IT 系統管理員 - 使用Microsoft身分識別管理外部會議和與人員和組織聊天
您可以使用Teams中的 外部存取 功能,讓組織中的使用者與組織外部使用Microsoft身分識別提供者的人員聊天及會面。 您可以使用下列設定外部存取:
- 其他Microsoft 365 組織 (聊天和會議)
- 不由組織管理的 Teams 使用者 (只有) (聊天Microsoft 帳戶 的使用者)
- Skype 使用者僅 (聊天)
貴組織中的使用者可以接受或封鎖組織外部人員的傳入聊天。 如需詳細數據,請參閱 接受或封鎖組織外部傳送聊天給您的人員。
組織外部的人員將無法存取您的小組、網站或其他Microsoft 365 資源。 如果您希望對方能夠存取您的團隊和頻道,請參閱 與團隊中的來賓共同 作業,以及 在共用頻道中與外部參與者共同作業。
注意事項
您的使用者可以在主持會議或與組織外部人員聊天時新增應用程式。 當外部使用者加入外部託管的會議或聊天時,他們也可以使用共用的應用程式。 將會套用託管使用者組織的資料原則,以及該使用者組織共用的任何協力廠商應用程式的資料共用做法。 深入瞭解組織外部人員使用應用程式的相關信息。
相關設定
Teams 中還有其他會影響組織外部人員會議的設定,包括來賓存取和匿名存取。 如需詳細資訊,請參閱 規劃在 Microsoft Teams 中與外部參與者的會議 。
會議大廳可以控制組織外部人員加入會議的方式。 如需詳細資訊,請參閱 控制誰可以略過 Microsoft Teams 中的會議大廳 ,以及針對 敏感性會議設定Microsoft Teams 會議大廳。
外部存取的組織設定和用戶原則
每個外部存取選項都有組織設定和用戶原則。 組織設定會套用至整個組織。 用戶原則會決定哪些使用者可以使用您在組織層級設定的選項。
設定組織設定,指定您要允許哪些類型的外部會議和聊天。 然後為應有權存取這些功能的用戶設定用戶原則。 組織設定和用戶原則預設為開啟。
若要讓使用者使用外部存取,組織設定和用戶原則都必須允許。
使用本文索引標籤上的程式來設定組織設定和用戶原則。
在本節中,您可以設定:
指定受信任Microsoft 365 個組織
若要與其他Microsoft 365 組織進行會議和聊天,您可以指定您要信任的網域。 根據預設,允許所有外部網域。 您可以允許或封鎖特定網域,以定義貴組織對於外部會議和聊天所信任的組織。
若要與外部網域中的人員聊天及開會,您信任的組織也必須信任您的組織,而且必須啟用其使用者以供外部存取。 如果沒有,他們就無法與貴組織中的使用者聊天,並且在加入貴組織主持的會議時被視為匿名。 深入瞭解與其他Microsoft 365 組織的會議。
您可以指定允許哪些網域或封鎖哪些網域。 如果您指定封鎖的網域,則允許所有其他網域;如果您指定允許的網域,則會封鎖所有其他網域。 設定信任的組織有四種情況:
允許所有外部網域 - Teams 中的預設設定,可讓貴組織中的使用者在任何網域中尋找、通話、聊天,以及設定與組織外部人員的會議。
在此案例中,只要其他組織也已啟用外部存取,您的使用者就可以與所有執行 Teams 或商務用 Skype 的外部網域通訊。
只允許特定的外部網域 - 透過將網域新增至 [允許 ] 列表,您只會限制允許網域的外部存取權。 一旦您設定允許的網域清單,所有其他網域就會遭到封鎖。
封鎖特定網域 - 透過將網域新增至 [封鎖] 清單,您可以與封鎖網域「以外」的所有外部網域通訊。 一旦您設定封鎖的網域清單,所有其他網域就會被允許。
封鎖所有外部網域 : 防止貴組織中的使用者在任何網域中尋找、通話、聊天,以及設定與組織外部人員的會議。
注意事項
如果允許匿名存取,來自封鎖網域的人員仍然可以匿名加入會議。 若要深入瞭解,請參閱 管理 Teams 會議的匿名參與者存取權。
允許特定網域
在 Teams 系統管理中心中,前往 [使用者]>[外部存取]。
在 [選擇您的使用者可以存取的網域] 下,選擇 [僅允許特定的外部網域]。
選取 [允許網域]。
在 [網域] 方塊中,輸入您想要允許的網域,然後按一下 [完成]。
如果您想要允許另一個網域,請按一下 [加入網域]。
按一下 [儲存]。
封鎖特定網域
在 Teams 系統管理中心中,前往 [使用者]>[外部存取]。
在 [選擇您的使用者可以存取的網域] 下,選擇 [只封鎖特定外部網域]。
選取 [封鎖網域]。
在 [網域] 方塊中,輸入您想要允許的網域,然後按一下 [完成]。
如果您想要封鎖另一個網域,請按一下 [加入網域]。
按一下 [儲存]。
根據預設,當您封鎖網域時,不會封鎖子域。 例如,如果您封鎖 contoso.com,marketing.contoso.com 不會被封鎖。 如果您想要封鎖所有子域,可以搭配參數使用 Set-CsTenantFederationConfiguration PowerShell Cmdlet -BlockAllSubdomains
。 例如:
Set-CsTenantFederationConfiguration -BlockAllSubdomains $True
封鎖與 Teams 試用版租使用者的同盟
我們引進了新的系統管理員控制措施,以封鎖與 Teams 試用版租使用者的同盟。 目前,試用版租用戶可存取Teams的完整功能集約30天,然後再向您收費。 不過,惡意行為者可以利用此控件來對Teams用戶進行網路釣魚或濫用攻擊。 為了滿足客戶的安全默認原則,我們預設會針對所有租使用者停用試用租使用者同盟,並在租使用者想要或需要與任何試用租使用者同盟時,要求明確的租用戶動作。
這項變更將於 2024 年 6 月 17 日起在全球推出,預計於 2024 年 6 月 30 日完成。 在強制執行預設設定之前,租使用者需要 30 天的時間來檢閱及更新預設設定。 如果沒有採取任何動作,此時將會套用預設值 [封鎖 ]。
封鎖同盟會如何影響您的組織
Teams PowerShell 將支援新的租使用者同盟設定, -ExternalAccessWithTrialTenants
其值為 [允許 ] 或 [ 已封鎖]。
設定為 [封鎖] 時,僅包含試用版授權之 Teams 訂閱中使用者的所有外部存取都會被封鎖。 這表示這些只試用租使用者的使用者將無法透過聊天、Teams 通話和會議來搜尋和連絡您的使用者, (使用使用者驗證的身分識別) ,而且您的使用者將無法與這些僅試用版租使用者中的用戶聯繫。
如果將此設定設為 [封鎖],來自試用版租用戶的使用者也會從現有的聊天中移除。
其他資訊
- 試用租使用者定義為租使用者,其中的Teams服務方案只有試用版訂閱 (0個購買的基座) 。
- 共用頻道和匿名會議加入不受此設定影響。
- 此功能僅支援相同雲端外部通訊的租用戶系統管理員控制。 對於跨雲和商務用 Skype Server 內部部署,預設會停用與試用租使用者的外部通訊,而系統管理員設定則不會覆寫任何選項。
- 如果您的租用戶已預設停用外部存取,並改用特定網域允許清單,試用版租使用者仍會遭到封鎖,即使它們位於組織的 [允許清單] 中。
準備所需採取的動作
- 租用戶系統管理員必須安裝最新的 PowerShell 套件 (6.2.2) ,並使用
Set-CsTenantFederationConfiguration
此命令來設定與試用租使用者同盟所需的值:- 下載或升級至最新的 PowerShell 套件:PowerShell 圖庫 |MicrosoftTeams 6.2.0
- 若要允許與只試用租用戶進行外部通訊,請使用下列命令:
Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"
- 若要封鎖與試用版租使用者的外部通訊,請使用下列命令:
Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"
重要
如果您想要限制大部分試用租使用者的外部存取權,但仍允許一些您需要同盟的合法試用租使用者,則必須為這些特定帳戶購買授權。
診斷工具
如果您是系統管理員,您可以使用下列診斷工具來驗證 Teams 使用者是否可以與受信任組織中的 Teams 使用者通訊:
選取下方的 [ 執行測試 ],其中會填入 Microsoft 365 系統管理中心中的診斷。
在執行診斷窗格中,輸入 工作階段初始化通訊協定 (SIP) 位址和同盟租用戶的網域名稱,然後選取 [執行測試]。
測試會傳回後續的最佳步驟,以解決導致無法與外部Teams用戶通訊的任何設定或原則設定。
商務用 Skype Online
如果您想要讓聊天和通話送達用戶的商務用 Skype 用戶端,請將您的使用者設定為 TeamsOnly 以外的任何模式。 如需詳細資訊,請參閱 瞭解Microsoft Teams 和商務用 Skype 共存與互操作性。
管理與外部 Teams 使用者的聊天和會議,而非由組織管理
您可以選擇啟用或停用與未受管理之外部 Teams 使用者的聊天, (不受組織管理的使用者,例如Microsoft Teams (免費) ) 。 如果您允許與未受管理的 Teams 使用者聊天,您可以進一步控制使用者與其通訊的方式:
- 您可以控制未受管理的 Teams 使用者是否可以啟動與使用者的通訊。
- 您可以建立使用者可以通訊的外部使用者設定檔案清單。
- 如有需要,您可以限制外部使用者配置檔清單的通訊。
注意事項
無法在 GCC、GCC High 或 DOD 部署或私人雲端環境中使用與未受管理之外部 Teams 使用者的聊天和會議。
若要使用未受管理的 Teams 帳戶允許聊天和會議:
在 Teams 系統管理中心中,前往 [使用者]>[外部存取]。
開啟 組織中人員可以與未由組織管理的 Teams 使用者通訊 設定。
如果您想要允許未受管理的外部 Teams 用戶開始交談,請選取 [外部 使用者的 Teams 帳戶不受組織管理] 可以連絡組織中的用戶 複選框。
如果您想要將未受管理 Teams 帳戶的人員通訊限制為特定的使用者設定檔清單,請選取 [ 限制通訊至新增至延伸目錄的外部使用者配置檔案清單 ] 複選框,然後選取 [管理外部使用者設定檔 ] 以新增您要允許的使用者配置檔。 (請參閱下方 的管理外部使用者配置檔 。)
注意事項
Microsoft Teams 教育版中的上層連線 不支援對新增至延伸目錄的外部使用者配置檔清單限制通訊。
選取 [儲存]。
如果組織 未管理 Teams 帳戶的外部使用者可以連絡組織中的使用者 ,則未受管理的 Teams 使用者就無法透過電子郵件地址搜尋以尋找組織中的使用者。 與未受管理Teams使用者的所有通訊都必須由貴組織中的用戶發起。
若要防止使用未受管理的 Teams 帳戶聊天:
- 在 Teams 系統管理中心中,前往 [使用者]>[外部存取]。
- 關閉 組織中人員可以與帳戶未由組織管理的 Teams 使用者通訊 的設定。
- 選取 [儲存]。
管理外部使用者配置檔
外部使用者配置檔是以電話號碼為基礎。 您可以新增組織外部人員的名稱和電話號碼,並邀請他們在行動裝置上使用Teams與貴組織中的人員通訊。 如果他們沒有安裝 Teams,則會收到透過簡訊進行安裝的連結。 建立 Teams 帳戶後,他們也可以在桌面上使用 Teams。 您可以在 Azure AD 中使用延伸目錄用戶系統管理員角色,委派管理使用者配置檔。
為組織外部的人員新增配置檔時,用戶可在24小時內透過名稱或電話號碼進行搜尋。 用戶可以開始與外部用戶進行一對一或群組聊天,並可看到您指定資訊的外部使用者配置檔卡片。
當用戶開始與外部使用者聊天時,外部使用者可以允許或封鎖連線。
重要
貴組織是您所新增之外部使用者配置檔的數據控制器。 這可能對GDPR有影響。 如需詳細資訊,請參閱 一般數據保護法規摘要。
若要新增外部使用者設定檔:
- 選 取 [管理外部使用者配置檔]。
- 選取 [新增]。
- 輸入聯絡人的 顯示名稱 。 (用戶可以在Teams.) 中搜尋此名稱
- 輸入 國碼或區碼 和 電話號碼。
- 新增您要包含的任何其他資訊。
- 閱讀數據控制器語句,然後選取複選框以表示同意。
- 選取 [儲存]。
您可以選取設定檔,然後選取 [刪除],來移除現有的配置檔。
匯入配置檔清單
如果您想要透過 .csv 檔案上傳使用者清單,您可以下載範本檔案、新增您要包含的人員及其電話號碼,以及上傳檔案。
若要下載 .csv 樣本:
- 在 [管理外部使用者配置檔] 頁面上,選取命令行上的 [ 匯 入]。
- 選 取下載範本。
範本中的必要欄位為 DisplayName 和 PhoneNumber。 其他欄位則為選用。
若要上傳已完成的範本檔案:
- 在 [管理外部使用者配置檔] 頁面上,選取命令行上的 [ 匯 入]。
- 選 取 [選取檔案]。
- 選取您要上傳的檔案,然後選取 [ 開啟]。
- 如果您想要更新現有設定檔的設定檔資訊,請選取 [更新現有的外部使用者 ] 複選框。
- 閱讀數據控制器語句,然後選取複選框以表示同意。
- 選取 [ 匯入]。
使用 PowerShell 限制延伸目錄中使用者設定文件的通訊
您也可以使用 Set-CsExternalAccessPolicy Cmdlet 搭配 RestrictTeamsConsumerAccessToExternalUserProfiles 參數,將通訊限制至 PowerShell 中新增至延伸目錄設定的外部使用者配置檔清單。 例如:
Set-CsExternalAccessPolicy -Identity Global -RestrictTeamsConsumerAccessToExternalUserProfiles $true
此 Cmdlet 會針對預設的全域外部存取原則,將通訊限制為延伸目錄中的使用者配置檔清單。
與 Skype 使用者一起管理聊天和通話
請按照這些步驟,讓貴組織的 Teams 使用者可以和 Skype 使用者聊天和通話。 Teams 使用者便可以搜尋 Skype 使用者,並開始一對一的純文字交談或進行音訊/視訊通話,反之亦然。
Skype 使用者不支援會議。 如果受邀參加會議,加入會議時會被視為匿名。
注意事項
與 Skype 使用者的外部通訊不適用於 GCC、GCC High 或 DOD 部署,或在私人雲端環境中。
若要設定與 Skype 使用者的聊天和通話:
- 在 Teams 系統管理中心中,前往 [使用者]>[外部存取]。
- 開啟或關閉 [ 允許組織中的使用者與 Skype 使用者通訊 ] 設定。
- 選取 [儲存]。
若要深入瞭解 Teams 使用者和 Skype 使用者的通訊方式 (包括通訊的限制),請參閱 Teams 和 Skype 的互通性。
使用 PowerShell 設定組織設定
您可以使用 Set-CSTenantFederationConfiguration Cmdlet 來設定信任的組織。
下表顯示用於設定信任組織的 Cmdlet 參數。
設定 | 參數 |
---|---|
允許或防止與其他 Teams 組織和商務用 Skype 開會和聊天 | -AllowFederatedUsers |
指定允許的網域 | -AllowedDomains |
指定封鎖的網域 | -BlockedDomains |
封鎖子域 | -BlockAllSubdomains |
您可以使用 Set-CSTenantFederationConfiguration Cmdlet 來與未由組織管理的 Teams 使用者聊天,以及設定 Skype 使用者。
下表顯示用來設定與 Skype 聊天及未受管理 Teams 使用者的 Cmdlet 參數。
設定 | 參數 |
---|---|
允許或防止與不受組織管理的 Teams 使用者聊天 | -AllowTeamsConsumer |
允許或防止由組織管理的 Teams 用戶開始交談 | -AllowTeamsConsumerInbound |
允許或防止與 Skype 使用者聊天 | -AllowPublicUsers |
您必須先連線至 Teams PowerShell Microsoft才能執行這些 Cmdlet。 如需詳細資訊,請參閱 使用 Microsoft Teams PowerShell 管理 Teams。
合規性與外部存取
請參閱下列參考數據,以瞭解外部存取如何與 Microsoft 365 中的合規性功能搭配運作。
相關主題
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: