Sdílet prostřednictvím


Povolení nebo blokování spolupráce B2B s organizacemi

Platí pro: Zelený kruh s bílým symbolem zaškrtnutí Tenanti pracovních sil – externí tenanti Bílý kruh se šedým symbolem X. (další informace)

Pomocí seznamu povolených nebo blokovaných seznamů můžete povolit nebo blokovat pozvánky uživatelům spolupráce B2B z konkrétních organizací. Pokud například chcete blokovat domény osobních e-mailových adres, můžete nastavit seznam blokovaných adres, který obsahuje domény, jako jsou Gmail.com a Outlook.com. Pokud má vaše firma partnerství s jinými firmami, jako jsou Contoso.com, Fabrikam.com a Litware.com, a chcete pozvánky omezit jenom na tyto organizace, můžete do seznamu povolených přidat Contoso.com, Fabrikam.com a Litware.com.

Tento článek popisuje dva způsoby konfigurace seznamu povolení nebo blokování pro spolupráci B2B:

  • Na portálu konfigurací omezení spolupráce v nastavení externí spolupráce vaší organizace
  • Prostřednictvím PowerShellu

Důležitá poznámka

  • Můžete vytvořit seznam povolených položek nebo seznam blokovaných položek. Nemůžete nastavit oba typy seznamů. Ve výchozím nastavení jsou všechny domény, které nejsou v seznamu povolených, na seznamu blokovaných domén a naopak.
  • Pro každou organizaci můžete vytvořit jenom jednu zásadu. Zásady můžete aktualizovat tak, aby zahrnovaly více domén, nebo můžete odstranit zásadu a vytvořit novou.
  • Počet domén, které můžete přidat do seznamu povolených nebo blokovaných, je omezen pouze velikostí zásad. Tento limit platí pro počet znaků, takže můžete mít větší počet kratších domén nebo méně delších domén. Maximální velikost celé zásady je 25 kB (25 000 znaků), která zahrnuje seznam povolených nebo blokovaných položek a všechny další parametry nakonfigurované pro jiné funkce.
  • Tento seznam funguje nezávisle na seznamu povolených a blokovaných seznamů OneDrivu a SharePointu Online. Pokud chcete omezit jednotlivé sdílení souborů v SharePointu Online, musíte nastavit seznam povolených nebo blokovaných souborů pro OneDrive a SharePoint Online. Další informace najdete v tématu Omezení sdílení obsahu SharePointu a OneDrivu podle domény.
  • Seznam se nevztahuje na externí uživatele, kteří pozvánku už uplatnili. Seznam se vynutí po nastavení seznamu. Pokud je pozvánka uživatele ve stavu čekání a nastavíte zásadu, která blokuje svoji doménu, pokus uživatele uplatnit pozvánku se nezdaří.
  • V době pozvánky se zaškrtnou nastavení povolených a blokovaných položek i nastavení přístupu mezi tenanty.

Nastavení zásad povolení nebo seznamu blokování na portálu

Ve výchozím nastavení je povolené nastavení Povolit odesílání pozvánek do jakékoli domény (nejvíce inkluzivní). V takovém případě můžete pozvat uživatele B2B z libovolné organizace.

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

Přidání seznamu blokovaných položek

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Jedná se o nejběžnější scénář, kdy vaše organizace chce pracovat s téměř jakoukoli organizací, ale chce zabránit uživatelům z konkrétních domén, aby byli pozvaní jako uživatelé B2B.

Přidání seznamu blokovaných položek:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Omezení spolupráce vyberte Odepřít pozvánky na zadané domény.

  4. V části Cílové domény zadejte název jedné z domén, které chcete blokovat. U více domén zadejte každou doménu na nový řádek. Příklad:

    Snímek obrazovky znázorňující možnost zamítnutí s přidanými doménami

  5. Až budete hotovi, zvolte tlačítko Uložit.

Když zásadu nastavíte, když se pokusíte pozvat uživatele z blokované domény, zobrazí se zpráva s informací, že doména uživatele je aktuálně blokovaná zásadami pozvání.

Přidání seznamu povolených

S touto omezující konfigurací můžete nastavit konkrétní domény v seznamu povolených a omezit pozvánky na jakékoli jiné organizace nebo domény, které nejsou zmíněny.

Pokud chcete použít seznam povolených, ujistěte se, že trávíte čas úplným vyhodnocením potřeb vaší firmy. Pokud tuto zásadu nastavíte příliš omezující, můžou se uživatelé rozhodnout posílat dokumenty e-mailem nebo najít jiné způsoby spolupráce, které nejsou schváleny IT.

Přidání seznamu povolených:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Omezení spolupráce vyberte Povolit pozvánky pouze na zadané domény (nejvíce omezující).

  4. V části Cílové domény zadejte název jedné z domén, které chcete povolit. U více domén zadejte každou doménu na nový řádek. Příklad:

    Snímek obrazovky znázorňující možnost povolit s přidanými doménami

  5. Až budete hotovi, zvolte tlačítko Uložit.

Když zásadu nastavíte, pokusíte-li se pozvat uživatele z domény, která není na seznamu povolených, zobrazí se zpráva s informací, že doména uživatele je aktuálně blokovaná zásadami pozvání.

Přepnutí ze seznamu povolených na seznam blokovaných položek a naopak

Přechod z jedné zásady na druhou zahodí stávající konfiguraci zásad. Před provedením přepínače nezapomeňte zálohovat podrobnosti o konfiguraci.

Nastavení zásad povolení nebo seznamu blokovaných pomocí PowerShellu

Požadavek

Poznámka:

Modul AzureADPreview není plně podporovaný modul, protože je ve verzi Preview.

Pokud chcete povolit nebo blokovat seznam nastavit pomocí PowerShellu, musíte nainstalovat verzi Preview modulu Azure AD PowerShell. Konkrétně nainstalujte modul AzureADPreview verze 2.0.0.98 nebo novější.

Pokud chcete zkontrolovat verzi modulu (a zjistit, jestli je nainstalovaná):

  1. Otevřete Windows PowerShell jako uživatele se zvýšenými oprávněními (Spustit jako správce).

  2. Spuštěním následujícího příkazu zkontrolujte, jestli máte na počítači nainstalované nějaké verze modulu Azure AD PowerShell:

    Get-Module -ListAvailable AzureAD*
    

Pokud modul není nainstalovaný nebo nemáte požadovanou verzi, udělejte jednu z těchto věcí:

  • Pokud se nevrátí žádné výsledky, spuštěním následujícího příkazu nainstalujte nejnovější verzi AzureADPreview modulu:

    Install-Module AzureADPreview
    
  • Pokud se ve výsledcích zobrazí jenom AzureAD modul, nainstalujte AzureADPreview modul spuštěním následujících příkazů:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Pokud se ve výsledcích zobrazí jenom AzureADPreview modul, ale verze je menší než 2.0.0.98, aktualizujte ho spuštěním následujících příkazů:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Pokud se ve výsledcích zobrazují oba AzureAD modulyAzureADPreview, ale verze modulu je menší než 2.0.0.98, aktualizujte ho AzureADPreview spuštěním následujících příkazů:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Konfigurace zásad pomocí rutin AzureADPolicy

K vytvoření seznamu povolených nebo blokovaných adres použijte rutinu New-AzureADPolicy . Následující příklad ukazuje, jak nastavit seznam blokovaných, který blokuje doménu "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Následující příklad ukazuje stejný příklad, ale s vloženou definicí zásady.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

K nastavení zásad allow nebo blocklist použijte rutinu Set-AzureADPolicy . Příklad:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

K získání zásad použijte rutinu Get-AzureADPolicy . Příklad:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Pokud chcete zásadu odebrat, použijte rutinu Remove-AzureADPolicy . Příklad:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Další kroky