IT 管理员 - 使用Microsoft标识管理外部会议并与人员和组织聊天

借助 Teams 中的 外部访问 功能,可以允许组织中的用户与组织外部使用Microsoft作为标识提供者的人员聊天和会面。 可以使用以下方法配置外部访问:

  • 其他Microsoft 365 个组织 (聊天和会议)
  • 非组织管理的 Teams 用户 (具有 Microsoft帐户) (聊天)
  • Skype用户仅 (聊天)

组织中的用户可以接受或阻止来自组织外部人员的传入聊天。 有关详细信息,请参阅 接受或阻止组织外部向你发送聊天的人员

组织外部的人员无法访问你的团队、站点或其他Microsoft 365 资源。 如果希望他们有权访问你的团队和频道,请参阅 与团队中的来宾协作 和在 共享频道中与外部参与者协作

注意

当用户主持会议或与组织外部的人员聊天时,可以添加应用。 他们还可以在加入外部托管的会议或聊天时使用由外部用户共享的应用。 将应用主持用户组织的数据策略,以及该用户组织共享的任何第三方应用的数据共享实践。 详细了解组织外部人员使用应用

Teams 中的其他设置(包括来宾访问和匿名访问)会影响与组织外部人员的会议。 有关详细信息 ,请参阅在 Microsoft Teams 中规划与外部参与者 的会议。

会议大厅可以控制组织外部人员加入会议的方式。 有关详细信息,请参阅 控制谁可以绕过 Microsoft Teams 中的会议大厅为敏感会议配置 Microsoft Teams 会议大厅

用于外部访问的组织设置和用户策略

每个外部访问选项都具有组织设置和用户策略。 组织设置适用于整个组织。 用户策略确定哪些用户可以使用你在组织级别配置的选项。

配置组织设置,以指定要允许的外部会议和聊天类型。 然后,为应该有权访问这些功能的用户配置用户策略。 默认情况下,组织设置和用户策略都处于打开状态。

对于要使用外部访问的用户,组织设置和用户策略都必须允许它。

使用本文选项卡中的过程配置组织设置和用户策略。

在本部分中,可以配置:

还可以 使用 PowerShell 配置这些设置

指定受信任的Microsoft 365 组织

对于与其他Microsoft 365 组织的会议和聊天,可以指定要信任的域。 默认情况下,允许所有外部域。 可以允许或阻止某些域,以定义组织信任外部会议和聊天的组织。

为了与外部域中的人员聊天和会面,你信任的组织也必须信任你的组织,并且必须为其用户启用外部访问。 否则,他们将无法与组织中的用户聊天,并在加入组织托管的会议时被视为匿名。 详细了解与其他Microsoft 365 组织的会议

可以指定允许哪些域或阻止哪些域。 如果指定阻止的域,则允许所有其他域;如果指定允许的域,则会阻止所有其他域。 配置受信任的组织有四种方案:

  • 允许所有外部域 - Teams 中的默认设置,它允许组织中的用户在任何域中查找、呼叫、聊天和设置与组织外部人员的会议。

    在此方案中,用户可与运行 Teams 或Skype for Business的所有外部域通信,前提是其他组织也启用了外部访问。

  • 仅允许特定的外部域 - 通过将域添加到 “允许” 列表,可将外部访问限制为仅允许的域。 设置允许的域列表后,将阻止所有其他域。

  • 阻止特定域 - 通过将域添加到“阻止”列表中,可与除阻止的域之外的所有外部域进行通信。 设置阻止域列表后,将允许所有其他域。

  • 阻止所有外部域 - 阻止组织中的用户在任何域中查找、呼叫、聊天和设置组织外部人员的会议。

注意

如果允许匿名访问,来自被阻止域的人员仍可以匿名加入会议。 若要了解详细信息,请参阅 管理对 Teams 会议的匿名参与者访问权限

外部域设置的屏幕截图

允许特定域

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 选择用户有权访问的域 下,选择 仅允许特定外部域

  3. 选择 允许域

  4. 框中,键入想要允许的域,然后单击 完成

  5. 如果要允许其他域,请单击 添加域

  6. 单击“保存”。

阻止特定域

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 选择用户有权访问的域 下,选择 仅阻止特定外部域

  3. 选择 阻止域

  4. 框中,键入想要允许的域,然后单击 完成

  5. 如果要阻止其他域,请单击 添加域

  6. 单击“保存”。

默认情况下,阻止域时,不会阻止子域。 例如,如果阻止 contoso.com,则不会阻止 marketing.contoso.com。 如果要阻止所有子域,可以将 Set-CsTenantFederationConfiguration PowerShell cmdlet 与 参数一起使用 -BlockAllSubdomains 。 例如:

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

阻止与 Teams 仅试用租户联合

可以使用 PowerShell (至少需要版本 6.4.0) ,) 没有任何购买席位 -ExternalAccessWithTrialTenants 的 Teams 试用租户 (控制组织的外部访问。

此设置的默认值为 “已阻止”,但可以使用将它重写为 AllowedSet-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"

若要阻止与仅试用租户进行外部通信,请执行以下操作: Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

如果设置为 “已阻止”,则来自这些仅试用租户的用户将无法通过聊天、Teams 通话和会议 (使用用户的身份验证标识) 搜索和联系用户,并且你的用户无法访问这些仅试用租户中的用户。 仅试用租户中的用户也会从现有聊天中删除。

默认情况下, (将阻止来自仅试用版租户的用户,并且无法替代与其他 Microsoft 365 云环境中的用户和Microsoft Skype for Business服务器用户进行外部通信) 。 如果两个租户都允许 -ExternalAccessWithTrialTenants,则仅具有试用订阅的两个租户可以相互联合。

诊断工具

如果你是管理员,则可以使用以下诊断工具来验证 Teams 用户是否可以与受信任组织中的 Teams 用户通信:

  1. 选择下面的“运行测试”,这将填充Microsoft 365 管理中心的诊断。

  2. 在“运行”诊断窗格中,输入 会话初始协议 (SIP) 地址联合租户的域名,然后选择 运行测试

  3. 测试返回后续最佳步骤,以解决阻止与外部 Teams 用户通信的任何设置或策略配置。

Skype for Business Online

如果希望聊天和呼叫到达用户的Skype for Business客户端,请将用户配置为处于 TeamsOnly 以外的任何模式。 有关详细信息,请参阅了解Microsoft Teams 和Skype for Business共存和互操作性

管理与非组织管理的外部 Teams 用户的聊天和会议

可以选择启用或禁用与外部非托管 Teams 用户的聊天和会议, (非组织管理的用户,例如Microsoft Teams (免费) ) 。 如果启用,还可以控制具有非托管 Teams 帐户的人员是否可以开始与组织中的用户聊天和会议。

注意

与外部非托管 Teams 用户的聊天和会议在 GCC、GCC High 或 DOD 部署或私有云环境中不可用。

若要允许使用非托管 Teams 帐户进行聊天和会议,请执行以下操作:

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”
  2. 开启 组织中的人员可以与帐户不受组织管理的 Teams 用户进行通信 设置。
  3. 如果要允许外部非托管 Teams 用户开始对话,请选中“ 具有非组织管理的 Teams 帐户的外部用户可以联系我组织中的用户 ”复选框。
  4. 选择“保存”。

外部帐户设置的屏幕截图

如果具有 非组织管理的 Teams 帐户的外部用户可以联系我组织中的用户 处于关闭状态,则非托管 Teams 用户无法按电子邮件地址搜索以查找组织中的用户。 与非托管 Teams 用户的所有通信必须由组织中的用户发起。

若要阻止与非托管 Teams 帐户聊天,请执行以下操作:

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”
  2. 关闭 组织中的人员可以与帐户不受组织管理的 Teams 用户进行通信 设置。
  3. 选择“保存”。

管理与Skype用户的聊天和通话

请按照以下步骤,让你组织中的 Teams 用户与 Skype 用户聊天和通话。 然后,Teams 用户可以搜索和启动与 Skype 用户之间的一次性文本对话或音频/视频通话,以及反向操作。

Skype 用户不支持会议。 如果受邀参加会议,则他们加入时被视为匿名。

注意

与Skype用户的外部通信在 GCC、GCC High 或 DOD 部署或私有云环境中不可用。

若要配置与Skype用户的聊天和通话,请执行以下操作:

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”
  2. 打开或关闭 “允许组织中的用户与Skype用户通信 ”设置。 Skype 用户设置的屏幕截图。
  3. 选择“保存”。

若要深入了解 Teams 用户和 Skype 用户之间的通信方式(包括适用的限制),请参阅 Teams 和 Skype 的互操作性

使用 PowerShell 配置组织设置

可以使用 Set-CSTenantFederationConfiguration cmdlet 配置受信任的组织。

下表显示了用于配置受信任组织的 cmdlet 参数。

配置 参数
允许或阻止与其他 Teams 组织和Skype for Business -AllowFederatedUsers
指定允许的域 -AllowedDomains
指定阻止的域 -BlockedDomains
阻止子域 -BlockAllSubdomains

与非组织管理的 Teams 用户聊天,Skype用户可以使用 Set-CSTenantFederationConfiguration cmdlet 进行配置。

下表显示了用于配置与Skype和非托管 Teams 用户的聊天的 cmdlet 参数。

配置 参数
允许或阻止与非组织管理的 Teams 用户聊天 -AllowTeamsConsumer
允许或阻止未由组织管理的 Teams 用户开始对话 -AllowTeamsConsumerInbound
允许或阻止与Skype用户聊天 -AllowPublicUsers

在运行这些 cmdlet 之前,必须连接到 Microsoft Teams PowerShell。 有关详细信息,请参阅 使用 Microsoft Teams PowerShell 管理 Teams

合规性和外部访问

请参阅以下参考,了解外部访问如何与 Microsoft 365 中的合规性功能配合使用。

使用来宾访问权限和外部访问权限与组织外部的人员进行协作

在 Microsoft Teams 中搜索审核日志查找事件