Permitir ou bloquear a colaboração B2B com organizações
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Você pode usar uma lista de permitidos ou uma lista de bloqueados para permitir ou bloquear convites a usuários de colaboração B2B de organizações específicas. Por exemplo, se você quiser bloquear domínios de endereço de email pessoal, você pode configurar uma lista de bloqueados que contenha domínios como Gmail.com e Outlook.com. Ou, se a empresa tiver parceria com outras empresas como Contoso.com, Fabrikam.com e Litware.com e você quiser restringir convites somente a essas organizações, adicione Contoso.com, Fabrikam.com e Litware.com à lista de permitidos.
Este artigo discute duas maneiras de configurar uma lista de permitidos ou de bloqueados para colaboração B2B:
- No portal, configurando restrições de colaboração em Configurações de colaboração externa da organização
- Por meio do PowerShell
Considerações importantes
- Você pode criar uma lista de permitidos ou uma lista de bloqueados. Você não pode configurar os dois tipos de listas. Por padrão, todos os domínios que não estão na lista de permitidos, estão na lista de bloqueados, e vice-versa.
- Você pode criar apenas uma política por organização. Você pode atualizar a política para incluir mais domínios ou você pode excluir a política para criar uma nova.
- O número de domínios que você pode adicionar a uma lista de permitidos ou de bloqueados é limitado apenas pelo tamanho da política. Esse limite se aplica ao número de caracteres, ou seja, você pode ter um número maior de domínios mais curtos ou menos domínios maiores. O tamanho máximo de toda a política é 25 KB (25 mil caracteres), que inclui a lista de permitidos ou a lista de bloqueados e os outros parâmetros configurados para outros recursos.
- Esta lista funciona independentemente das listas de permissão/bloqueio do OneDrive e do SharePoint Online. Se você quiser restringir o compartilhamento de arquivo no SharePoint Online, configure uma lista de permitidos ou de bloqueados para o One Drive e para o SharePoint Online. Para obter mais informações, consulte Compartilhamento restrito de conteúdo do SharePoint e do OneDrive por domínio.
- A lista não se aplica a usuários externos que já resgataram o convite. A lista será aplicada depois que for configurada. Se um convite do usuário estiver em um estado pendente e você definir uma política que bloqueia o domínio dele, a tentativa do usuário de resgatar o convite falhará.
- As configurações de lista de permissões/bloqueios e de acesso entre locatários são verificadas no momento do convite.
Configurar a política de lista de permitidos ou de bloqueados no portal
Por padrão, a Permitir o envio de convites para qualquer domínio (mais inclusivo) está habilitada. Nesse caso, você pode convidar usuários B2B de qualquer organização.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Adicionar uma lista de bloqueio
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Esse é o cenário mais comum, onde sua organização deseja trabalhar com quase qualquer empresa, mas quer impedir que os usuários de domínios específicos sejam convidados como usuários B2B.
Para adicionar uma lista de bloqueados:
Entre no centro de administração do Microsoft Entra como Administrador global.
Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.
Em Restrições de colaboração, selecione Negar convites para os domínios especificados.
Em Domínios de destino, insira o nome de um dos domínios que você deseja bloquear. Para vários domínios, insira cada domínio em uma nova linha. Por exemplo:
Quando terminar, selecione Salvar.
Depois de definir a política, se tentar convidar um usuário de um domínio bloqueado, você receberá uma mensagem dizendo que o domínio do usuário está bloqueado no momento pela sua política de convite.
Adicionar uma lista de permitidos
Com essa configuração mais restritiva, você pode definir domínios específicos na lista de permitidos e restringir convites para outras organizações ou domínios que não sejam mencionados.
Se você quiser usar uma lista de permitidos, faça uma avaliação completa de quais são suas necessidades comerciais. Se você tornar essa política muito restritiva, seus usuários poderão optar por enviar documentos por email ou encontrar outras formas de colaboração não sancionadas pelo TI.
Para adicionar uma lista de permitidos:
Entre no centro de administração do Microsoft Entra como Administrador global.
Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.
Em Restrições de colaboração, selecione Permitir convites somente para os domínios especificados (mais restritivos).
Em Domínios de destino, insira o nome de um dos domínios que você deseja permitir. Para vários domínios, insira cada domínio em uma nova linha. Por exemplo:
Quando terminar, selecione Salvar.
Depois de definir a política, se você tentar convidar um usuário de um domínio que não esteja na lista de permitidos, receberá uma mensagem dizendo que o domínio do usuário está bloqueado no momento pela sua política de convite.
Alternar da lista de permitidos para a lista de bloqueados e vice-versa
A mudança de uma política para outra descarta a configuração de política existente. Certifique-se de fazer backup dos detalhes da sua configuração antes de executar a alternação.
Definir a política de permitidos ou de bloqueados usando o PowerShell
Pré-requisito
Observação
O módulo AzureADPreview não é um módulo com suporte total, pois está em versão prévia.
Para definir a permissão ou a lista de bloqueio utilizando o PowerShell, você deve instalar a versão prévia do módulo do Microsoft Azure AD PowerShell. Especificamente, instale a versão do módulo AzureADPreview versão 2.0.0.98 ou posterior.
Para verificar a versão do módulo (e se ele está instalado):
Abra o Windows PowerShell como um usuário com privilégios elevados (Executar como Administrador).
Execute o seguinte comando para ver se você tem alguma versão do módulo do Microsoft AD PowerShell instalada no seu computador:
Get-Module -ListAvailable AzureAD*
Se o módulo não estiver instalado ou se você não tem uma versão necessária, siga um destes procedimentos:
Se nenhum resultado for retornado, execute o seguinte comando para instalar a versão mais recente do módulo
AzureADPreview
:Install-Module AzureADPreview
Se apenas o módulo
AzureAD
for exibido nos resultados, execute os comandos a seguir para instalar o móduloAzureADPreview
:Uninstall-Module AzureAD Install-Module AzureADPreview
Se apenas o módulo
AzureADPreview
for exibido nos resultados, mas a versão for menor que2.0.0.98
, execute os seguintes comandos para atualizá-lo:Uninstall-Module AzureADPreview Install-Module AzureADPreview
Se apenas os módulos
AzureAD
eAzureADPreview
forem exibidos nos resultados, mas a versão do móduloAzureADPreview
for menor que2.0.0.98
, execute os seguintes comandos para atualizá-lo:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Use os cmdlets de AzureADPolicy para configurar a política
Para criar uma lista de permitidos ou de bloqueados, use o cmdlet New-AzureADPolicy. O exemplo a seguir mostra como definir uma lista de bloqueados que bloqueia o domínio "live.com".
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
O mesmo exemplo é exibido a seguir, mas com de definição da política embutida.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Para definir uma lista de permitidos ou de bloqueados, use o cmdlet Set-AzureADPolicy. Por exemplo:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Para obter a política, use o cmdlet AzureADPolicy. Por exemplo:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Para remover a política, use o cmdlet Remove-AzureADPolicy. Por exemplo:
Remove-AzureADPolicy -Id $currentpolicy.Id