Zezwalanie lub blokowanie współpracy B2B z organizacjami
Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Możesz użyć listy dozwolonych lub listy zablokowanych, aby zezwolić lub zablokować zaproszenia do użytkowników współpracy B2B z określonych organizacji. Jeśli na przykład chcesz zablokować osobiste domeny adresów e-mail, możesz skonfigurować listę zablokowanych zawierającą domeny, takie jak Gmail.com i Outlook.com. Lub jeśli Twoja firma współpracuje z innymi firmami, takimi jak Contoso.com, Fabrikam.com i Litware.com, i chcesz ograniczyć zaproszenia tylko do tych organizacji, możesz dodać Contoso.com, Fabrikam.com i Litware.com do listy dozwolonych.
W tym artykule omówiono dwa sposoby konfigurowania listy dozwolonych lub zablokowanych dla współpracy B2B:
- W portalu przez skonfigurowanie ograniczeń współpracy w ustawieniach współpracy zewnętrznej organizacji
- Za pomocą programu PowerShell
Ważne zagadnienia
- Możesz utworzyć listę dozwolonych lub listę zablokowanych. Nie można skonfigurować obu typów list. Domyślnie wszystkie domeny, które nie znajdują się na liście dozwolonych, znajdują się na liście zablokowanych i na odwrót.
- Można utworzyć tylko jedną zasadę dla każdej organizacji. Możesz zaktualizować zasady tak, aby zawierały więcej domen, lub usunąć zasady w celu utworzenia nowego.
- Liczba domen, które można dodać do listy dozwolonych lub zablokowanych, jest ograniczona tylko przez rozmiar zasad. Ten limit dotyczy liczby znaków, dzięki czemu można mieć większą liczbę krótszych domen lub mniej dłuższych domen. Maksymalny rozmiar wszystkich zasad to 25 KB (25 000 znaków), który zawiera listę dozwolonych lub listę zablokowanych oraz wszystkie inne parametry skonfigurowane dla innych funkcji.
- Ta lista działa niezależnie od list dozwolonych/zablokowanych w usłudze OneDrive i SharePoint Online. Jeśli chcesz ograniczyć udostępnianie pojedynczych plików w usłudze SharePoint Online, musisz skonfigurować listę dozwolonych lub zablokowanych dla usług OneDrive i SharePoint Online. Aby uzyskać więcej informacji, zobacz Ograniczanie udostępniania zawartości programu SharePoint i usługi OneDrive według domeny.
- Lista nie ma zastosowania do użytkowników zewnętrznych, którzy już zrealizowali zaproszenie. Lista zostanie wymuszona po skonfigurowaniu listy. Jeśli zaproszenie użytkownika jest w stanie oczekiwania i ustawisz zasady blokujące ich domenę, próba zrealizowania zaproszenia przez użytkownika zakończy się niepowodzeniem.
- Ustawienia listy dozwolonych/zablokowanych i dostępu między dzierżawami są sprawdzane w momencie zaproszenia.
Ustawianie zasad dozwolonych lub zablokowanych w portalu
Domyślnie jest włączone ustawienie Zezwalaj na wysyłanie zaproszeń do dowolnej domeny (najbardziej inkluzywnej). W takim przypadku możesz zaprosić użytkowników B2B z dowolnej organizacji.
Ważny
Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Dodawanie listy zablokowanych
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Jest to najbardziej typowy scenariusz, w którym organizacja chce pracować z niemal każdą organizacją, ale chce uniemożliwić użytkownikom zapraszanie określonych domen jako użytkowników B2B.
Aby dodać listę zablokowanych:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
Przejdź do pozycji Tożsamość>Zewnętrzne tożsamości>Zewnętrzne ustawienia współpracy.
W obszarze Ograniczenia współpracy wybierz pozycję Odmów zaproszeń do określonych domen.
W obszarze Domeny docelowe wprowadź nazwę jednej z domen, które chcesz zablokować. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Na przykład:
Po zakończeniu wybierz pozycję Zapisz.
Po ustawieniu zasad, jeśli spróbujesz zaprosić użytkownika z zablokowanej domeny, zostanie wyświetlony komunikat z informacją, że domena użytkownika jest obecnie zablokowana przez zasady zaproszeń.
Dodawanie listy dozwolonych
Dzięki tej bardziej restrykcyjnej konfiguracji można ustawić określone domeny na liście dozwolonych i ograniczyć zaproszenia do innych organizacji lub domen, które nie zostały wymienione.
Jeśli chcesz użyć listy dozwolonych, upewnij się, że spędzasz czas, aby w pełni ocenić potrzeby biznesowe. Jeśli te zasady będą zbyt restrykcyjne, użytkownicy będą mogli wysyłać dokumenty pocztą e-mail lub znaleźć inne sposoby współpracy bez sankcji it.
Aby dodać listę dozwolonych:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
Przejdź do pozycji Tożsamość>Zewnętrzne tożsamości>Zewnętrzne ustawienia współpracy.
W obszarze Ograniczenia współpracy wybierz pozycję Zezwalaj na zaproszenia tylko do określonych domen (najbardziej restrykcyjne).
W obszarze Domeny docelowe wprowadź nazwę jednej z domen, na które chcesz zezwolić. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Na przykład:
Po zakończeniu wybierz pozycję Zapisz.
Po ustawieniu zasad, jeśli spróbujesz zaprosić użytkownika z domeny, która nie znajduje się na liście dozwolonych, zostanie wyświetlony komunikat z informacją, że domena użytkownika jest obecnie zablokowana przez zasady zaproszeń.
Przełączanie z listy dozwolonych na listę zablokowanych i odwrotnie
Przełączenie z jednej zasady na inną odrzuca istniejącą konfigurację zasad. Pamiętaj, aby utworzyć kopię zapasową szczegółów konfiguracji przed wykonaniem przełącznika.
Ustawianie zasad listy dozwolonych lub zablokowanych przy użyciu programu PowerShell
Warunek wstępny
Nuta
Moduł AzureADPreview nie jest w pełni obsługiwanym modułem, ponieważ jest w wersji zapoznawczej.
Aby ustawić listę dozwolonych lub zablokowanych przy użyciu programu PowerShell, musisz zainstalować wersję zapoznawcza modułu programu PowerShell usługi Azure AD. W szczególności zainstaluj moduł AzureADPreview w wersji 2.0.0.98 lub nowszej.
Aby sprawdzić wersję modułu (i sprawdzić, czy jest zainstalowany):
Otwórz program Windows PowerShell jako użytkownik z podwyższonym poziomem uprawnień (Uruchom jako administrator).
Uruchom następujące polecenie, aby sprawdzić, czy na komputerze zainstalowano jakiekolwiek wersje modułu Programu PowerShell usługi Azure AD:
Get-Module -ListAvailable AzureAD*
Jeśli moduł nie jest zainstalowany lub nie masz wymaganej wersji, wykonaj jedną z następujących czynności:
Jeśli nie zostaną zwrócone żadne wyniki, uruchom następujące polecenie, aby zainstalować najnowszą wersję modułu
AzureADPreview
:Install-Module AzureADPreview
Jeśli w wynikach jest wyświetlany tylko
AzureAD
moduł, uruchom następujące polecenia, aby zainstalowaćAzureADPreview
moduł:Uninstall-Module AzureAD Install-Module AzureADPreview
Jeśli tylko
AzureADPreview
moduł jest wyświetlany w wynikach, ale wersja jest mniejsza niż2.0.0.98
, uruchom następujące polecenia, aby go zaktualizować:Uninstall-Module AzureADPreview Install-Module AzureADPreview
Jeśli oba
AzureAD
moduły iAzureADPreview
są wyświetlane w wynikach, ale wersja modułuAzureADPreview
jest mniejsza niż2.0.0.98
, uruchom następujące polecenia, aby go zaktualizować:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Konfigurowanie zasad za pomocą poleceń cmdlet AzureADPolicy
Aby utworzyć listę dozwolonych lub zablokowanych, użyj polecenia cmdlet New-AzureADPolicy . W poniższym przykładzie pokazano, jak ustawić listę zablokowanych, która blokuje domenę "live.com".
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Poniżej przedstawiono ten sam przykład, ale z wbudowanym definicją zasad.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Aby ustawić zasady dozwolonych lub zablokowanych, użyj polecenia cmdlet Set-AzureADPolicy . Na przykład:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Aby uzyskać zasady, użyj polecenia cmdlet Get-AzureADPolicy . Na przykład:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Aby usunąć zasady, użyj polecenia cmdlet Remove-AzureADPolicy . Na przykład:
Remove-AzureADPolicy -Id $currentpolicy.Id
Następne kroki
- Ustawienia dostępu między dzierżawami
- Ustawienia współpracy zewnętrznej.