Condividi tramite


Consentire o bloccare la collaborazione B2B con le organizzazioni

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con simbolo X grigio. Tenant esterni (altre informazioni)

È possibile usare un elenco di accesso consentito o un elenco di accesso negato per consentire o bloccare gli inviti agli utenti di collaborazione B2B da organizzazioni specifiche. Ad esempio, se si desidera bloccare i domini di indirizzi di posta elettronica personale, è possibile configurare un elenco di accesso negato che contenga domini come Gmail.com e Outlook.com. Oppure, se l'azienda collabora con altre, ad esempio Contoso.com e Fabrikam.com e Litware.com e si vuole limitare gli inviti solo a queste organizzazioni, è possibile aggiungere Contoso.com, Fabrikam.com e Litware.com all'elenco di accesso consentito.

Questo articolo illustra due modi per configurare un elenco di accesso consentito o un elenco di accesso negato per la collaborazione B2B:

Considerazioni importanti

  • È possibile creare un elenco di accesso consentito o un elenco di accesso negato. Non è consentita la configurazione di entrambi i tipi di elenchi. Per impostazione predefinita, i domini non inclusi nell'elenco di accesso consentito sono inclusi nell'elenco di accesso negato e viceversa.
  • È possibile creare un solo criterio per organizzazione. È possibile aggiornare il criterio per includere ulteriori domini oppure eliminarlo per crearne uno nuovo.
  • Il numero di domini che è possibile aggiungere a un elenco di accesso consentito o un elenco di accesso negato è limitato unicamente dalle dimensioni del criterio. Questo limite si applica al numero di caratteri, pertanto è possibile avere un numero maggiore di domini più brevi o meno domini più lunghi. Le dimensioni massime dell'intero criterio sono di 25 KB (25.000 caratteri), che include elenco di accesso consentito o di accesso negato e tutti gli altri parametri configurati per altre funzionalità.
  • Questo elenco funziona in modo indipendente dagli elenchi di accesso consentito/bloccato di OneDrive e SharePoint Online. Se si vuole limitare la condivisione di singoli file in SharePoint Online, è necessario impostare un elenco di accesso consentito o un elenco di accesso negato per OneDrive e SharePoint Online. Per altre informazioni, vedere Limitare la condivisione del contenuto di SharePoint e OneDrive per dominio.
  • L'elenco non è applicabile a utenti esterni che hanno già accettato l'invito. L'elenco verrà applicato dopo la configurazione. Se un invito di un utente è in sospeso e si imposta un criterio che blocca il suo dominio, il tentativo dell'utente di accettare l'invito ha esito negativo.
  • Le impostazioni dell'elenco di accesso consentito/negato e di accesso fra tenant vengono controllate al momento dell'invito.

Impostare il criterio per l'elenco di accesso consentito o l'elenco di accesso negato nel portale

Per impostazione predefinita, l'impostazione Consentire l'invio di inviti a qualsiasi dominio (meno restrittiva) è abilitata. In questo caso, è possibile invitare gli utenti B2B da qualsiasi organizzazione.

Aggiungere un elenco di accesso negato

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Questo è lo scenario più comune, in cui l'organizzazione vuole collaborare quasi con qualsiasi organizzazione, ma vuole impedire agli utenti di domini specifici di essere invitati come utenti B2B.

Per aggiungere un elenco di accesso negato:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Collaboration restrictions (Restrizioni per la collaborazione) selezionare Deny invitations to the specified domains (Nega inviti ai domini specificati).

  4. In Domini di destinazione, immettere il nome di uno dei domini che si vuole bloccare. Per specificare più domini, immettere ognuno in una nuova riga. Ad esempio:

    Screenshot che mostra l'opzione di blocco con domini aggiunti.

  5. Al termine, seleziona Salva.

Dopo aver impostato il criterio, se si prova a invitare un utente da un dominio bloccato, viene visualizzato un messaggio che informa che il dominio dell'utente è attualmente bloccato dai criteri relativi agli inviti.

Aggiungere un elenco di accesso consentito

Con questa configurazione più restrittiva, è possibile impostare domini specifici nell'elenco di accesso consentito e limitare gli inviti a qualsiasi altro dominio o organizzazione non menzionati.

Se si vuole usare un elenco di accesso consentito, assicurarsi di dedicare tempo a una valutazione accurata delle esigenze aziendali. Se si creano criteri troppo restrittivi, gli utenti possono scegliere di inviare documenti tramite posta elettronica o trovare altri modi per collaborare non approvati dal reparto IT.

Per aggiungere un elenco di accesso consentito:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Restrizioni di collaborazione selezionare Consenti l'invio di inviti solo ai domini specificati (più restrittivo).

  4. In Domini di destinazione, immettere il nome di uno dei domini che si vuole consentire. Per specificare più domini, immettere ognuno in una nuova riga. Ad esempio:

    Screenshot che mostra l'opzione consentita con domini aggiunti.

  5. Al termine, seleziona Salva.

Dopo aver impostato il criterio, se si prova a invitare un utente da un dominio che non si trova nell'elenco di accesso consentito, viene visualizzato un messaggio che informa che il dominio dell'utente è attualmente bloccato dai criteri relativi agli inviti.

Passare dall'elenco di accesso consentito all'elenco di accesso negato e viceversa

Se si passa da un criterio all'altro, la configurazione del criterio esistente viene rimossa. Assicurarsi di creare un backup dei dettagli della configurazione prima di eseguire il passaggio.

Impostare il criterio per l'elenco di accesso consentito o l'elenco di accesso negato con PowerShell

Prerequisito

Nota

Il modulo AzureADPreview non è un modulo completamente supportato perché è in anteprima.

Per impostare l'elenco di accesso consentito o di accesso negato tramite PowerShell, è necessario installare la versione di anteprima del modulo di Azure AD PowerShell. Nello specificio, installare la versione del modulo AzureADPreview 2.0.0.98 o successiva.

Per controllare la versione del modulo e verificare se è installato:

  1. Aprire Windows PowerShell come utente con privilegi elevati (Esegui come amministratore).

  2. Eseguire il seguente comando per vedere se sono disponibili versioni del modulo di Azure AD PowerShell installate nel computer:

    Get-Module -ListAvailable AzureAD*
    

Se il modulo non è installato o non è disponibile una versione richiesta, eseguire una delle operazioni seguenti:

  • Se non viene restituito alcun risultato, eseguire il comando seguente per installare l'ultima versione del modulo AzureADPreview:

    Install-Module AzureADPreview
    
  • Se nei risultati viene visualizzato solo il modulo AzureAD, eseguire i seguenti comandi per installare il modulo AzureADPreview:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Se nei risultati viene visualizzato solo il modulo AzureADPreview, ma la versione è precedente a 2.0.0.98, eseguire i seguenti comandi per aggiornarla:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Se nei risultati vengono visualizzati entrambi i moduli AzureAD e AzureADPreview, ma la versione del modulo AzureADPreview è precedente a 2.0.0.98, eseguire i seguenti comandi seguenti per aggiornarla:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Usare i cmdlet AzureADPolicy per configurare i criteri

Per creare un elenco di accesso consentito o negato, usare il cmdlet New-AzureADPolicy. L'esempio seguente illustra come impostare un elenco di accesso negato che blocca il dominio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Di seguito è riportato lo stesso esempio, ma con la definizione del criterio inline.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Per impostare il criterio per l'elenco di accesso consentito o negato, usare il cmdlet Set-AzureADPolicy. Ad esempio:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Per ottenere il criterio, usare il cmdlet Get-AzureADPolicy. Ad esempio:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Per rimuovere il criterio, usare il cmdlet Remove-AzureADPolicy. Ad esempio:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Passaggi successivi