ИТ-администраторы. Управление внешними собраниями и общение с людьми и организациями с помощью удостоверений Майкрософт

• Применяется к:

  Microsoft Teams

С помощью функции внешнего доступа в Teams вы можете разрешить пользователям в организации общаться и встречаться с людьми за пределами организации, которые используют Корпорацию Майкрософт в качестве поставщика удостоверений. Внешний доступ можно настроить с помощью:

• Другие организации Microsoft 365 (чат и собрания)

• Пользователи Teams, не управляемые организацией (использующие учетную запись Майкрософт) (только чат)

• Пользователи Skype (только чат)

Пользователи в вашей организации могут принимать или блокировать входящие чаты от людей за пределами организации. Дополнительные сведения см. в разделе Принятие или блокировка пользователей за пределами вашей организации, которые отправляют вам чат.

Обратите внимание, что эти люди за пределами вашей организации не будут иметь доступа к вашим командам, сайтам или другим ресурсам Microsoft 365. Если вы хотите, чтобы у них был доступ к вашим командам и каналам, см . статьи Совместная работа с гостями в команде и Совместная работа с внешними участниками в общем канале.

Примечание.

Пользователи могут добавлять приложения, когда они размещают собрания или чаты с людьми за пределами вашей организации. Они также могут использовать приложения, к которым предоставлен доступ внешние пользователи при присоединении к собраниям или чатам, размещенным извне. Применяются политики данных организации пользователя узла, а также методы совместного использования данных сторонних приложений, предоставленных организацией этого пользователя. Узнайте больше об использовании приложений пользователями за пределами вашей организации.

Связанные параметры

Важно отметить, что в Teams есть и другие параметры, включая гостевой доступ и анонимный доступ, которые влияют на собрания с людьми за пределами вашей организации. Дополнительные сведения см. в статье Планирование собраний с внешними участниками в Microsoft Teams .

Зал собраний может контролировать, как люди за пределами вашей организации присоединяются к собраниям. Дополнительные сведения см . в разделах Управление тем, кто может обойти зал собраний в Microsoft Teams и Настройка лобби собраний Microsoft Teams для конфиденциальных собраний.

Параметры организации и политики пользователей для внешнего доступа

Каждый параметр внешнего доступа имеет параметры организации и политики пользователей. Параметры организации применяются ко всей организации. Политики пользователей определяют, какие пользователи могут использовать параметры, настроенные на уровне организации.

Настройте параметры организации, чтобы указать типы внешних собраний и чатов, которые вы хотите разрешить, а затем настройте политики пользователей для пользователей, которым должен быть доступ к этим функциям. Обратите внимание, что параметры организации и политики пользователей включены по умолчанию.

Чтобы пользователь использовал внешний доступ, его должны разрешить параметры организации и политика пользователя.

Используйте процедуры на вкладках ниже, чтобы настроить параметры организации и политики пользователей.

Параметры организации

В этом разделе описано, как настроить:

• Собрания и чат с доверенными организациями Microsoft 365
• Чат с внешними пользователями Teams, не управляемыми организацией
• Чат и звонки с пользователями Skype

Эти параметры также можно настроить с помощью PowerShell.

Указание доверенных организаций Microsoft 365

Для собраний и чатов с другими организациями Microsoft 365 можно указать домены, которым вы хотите доверять. По умолчанию разрешены все внешние домены. Вы можете разрешить или заблокировать определенные домены, чтобы определить организации, которым ваша организация доверяет внешние собрания и чат.

Чтобы общаться и встречаться с людьми во внешних доменах, организации, которым вы доверяете, также должны доверять вашей организации, а их пользователям необходимо включить внешний доступ. В противном случае они не смогут общаться с пользователями в вашей организации и считаются анонимными при присоединении к собраниям, размещенным в вашей организации. Узнайте больше о собраниях с другими организациями Microsoft 365.

Можно указать, какие домены разрешены или какие домены заблокированы. Если указать заблокированные домены, все остальные домены будут разрешены; Если указать разрешенные домены, все остальные домены будут заблокированы. Существует четыре сценария настройки доверенных организаций:

• Разрешить все внешние домены . Это параметр по умолчанию в Teams, который позволяет пользователям в вашей организации находить, звонить, общаться в чате и настраивать собрания с людьми, внешними для вашей организации, в любом домене.

  В этом сценарии пользователи могут взаимодействовать со всеми внешними доменами, на которых запущены Teams или Skype для бизнеса при условии, что другая организация также включила внешний доступ.

• Разрешить только определенные внешние домены . Добавляя домены в список разрешений , вы ограничиваете внешний доступ только разрешенными доменами. После настройки списка разрешенных доменов все остальные домены будут заблокированы.

• Блокировать определенные домены - добавляя домены в список блокированных, вы можете общаться со всеми внешними доменами, кроме заблокированных. После настройки списка заблокированных доменов все остальные домены будут разрешены.

• Блокировать все внешние домены . Запрещает пользователям в вашей организации находить, звонить, общаться в чате и настраивать собрания с людьми, внешними для вашей организации, в любом домене.

Примечание.

Люди из заблокированных доменов могут по-прежнему присоединяться к собраниям анонимно, если разрешен анонимный доступ. Дополнительные сведения см. в статье Управление анонимным доступом участников к собраниям Teams.

Разрешение определенных доменов

1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

2. В разделе Выберите домены, к которым имеют доступ ваши пользователи, выберите Разрешить только определенные внешние домены.

3. Нажмите Разрешить домены.

4. В поле Домен введите домен, который вы хотите разрешить, и щелкните Готово.

5. Если вы хотите разрешить еще один домен, щелкните Добавить домен.

6. Нажмите кнопку Сохранить.

Блокировка определенных доменов

1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

2. В разделе Выберите домены, к которым имеют доступ ваши пользователи, выберите Заблокировать только определенные внешние домены.

3. Нажмите Заблокировать домены.

4. В поле Домен введите домен, который вы хотите разрешить, и щелкните Готово.

5. Если вы хотите заблокировать еще один домен, щелкните Добавить домен.

6. Нажмите кнопку Сохранить.

По умолчанию при блокировке доменов поддомены не блокируются. Например, если вы блокируете contoso.com, marketing.contoso.com не блокируется. Если вы хотите заблокировать все поддомены, можно использовать командлет PowerShell Set-CsTenantFederationConfiguration с параметром -BlockAllSubdomains . Например:

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

Средство диагностики

Если вы являетесь администратором, вы можете использовать следующее средство диагностики, чтобы проверить, может ли пользователь Teams взаимодействовать с пользователем Teams в доверенной организации:

1. Выберите Выполнить тесты ниже, чтобы заполнить диагностику в центре Microsoft 365 Admin.

   Выполнение тестов: доверенные организации Teams

2. В области запуска диагностики введите Адрес протокола SIP сеанса и Доменное имя федеративного клиента, а затем выберите Выполнить тесты.

3. Тесты возвращают лучшие дальнейшие шаги для решения любых параметров или конфигураций политик, которые препятствуют обмену данными с внешним пользователем Teams.

Skype для бизнеса Online

Если вы хотите, чтобы чаты и звонки поступали в клиент Skype для бизнеса пользователя, настройте пользователей в любом режиме, кроме TeamsOnly. Дополнительные сведения см. в статье Общие сведения о сосуществовании и взаимодействии в Microsoft Teams и Skype для бизнеса.

Управление чатами и собраниями с внешними пользователями Teams, не управляемыми организацией

Вы можете включить или отключить чат с внешними неуправляемыми пользователями Teams (не управляемыми организацией, например Microsoft Teams (бесплатно)). Если вы разрешите чат с неуправляемыми пользователями Teams, вы можете дополнительно контролировать, как пользователи общаются с ними:

• Вы можете контролировать, могут ли неуправляемые пользователи Teams инициировать взаимодействие с вашими пользователями.
• Вы можете создать список внешних профилей пользователей, с которыми пользователи могут взаимодействовать.
• При необходимости можно ограничить обмен данными со списком профилей внешних пользователей.

Примечание.

Чаты и собрания с внешними неуправляемыми пользователями Teams недоступны в развертываниях GCC, GCC High или DOD, а также в частных облачных средах.

Разрешение чатов и собраний с неуправляемыми учетными записями Teams

1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

2. Включите параметр Пользователи в моей организации могут общаться с пользователями Teams, учетные записи которых не управляются организацией.

3. Если вы хотите разрешить внешним неуправляемым пользователям Teams начинать беседу, установите флажок Внешние пользователи с учетными записями Teams, не управляемыми организацией, могут связываться с пользователями в моей организации .

4. Если вы хотите ограничить общение с пользователями с неуправляемыми учетными записями Teams определенным списком профилей пользователей, установите флажок Ограничить взаимодействие списком внешних профилей пользователей, добавленных в расширенный каталог , и выберите Управление внешними профилями пользователей , чтобы добавить профили пользователей, которые вы хотите разрешить. (См. сведения об управлении профилями внешних пользователей ниже.)

   Примечание.

   Родительское подключение в Microsoft Teams для образования не поддерживает ограничение связи списком внешних профилей пользователей, добавленных в расширенный каталог.

5. Нажмите Сохранить.

Обратите внимание, что если внешние пользователи с учетными записями Teams, не управляемыми организацией, могут связываться с пользователями в моей организации , то неуправляемые пользователи Teams не смогут искать пользователей в вашей организации по адресу электронной почты. Все взаимодействия с неуправляемыми пользователями Teams должны инициироваться пользователями в вашей организации.

Предотвращение чата с неуправляемыми учетными записями Teams

1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

2. Отключите параметр Пользователи в моей организации могут общаться с пользователями Teams, учетные записи которых не управляются организацией.

3. Нажмите Сохранить.

Управление профилями внешних пользователей

Профили внешних пользователей основаны на номерах телефонов. Вы можете добавить имена и номера телефонов людей за пределами вашей организации, и им будет предложено общаться с людьми в вашей организации с помощью Teams на мобильном устройстве. Если у них нет установленной команды Teams, они получат ссылку для ее установки через SMS. После создания учетной записи Teams они также могут использовать Teams на рабочем столе. Управление профилями пользователей можно делегировать с помощью роли администратора пользователей расширенного каталога в Azure AD.

Когда профиль добавляется для пользователей за пределами вашей организации, он будет доступен для пользователей через поиск по имени или номеру телефона в течение 24 часов. Пользователи могут начать 1:1 или групповой чат с внешними пользователями и просматривать карточки профиля внешних пользователей с указанными сведениями.

Когда пользователь начинает чат с внешним пользователем, внешний пользователь может разрешить или заблокировать подключение.

Важно!

Ваша организация является контроллером данных для внешних профилей пользователей, которые вы добавляете. Это может иметь последствия для GDPR. Дополнительные сведения см. в статье Общие сведения о правилах защиты данных.

Добавление внешнего профиля пользователя

1. Выберите Управление профилями внешних пользователей.
2. Нажмите Добавить.
3. Введите отображаемое имя контакта. (Пользователи смогут искать это имя в Teams.)
4. Введите код страны или региона и номер телефона.
5. Добавьте все дополнительные сведения, которые вы хотите включить.
6. Прочтите заявление контроллера данных и выберите поле проверка, чтобы согласиться.
7. Нажмите Сохранить.

Вы можете удалить существующий профиль, выбрав профиль, а затем выбрав Удалить.

Импорт списка профилей

Если вы хотите отправить список пользователей с помощью .csv файла, вы можете скачать файл шаблона, добавить людей, которых вы хотите включить, и их номера телефонов, а также отправить файл.

Скачивание шаблона .csv

1. На странице Управление профилями внешних пользователей выберите Импорт на панели команд.
2. Выберите скачать шаблон.

Обязательными полями в шаблоне являются DisplayName и PhoneNumber. Другие поля являются необязательными.

Отправка готового файла шаблона

1. На странице Управление профилями внешних пользователей выберите Импорт на панели команд.
2. Выберите Выбрать файл.
3. Выберите файл, который нужно отправить, и нажмите кнопку Открыть.
4. Если вы хотите обновить сведения о профиле для существующих профилей, установите флажок Обновить существующих внешних пользователей .
5. Прочтите заявление контроллера данных и выберите поле проверка, чтобы согласиться.
6. Выберите Импорт.

Использование PowerShell для ограничения взаимодействия с профилями пользователей в расширенном каталоге

Вы также можете настроить параметр Ограничить связь со списком внешних профилей пользователей, добавленных в расширенный каталог , в PowerShell с помощью командлета Set-CsExternalAccessPolicy с параметром RestrictTeamsConsumerAccessToExternalUserProfiles . Например:

Set-CsExternalAccessPolicy -Identity Global -RestrictTeamsConsumerAccessToExternalUserProfiles $true

ограничивает обмен данными со списком профилей пользователей в расширенном каталоге для глобальной политики внешнего доступа по умолчанию.

Управление чатом и звонками с помощью пользователей Skype

Выполните следующие действия, чтобы пользователи Teams в вашей организации общались и общались с пользователями Skype. Пользователи Teams могут затем искать и начинать индивидуальную текстовую беседу или аудио- / видео вызов с пользователями Skype и наоборот.

Собрания не поддерживаются пользователями Skype. При приглашении на собрание они считаются анонимными при присоединении.

Примечание.

Внешнее взаимодействие с пользователями Skype недоступно в развертываниях GCC, GCC High или DOD, а также в частных облачных средах.

Настройка чата и звонков с пользователями Skype

1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

2. Включите или отключите параметр Разрешить пользователям в моей организации общаться с пользователями Skype .

3. Нажмите Сохранить.

Чтобы узнать больше о способах взаимодействия пользователей Команд и пользователей Skype, в том числе о применяемых ограничениях, см. Совместимость Teams и Skype.

Настройка параметров организации с помощью PowerShell

Доверенные организации можно настроить с помощью командлета Set-CSTenantFederationConfiguration .

В следующей таблице показаны параметры командлетов, используемые для настройки доверенных организаций.

Конфигурация	Параметр
Разрешить или запретить собрания и общаться с другими организациями Teams и Skype для бизнеса	-AllowFederatedUsers
Указание разрешенных доменов	-AllowedDomains
Указание заблокированных доменов	-BlockedDomains
Блочные поддомены	-BlockAllSubdomains

Чат с пользователями Teams, не управляемыми организацией и пользователями Skype, можно настроить с помощью командлета Set-CSTenantFederationConfiguration .

В следующей таблице показаны параметры командлета, используемые для настройки чата со Skype и неуправляемыми пользователями Teams.

Конфигурация	Параметр
Разрешить или запретить чат с пользователями Teams, которые не управляются организацией	-AllowTeamsConsumer
Разрешить или запретить пользователям Teams, не управляемым организацией, начинать беседы	-AllowTeamsConsumerInbound
Разрешить или запретить чат с пользователями Skype	-AllowPublicUsers

Перед выполнением этих командлетов необходимо подключиться к Microsoft Teams PowerShell. Дополнительные сведения см. в разделе Управление Teams с помощью Microsoft Teams PowerShell.

Политики пользователя

Если вы включили один из параметров внешнего доступа для организации, вы можете указать, какие пользователи в вашей организации могут общаться в чате или встречаться с людьми за пределами организации, используя политику внешнего доступа. (Важно отметить, что оба этих параметра должны быть включены, чтобы пользователи общались или встречались с людьми за пределами вашей организации.)

Для организаторов собраний, которым не включен внешний доступ, участники собраний из других организаций считаются анонимными при присоединении к собраниям.

Настройка политик внешнего доступа

Политики внешнего доступа настраиваются с помощью командлета Set-CsExternalAccessPolicy .

В следующей таблице показаны параметры командлетов, используемые для настройки пользователей, которые могут общаться в чате и встречаться с людьми за пределами организации.

Конфигурация	Параметр
Разрешить или запретить собрания и общаться с другими организациями Teams и Skype для бизнеса	-EnableFederationAccess
Разрешить или запретить чат с пользователями Teams, которые не управляются организацией	-EnableTeamsConsumerAccess
Разрешить или запретить пользователям Teams, не управляемым организацией, начинать беседы	-EnableTeamsConsumerInbound
Разрешить или запретить чат с пользователями Skype	-EnablePublicCloudAccess

Чтобы ограничить внешние собрания и чат определенными пользователями, необходимо:

• Отключите элемент управления для глобальной политики по умолчанию.
• Создайте новую политику с включенным элементом управления и назначьте ей соответствующих пользователей.

Можно использовать следующий пример скрипта, заменив параметр для элемента управления, который требуется изменить, PolicyName — имя, которое требуется присвоить политике, и UserName — для каждого пользователя, для которого требуется включить или отключить внешний доступ.

Перед запуском скрипта убедитесь, что установлен Модуль PowerShell в Microsoft Teams.

Connect-MicrosoftTeams

# Disable external access globally
Set-CsExternalAccessPolicy -<parameter> $false

# Create a new external access policy
New-CsExternalAccessPolicy -Identity <PolicyName> -<parameter> $true

# Assign users to the policy
$users_ids = @("<UserName1>", "<UserName2>")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "<PolicyName>" -Identity $users_ids

Параметры для настройки внешнего доступа:

• EnableFederationAccess — управляет чатом и собраниями с другими организациями Microsoft 365
• EnableTeamsConsumerAccess — управляет чатом с пользователями Teams, не управляемыми организацией

Например, чтобы включить взаимодействие с внешними пользователями Teams, не управляемыми организацией, выполните приведенные ниже действия.

Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableTeamsConsumerAccess $false

New-CsExternalAccessPolicy -Identity ContosoExternalAccess -EnableTeamsConsumerAccess $true

$users_ids = @("MeganB@contoso.com", "AlexW@contoso.com")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "ContosoExternalAccess" -Identity $users_ids

Новую политику можно просмотреть, запустив Get-CsExternalAccessPolicy.

Чтобы ознакомиться с дополнительными примерами компиляции списка пользователей, см. New-CsBatchPolicyAssignmentOperation.

Соответствие требованиям и внешний доступ

Ознакомьтесь со следующими справочниками, чтобы понять, как работает внешний доступ с функциями соответствия требованиям в Microsoft 365.

• Обнаружение электронных данных во внешних и гостевых средах
• Хранение сообщений с внешними пользователями доступа
• Защита от потери данных и Microsoft Teams

Статьи по теме

Использование гостевого и внешнего доступа для совместной работы с людьми из-за пределов организации

Поиск событий Microsoft Teams в журнале аудита