B2B-együttműködés engedélyezése vagy letiltása a szervezetekkel

A következőkre vonatkozik: Munkaerő-bérlők Külső bérlők (további információ)

Engedélyezőlistát vagy tiltólistát is használhat a B2B együttműködési felhasználók meghívásának engedélyezéséhez vagy letiltásához adott szervezetektől. Ha például le szeretné tiltani a személyes e-mail-címtartományokat, beállíthat egy olyan tiltólistát, amely olyan tartományokat tartalmaz, mint Gmail.com és Outlook.com. Ha vállalata más vállalatokkal, például Contoso.com, Fabrikam.com és Litware.com is partneri viszonyban áll, és csak ezekre a szervezetekre szeretné korlátozni a meghívásokat, hozzáadhat Contoso.com, Fabrikam.com és Litware.com az engedélyezési listához.

Ez a cikk a B2B-együttműködés engedélyezési vagy tiltólistájának konfigurálásának két módját ismerteti:

• A portálon az együttműködési korlátozások konfigurálásával a szervezet külső együttműködési beállításai között
• PowerShell-lel

Fontos szempontok

• Létrehozhat egy engedélyezési listát vagy egy tiltólistát. Mindkét listatípus nem állítható be. Alapértelmezés szerint az engedélyezési listán nem szereplő tartományok szerepelnek a tiltólistán, és fordítva.
• Szervezetenként csak egy házirendet hozhat létre. A szabályzatot frissítheti úgy, hogy több tartományt is tartalmazzon, vagy törölheti a szabályzatot, hogy újat hozzon létre.
• Az engedélyezési listához vagy a tiltólistához felvehető tartományok számát csak a szabályzat mérete korlátozza. Ez a korlát a karakterek számára vonatkozik, így több rövidebb vagy kevesebb hosszabb tartomány is lehet. A teljes szabályzat maximális mérete 25 KB (25 000 karakter), amely tartalmazza az engedélyezési listát vagy a tiltólistát, valamint az egyéb funkciókhoz konfigurált egyéb paramétereket.
• Ez a lista függetlenül működik a OneDrive és a SharePoint Online engedélyezési és tiltólistáitól. Ha korlátozni szeretné az egyéni fájlmegosztást a SharePoint Online-ban, be kell állítania egy engedélyezési vagy tiltólistát a OneDrive-hoz és a SharePoint Online-hoz. További információ: SharePoint- és OneDrive-tartalmak tartományonkénti megosztásának korlátozása.
• A lista nem vonatkozik azokra a külső felhasználókra, akik már beváltották a meghívót. A lista beállítása után a rendszer kikényszeríti a listát. Ha egy felhasználói meghívás függőben lévő állapotban van, és olyan szabályzatot állít be, amely letiltja a tartományukat, a felhasználónak a meghívás beváltására tett kísérlete meghiúsul.
• Az engedélyezési/tiltólista és a bérlők közötti hozzáférési beállításokat a rendszer a meghíváskor ellenőrzi.

Az engedélyezési vagy tiltólista-szabályzat beállítása a portálon

Alapértelmezés szerint engedélyezve van a meghívások elküldése bármely tartományba (a legtöbb befogadó) beállításba. Ebben az esetben bármely szervezetből meghívhat B2B-felhasználókat.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt szerepkör, amelynek vészhelyzeti helyzetekre kell korlátozódnia, ha nem tud meglévő szerepkört használni.

Blokklista hozzáadása

Borravaló

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ez a legáltalánosabb forgatókönyv, amelyben a szervezet szinte bármilyen szervezettel szeretne dolgozni, de meg szeretné akadályozni, hogy a felhasználókat B2B-felhasználókként meghívják bizonyos tartományokba.

Blokklista hozzáadása:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

2. Keresse meg az Identitás>külső identitásai>külső együttműködési beállításokat.

3. Az Együttműködési korlátozások csoportban válassza a Megadott tartományokra vonatkozó meghívások megtagadása lehetőséget.

4. A Céltartományok csoportban adja meg a letiltani kívánt tartományok egyikének nevét. Több tartomány esetén adja meg az egyes tartományokat egy új sorban. Például:

   

5. Ha elkészült, válassza a Mentés lehetőséget.

A házirend beállítása után, ha egy felhasználót egy letiltott tartományból próbál meghívni, egy üzenet jelenik meg arról, hogy a felhasználó tartományát jelenleg a meghívási szabályzat blokkolja.

Engedélyezési lista hozzáadása

Ezzel a szigorúbb konfigurációval meghatározott tartományokat állíthat be az engedélyezési listában, és korlátozhatja a meghívásokat bármely más, nem említett szervezetre vagy tartományra.

Ha engedélyezési listát szeretne használni, győződjön meg arról, hogy időt tölt az üzleti igényeinek teljes körű kiértékeléséhez. Ha túlságosan korlátozóvá teszi ezt a szabályzatot, a felhasználók dönthetnek úgy, hogy e-mailben küldenek dokumentumokat, vagy más, nem informatikai szempontból engedélyezett együttműködési módszereket is megtalálnak.

Engedélyezési lista hozzáadása:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

2. Keresse meg az Identitás>külső identitásai>külső együttműködési beállításokat.

3. Az Együttműködési korlátozások csoportban válassza a Meghívások engedélyezése csak a megadott tartományokra (a legkorlátozóbb) lehetőséget.

4. A Céltartományok csoportban adja meg az engedélyezni kívánt tartományok egyikének nevét. Több tartomány esetén adja meg az egyes tartományokat egy új sorban. Például:

   

5. Ha elkészült, válassza a Mentés lehetőséget.

A házirend beállítása után, ha olyan tartományból próbál meg meghívni egy felhasználót, amely nem szerepel az engedélyezési listán, egy üzenet jelenik meg arról, hogy a felhasználó tartományát jelenleg letiltja a meghívási szabályzat.

Váltás az engedélyezési listáról a tiltólistára, és fordítva

Az egyik házirendről a másikra való váltás elveti a meglévő házirend-konfigurációt. A kapcsoló végrehajtása előtt készítsen biztonsági másolatot a konfiguráció részleteiről.

Az engedélyezési vagy tiltólista-szabályzat beállítása a PowerShell használatával

Előfeltétel

Jegyzet

Az AzureADPreview modul nem teljes mértékben támogatott modul, mivel előzetes verzióban érhető el.

Az engedélyezési vagy tiltólista PowerShell-lel való beállításához telepítenie kell az Azure AD PowerShell-modul előzetes verzióját. Az AzureADPreview modul 2.0.0.98-es vagy újabb verziójának telepítése.

A modul verziójának ellenőrzéséhez (és annak ellenőrzéséhez, hogy telepítve van-e):

1. Nyissa meg a Windows PowerShellt rendszergazdai jogosultságú felhasználóként (futtassa rendszergazdaként).

2. Futtassa a következő parancsot annak megtekintéséhez, hogy telepítve van-e az Azure AD PowerShell-modul valamelyik verziója a számítógépre:

   Get-Module -ListAvailable AzureAD*
   

Ha a modul nincs telepítve, vagy nem rendelkezik szükséges verzióval, tegye az alábbiak egyikét:

• Ha nem ad vissza eredményt, futtassa a következő parancsot a modul legújabb verziójának AzureADPreview telepítéséhez:

  Install-Module AzureADPreview
  

• Ha csak a AzureAD modul jelenik meg az eredmények között, futtassa a következő parancsokat a AzureADPreview modul telepítéséhez:

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Ha csak a AzureADPreview modul jelenik meg az eredményekben, de a verzió kisebb, 2.0.0.98futtassa a következő parancsokat a frissítéséhez:

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• Ha az eredményekben mind a AzureAD AzureADPreview modulok, mind a modulok megjelennek, de a AzureADPreview modul verziója kisebb, 2.0.0.98futtassa a következő parancsokat a frissítéséhez:

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

A szabályzat konfigurálásához használja az AzureADPolicy parancsmagokat

Engedélyezési vagy tiltólista létrehozásához használja a New-AzureADPolicy parancsmagot. Az alábbi példa bemutatja, hogyan állíthat be egy tiltólistát, amely letiltja a "live.com" tartományt.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Az alábbiakban ugyanez a példa látható, de a szabályzatdefiníció beágyazott.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Az engedélyezési vagy tiltólista-szabályzat beállításához használja a Set-AzureADPolicy parancsmagot. Például:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

A szabályzat lekéréséhez használja a Get-AzureADPolicy parancsmagot. Például:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

A szabályzat eltávolításához használja a Remove-AzureADPolicy parancsmagot. Például:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Következő lépések

• Bérlők közötti hozzáférési beállítások
• Külső együttműködési beállítások.