Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques

Vous pouvez utiliser une liste d’autorisation ou de refus pour autoriser ou bloquer des invitations aux utilisateurs de B2B Collaboration d’organisations spécifiques. Par exemple, si vous souhaitez bloquer des domaines d’adresse e-mail personnels, vous pouvez configurer une liste de refus qui contient des domaines, tels que Gmail.com et Outlook.com. Ou, si votre entreprise dispose d’un partenariat avec d’autres entreprises comme Contoso.com, Fabrikam.com et Litware.com et que vous souhaitez restreindre les invitations à ces seules organisations, vous pouvez ajouter Contoso.com, Fabrikam.com et Litware.com à votre liste d’autorisation.

Cet article décrit deux façons de configurer une liste d’autorisation ou de refus pour la collaboration B2B :

• Dans le portail, en configurant les restrictions de collaboration dans les paramètres de collaboration externe de votre organisation
• Via PowerShell

Considérations importantes

• Vous pouvez créer une liste d’autorisation ou une liste de refus. Vous ne pouvez pas configurer les deux types de listes. Par défaut, les domaines qui ne sont pas dans la liste d’autorisation sont dans la liste de refus et vice versa.
• Vous ne pouvez créer qu’une seule stratégie par organisation. Vous pouvez mettre à jour la stratégie pour inclure plusieurs domaines ou vous pouvez supprimer la stratégie pour en créer une nouvelle.
• Le nombre de domaines que vous pouvez ajouter à une liste d’autorisation ou à une liste de refus n’est limité que par la taille de la stratégie. Cette limite s’applique au nombre de caractères, de sorte que vous pouvez avoir un plus grand nombre de domaines plus courts ou moins de domaines plus longs. La taille maximale de la stratégie entière est de 25 Ko (25 000 caractères). Elle comprend la liste d’autorisation ou la liste de refus et tous les autres paramètres configurés pour d’autres fonctionnalités.
• Cette liste fonctionne indépendamment à partir des listes d’autorisation/de refus OneDrive et SharePoint Online. Si vous souhaitez restreindre le partage de fichiers individuels dans SharePoint Online, vous devez configurer une liste d’autorisation ou de refus pour OneDrive et SharePoint Online. Pour plus d’informations, consultez Restreindre le partage de contenu SharePoint et OneDrive par domaine.
• La liste ne s’applique pas aux utilisateurs externes qui ont déjà accepté l’invitation. La liste est appliquée une fois configurée. Si l’invitation d’un utilisateur est en attente et que vous définissez une stratégie qui bloque son domaine, la tentative de l’utilisateur d’accepter l’invitation échoue.
• Les paramètres de liste d'autorisation/blocage et d'accès entre locataires sont vérifiés au moment de l'invitation.

Définir la stratégie des listes d’autorisation ou de refus dans le portail

Par défaut, le paramètre Autoriser l’envoi des invitations à un domaine (plus inclusif) est activé. Dans ce cas, vous pouvez inviter des utilisateurs B2B à partir de toute organisation.

Ajouter une liste de refus

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Il s’agit du scénario le plus courant, dans lequel votre organisation souhaite travailler avec presque toutes les organisations, mais souhaite empêcher invitation des utilisateurs de domaines spécifiques en tant qu’utilisateurs B2B.

Pour ajouter une liste de refus :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

3. Sous Restrictions de la collaboration, sélectionnez Refuser les invitations aux domaines spécifiés.

4. Sous Domaines cibles, entrez le nom de l’un des domaines que vous souhaitez bloquer. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Par exemple :

   

5. Quand vous avez terminé, sélectionnez Enregistrer.

Après avoir défini la stratégie, si vous essayez d’inviter un utilisateur à partir d’un domaine bloqué, vous recevez un message indiquant que le domaine de l’utilisateur est actuellement bloqué par votre stratégie d’invitation.

Ajouter une liste d’autorisation

Avec cette configuration plus restrictive, vous pouvez définir des domaines spécifiques dans la liste d’autorisation et restreindre les invitations à d’autres organisations ou domaines qui ne sont pas mentionnés.

Si vous souhaitez utiliser une liste d’autorisation, veillez à consacrer du temps à évaluer entièrement les besoins de votre entreprise. Si cette stratégie est trop restrictive, vos utilisateurs peuvent choisir d’envoyer des documents par e-mail ou trouver d’autres modes de collaboration non approuvés informatiquement.

Pour ajouter une liste d’autorisation :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

3. Sous Restrictions de la collaboration, sélectionnez Allow invitations only to the specified domains (most restrictive) (Autoriser les invitations uniquement vers les domaines spécifiés (le plus restrictif)).

4. Sous Domaines cibles, entrez le nom de l’un des domaines que vous souhaitez autoriser. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Par exemple :

   

5. Quand vous avez terminé, sélectionnez Enregistrer.

Après avoir défini la stratégie, si vous essayez d’inviter un utilisateur à partir d’un domaine ne figurant pas sur la liste d’autorisation, vous recevez un message indiquant que le domaine de l’utilisateur est actuellement bloqué par votre stratégie d’invitation.

Passer de la stratégie des listes d’autorisation à la stratégie des listes de refus

Le fait de passer d’une stratégie à l’autre provoque l’abandon de la configuration de la stratégie existante. Veillez à sauvegarder les détails de votre configuration avant d’effectuer le changement.

Définir la stratégie des listes d’autorisation ou des listes de refus avec PowerShell

Configuration requise

Notes

Le module AzureADPreview n’est pas un module entièrement pris en charge, car il s’agit d’une version préliminaire.

Pour définir la liste d’autorisation ou de refus en utilisant PowerShell, vous devez installer la version préliminaire du module Azure AD PowerShell. Plus précisément, installez le module AzureADPreview version 2.0.0.98 ou une version ultérieure.

Pour vérifier la version du module (et vérifier qu’elle est installée) :

1. Ouvrez Windows PowerShell en tant qu’utilisateur avec des privilèges élevés (exécuter en tant qu’Administrateur).

2. Exécutez la commande suivante pour voir si des versions du module Azure AD PowerShell sont installées sur votre ordinateur :

   Get-Module -ListAvailable AzureAD*
   

Si le module n’est pas installé ou si vous n’avez pas la version requise, effectuez l’une des opérations suivantes :

• Si aucun résultat n’est retourné, exécutez la commande suivante pour installer la dernière version du module AzureADPreview :

  Install-Module AzureADPreview
  

• Si seul le module AzureAD apparaît dans les résultats, exécutez les commandes suivantes pour installer le module AzureADPreview :

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Si seul le module AzureADPreview est affiché dans les résultats, mais que la version est antérieure à 2.0.0.98, exécutez les commandes suivantes pour le mettre à jour :

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• Si les modules AzureAD et AzureADPreview sont affichés dans les résultats, mais que la version du module AzureADPreview est antérieure à 2.0.0.98, exécutez les commandes suivantes pour le mettre à jour :

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

Utiliser les cmdlets AzureADPolicy pour configurer la stratégie

Pour créer une liste d’autorisation ou de refus, utilisez l’applet de commande New-AzureADPolicy. L’exemple suivant montre comment définir une liste de refus qui bloque le domaine « live.com ».

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

L’exemple suivant est identique, mais avec la définition de la stratégie incluse.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Pour définir la stratégie des listes d’autorisation ou de refus, utilisez l’applet de commande Set-AzureADPolicy. Par exemple :

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Pour obtenir la stratégie, utilisez la cmdlet Get-AzureADPolicy. Par exemple :

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Pour supprimer la stratégie, utilisez la cmdlet Remove-AzureADPolicy. Par exemple :

Remove-AzureADPolicy -Id $currentpolicy.Id 

Étapes suivantes

• Paramètres d’accès interlocataire
• Paramètres de collaboration externe.