ИТ-администраторы. Управление внешними собраниями и общение с людьми и организациями с помощью удостоверений Майкрософт
С помощью функции внешнего доступа в Teams вы можете разрешить пользователям в организации общаться и встречаться с людьми за пределами организации, которые используют Корпорацию Майкрософт в качестве поставщика удостоверений. Внешний доступ можно настроить с помощью:
- Другие организации Microsoft 365 (чат и собрания)
- Пользователи Teams, не управляемые организацией (пользователи с учетной записью Майкрософт) (только чат)
- Пользователи Skype (только чат)
Пользователи в вашей организации могут принимать или блокировать входящие чаты от людей за пределами организации. Дополнительные сведения см. в разделе Принятие или блокировка пользователей за пределами вашей организации, которые отправляют вам чат.
Пользователи за пределами вашей организации не будут иметь доступа к вашим командам, сайтам или другим ресурсам Microsoft 365. Если вы хотите, чтобы у них был доступ к вашим командам и каналам, см . статьи Совместная работа с гостями в команде и Совместная работа с внешними участниками в общем канале.
Примечание.
Пользователи могут добавлять приложения, когда они размещают собрания или чаты с людьми за пределами вашей организации. Они также могут использовать приложения, к которым предоставлен доступ внешние пользователи при присоединении к собраниям или чатам, размещенным извне. Применяются политики данных организации пользователя узла, а также методы совместного использования данных сторонних приложений, предоставленных организацией этого пользователя. Узнайте больше об использовании приложений пользователями за пределами вашей организации.
Связанные параметры
В Teams есть и другие параметры, включая гостевой доступ и анонимный доступ, которые влияют на собрания с людьми за пределами организации. Дополнительные сведения см. в статье Планирование собраний с внешними участниками в Microsoft Teams .
Зал собраний может контролировать, как люди за пределами вашей организации присоединяются к собраниям. Дополнительные сведения см . в разделах Управление тем, кто может обойти зал собраний в Microsoft Teams и Настройка лобби собраний Microsoft Teams для конфиденциальных собраний.
Параметры организации и политики пользователей для внешнего доступа
Каждый параметр внешнего доступа имеет параметры организации и политики пользователей. Параметры организации применяются ко всей организации. Политики пользователей определяют, какие пользователи могут использовать параметры, настроенные на уровне организации.
Настройте параметры организации, чтобы указать, какие типы внешних собраний и чатов вы хотите разрешить. Затем настройте политики пользователей для пользователей, у которых должен быть доступ к этим функциям. Параметры организации и политики пользователей включены по умолчанию.
Чтобы пользователь использовал внешний доступ, его должны разрешить параметры организации и политика пользователя.
Используйте процедуры на вкладках в этой статье для настройки параметров организации и политик пользователей.
В этом разделе описано, как настроить:
- Собрания и чат с доверенными организациями Microsoft 365
- Чат с внешними пользователями Teams, не управляемыми организацией
- Чат и звонки с пользователями Skype
Эти параметры также можно настроить с помощью PowerShell.
Указание доверенных организаций Microsoft 365
Для собраний и чатов с другими организациями Microsoft 365 можно указать домены, которым вы хотите доверять. По умолчанию разрешены все внешние домены. Вы можете разрешить или заблокировать определенные домены, чтобы определить организации, которым ваша организация доверяет внешние собрания и чат.
Чтобы общаться и встречаться с людьми во внешних доменах, организации, которым вы доверяете, также должны доверять вашей организации, а их пользователям необходимо включить внешний доступ. В противном случае они не смогут общаться с пользователями в вашей организации и считаются анонимными при присоединении к собраниям, размещенным в вашей организации. Узнайте больше о собраниях с другими организациями Microsoft 365.
Можно указать, какие домены разрешены или какие домены заблокированы. Если указать заблокированные домены, все остальные домены будут разрешены; Если указать разрешенные домены, все остальные домены будут заблокированы. Существует четыре сценария настройки доверенных организаций:
Разрешить все внешние домены . Параметр по умолчанию в Teams, который позволяет пользователям в вашей организации находить, звонить, общаться в чате и настраивать собрания с людьми, внешними для вашей организации, в любом домене.
В этом сценарии пользователи могут взаимодействовать со всеми внешними доменами, на которых запущены Teams или Skype для бизнеса, при условии, что другая организация также включила внешний доступ.
Разрешить только определенные внешние домены . Добавляя домены в список разрешений , вы ограничиваете внешний доступ только разрешенными доменами. После настройки списка разрешенных доменов все остальные домены будут заблокированы.
Блокировать определенные домены - добавляя домены в список блокированных, вы можете общаться со всеми внешними доменами, кроме заблокированных. После настройки списка заблокированных доменов все остальные домены будут разрешены.
Блокировать все внешние домены . Запрещает пользователям в вашей организации находить, звонить, общаться в чате и настраивать собрания с людьми, внешними для вашей организации, в любом домене.
Примечание.
Пользователи из заблокированных доменов могут по-прежнему присоединяться к собраниям анонимно, если разрешен анонимный доступ. Дополнительные сведения см. в статье Управление анонимным доступом участников к собраниям Teams.
Разрешение определенных доменов
В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
В разделе Выберите домены, к которым имеют доступ ваши пользователи, выберите Разрешить только определенные внешние домены.
Нажмите Разрешить домены.
В поле Домен введите домен, который вы хотите разрешить, и щелкните Готово.
Если вы хотите разрешить еще один домен, щелкните Добавить домен.
Нажмите кнопку Сохранить.
Блокировка определенных доменов
В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
В разделе Выберите домены, к которым имеют доступ ваши пользователи, выберите Заблокировать только определенные внешние домены.
Нажмите Заблокировать домены.
В поле Домен введите домен, который вы хотите разрешить, и щелкните Готово.
Если вы хотите заблокировать еще один домен, щелкните Добавить домен.
Нажмите кнопку Сохранить.
По умолчанию при блокировке доменов поддомены не блокируются. Например, если вы блокируете contoso.com, marketing.contoso.com не блокируется. Если вы хотите заблокировать все поддомены, можно использовать командлет PowerShell Set-CsTenantFederationConfiguration с параметром -BlockAllSubdomains
. Например:
Set-CsTenantFederationConfiguration -BlockAllSubdomains $True
Блокировка федерации с клиентами, доступными только для пробных версий Teams
Вы можете управлять внешним доступом организации с помощью клиентов, доступных только для пробной версии Teams (у которых нет приобретенных рабочих мест), используя -ExternalAccessWithTrialTenants
параметр в PowerShell (требуется по крайней мере версия 6.4.0).
Значение по умолчанию для этого параметра — Заблокировано, но его можно переопределить на Разрешено, используя: Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"
Чтобы заблокировать внешний обмен данными с клиентами, доступными только для пробной версии, выполните приведенные далее действия. Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"
Если задано значение Заблокировано, пользователи из этих клиентов, доступных только для пробной версии, не смогут искать пользователей и связываться с ними с помощью чатов, звонков Teams и собраний (с использованием удостоверений пользователей, прошедших проверку подлинности), а пользователи не смогут связаться с пользователями в этих клиентах, доступных только для пробной версии. Пользователи из клиента, доступного только для пробной версии, также удаляются из существующих чатов.
Пользователи из клиентов, доступных только для пробной версии, по умолчанию блокируются (без возможности переопределения) от внешнего взаимодействия с пользователями в других облачных средах Microsoft 365 и с пользователями сервера Microsoft Skype для бизнеса. Два клиента с только пробными подписками могут федеративные друг с другом, если параметр -ExternalAccessWithTrialTenants разрешен обоими клиентами.
Средство диагностики
Если вы являетесь администратором, вы можете использовать следующее средство диагностики, чтобы проверить, может ли пользователь Teams взаимодействовать с пользователем Teams в доверенной организации:
Выберите Выполнить тесты ниже, чтобы заполнить диагностику в Центре администрирования Microsoft 365.
В области запуска диагностики введите Адрес протокола SIP сеанса и Доменное имя федеративного клиента, а затем выберите Выполнить тесты.
Тесты возвращают лучшие дальнейшие шаги для решения любых параметров или конфигураций политик, которые препятствуют обмену данными с внешним пользователем Teams.
Skype для бизнеса Online
Если вы хотите, чтобы чаты и звонки поступали в клиент Skype для бизнеса пользователя, настройте пользователей в любом режиме, кроме TeamsOnly. Дополнительные сведения см. в статье Общие сведения о сосуществовании и взаимодействии в Microsoft Teams и Skype для бизнеса.
Управление чатами и собраниями с внешними пользователями Teams, не управляемыми организацией
Вы можете включить или отключить чат с внешними неуправляемыми пользователями Teams (пользователями, не управляемыми организацией, например Microsoft Teams (бесплатно)). Если вы разрешите чат с неуправляемыми пользователями Teams, вы можете дополнительно контролировать, как пользователи общаются с ними:
- Вы можете контролировать, могут ли неуправляемые пользователи Teams инициировать взаимодействие с вашими пользователями.
- Вы можете создать список внешних профилей пользователей, с которыми пользователи могут взаимодействовать.
- При необходимости можно ограничить обмен данными со списком профилей внешних пользователей.
Примечание.
Чаты и собрания с внешними неуправляемыми пользователями Teams недоступны в развертываниях GCC, GCC High или DOD, а также в частных облачных средах.
Чтобы разрешить чаты и собрания с неуправляемыми учетными записями Teams, выполните приведенные ниже действия.
В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
Включите параметр Пользователи в моей организации могут общаться с пользователями Teams, учетные записи которых не управляются организацией.
Если вы хотите разрешить внешним неуправляемым пользователям Teams начинать беседу, установите флажок Внешние пользователи с учетными записями Teams, не управляемыми организацией, могут связываться с пользователями в моей организации .
Если вы хотите ограничить общение с пользователями с неуправляемыми учетными записями Teams определенным списком профилей пользователей, установите флажок Ограничить взаимодействие списком внешних профилей пользователей, добавленных в расширенный каталог , и выберите Управление внешними профилями пользователей , чтобы добавить профили пользователей, которые вы хотите разрешить. (См. сведения об управлении профилями внешних пользователей ниже.)
Примечание.
Родительское подключение в Microsoft Teams для образования не поддерживает ограничение обмена данными в списке внешних профилей пользователей, добавленных в расширенный каталог.
Нажмите Сохранить.
Если внешние пользователи с учетными записями Teams, не управляемыми организацией, могут связываться с пользователями в моей организации , то неуправляемые пользователи Teams не могут искать пользователей в вашей организации по адресу электронной почты. Все взаимодействия с неуправляемыми пользователями Teams должны инициироваться пользователями в вашей организации.
Чтобы запретить чат с неуправляемыми учетными записями Teams, выполните приведенные далее действия.
- В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
- Отключите параметр Пользователи в моей организации могут общаться с пользователями Teams, учетные записи которых не управляются организацией.
- Нажмите Сохранить.
Управление профилями внешних пользователей
Профили внешних пользователей основаны на номерах телефонов. Вы можете добавить имена и номера телефонов людей за пределами вашей организации, и им будет предложено общаться с людьми в вашей организации с помощью Teams на мобильном устройстве. Если у них нет установленной команды Teams, они получат ссылку для ее установки через SMS. После создания учетной записи Teams они также могут использовать Teams на рабочем столе. Вы можете делегировать управление профилями пользователей с помощью роли администратора пользователей расширенного каталога в Azure AD.
Когда профиль добавляется для пользователей за пределами вашей организации, он будет доступен для пользователей через поиск по имени или номеру телефона в течение 24 часов. Пользователи могут начать 1:1 или групповой чат с внешними пользователями и просматривать карточки профиля внешних пользователей с указанными сведениями.
Когда пользователь начинает чат с внешним пользователем, внешний пользователь может разрешить или заблокировать подключение.
Важно!
Ваша организация является контроллером данных для внешних профилей пользователей, которые вы добавляете. Это может иметь последствия для GDPR. Дополнительные сведения см. в статье Общие сведения о правилах защиты данных.
Чтобы добавить внешний профиль пользователя, выполните приведенные далее действия.
- Выберите Управление профилями внешних пользователей.
- Нажмите Добавить.
- Введите отображаемое имя контакта. (Пользователи смогут искать это имя в Teams.)
- Введите код страны или региона и номер телефона.
- Добавьте все дополнительные сведения, которые вы хотите включить.
- Прочтите инструкцию контроллера данных и установите флажок, чтобы согласиться.
- Нажмите Сохранить.
Вы можете удалить существующий профиль, выбрав профиль, а затем выбрав Удалить.
Импорт списка профилей
Если вы хотите отправить список пользователей с помощью .csv файла, вы можете скачать файл шаблона, добавить людей, которых вы хотите включить, и их номера телефонов, а также отправить файл.
Чтобы скачать шаблон .csv, выполните следующие действия:
- На странице Управление профилями внешних пользователей выберите Импорт на панели команд.
- Выберите скачать шаблон.
Обязательными полями в шаблоне являются DisplayName и PhoneNumber. Другие поля являются необязательными.
Чтобы отправить готовый файл шаблона, выполните приведенные далее действия.
- На странице Управление профилями внешних пользователей выберите Импорт на панели команд.
- Выберите Выбрать файл.
- Выберите файл, который нужно отправить, и нажмите кнопку Открыть.
- Если вы хотите обновить сведения о профиле для существующих профилей, установите флажок Обновить существующих внешних пользователей .
- Прочтите инструкцию контроллера данных и установите флажок, чтобы согласиться.
- Выберите Импорт.
Использование PowerShell для ограничения взаимодействия с профилями пользователей в расширенном каталоге
Вы также можете настроить параметр Ограничить связь со списком внешних профилей пользователей, добавленных в расширенный каталог , в PowerShell с помощью командлета Set-CsExternalAccessPolicy с параметром RestrictTeamsConsumerAccessToExternalUserProfiles . Например:
Set-CsExternalAccessPolicy -Identity Global -RestrictTeamsConsumerAccessToExternalUserProfiles $true
Этот командлет ограничивает обмен данными со списком профилей пользователей в расширенном каталоге для глобальной политики внешнего доступа по умолчанию.
Управление чатом и звонками с помощью пользователей Skype
Выполните следующие действия, чтобы пользователи Teams в вашей организации общались и общались с пользователями Skype. Пользователи Teams могут затем искать и начинать индивидуальную текстовую беседу или аудио- / видео вызов с пользователями Skype и наоборот.
Собрания не поддерживаются пользователями Skype. При приглашении на собрание они считаются анонимными при присоединении.
Примечание.
Внешнее взаимодействие с пользователями Skype недоступно в развертываниях GCC, GCC High или DOD, а также в частных облачных средах.
Чтобы настроить чат и звонки с пользователями Skype, выполните следующие действия.
- В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
- Включите или отключите параметр Разрешить пользователям в моей организации общаться с пользователями Skype .
- Нажмите Сохранить.
Чтобы узнать больше о способах взаимодействия пользователей Команд и пользователей Skype, в том числе о применяемых ограничениях, см. Совместимость Teams и Skype.
Настройка параметров организации с помощью PowerShell
Доверенные организации можно настроить с помощью командлета Set-CSTenantFederationConfiguration .
В следующей таблице показаны параметры командлетов, используемые для настройки доверенных организаций.
Конфигурация | Параметр |
---|---|
Разрешить или запретить собрания и общаться в чате с другими организациями Teams и Skype для бизнеса | -AllowFederatedUsers |
Указание разрешенных доменов | -AllowedDomains |
Указание заблокированных доменов | -BlockedDomains |
Блочные поддомены | -BlockAllSubdomains |
Чат с пользователями Teams, не управляемыми организацией и пользователями Skype, можно настроить с помощью командлета Set-CSTenantFederationConfiguration .
В следующей таблице показаны параметры командлета, используемые для настройки чата со Skype и неуправляемыми пользователями Teams.
Конфигурация | Параметр |
---|---|
Разрешить или запретить чат с пользователями Teams, которые не управляются организацией | -AllowTeamsConsumer |
Разрешить или запретить пользователям Teams, не управляемым организацией, начинать беседы | -AllowTeamsConsumerInbound |
Разрешить или запретить чат с пользователями Skype | -AllowPublicUsers |
Перед выполнением этих командлетов необходимо подключиться к Microsoft Teams PowerShell. Дополнительные сведения см. в разделе Управление Teams с помощью Microsoft Teams PowerShell.
Соответствие требованиям и внешний доступ
Ознакомьтесь со следующими справочниками, чтобы понять, как работает внешний доступ с функциями соответствия требованиям в Microsoft 365.
- Обнаружение электронных данных во внешних и гостевых средах
- Хранение сообщений с внешними пользователями доступа
- Защита от потери данных и Microsoft Teams
Статьи по теме
Использование гостевого и внешнего доступа для совместной работы с людьми из-за пределов организации