Consentire o bloccare gli inviti agli utenti B2B di organizzazioni specifiche

  • Articolo

È possibile usare un elenco di elementi consentiti o un elenco di blocchi per consentire o bloccare gli inviti agli utenti di Collaborazione B2B da organizzazioni specifiche. Ad esempio, se si desidera bloccare i domini degli indirizzi di posta elettronica personali, è possibile configurare un elenco di indirizzi bloccati che contiene domini come Gmail.com e Outlook.com. In alternativa, se l'azienda ha una partnership con altre aziende come Contoso.com, Fabrikam.com e Litware.com e si vuole limitare gli inviti solo a queste organizzazioni, è possibile aggiungere Contoso.com, Fabrikam.com e Litware.com all'elenco utenti consentiti.

Questo articolo illustra due modi per configurare un elenco di elementi consentiti o bloccati per collaborazione B2B:

  • Nel portale configurando le restrizioni di collaborazione nelle impostazioni di collaborazione esterna dell'organizzazione
  • Tramite PowerShell

Considerazioni importanti

  • È possibile creare un elenco di elementi consentiti o un elenco di blocchi. Non è consentita la configurazione di entrambi i tipi di elenchi. Per impostazione predefinita, i domini non inclusi nell'elenco di elementi consentiti sono presenti nell'elenco di blocchi e viceversa.
  • È possibile creare un solo criterio per organizzazione. È possibile aggiornare il criterio per includere ulteriori domini oppure eliminarlo per crearne uno nuovo.
  • Il numero di domini che è possibile aggiungere a un elenco di elementi consentiti o blocklist è limitato solo dalle dimensioni del criterio. Questo limite si applica al numero di caratteri, pertanto è possibile avere un numero maggiore di domini più brevi o meno domini più lunghi. La dimensione massima dell'intero criterio è di 25 KB (25.000 caratteri), che include l'elenco di elementi consentiti o blocklist e tutti gli altri parametri configurati per altre funzionalità.
  • Questo elenco funziona indipendentemente dagli elenchi di elementi consentiti/bloccati di OneDrive e SharePoint Online. Se si vuole limitare la condivisione di singoli file in SharePoint Online, è necessario configurare un elenco di elementi consentiti o bloccati per OneDrive e SharePoint Online. Per altre informazioni, vedere Limitare la condivisione del contenuto di SharePoint e OneDrive per dominio.
  • L'elenco non si applica agli utenti esterni che hanno già riscattato l'invito. L'elenco verrà applicato dopo la configurazione. Se un invito utente è in sospeso e si imposta un criterio che blocca il dominio, il tentativo dell'utente di riscattare l'invito ha esito negativo.
  • Sia l'elenco di elementi consentiti che le impostazioni di accesso tra tenant vengono controllate al momento dell'invito.

Impostare i criteri consenti o blocklist nel portale

Per impostazione predefinita, l'impostazione Allow invitations to be sent to any domain (most inclusive) (Consenti l'invio di inviti a qualsiasi dominio - meno restrittiva) è abilitata. In questo caso, è possibile invitare gli utenti B2B da qualsiasi organizzazione.

Aggiungere un elenco di blocchi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Questo è lo scenario più comune, in cui l'organizzazione vuole collaborare quasi con qualsiasi organizzazione, ma vuole impedire agli utenti di domini specifici di essere invitati come utenti B2B.

Per aggiungere un elenco di blocchi:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

  2. Passare a Identità>esterne - Impostazioni>di collaborazione esterna.

  3. In Collaboration restrictions (Restrizioni per la collaborazione) selezionare Deny invitations to the specified domains (Nega inviti ai domini specificati).

  4. In Domini di destinazione immettere il nome di uno dei domini che si desidera bloccare. Per specificare più domini, immettere ognuno in una nuova riga. Ad esempio:

    Screenshot showing the option to deny with added domains.

  5. Al termine, seleziona Salva.

Dopo aver impostato il criterio, se si prova a invitare un utente da un dominio bloccato, viene visualizzato un messaggio che informa che il dominio dell'utente è attualmente bloccato dai criteri relativi agli inviti.

Aggiungere un elenco di elementi consentiti

Con questa configurazione più restrittiva, è possibile impostare domini specifici nell'elenco consenti e limitare gli inviti a qualsiasi altra organizzazione o domini non menzionati.

Se si vuole usare un elenco di elementi consentiti, assicurarsi di dedicare tempo per valutare completamente le esigenze aziendali. Se si imposta questo criterio troppo restrittivo, gli utenti possono scegliere di inviare documenti tramite posta elettronica o trovare altri modi non IT approvate per collaborare.

Per aggiungere un elenco di elementi consentiti:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

  2. Passare a Identità>esterne - Impostazioni>di collaborazione esterna.

  3. In Restrizioni di collaborazione selezionare Consenti l'invio di inviti solo ai domini specificati (più restrittivo).

  4. In Domini di destinazione immettere il nome di uno dei domini che si desidera consentire. Per specificare più domini, immettere ognuno in una nuova riga. Ad esempio:

    Screenshot showing the allow option with added domains.

  5. Al termine, seleziona Salva.

Dopo aver impostato il criterio, se si tenta di invitare un utente da un dominio non incluso nell'elenco di elementi consentiti, viene visualizzato un messaggio che informa che il dominio dell'utente è attualmente bloccato dai criteri di invito.

Passare da allowlist a blocklist e viceversa

Il passaggio da un criterio a un altro elimina la configurazione dei criteri esistente. Assicurarsi di creare un backup dei dettagli della configurazione prima di eseguire il passaggio.

Impostare i criteri consenti o blocklist usando PowerShell

Prerequisito

Nota

Il modulo AzureADPreview non è un modulo completamente supportato perché è in anteprima.

Per impostare l'elenco elementi consentiti o bloccati tramite PowerShell, è necessario installare la versione di anteprima del modulo Azure AD PowerShell. In particolare, installare il modulo AzureADPreview versione 2.0.0.98 o successiva.

Per controllare la versione del modulo e verificare se è installato:

  1. Aprire Windows PowerShell come utente con privilegi elevati (Esegui come amministratore).

  2. Eseguire il comando seguente per verificare se nel computer sono installate versioni del modulo Azure AD PowerShell:

    Get-Module -ListAvailable AzureAD*

Se il modulo non è installato o non si dispone di una versione necessaria, eseguire una delle operazioni seguenti:

  • Se non vengono restituiti risultati, eseguire il comando seguente per installare la versione più recente del AzureADPreview modulo:

    Install-Module AzureADPreview

  • Se nei risultati viene visualizzato solo il AzureAD modulo, eseguire i comandi seguenti per installare il AzureADPreview modulo:

    Uninstall-Module AzureAD
Install-Module AzureADPreview

  • Se nei risultati viene visualizzato solo il AzureADPreview modulo, ma la versione è minore di 2.0.0.98, eseguire i comandi seguenti per aggiornarlo:

    Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

  • Se nei risultati vengono visualizzati entrambi i AzureAD moduli e AzureADPreview , ma la versione del AzureADPreview modulo è minore di 2.0.0.98, eseguire i comandi seguenti per aggiornarlo:

    Uninstall-Module AzureAD 
Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

Usare i cmdlet AzureADPolicy per configurare i criteri

Per creare un elenco di elementi consentiti o bloccati, usare il cmdlet New-AzureADPolicy . Nell'esempio seguente viene illustrato come impostare un elenco di blocchi che blocca il dominio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

Di seguito è riportato lo stesso esempio, ma con la definizione del criterio inline.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

Per impostare i criteri consenti o blocklist, usare il cmdlet Set-AzureADPolicy . Ad esempio:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id

Per ottenere il criterio, usare il cmdlet Get-AzureADPolicy. Ad esempio:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1

Per rimuovere il criterio, usare il cmdlet Remove-AzureADPolicy. Ad esempio:

Remove-AzureADPolicy -Id $currentpolicy.Id

Passaggi successivi