Bagikan melalui


Mengizinkan atau memblokir kolaborasi B2B dengan organisasi

Berlaku untuk: Lingkaran hijau dengan simbol tanda centang putih. Penyewa Tenaga Kerja Penyewa Lingkaran putih dengan simbol X abu-abu. eksternal (pelajari lebih lanjut)

Anda dapat menggunakan daftar izin atau daftar blokir untuk mengizinkan atau memblokir undangan kepada pengguna kolaborasi B2B dari organisasi tertentu. Misalnya, jika Anda ingin memblokir domain alamat email pribadi, Anda dapat menyiapkan daftar blokir yang berisi domain seperti Gmail.com dan Outlook.com. Atau, jika bisnis Anda memiliki kemitraan dengan bisnis lain seperti Contoso.com, Fabrikam.com, dan Litware.com, dan Anda ingin membatasi undangan hanya ke organisasi ini, Anda dapat menambahkan Contoso.com, Fabrikam.com, dan Litware.com ke daftar yang diizinkan.

Artikel ini membahas dua cara untuk mengonfigurasi izinkan atau daftar blokir untuk kolaborasi B2B:

  • Di portal dengan mengonfigurasi pembatasan kolaborasi di pengaturan Kolaborasi eksternal organisasi Anda
  • Melalui PowerShell

Pertimbangan penting

  • Anda dapat membuat daftar izin atau daftar blokir. Anda tidak dapat menyiapkan kedua jenis daftar. Secara default, domain apa pun yang tidak ada dalam daftar yang diizinkan ada di daftar blokir, dan sebaliknya.
  • Anda hanya dapat membuat satu kebijakan per organisasi. Anda dapat memperbarui kebijakan untuk menyertakan lebih banyak domain, atau Anda dapat menghapus kebijakan untuk membuat yang baru.
  • Jumlah domain yang dapat Anda tambahkan ke daftar yang diizinkan atau daftar blokir hanya dibatasi oleh ukuran kebijakan. Batas ini berlaku untuk jumlah karakter, sehingga Anda dapat memiliki lebih banyak domain yang lebih pendek atau lebih sedikit domain yang lebih lama. Ukuran maksimum seluruh kebijakan adalah 25 KB (25.000 karakter), yang mencakup daftar izin atau daftar blokir dan parameter lain yang dikonfigurasi untuk fitur lain.
  • Daftar ini bekerja secara independen dari daftar izinkan/blokir OneDrive dan SharePoint Online. Jika Anda ingin membatasi berbagi file individual di SharePoint Online, Anda perlu menyiapkan izin atau daftar blokir untuk OneDrive dan SharePoint Online. Untuk informasi selengkapnya, lihat Membatasi berbagi konten SharePoint dan OneDrive menurut domain.
  • Daftar tidak berlaku untuk pengguna eksternal yang sudah menukarkan undangan. Daftar akan diberlakukan setelah daftar disiapkan. Jika undangan pengguna dalam status tertunda, dan Anda menetapkan kebijakan yang memblokir domain mereka, upaya pengguna untuk menukarkan undangan gagal.
  • Daftar izinkan/blokir dan pengaturan akses lintas penyewa dicentang pada saat undangan.

Mengatur kebijakan izinkan atau daftar blokir di portal

Secara default, pengaturan Izinkan undangan dikirim ke domain apa pun (paling inklusif) diaktifkan. Dalam hal ini, Anda dapat mengundang pengguna B2B dari organisasi mana pun.

Penting

Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat ketika Anda tidak dapat menggunakan peran yang ada.

Menambahkan daftar blokir

Ujung

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Ini adalah skenario paling umum, di mana organisasi Anda ingin bekerja dengan hampir semua organisasi, tetapi ingin mencegah pengguna dari domain tertentu diundang sebagai pengguna B2B.

Untuk menambahkan daftar blokir:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

  3. Di bawah Pembatasan kolaborasi, pilih Tolak undangan ke domain yang ditentukan.

  4. Di bawah Domain target, masukkan nama salah satu domain yang ingin Anda blokir. Untuk beberapa domain, masukkan setiap domain pada baris baru. Misalnya:

    Cuplikan layar memperlihatkan opsi untuk menolak domain yang ditambahkan.

  5. Setelah selesai, pilih Simpan.

Setelah Anda menetapkan kebijakan, jika Anda mencoba mengundang pengguna dari domain yang diblokir, Anda menerima pesan yang mengatakan bahwa domain pengguna saat ini diblokir oleh kebijakan undangan Anda.

Menambahkan daftar yang diizinkan

Dengan konfigurasi yang lebih ketat ini, Anda dapat mengatur domain tertentu dalam daftar yang diizinkan dan membatasi undangan ke organisasi atau domain lain yang tidak disebutkan.

Jika Anda ingin menggunakan daftar izin, pastikan Anda menghabiskan waktu untuk sepenuhnya mengevaluasi apa kebutuhan bisnis Anda. Jika Anda membuat kebijakan ini terlalu ketat, pengguna Anda dapat memilih untuk mengirim dokumen melalui email, atau menemukan cara lain yang tidak diberi sanksi IT untuk berkolaborasi.

Untuk menambahkan daftar izin:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

  3. Di bawah Pembatasan kolaborasi, pilih Izinkan undangan hanya ke domain yang ditentukan (paling ketat).

  4. Di bawah Domain target, masukkan nama salah satu domain yang ingin Anda izinkan. Untuk beberapa domain, masukkan setiap domain pada baris baru. Misalnya:

    Cuplikan layar memperlihatkan opsi izinkan dengan domain tambahan.

  5. Setelah selesai, pilih Simpan.

Setelah Anda menetapkan kebijakan, jika Anda mencoba mengundang pengguna dari domain yang tidak ada dalam daftar yang diizinkan, Anda menerima pesan yang mengatakan bahwa domain pengguna saat ini diblokir oleh kebijakan undangan Anda.

Beralih dari daftar yang diizinkan ke daftar blokir dan sebaliknya

Beralih dari satu kebijakan ke kebijakan lain akan membuang konfigurasi kebijakan yang ada. Pastikan untuk mencadangkan detail konfigurasi Anda sebelum Anda melakukan pengalihan.

Mengatur kebijakan izinkan atau daftar blokir menggunakan PowerShell

Prasyarat

Nota

Modul AzureADPreview bukan modul yang didukung sepenuhnya seperti dalam pratinjau.

Untuk mengatur daftar izinkan atau blokir dengan menggunakan PowerShell, Anda harus menginstal versi pratinjau modul Azure AD PowerShell. Secara khusus, instal modul AzureADPreview versi 2.0.0.98 atau yang lebih baru.

Untuk memeriksa versi modul (dan melihat apakah modul diinstal):

  1. Buka Windows PowerShell sebagai pengguna yang ditinggikan (Jalankan sebagai Administrator).

  2. Jalankan perintah berikut untuk melihat apakah Anda memiliki versi modul Azure AD PowerShell yang terinstal di komputer Anda:

    Get-Module -ListAvailable AzureAD*
    

Jika modul tidak diinstal, atau Anda tidak memiliki versi yang diperlukan, lakukan salah satu hal berikut:

  • Jika tidak ada hasil yang dikembalikan, jalankan perintah berikut untuk menginstal versi AzureADPreview terbaru modul:

    Install-Module AzureADPreview
    
  • Jika hanya modul yang AzureAD ditampilkan dalam hasil, jalankan perintah berikut untuk menginstal AzureADPreview modul:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Jika hanya modul yang AzureADPreview ditampilkan dalam hasil, tetapi versinya kurang dari 2.0.0.98, jalankan perintah berikut untuk memperbaruinya:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • AzureAD Jika modul dan AzureADPreview ditampilkan dalam hasil, tetapi versi modul kurang dari AzureADPreview 2.0.0.98, jalankan perintah berikut untuk memperbaruinya:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Menggunakan cmdlet AzureADPolicy untuk mengonfigurasi kebijakan

Untuk membuat daftar izinkan atau blokir, gunakan cmdlet New-AzureADPolicy . Contoh berikut menunjukkan cara mengatur daftar blokir yang memblokir domain "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Berikut ini menunjukkan contoh yang sama, tetapi dengan definisi kebijakan sebaris.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Untuk mengatur kebijakan izinkan atau daftar blokir, gunakan cmdlet Set-AzureADPolicy . Misalnya:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Untuk mendapatkan kebijakan, gunakan cmdlet Get-AzureADPolicy . Misalnya:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Untuk menghapus kebijakan, gunakan cmdlet Remove-AzureADPolicy . Misalnya:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Langkah berikutnya