Запретить добавление гостей в определенную группу Microsoft 365 или команду Microsoft Teams

Если вы хотите разрешить гостевой доступ к большинству групп и команд, но хотите запретить гостевой доступ, вы можете заблокировать гостевой доступ для отдельных групп и команд. (Блокировка гостевого доступа к команде осуществляется путем блокировки гостевого доступа к связанной группе.) Это предотвращает добавление новых гостей, но не удаляет гостей, которые уже находятся в группе или команде.

Если вы используете метки конфиденциальности в организации, мы рекомендуем использовать их для управления гостевым доступом для каждой группы. Сведения о том, как это сделать, см. в статье "Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, группах Microsoft 365 и на сайтах SharePoint". Это рекомендуемый подход.

Изменение параметров группы с помощью Microsoft PowerShell

Вы также можете запретить добавление новых гостей в отдельные группы с помощью PowerShell. (Помните, что связанный с командой сайт SharePoint имеет отдельные элементы управления гостевым доступом.)

Чтобы изменить параметр гостевого доступа на уровне группы, необходимо использовать предварительную версию Azure Active Directory PowerShell для Graph (имя модуля AzureADPreview):

  • Если вы еще не установили ни одной версии модуля Azure AD PowerShell, см. раздел Установка модуля Azure AD и следуйте инструкциям по установке общедоступной предварительной версии.

  • Если у вас установлена общедоступная версия 2.0 модуля Azure AD PowerShell (AzureAD), вам требуется удалить ее, выполнив команду Uninstall-Module AzureAD в сеансе PowerShell, а затем установить предварительную версию, выполнив команду Install-Module AzureADPreview.

  • Если вы уже установили предварительную версию, выполните команду Install-Module AzureADPreview, чтобы убедиться, что это последняя версия модуля.

Примечание.

Для выполнения этих команд необходимо иметь права глобального администратора.

Выполните следующий сценарий, изменив <GroupName> на имя группы, в которой требуется заблокировать гостевой доступ.

$GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

Чтобы проверить параметры, выполните указанную ниже команду.

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Проверка выглядит следующим образом:

Снимок экрана: окно PowerShell, показывающее, что для доступа к гостевой группе задано значение false.

Если вы хотите снова включить параметр, чтобы разрешить гостевой доступ к определенной группе, выполните следующий сценарий, <GroupName> изменив имя группы, в которой вы хотите разрешить гостевой доступ.

$GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$True
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
$id = (get-AzureADObjectSetting -TargetType groups -TargetObjectId $groupID).id
Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy -id $id

Разрешение или блокировка гостевого доступа на основе их домена

Вы можете разрешить или заблокировать гостей, использующих определенный домен. Например, если ваш бизнес (Contoso) имеет партнерские отношения с другим бизнесом (Fabrikam), вы можете добавить Fabrikam в список разрешений, чтобы пользователи могли добавлять этих гостей в свои группы.

Дополнительные сведения см. в разделе "Разрешение или блокировка приглашений для пользователей B2B из определенных организаций".

Добавление гостей в глобальный список адресов

По умолчанию гости не отображаются в глобальном списке адресов Exchange. Выполните приведенные ниже действия, чтобы сделать гостя видимым в глобальном списке адресов.

Найдите objectID гостя, выполнив указанные ниже действия.

get-AzureADUser -all $true | ?{$_.CreationType -eq "Invitation"}

Затем выполните следующую команду, используя соответствующие значения для ObjectID, GivenName, Surname, DisplayName и TelephoneNumber.

Set-AzureADUser -ObjectId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList $true -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -TelephoneNumber '555-555-5555'

Рекомендации по планированию управления совместной работой

Создание плана управления совместной работой

Управление членством в группе в Центр администрирования Microsoft 365

Проверки доступа Azure Active Directory

Set-AzureADUser