Udostępnij za pośrednictwem


Zezwalanie lub blokowanie współpracy B2B z organizacjami

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Biały okrąg z szarym symbolem X. (dowiedz się więcej)

Możesz użyć listy dozwolonych lub listy zablokowanych, aby zezwolić lub zablokować zaproszenia do użytkowników współpracy B2B z określonych organizacji. Jeśli na przykład chcesz zablokować osobiste domeny adresów e-mail, możesz skonfigurować listę zablokowanych zawierającą domeny, takie jak Gmail.com i Outlook.com. Lub jeśli Twoja firma współpracuje z innymi firmami, takimi jak Contoso.com, Fabrikam.com i Litware.com, i chcesz ograniczyć zaproszenia tylko do tych organizacji, możesz dodać Contoso.com, Fabrikam.com i Litware.com do listy dozwolonych.

W tym artykule omówiono dwa sposoby konfigurowania listy dozwolonych lub zablokowanych dla współpracy B2B:

  • W portalu przez skonfigurowanie ograniczeń współpracy w ustawieniach współpracy zewnętrznej organizacji
  • Za pomocą programu PowerShell

Ważne uwagi

  • Możesz utworzyć listę dozwolonych lub listę zablokowanych. Nie można skonfigurować obu typów list. Domyślnie wszystkie domeny, które nie znajdują się na liście dozwolonych, znajdują się na liście zablokowanych i na odwrót.
  • Można utworzyć tylko jedną zasadę dla każdej organizacji. Możesz zaktualizować zasady tak, aby zawierały więcej domen, lub usunąć zasady w celu utworzenia nowego.
  • Liczba domen, które można dodać do listy dozwolonych lub zablokowanych, jest ograniczona tylko przez rozmiar zasad. Ten limit dotyczy liczby znaków, dzięki czemu można mieć większą liczbę krótszych domen lub mniej dłuższych domen. Maksymalny rozmiar wszystkich zasad to 25 KB (25 000 znaków), który zawiera listę dozwolonych lub listę zablokowanych oraz wszystkie inne parametry skonfigurowane dla innych funkcji.
  • Ta lista działa niezależnie od list dozwolonych/zablokowanych w usłudze OneDrive i SharePoint Online. Jeśli chcesz ograniczyć udostępnianie pojedynczych plików w usłudze SharePoint Online, musisz skonfigurować listę dozwolonych lub zablokowanych dla usług OneDrive i SharePoint Online. Aby uzyskać więcej informacji, zobacz Ograniczanie udostępniania zawartości programu SharePoint i usługi OneDrive według domeny.
  • Lista nie ma zastosowania do użytkowników zewnętrznych, którzy już zrealizowali zaproszenie. Lista zostanie wymuszona po skonfigurowaniu listy. Jeśli zaproszenie użytkownika jest w stanie oczekiwania i ustawisz zasady blokujące ich domenę, próba zrealizowania zaproszenia przez użytkownika zakończy się niepowodzeniem.
  • Ustawienia listy dozwolonych/zablokowanych i dostępu między dzierżawami są sprawdzane w momencie zaproszenia.

Ustawianie zasad dozwolonych lub zablokowanych w portalu

Domyślnie jest włączone ustawienie Zezwalaj na wysyłanie zaproszeń do dowolnej domeny (najbardziej inkluzywnej). W takim przypadku możesz zaprosić użytkowników B2B z dowolnej organizacji.

Ważne

Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Dodawanie listy zablokowanych

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Jest to najbardziej typowy scenariusz, w którym organizacja chce pracować z niemal każdą organizacją, ale chce uniemożliwić użytkownikom zapraszanie określonych domen jako użytkowników B2B.

Aby dodać listę zablokowanych:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.

  2. Przejdź do pozycji Tożsamość>Zewnętrzne tożsamości>Zewnętrzne ustawienia współpracy.

  3. W obszarze Ograniczenia współpracy wybierz pozycję Odmów zaproszeń do określonych domen.

  4. W obszarze Domeny docelowe wprowadź nazwę jednej z domen, które chcesz zablokować. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Na przykład:

    Zrzut ekranu przedstawiający opcję odmowy z dodanymi domenami.

  5. Po zakończeniu wybierz opcję Zapisz.

Po ustawieniu zasad, jeśli spróbujesz zaprosić użytkownika z zablokowanej domeny, zostanie wyświetlony komunikat z informacją, że domena użytkownika jest obecnie zablokowana przez zasady zaproszeń.

Dodawanie listy dozwolonych

Dzięki tej bardziej restrykcyjnej konfiguracji można ustawić określone domeny na liście dozwolonych i ograniczyć zaproszenia do innych organizacji lub domen, które nie zostały wymienione.

Jeśli chcesz użyć listy dozwolonych, upewnij się, że spędzasz czas, aby w pełni ocenić potrzeby biznesowe. Jeśli te zasady będą zbyt restrykcyjne, użytkownicy będą mogli wysyłać dokumenty pocztą e-mail lub znaleźć inne sposoby współpracy bez sankcji it.

Aby dodać listę dozwolonych:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.

  2. Przejdź do pozycji Tożsamość>Zewnętrzne tożsamości>Zewnętrzne ustawienia współpracy.

  3. W obszarze Ograniczenia współpracy wybierz pozycję Zezwalaj na zaproszenia tylko do określonych domen (najbardziej restrykcyjne).

  4. W obszarze Domeny docelowe wprowadź nazwę jednej z domen, na które chcesz zezwolić. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Na przykład:

    Zrzut ekranu przedstawiający opcję zezwalania z dodanymi domenami.

  5. Po zakończeniu wybierz opcję Zapisz.

Po ustawieniu zasad, jeśli spróbujesz zaprosić użytkownika z domeny, która nie znajduje się na liście dozwolonych, zostanie wyświetlony komunikat z informacją, że domena użytkownika jest obecnie zablokowana przez zasady zaproszeń.

Przełączanie z listy dozwolonych na listę zablokowanych i odwrotnie

Przełączenie z jednej zasady na inną odrzuca istniejącą konfigurację zasad. Pamiętaj, aby utworzyć kopię zapasową szczegółów konfiguracji przed wykonaniem przełącznika.

Ustawianie zasad listy dozwolonych lub zablokowanych przy użyciu programu PowerShell

Warunek wstępny

Uwaga

Moduł AzureADPreview nie jest w pełni obsługiwanym modułem, ponieważ jest w wersji zapoznawczej.

Aby ustawić listę dozwolonych lub zablokowanych przy użyciu programu PowerShell, musisz zainstalować wersję zapoznawcza modułu programu PowerShell usługi Azure AD. W szczególności zainstaluj moduł AzureADPreview w wersji 2.0.0.98 lub nowszej.

Aby sprawdzić wersję modułu (i sprawdzić, czy jest zainstalowany):

  1. Otwórz program Windows PowerShell jako użytkownik z podwyższonym poziomem uprawnień (Uruchom jako administrator).

  2. Uruchom następujące polecenie, aby sprawdzić, czy na komputerze zainstalowano jakiekolwiek wersje modułu Programu PowerShell usługi Azure AD:

    Get-Module -ListAvailable AzureAD*
    

Jeśli moduł nie jest zainstalowany lub nie masz wymaganej wersji, wykonaj jedną z następujących czynności:

  • Jeśli nie zostaną zwrócone żadne wyniki, uruchom następujące polecenie, aby zainstalować najnowszą wersję modułu AzureADPreview :

    Install-Module AzureADPreview
    
  • Jeśli w wynikach jest wyświetlany tylko AzureAD moduł, uruchom następujące polecenia, aby zainstalować AzureADPreview moduł:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Jeśli tylko AzureADPreview moduł jest wyświetlany w wynikach, ale wersja jest mniejsza niż 2.0.0.98, uruchom następujące polecenia, aby go zaktualizować:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Jeśli oba AzureAD moduły i AzureADPreview są wyświetlane w wynikach, ale wersja modułu AzureADPreview jest mniejsza niż 2.0.0.98, uruchom następujące polecenia, aby go zaktualizować:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Konfigurowanie zasad za pomocą poleceń cmdlet AzureADPolicy

Aby utworzyć listę dozwolonych lub zablokowanych, użyj polecenia cmdlet New-AzureADPolicy . W poniższym przykładzie pokazano, jak ustawić listę zablokowanych, która blokuje domenę "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Poniżej przedstawiono ten sam przykład, ale z wbudowanym definicją zasad.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Aby ustawić zasady dozwolonych lub zablokowanych, użyj polecenia cmdlet Set-AzureADPolicy . Na przykład:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Aby uzyskać zasady, użyj polecenia cmdlet Get-AzureADPolicy . Na przykład:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Aby usunąć zasady, użyj polecenia cmdlet Remove-AzureADPolicy . Na przykład:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Następne kroki