Freigeben über

Verhindern, dass Gäste einer bestimmten Microsoft 365-Gruppe oder einem Bestimmten Microsoft Teams-Team hinzugefügt werden

  • Artikel

Wenn Sie den meisten Gruppen und Teams den Gastzugriff erlauben möchten, aber irgendwo den Gastzugriff verhindern möchten, können Sie den Gastzugriff für einzelne Gruppen und Teams blockieren. (Das Blockieren des Gastzugriffs auf ein Team erfolgt durch Blockieren des Gastzugriffs auf die zugeordnete Gruppe.) Dadurch wird verhindert, dass neue Gäste hinzugefügt werden, aber es werden keine Gäste entfernt, die sich bereits in der Gruppe oder im Team befinden.

Wenn Sie Vertraulichkeitsbezeichnungen in Ihrem organization verwenden, wird empfohlen, diese zu verwenden, um den Gastzugriff pro Gruppe zu steuern. Informationen dazu finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites. Dies ist der empfohlene Ansatz.

Ändern von Gruppeneinstellungen mithilfe von Microsoft Graph PowerShell

Sie können auch das Hinzufügen neuer Gäste zu einzelnen Gruppen verhindern, indem Sie PowerShell verwenden. (Denken Sie daran, dass die zugeordnete SharePoint-Website des Teams über separate Gastfreigabesteuerelemente verfügt.)

Sie müssen die beta Version von Microsoft Graph PowerShell verwenden, um die Gastzugriffseinstellung auf Gruppenebene zu ändern:

  • Wenn Sie das Modul noch nicht installiert haben, lesen Sie Installieren des Microsoft Graph PowerShell-Moduls , und befolgen Sie die Anweisungen.

  • Wenn Sie die beta Version bereits installiert haben, führen Sie aus Update-Module Microsoft.Graph.Beta , um sicherzustellen, dass es sich um die neueste Version dieses Moduls handelt.

Hinweis

Sie müssen über globale Administratorrechte verfügen, um diese Befehle ausführen zu können.

Führen Sie das folgende Skript aus, und ändern <Sie GroupName> in den Namen der Gruppe, für die Sie den Gastzugriff blockieren möchten.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "$false"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Führen Sie den folgenden Befehl aus, um Ihre Einstellungen zu überprüfen:

(Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET).values.values

Screenshot: Beispiel für die Ausführung eines PowerShell-Befehls zum Überprüfen der Gruppeneinstellungen

Wenn Sie die Einstellung zurückschalten möchten, um Gastzugriff auf eine bestimmte Gruppe zuzulassen, führen Sie das folgende Skript aus, und ändern Sie "GroupName" in den Namen der Gruppe, für die Sie Gastzugriff zulassen möchten:

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = $true
		}
	)
}

$DirectorySettingId = (Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET).value.id

Update-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params -DirectorySettingId $DirectorySettingId

Zulassen oder Blockieren des Gastzugriffs basierend auf der Domäne

Sie können Gäste zulassen oder blockieren, die eine bestimmte Domäne verwenden. Wenn Ihr Unternehmen (Contoso) beispielsweise eine Partnerschaft mit einem anderen Unternehmen (Fabrikam) hat, können Sie Fabrikam ihrer Positivliste hinzufügen, damit Ihre Benutzer diese Gäste ihren Gruppen hinzufügen können.

Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen.

Hinzufügen von Gästen zur globalen Adressliste

Standardmäßig sind Gastbenutzer in der globalen Adressliste von Exchange nicht sichtbar. Führen Sie die unten aufgeführten Schritte aus, um einen Gast in der globalen Adressliste sichtbar zu machen:

  1. Suchen Sie die ObjectID des Gasts, indem Sie den folgenden Befehl ausführen:

    Get-MgBetaUser -All | ?{$_.CreationType -eq "Invitation"}

  2. Führen Sie folgendes aus, indem Sie die entsprechenden Werte für ObjectID, GivenName, Surname, DisplayName und TelephoneNumber verwenden.

    Update-MgBetaUser -UserId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -mobilePhone '555-555-5555'

Planungsempfehlungen für die Zusammenarbeitsgovernance

Erstellen eines Plans für die Zusammenarbeitsgovernance

Verwalten von Gruppenmitgliedschaften im Microsoft 365 Admin Center

Microsoft Entra Zugriffsüberprüfungen

Update-MgUser