Belirli kuruluşlardan B2B kullanıcılarına gönderilen davetlere izin verme veya engelleme
Belirli kuruluşların B2B işbirliği kullanıcılarına yönelik davetlere izin vermek veya davetleri engellemek için izin verilenler listesi veya blok listesi kullanabilirsiniz. Örneğin, kişisel e-posta adresi etki alanlarını engellemek istiyorsanız, Gmail.com ve Outlook.com gibi etki alanlarını içeren bir blok listesi ayarlayabilirsiniz. veya işletmenizin Contoso.com, Fabrikam.com ve Litware.com gibi diğer işletmelerle ortaklığı varsa ve davetleri yalnızca bu kuruluşlarla kısıtlamak istiyorsanız, izin verilenler listenize Contoso.com, Fabrikam.com ve Litware.com ekleyebilirsiniz.
Bu makalede, B2B işbirliği için izin verme veya engelleme listesi yapılandırmanın iki yolu açıklanır:
- Kuruluşunuzun Dış işbirliği ayarlarında işbirliği kısıtlamalarını yapılandırarak portalda
- PowerShell aracılığıyla
Dikkat edilmesi gereken önemli hususlar
- İzin verilenler listesi veya blok listesi oluşturabilirsiniz. Her iki liste türünü de ayarlayamazsınız. Varsayılan olarak, izin verilenler listesinde olmayan etki alanları blok listesindedir ve tam tersi de geçerlidir.
- Kuruluş başına yalnızca bir ilke oluşturabilirsiniz. İlkeyi daha fazla etki alanı içerecek şekilde güncelleştirebilir veya yeni bir etki alanı oluşturmak için ilkeyi silebilirsiniz.
- İzin verilenler listesine veya blok listesine ekleyebileceğiniz etki alanı sayısı yalnızca ilkenin boyutuyla sınırlıdır. Bu sınır karakter sayısı için geçerlidir, bu nedenle daha fazla sayıda daha kısa etki alanınız veya daha az daha uzun etki alanınız olabilir. İlkenin tamamının boyutu, izin verilenler listesi veya blok listesi ile diğer özellikler için yapılandırılmış diğer parametreleri içeren 25 KB 'tır (25.000 karakter).
- Bu liste OneDrive ve SharePoint Online izin ver/engelle listelerinden bağımsız olarak çalışır. SharePoint Online'da tek tek dosya paylaşımını kısıtlamak istiyorsanız, OneDrive ve SharePoint Online için bir izin ver veya engelle listesi ayarlamanız gerekir. Daha fazla bilgi için bkz . SharePoint ve OneDrive içeriğinin etki alanına göre paylaşımını kısıtlama.
- Liste, daveti zaten kullanan dış kullanıcılar için geçerli değildir. Liste ayarlandıktan sonra zorlanır. Kullanıcı daveti bekleme durumundaysa ve etki alanını engelleyen bir ilke ayarlarsanız, kullanıcının daveti kullanma girişimi başarısız olur.
- Davet sırasında hem izin ver/engelle listesi hem de kiracılar arası erişim ayarları denetleniyor.
Portalda izin verme veya engelleme listesi ilkesini ayarlama
Varsayılan olarak, davetlerin herhangi bir etki alanına gönderilmesine izin ver (en dahil) ayarı etkindir. Bu durumda, herhangi bir kuruluştan B2B kullanıcılarını davet edebilirsiniz.
Blok listesi ekleme
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Bu, kuruluşunuzun neredeyse tüm kuruluşlarla çalışmak istediği ancak belirli etki alanlarındaki kullanıcıların B2B kullanıcısı olarak davet edilmesini önlemek istediği en tipik senaryodur.
Blok listesi eklemek için:
Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.
Kimlik>Dış Kimlikleri>Dış işbirliği ayarlarına göz atın.
İşbirliği kısıtlamaları'nın altında Belirtilen etki alanlarına davetleri reddet'i seçin.
Hedef etki alanları'nın altında, engellemek istediğiniz etki alanlarından birinin adını girin. Birden çok etki alanı için her etki alanını yeni bir satıra girin. Örneğin:
Bitirdiğinizde, Kaydet'i seçin.
İlkeyi ayarladıktan sonra, engellenen bir etki alanından bir kullanıcıyı davet etmeye çalışırsanız, kullanıcının etki alanının şu anda davet ilkeniz tarafından engellendiğini belirten bir ileti alırsınız.
İzin verilenler listesi ekleme
Bu daha kısıtlayıcı yapılandırmayla, izin verilenler listesinde belirli etki alanlarını ayarlayabilir ve davetleri bahsedilmeyen diğer kuruluşlara veya etki alanlarına kısıtlayabilirsiniz.
İzin verilenler listesi kullanmak istiyorsanız, iş gereksinimlerinizin ne olduğunu tam olarak değerlendirmek için zaman harcadığınızdan emin olun. Bu ilkeyi çok kısıtlayıcı hale getirirseniz, kullanıcılarınız e-posta üzerinden belge göndermeyi veya BT tarafından tasdikli olmayan işbirliği yöntemlerini bulmayı seçebilir.
İzin verilenler listesi eklemek için:
Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.
Kimlik>Dış Kimlikleri>Dış işbirliği ayarlarına göz atın.
İşbirliği kısıtlamaları'nın altında Yalnızca belirtilen etki alanlarına davetlere izin ver (en kısıtlayıcı) seçeneğini belirleyin.
Hedef etki alanları'nın altında, izin vermek istediğiniz etki alanlarından birinin adını girin. Birden çok etki alanı için her etki alanını yeni bir satıra girin. Örneğin:
Bitirdiğinizde, Kaydet'i seçin.
İlkeyi ayarladıktan sonra, izin verilenler listesinde olmayan bir etki alanından bir kullanıcıyı davet etmeye çalışırsanız, kullanıcının etki alanının şu anda davet ilkeniz tarafından engellendiğini belirten bir ileti alırsınız.
allowlist'ten blocklist'e (veya tam tersi) geçiş yapma
Bir ilkeden diğerine geçiş, mevcut ilke yapılandırmasını atar. Anahtarı gerçekleştirmeden önce yapılandırmanızın ayrıntılarını yedeklediğinizden emin olun.
PowerShell kullanarak izin verme veya engelleme listesi ilkesini ayarlama
Önkoşul
Not
AzureADPreview Modülü, önizleme aşamasında olduğu için tam olarak desteklenen bir modül değildir.
PowerShell kullanarak izin verme veya engelleme listesini ayarlamak için Azure AD PowerShell modülünün önizleme sürümünü yüklemeniz gerekir. Özellikle, AzureADPreview modülünün 2.0.0.98 veya sonraki bir sürümünü yükleyin.
Modülün sürümünü denetlemek (ve yüklü olup olmadığını görmek için):
Windows PowerShell'i yükseltilmiş bir kullanıcı olarak açın (Yönetici istrator olarak çalıştır).
Bilgisayarınızda Azure AD PowerShell modülünün herhangi bir sürümünün yüklü olup olmadığını görmek için aşağıdaki komutu çalıştırın:
Get-Module -ListAvailable AzureAD*
Modül yüklü değilse veya gerekli bir sürümünüz yoksa aşağıdakilerden birini yapın:
Sonuç döndürülmezse modülün en son sürümünü
AzureADPreviewyüklemek için aşağıdaki komutu çalıştırın:Install-Module AzureADPreviewSonuçlarda
AzureADyalnızca modül gösteriliyorsa, modülü yüklemekAzureADPreviewiçin aşağıdaki komutları çalıştırın:Uninstall-Module AzureAD Install-Module AzureADPreviewSonuçlarda
AzureADPreviewyalnızca modül gösteriliyorsa ancak sürüm değerinden2.0.0.98küçükse, güncelleştirmek için aşağıdaki komutları çalıştırın:Uninstall-Module AzureADPreview Install-Module AzureADPreviewSonuçlarda
AzureADhem hem deAzureADPreviewmodülleri gösteriliyorsa ancak modülün sürümü değerindenAzureADPreview2.0.0.98küçükse, güncelleştirmek için aşağıdaki komutları çalıştırın:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
İlkeyi yapılandırmak için AzureADPolicy cmdlet'lerini kullanma
İzin verilenler veya blok listesi oluşturmak için New-AzureADPolicy cmdlet'ini kullanın. Aşağıdaki örnekte "live.com" etki alanını engelleyen bir blok listesi ayarlama gösterilmektedir.
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Aşağıdaki örnekte aynı örnek gösterilmektedir ancak ilke tanımı satır içi olarak gösterilmiştir.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
İzin verme veya engelleme listesi ilkesini ayarlamak için Set-AzureADPolicy cmdlet'ini kullanın. Örneğin:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
İlkeyi almak için Get-AzureADPolicy cmdlet'ini kullanın. Örneğin:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
İlkeyi kaldırmak için Remove-AzureADPolicy cmdlet'ini kullanın. Örneğin:
Remove-AzureADPolicy -Id $currentpolicy.Id