Управление внешней совместной работой в Azure AD

  • 4 мин

Azure Active Directory — это служба каталогов, используемая Microsoft 365. Параметры организационных связей Azure Active Directory непосредственно влияют на общий доступ в Teams, группах Microsoft 365, SharePoint и OneDrive.

Параметры внешних удостоверений Microsoft Teams

Внешние удостоверения Azure AD — это все способы безопасного взаимодействия с пользователями за пределами вашей организации. Если вы хотите сотрудничать с партнерами, дистрибьюторами, поставщиками или поставщиками, вы можете поделиться своими ресурсами и определить, как ваши внутренние пользователи могут получить доступ к внешним организациям.

Ниже приведены параметры внешних удостоверений для внешней совместной работы в Microsoft Team:

Параметр По умолчанию Описание
Гостевой доступ для пользователя Доступ к свойствам и членствам объектов каталога гостевым пользователям ограничен Определяет разрешения ,которые есть у гостей в Azure Active Directory.
Параметры гостевых приглашений Любой пользователь организации может приглашать гостевых пользователей, включая гостей и не-администраторов Определяет, могут ли гости, участники и администраторы приглашать гостей в организацию.

Этот параметр влияет на интерфейсы общего доступа Microsoft 365, такие как Teams и SharePoint.
Включить гостевую самостоятельную регистрацию с помощью пользовательских потоков Нет Определяет, можно ли создавать пользовательские потоки, позволяющие пользователям зарегистрироваться в созданном вами приложении и создать новую гостевую учетную запись.
Ограничения взаимодействия Разрешить отправку приглашений в любой домен Этот параметр позволяет указать список разрешенных и заблокированных доменов для общего доступа. Если указаны разрешенные домены, приглашения к совместному использованию можно отправлять только в эти домены. Если указаны запрещенные домены, приглашения к совместному использованию нельзя отправлять в эти домены.

Этот параметр влияет на интерфейсы общего доступа Microsoft 365, такие как Teams и SharePoint. Вы можете разрешить или заблокировать домены на более детальном уровне, воспользовавшись фильтрацией доменов в SharePoint или Teams.
Межклиентский доступ - Совместная работа B2B: Разрешить доступ
- Прямое подключение B2B: Блокировка доступа
- Параметры организации: Нет		 Параметры определяют, как внешние организации Azure AD сотрудничают с вами (входящий доступ) и как ваши пользователи сотрудничают с внешними организациями Azure AD (исходящий доступ).

Параметры доступа между клиентами Azure Active Directory для прямого подключения B2B также должны быть настроены для внешнего общего доступа к каналу.

Параметры внешнего взаимодействия

Параметры внешней совместной работы позволяют указать, какие роли в вашей организации могут приглашать внешних пользователей для совместной работы B2B. Эти настройки включают следующие параметры:

  • Гостевой доступ для пользователя
  • Укажите, кто может приглашать гостей
  • Включить гостевую самостоятельную регистрацию через пользовательские потоки
  • Разрешить или заблокировать домены

Чтобы настроить параметры:

  1. Войдите в центр администрирования Azure AD в качестве администратора клиента.

  2. Выберите Внешние удостоверения > Параметры внешнего взаимодействия.

  3. В пункте Ограничения доступа гостевых пользователей выберите уровень доступа, который должны иметь гостевые пользователи:

    • Гостевые пользователи имеют тот же доступ, что и участники (наиболее полное включение). Этот параметр предоставляет гостям тот же доступ к ресурсам Azure AD и данным каталога, что и пользователям-участникам.

    • Гостевые пользователи имеют ограниченный доступ к свойствам и членствам объектов каталога (по умолчанию). Этот параметр блокирует для гостей определенные задач каталога, такие как перечисление пользователей, групп или других ресурсов каталога. Гости могут видеть членство во всех не скрытых группах.

    • Доступ гостевых пользователей ограничен свойствами и участием собственных объектов каталога (максимальное ограничение). С этим параметром гости могут получать доступ только к собственным профилям. Гостям не разрешено просматривать профили, группы или членство в группах других пользователей.

  4. В разделе Параметры приглашения гостей выберите соответствующие параметры.

    • Любой пользователь организации может приглашать гостевых пользователей, включая гостей и не-администраторов (наиболее полное включение). Чтобы разрешить гостям в организации приглашать других гостей, в том числе тех гостей, которые не являются членами организации, выберите этот переключатель.

    • Участники и пользователи, которым назначены определенные роли администраторов, могут приглашать гостей, в том числе с разрешениями участников. Чтобы разрешить пользователям-участникам и пользователям с определенными ролями администратора приглашать гостей, выберите этот переключатель.

    • Только пользователи, которым назначены определенные роли администратора, могут приглашать гостевых пользователей. Чтобы разрешить приглашать гостей только пользователям с ролями администратора, выберите этот переключатель. Роли администратора включают следующее: глобальный администратор, администратор пользователей и приглашающий гостей.

    • Никто в организации не может приглашать гостевых пользователей, включая администраторов (максимальное ограничение). Чтобы запретить всем пользователям в организации приглашать гостей, выберите этот переключатель.

  5. В пункте Включить гостевую самостоятельную регистрацию с помощью пользовательских потоков выберите Да, если хотите иметь возможность создавать пользовательские потоки, которые позволят пользователям регистрироваться в приложениях.

  6. В пункте Ограничения взаимодействия можно разрешить или запретить приглашения в указанные домены и указать определенные доменные имена в текстовых полях. Если доменов несколько, введите каждый домен в новой строке.

    Снимок экрана: параметры внешней совместной работы в Azure AD.

Параметры доступа между клиентами

Параметры доступа между клиентами используются для управления совместной работой B2B и прямым подключением B2B к внешним организациям Azure AD, в том числе в облаках Microsoft.

Прямое подключение Azure AD B2B отключено по умолчанию. Если вы хотите, чтобы ваши пользователи могли сотрудничать с людьми за пределами вашей организации в общих каналах в Microsoft Teams, вам необходимо настроить прямое подключение B2B. Вы можете включить общие каналы со всеми или определенными внешними организациями.

Ниже приведены параметры администратора для функции прямого подключения B2B:

  • Параметры исходящего доступа определяют, могут ли пользователи получать доступ к ресурсам во внешней организации. Включите этот параметр, чтобы разрешить вашим пользователям участвовать в общих каналах в других организациях.

  • Параметры входящего доступа позволяют контролировать, могут ли пользователи из внешних организаций Azure AD получать доступ к ресурсам в вашей организации. Включите этот параметр, чтобы разрешить пользователям приглашать людей из других организаций для участия в общих каналах.

  • Параметры доверия (входящие) определяют, будут ли ваши политики условного доступа доверять утверждениям многофакторной проверки подлинности (MFA), совместимым устройствам и гибридным устройствам, присоединенным к Azure AD, из внешней организации, если их пользователи уже выполнили эти требования в своих домашних клиентах.

Диаграмма, показывающая настройки администратора прямого подключения B2B.

Включить общие каналы со всеми внешними организациями

Если в вашей организации не требуется ограничивать совместную работу с другими организациями, включение всех организаций по умолчанию может сэкономить ваше время и упростить управление каждой организацией по отдельности. Дополнительные сведения см. в разделе Включение общих каналов со всеми внешними организациями.

Включить общие каналы с определенными организациями

Если в вашей организации есть требование ограничить совместную работу с определенными организациями, вам необходимо настроить прямое подключение B2B для каждой организации, с которой вы хотите сотрудничать. Ниже структуры действий высокого уровня:

  • Добавить организацию.
  • Настроить параметры входящего доступа для организации, чтобы разрешить приглашать в ваши общие каналы пользователей из организации.
  • Настроить параметры исходящего доступа для организации, чтобы разрешить приглашать ваших пользователей в общие каналы другой организации.

Дополнительные сведения см. в разделе Совместная работа с внешними участниками в общем канале.

Блокировать гостевой доступ для отдельных групп и команд

Помимо контроля на уровне организации, вы также можете контролировать гостевой доступ к отдельным группам.

Используйте Azure Active Directory PowerShell для Graph

Если вы хотите разрешить гостевой доступ к большинству групп и команд, но где-то хотите его запретить, вы можете заблокировать гостевой доступ для отдельных групп и команд с помощью Azure Active Directory PowerShell для Graph. Однако для выполнения этих команд необходимо иметь права глобального администратора.

  1. Запустите Install-Module AzureADPreview, чтобы убедиться, что это последняя версия этого модуля.

  2. Запустите следующий скрипт, изменив <GroupName> имя группы, в которой вы хотите заблокировать гостевой доступ.

    $GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

  3. Чтобы проверить параметры, выполните указанную ниже команду.

    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Используйте метки конфиденциальности

Если вы используете метки конфиденциальности в своей организации, рекомендуется использовать метки конфиденциальности для управления гостевым доступом для каждой группы, поскольку он доступен для пользователей.

Пользователи могут выбирать метки конфиденциальности при создании новых команд в Microsoft Teams. При выборе метки в раскрывающемся списке Чувствительность параметр конфиденциальности может измениться, чтобы отразить конфигурацию метки. В зависимости от настройки доступа внешних пользователей, выбранной для метки, пользователи могут или не могут добавлять в команду людей за пределами организации.