si una invitación de usuario está en estado pendiente y define una directiva que bloquea su dominio, se produce un error cuando el usuario intenta canjear la invitación.
• Tanto la lista de permitidos/bloqueados como la configuración de acceso entre inquilinos se comprueban en el momento de la invitación.

Definición de la directiva de lista de permitidos o de bloqueados en el portal

De forma predeterminada, la opción Allow invitations to be sent to any domain (most inclusive) (Permitir que se envíen invitaciones a cualquier dominio [más inclusivo]) está habilitada. En este caso, puede invitar a usuarios B2B de cualquier organización.

Incorporación de una lista de bloqueados

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Este es el escenario más típico, donde su organización quiere trabajar con casi cualquier organización, pero desea impedir que los usuarios de dominios específicos sean invitados como usuarios B2B.

Para agregar una lista de bloqueados:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

2. Explore Identidad>External Identities>Configuración de colaboración externa.

3. En Restricciones de colaboración, seleccione Deny invitations to the specified domains (Denegar invitaciones a los dominios especificados).

4. En Dominios de destino, escriba el nombre de uno de los dominios que quiere bloquear. Si hay varios dominios, especifique cada dominio en una nueva línea. Por ejemplo:

   

5. Cuando finalice, seleccione Guardar.

Después de establecer la directiva, si intenta invitar a un usuario de un dominio bloqueado, recibirá un mensaje que indica que la directiva actual de invitación bloquea el dominio del usuario.

Incorporación de una lista de permitidos

Con esta configuración más restrictiva, puede establecer dominios específicos en la lista de permitidos y restringir las invitaciones a otras organizaciones o dominios que no se mencionan.

Si desea usar una lista de permitidos, asegúrese de dedicar tiempo a evaluar exhaustivamente las necesidades de su empresa. Si hace esta directiva demasiado restrictiva, los usuarios pueden elegir enviar documentos por correo electrónico, o bien buscar otras formas de colaboración no autorizadas por TI.

Para agregar una lista de permitidos:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

2. Explore Identidad>External Identities>Configuración de colaboración externa.

3. En Restricciones de colaboración, seleccione Allow invitations only to the specified domains (most restrictive) (Permitir invitaciones solo a los dominios especificados [más restrictivo]).

4. En Dominios de destino, escriba el nombre de uno de los dominios que quiere permitir. Si hay varios dominios, especifique cada dominio en una nueva línea. Por ejemplo:

   

5. Cuando finalice, seleccione Guardar.

Después de establecer la directiva, si intenta invitar a un usuario de un dominio que no está en la lista de permitidos, recibirá un mensaje que indica que la directiva de invitación actual bloquea el dominio del usuario.

Cambio de la lista de permitidos a la de bloqueados y viceversa

Al cambiar de una directiva a otra, se descarta la configuración de directiva existente. Asegúrese de realizar una copia de seguridad de los detalles de la configuración antes de ejecutar el cambio.

Definición de la directiva de lista de permitidos o de bloqueados con PowerShell

Requisito previo

Nota:

El módulo AzureADPreview no es un módulo totalmente compatible, ya que se encuentra en versión preliminar.

Para establecer la lista de permitidos o de bloqueados mediante PowerShell, debe instalar la versión preliminar del Módulo Azure AD PowerShell. En concreto, instale la versión 2.0.0.98 o superior del módulo AzureADPreview.

Para comprobar la versión del módulo (y ver si está instalado):

1. Abra Windows PowerShell como usuario con privilegios elevados (Ejecutar como administrador).

2. Ejecute el siguiente comando para ver si tiene alguna versión del Módulo PowerShell Azure AD instalada en el equipo:

   Get-Module -ListAvailable AzureAD*
   

Si el módulo no está instalado o no tiene una versión obligatoria, realice lo siguiente:

• Si no se devuelve ningún resultado, ejecute el siguiente comando para instalar la versión más reciente del módulo AzureADPreview:

  Install-Module AzureADPreview
  

• Si solo se muestra el módulo AzureAD en los resultados, ejecute los comandos siguientes para instalar el módulo AzureADPreview:

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Si solo se muestra el módulo AzureADPreview en los resultados, pero la versión es inferior a 2.0.0.98, ejecute los siguientes comandos para actualizarla:

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• Si en los resultados se muestran AzureAD y AzureADPreview, pero la versión del módulo AzureADPreview es inferior a 2.0.0.98, ejecute los siguientes comandos para actualizarla:

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

Uso de los cmdlets de AzureADPolicy para configurar la directiva

Para crear una lista de permitidos o de bloqueados, use el cmdlet New-AzureADPolicy. En el ejemplo siguiente se muestra cómo establecer una lista de bloqueados que bloquea el dominio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

A continuación se muestra el mismo ejemplo, pero con la definición de directiva insertada.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Para establecer la directiva de lista de permitidos o de bloqueados, utilice el cmdlet Set-AzureADPolicy. Por ejemplo:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Para obtener la directiva, use el cmdlet Get-AzureADPolicy. Por ejemplo:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Para quitar la directiva, use el cmdlet Remove-AzureADPolicy. Por ejemplo:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Pasos siguientes

• Configuración del acceso entre inquilinos
• Configuración de colaboración externa.