Delen via


B2B-samenwerking met organisaties toestaan of blokkeren

Van toepassing op:Groene cirkel met een wit vinkje. Externe tenantsWitte cirkel met een grijs X-symbool. van werknemers (meer informatie)

U kunt een acceptatielijst of een blokkeringslijst gebruiken om uitnodigingen toe te staan of te blokkeren voor B2B-samenwerkingsgebruikers van specifieke organisaties. Als u bijvoorbeeld persoonlijke e-mailadresdomeinen wilt blokkeren, kunt u een blokkeringslijst instellen met domeinen zoals Gmail.com en Outlook.com. Als uw bedrijf een partnerschap heeft met andere bedrijven, zoals Contoso.com, Fabrikam.com en Litware.com, en u alleen uitnodigingen wilt beperken tot deze organisaties, kunt u Contoso.com, Fabrikam.com en Litware.com toevoegen aan uw acceptatielijst.

In dit artikel worden twee manieren besproken om een acceptatie- of bloklijst te configureren voor B2B-samenwerking:

Belangrijke aandachtspunten

  • U kunt een acceptatielijst of een bloklijst maken. U kunt niet beide typen lijsten instellen. Alle domeinen die zich niet in de acceptatielijst bevinden, staan standaard op de bloklijst en omgekeerd.
  • U kunt slechts één beleid per organisatie maken. U kunt het beleid bijwerken om meer domeinen op te nemen, of u kunt het beleid verwijderen om een nieuw beleid te maken.
  • Het aantal domeinen dat u aan een acceptatielijst of blokkeringslijst kunt toevoegen, wordt alleen beperkt door de grootte van het beleid. Deze limiet is van toepassing op het aantal tekens, zodat u een groter aantal kortere domeinen of minder langere domeinen kunt hebben. De maximale grootte van het hele beleid is 25 kB (25.000 tekens), waaronder de acceptatielijst of bloklijst en eventuele andere parameters die zijn geconfigureerd voor andere functies.
  • Deze lijst werkt onafhankelijk van OneDrive en SharePoint Online lijsten voor toestaan/blokkeren. Als u het delen van afzonderlijke bestanden in SharePoint Online wilt beperken, moet u een toegestane of blokkeringslijst instellen voor OneDrive en SharePoint Online. Zie Delen van SharePoint- en OneDrive-inhoud per domein beperken voor meer informatie.
  • De lijst is niet van toepassing op externe gebruikers die de uitnodiging al hebben ingewisseld. De lijst wordt afgedwongen nadat de lijst is ingesteld. Als een gebruikersuitnodiging in behandeling is en u een beleid instelt dat het domein blokkeert, mislukt de poging van de gebruiker om de uitnodiging in te wisselen.
  • Zowel de toegangsinstellingen voor toestaan/blokkeren als de toegangsinstellingen voor meerdere tenants worden gecontroleerd op het moment van de uitnodiging.

Het beleid voor toestaan of blokkeren in de portal instellen

Standaard is de instelling Toestaan dat uitnodigingen worden verzonden naar een domein (meest inclusief) ingeschakeld. In dit geval kunt u B2B-gebruikers uitnodigen vanuit elke organisatie.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u geen bestaande rol kunt gebruiken.

Een blokkeringslijst toevoegen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Dit is het meest voorkomende scenario, waarbij uw organisatie met vrijwel elke organisatie wil werken, maar wil voorkomen dat gebruikers van specifieke domeinen worden uitgenodigd als B2B-gebruikers.

Een bloklijst toevoegen:

  1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.

  3. Selecteer onder SamenwerkingsbeperkingenUitnodigingen weigeren voor de opgegeven domeinen.

  4. Voer onder Doeldomeinen de naam in van een van de domeinen die u wilt blokkeren. Voer voor meerdere domeinen elk domein op een nieuwe regel in. Voorbeeld:

    Schermopname van de optie voor weigeren met toegevoegde domeinen.

  5. Selecteer Opslaan als u klaar bent.

Nadat u het beleid hebt ingesteld en u een gebruiker van een geblokkeerd domein wilt uitnodigen, ontvangt u een bericht met de mededeling dat het domein van de gebruiker momenteel wordt geblokkeerd door uw uitnodigingsbeleid.

Een acceptatielijst toevoegen

Met deze meer beperkende configuratie kunt u specifieke domeinen instellen in de acceptatielijst en uitnodigingen beperken tot andere organisaties of domeinen die niet worden vermeld.

Als u een acceptatielijst wilt gebruiken, moet u ervoor zorgen dat u tijd besteedt om volledig te evalueren wat uw bedrijf nodig heeft. Als u dit beleid te beperkend maakt, kunnen uw gebruikers ervoor kiezen om documenten via e-mail te verzenden of andere niet-IT-voorwaardelijke manieren te vinden om samen te werken.

Een acceptatielijst toevoegen:

  1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.

  3. Selecteer onder Samenwerkingsbeperkingen, Uitnodigingen alleen toestaan voor de opgegeven domeinen (meest beperkend).

  4. Voer onder Doeldomeinen de naam in van een van de domeinen die u wilt toestaan. Voer voor meerdere domeinen elk domein op een nieuwe regel in. Voorbeeld:

    Schermopname van de optie Toestaan met toegevoegde domeinen.

  5. Selecteer Opslaan als u klaar bent.

Nadat u het beleid hebt ingesteld en u probeert een gebruiker uit te nodigen vanuit een domein dat niet op de acceptatielijst staat, ontvangt u een bericht met de mededeling dat het domein van de gebruiker momenteel wordt geblokkeerd door uw uitnodigingsbeleid.

Overschakelen van allowlist naar blocklist en vice versa

Als u overschakelt van het ene beleid naar het andere, wordt de bestaande beleidsconfiguratie genegeerd. Zorg ervoor dat u een back-up maakt van de details van uw configuratie voordat u de overschakeling uitvoert.

Het beleid voor toestaan of blokkeren instellen met Behulp van PowerShell

Vereiste

Notitie

De AzureADPreview-module is geen volledig ondersteunde module, omdat deze zich in preview bevindt.

Als u de acceptatie- of blokkeringslijst wilt instellen met behulp van PowerShell, moet u de preview-versie van de Azure AD PowerShell-module installeren. Installeer in het bijzonder AzureADPreview-module versie 2.0.0.98 of hoger.

De versie van de module controleren (en kijken of deze is geïnstalleerd):

  1. Open Windows PowerShell als een gebruiker met verhoogde bevoegdheid (Uitvoeren als administrator).

  2. Voer de volgende opdracht uit om te zien of er versies van de Azure AD PowerShell-module op uw computer zijn geïnstalleerd:

    Get-Module -ListAvailable AzureAD*
    

Als de module niet is geïnstalleerd of als u geen vereiste versie hebt, voert u een van de volgende handelingen uit:

  • Als er geen resultaten worden geretourneerd, voert u de volgende opdracht uit om de nieuwste versie van de AzureADPreview module te installeren:

    Install-Module AzureADPreview
    
  • Als alleen de AzureAD module in de resultaten wordt weergegeven, voert u de volgende opdrachten uit om de AzureADPreview module te installeren:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Als alleen de AzureADPreview module wordt weergegeven in de resultaten, maar de versie kleiner is dan 2.0.0.98, voert u de volgende opdrachten uit om deze bij te werken:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Als zowel de als de AzureAD AzureADPreview modules worden weergegeven in de resultaten, maar de versie van de AzureADPreview module kleiner is dan 2.0.0.98, voert u de volgende opdrachten uit om deze bij te werken:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

De AzureADPolicy-cmdlets gebruiken om het beleid te configureren

Als u een acceptatie- of blokkeringslijst wilt maken, gebruikt u de cmdlet New-AzureADPolicy . In het volgende voorbeeld ziet u hoe u een blokkeringslijst instelt waarmee het domein 'live.com' wordt geblokkeerd.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Hieronder ziet u hetzelfde voorbeeld, maar met de beleidsdefinitie inline.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Als u het beleid voor toestaan of blokkeren wilt instellen, gebruikt u de cmdlet Set-AzureADPolicy . Voorbeeld:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Gebruik de cmdlet Get-AzureADPolicy om het beleid te krijgen. Voorbeeld:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Om het beleid te verwijderen, gebruikt u de cmdlet AzureADPolicy verwijderen. Voorbeeld:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Volgende stappen