Compartir a través de

Permitir o bloquear la colaboración B2B con organizaciones

  • Artículo

Se aplica a: Círculo verde con un símbolo de marca de verificación blanca. Inquilinos de personal Círculo blanco con un símbolo X gris. Inquilinos externos (obtener más información)

Puedes usar una lista de permitidos o de bloqueados para permitir o bloquear las invitaciones de usuarios de colaboración B2B procedentes de determinadas organizaciones. Por ejemplo, si quieres bloquear dominios de direcciones de correo electrónico personales, puedes configurar una lista de bloqueados que contenga dominios como Gmail.com y Outlook.com. O bien, si tu empresa tiene una asociación con otras empresas como Contoso.com, Fabrikam.com y Litware.com, y quieres restringir las invitaciones a solo estas organizaciones, puedes agregar Contoso.com, Fabrikam.com y Litware.com a la lista de permitidos.

En este artículo se describen dos maneras de configurar una lista de permitidos o de bloqueados para la colaboración B2B:

Consideraciones importantes

  • Puedes crear una lista de permitidos o de bloqueados. No se pueden configurar ambos tipos de listas. De forma predeterminada, los dominios que no están en la lista de permitidos están en la de bloqueados y viceversa.
  • Solo puedes crear una directiva por organización. Puedes actualizar la directiva para incluir más dominios, o puedes eliminar la directiva para crear una nueva.
  • El número de dominios que puedes agregar a una lista de permitidos o de bloqueados solo se ve limitado por el tamaño de la directiva. Este límite se aplica al número de caracteres, por lo que puedes tener más dominios más cortos o menos dominios más largos. El tamaño máximo de toda la directiva es de 25 KB (25 000 caracteres), que incluye la lista de permitidos o de bloqueados y cualquier otro parámetro configurado para otras características.
  • Esta lista funciona con independencia de las listas de permitidos o bloqueados de OneDrive y SharePoint Online. Si quieres restringir el uso compartido individual de archivos en SharePoint Online, debes configurar una lista de permitidos o de bloqueados para OneDrive y SharePoint Online. Para obtener más información, consulta Restringir el uso compartido de contenido de SharePoint y OneDrive por dominio.
  • Esta lista no se aplica a usuarios externos que ya han canjeado la invitación. La lista se aplicará después de configurarla. Si una invitación de usuario está en estado pendiente y defines una directiva que bloquea su dominio, se produce un error cuando el usuario intenta canjear la invitación.
  • Tanto la lista de permitidos/bloqueados como la configuración de acceso entre inquilinos se comprueban en el momento de la invitación.

Definición de la directiva de lista de permitidos o de bloqueados en el portal

De forma predeterminada, la opción Permitir que se envíen invitaciones a cualquier dominio (más inclusivo) está habilitada. En este caso, puede invitar a usuarios B2B de cualquier organización.

Importante

Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Incorporación de una lista de bloqueados

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Este es el escenario más típico, donde tu organización quiere trabajar con casi cualquier organización, pero desea impedir que los usuarios de dominios específicos sean invitados como usuarios B2B.

Para agregar una lista de bloqueados:

  1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

  2. Explore Identidad>External Identities>Configuración de colaboración externa.

  3. En Restricciones de colaboración, selecciona Denegar invitaciones a los dominios especificados.

  4. En Dominios de destino, escribe el nombre de uno de los dominios que quieres bloquear. Si hay varios dominios, especifica cada dominio en una nueva línea. Por ejemplo:

    Captura de pantalla que muestra la opción para denegar con dominios agregados.

  5. Cuando finalices, selecciona Guardar.

Después de establecer la directiva, si intentas invitar a un usuario de un dominio bloqueado, recibirás un mensaje que indica que la directiva actual de invitación bloquea el dominio del usuario.

Incorporación de una lista de permitidos

Con esta configuración más restrictiva, puedes establecer dominios específicos en la lista de permitidos y restringir las invitaciones a otras organizaciones o dominios que no se mencionan.

Si deseas usar una lista de permitidos, asegúrate de dedicar tiempo a evaluar exhaustivamente las necesidades de tu empresa. Si haces esta directiva demasiado restrictiva, los usuarios pueden elegir enviar documentos por correo electrónico, o bien buscar otras formas de colaboración no autorizadas por TI.

Para agregar una lista de permitidos:

  1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

  2. Explore Identidad>External Identities>Configuración de colaboración externa.

  3. En Restricciones de colaboración, seleccione Allow invitations only to the specified domains (most restrictive) (Permitir invitaciones solo a los dominios especificados [más restrictivo]).

  4. En Dominios de destino, escriba el nombre de uno de los dominios que quiere permitir. Si hay varios dominios, especifique cada dominio en una nueva línea. Por ejemplo:

    Captura de pantalla que muestra la opción de permitidos con los dominios agregados

  5. Cuando finalice, seleccione Guardar.

Después de establecer la directiva, si intenta invitar a un usuario de un dominio que no está en la lista de permitidos, recibirá un mensaje que indica que la directiva de invitación actual bloquea el dominio del usuario.

Cambio de la lista de permitidos a la de bloqueados y viceversa

Al cambiar de una directiva a otra, se descarta la configuración de directiva existente. Asegúrese de realizar una copia de seguridad de los detalles de la configuración antes de ejecutar el cambio.

Definición de la directiva de lista de permitidos o de bloqueados con PowerShell

Requisito previo

Nota:

El módulo AzureADPreview no es un módulo totalmente compatible, ya que se encuentra en versión preliminar.

Para establecer la lista de permitidos o de bloqueados mediante PowerShell, debe instalar la versión preliminar del Módulo Azure AD PowerShell. En concreto, instale la versión 2.0.0.98 o superior del módulo AzureADPreview.

Para comprobar la versión del módulo (y ver si está instalado):

  1. Abra Windows PowerShell como usuario con privilegios elevados (Ejecutar como administrador).

  2. Ejecute el siguiente comando para ver si tiene alguna versión del Módulo PowerShell Azure AD instalada en el equipo:

    Get-Module -ListAvailable AzureAD*

Si el módulo no está instalado o no tiene una versión obligatoria, realice lo siguiente:

  • Si no se devuelve ningún resultado, ejecute el siguiente comando para instalar la versión más reciente del módulo AzureADPreview:

    Install-Module AzureADPreview

  • Si solo se muestra el módulo AzureAD en los resultados, ejecute los comandos siguientes para instalar el módulo AzureADPreview:

    Uninstall-Module AzureAD
Install-Module AzureADPreview

  • Si solo se muestra el módulo AzureADPreview en los resultados, pero la versión es inferior a 2.0.0.98, ejecute los siguientes comandos para actualizarla:

    Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

  • Si en los resultados se muestran AzureAD y AzureADPreview, pero la versión del módulo AzureADPreview es inferior a 2.0.0.98, ejecute los siguientes comandos para actualizarla:

    Uninstall-Module AzureAD 
Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

Uso de los cmdlets de AzureADPolicy para configurar la directiva

Para crear una lista de permitidos o de bloqueados, use el cmdlet New-AzureADPolicy. En el ejemplo siguiente se muestra cómo establecer una lista de bloqueados que bloquea el dominio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

A continuación se muestra el mismo ejemplo, pero con la definición de directiva insertada.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

Para establecer la directiva de lista de permitidos o de bloqueados, utilice el cmdlet Set-AzureADPolicy. Por ejemplo:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id

Para obtener la directiva, use el cmdlet Get-AzureADPolicy. Por ejemplo:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1

Para quitar la directiva, use el cmdlet Remove-AzureADPolicy. Por ejemplo:

Remove-AzureADPolicy -Id $currentpolicy.Id

Pasos siguientes