允許或封鎖對特定組織 B2B 使用者的邀請
適用於:
員工租用戶
外部租用戶 (深入了解)
您可以使用允許清單或封鎖清單來允許或封鎖來自特定組織的 B2B 共同作業使用者邀請。 例如,如果您想要封鎖個人電子郵件位址網域,您可以設定封鎖清單,其中包含 Gmail.com 和 Outlook.com 等網域。 或者,如果您的企業與其他企業有合作關係,例如 Contoso.com、Fabrikam.com 和 Litware.com,而且您想要只限制這些組織的邀請,您可以將 Contoso.com、Fabrikam.com 和 Litware.com 新增至您的允許清單。
本文討論兩種方式來設定 B2B 共同作業的允許或封鎖清單:
- 在入口網站中,藉由在組織的 外部共同作業設定中設定共同作業限制
- 透過 PowerShell
重要考量
- 您可以建立允許清單或封鎖清單。 您不可以同時設定兩個清單類型。 根據預設,允許清單中的網域不在封鎖清單中,反之亦然。
- 一個組織只能建立一個原則。 您可以上傳原則來包含更多網域,或刪除原則來建立新的。
- 您可以新增至允許清單或封鎖清單的網域數目只會受限於原則的大小。 此限制適用於字元數目,因此您可以擁有較多較短的網域或較少的較長網域。 整個原則的大小上限為 25 KB(25,000 個字元),其中包括允許清單或封鎖清單,以及針對其他功能設定的任何其他參數。
- 此清單與 OneDrive 和 SharePoint Online 允許/封鎖清單無關。 如果您想要限制 SharePoint Online 中的個別檔案共用,您必須設定 OneDrive 和 SharePoint Online 的允許或封鎖清單。 如需詳細資訊,請參閱 依網域限制 SharePoint 和 OneDrive 內容的共用。
- 此清單不適用於已兌換邀請的外部使用者。 清單設定完成後即強制執行。 如果使用者邀請處於擱置狀態,而且您設定了封鎖其網域的原則,則使用者嘗試兌換邀請會失敗。
- 邀請時會檢查允許/封鎖清單和跨租使用者存取設定。
在入口網站中設定允許或封鎖清單原則
根據預設, 會啟用 [允許傳送邀請至任何網域(最包含的) ] 設定。 在此情況下,您可以邀請任何組織的 B2B 使用者。
新增封鎖清單
提示
根據您開始的入口網站,本文中的步驟可能略有不同。
這是最典型的案例,您的組織想要與幾乎任何組織合作,但想要防止使用者從特定網域受邀為 B2B 使用者。
若要新增封鎖清單:
以外部識別提供者系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[外部共同作業設定]。
在 [共同作業限制] 底下,選取 [拒絕對指定網域的邀請]。
在 [目標網域] 下,輸入您想要封鎖的其中一個網域名稱。 若有多個網域,請將每個網域輸入於不同行。 例如:
完成時,選取儲存。
設定原則之後,如果您嘗試從封鎖的網域邀請使用者,您會收到一則訊息,指出使用者的網域目前已遭到邀請原則封鎖。
新增允許清單
透過此限制性更高的設定,您可以在allowlist中設定特定網域,並將邀請限制為未提及的任何其他組織或網域。
如果您想要使用允許清單,請確定您花時間來完整評估您的業務需求。 如果您將此原則限制得太嚴格,您的使用者可以選擇透過電子郵件傳送檔,或尋找其他非 IT 批准的共同作業方式。
若要新增 allowlist:
以外部識別提供者系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[外部共同作業設定]。
在 [共同作業限制] 底下,選取 [只允許邀請到指定的網域](限制最嚴格)。
在 [目標網域] 下,輸入您想要允許的其中一個網域名稱。 若有多個網域,請將每個網域輸入於不同行。 例如:
完成時,選取儲存。
設定原則之後,如果您嘗試從不在allowlist上的網域邀請使用者,您會收到一則訊息,指出邀請原則目前封鎖使用者的網域。
從allowlist切換為封鎖清單,反之亦然
從一個原則切換到另一個原則會捨棄現有的原則組態。 執行交換器之前,請務必先備份設定的詳細數據。
使用 PowerShell 設定允許或封鎖清單原則
必要條件
注意
AzureADPreview 模組不是完全支援的模組,因為它處於預覽狀態。
若要使用 PowerShell 設定允許或封鎖清單,您必須安裝 Azure AD PowerShell 模組的預覽版本。 具體而言,請安裝 AzureADPreview 模組 2.0.0.98 版或更新版本。
若要檢查模組的版本(並查看是否已安裝):
以提升許可權的使用者身分開啟 Windows PowerShell(以系統管理員身分執行)。
執行下列命令,以查看您的電腦上是否已安裝任何版本的 Azure AD PowerShell 模組:
Get-Module -ListAvailable AzureAD*
如果未安裝模組,或您沒有必要的版本,請執行下列其中一項:
如果未傳回任何結果,請執行下列命令來安裝最新版的
AzureADPreview模組:Install-Module AzureADPreview如果結果中只
AzureAD顯示模組,請執行下列命令來安裝AzureADPreview模組:Uninstall-Module AzureAD Install-Module AzureADPreview如果結果中只
AzureADPreview顯示模組,但版本小於2.0.0.98,請執行下列命令來更新它:Uninstall-Module AzureADPreview Install-Module AzureADPreviewAzureAD如果 結果中同時顯示和AzureADPreview模組,但模組的版本AzureADPreview小於2.0.0.98,請執行下列命令來更新它:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
使用 AzureADPolicy Cmdlet 來設定原則
若要建立允許或封鎖清單,請使用 New-AzureADPolicy Cmdlet。 下列範例示範如何設定封鎖「live.com」 網域的封鎖清單。
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
以下顯示相同的範例,但內嵌原則定義。
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
若要設定允許或封鎖清單原則,請使用 Set-AzureADPolicy Cmdlet。 例如:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
若要取得原則,請使用 Get-AzureADPolicy Cmdlet。 例如:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
若要移除原則,請使用 Remove-AzureADPolicy Cmdlet。 例如:
Remove-AzureADPolicy -Id $currentpolicy.Id
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應