Partilhar via


Permitir ou bloquear a colaboração B2B com organizações

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

Você pode usar uma lista de permissões ou uma lista de bloqueio para permitir ou bloquear convites para usuários de colaboração B2B de organizações específicas. Por exemplo, se quiser bloquear domínios de endereço de e-mail pessoal, pode configurar uma lista de bloqueio que contenha domínios como Gmail.com e Outlook.com. Ou, se sua empresa tiver uma parceria com outras empresas, como Contoso.com, Fabrikam.com e Litware.com, e você quiser restringir os convites apenas a essas organizações, poderá adicionar Contoso.com, Fabrikam.com e Litware.com à sua lista de permissões.

Este artigo descreve duas maneiras de configurar uma lista de permissões ou bloqueios para colaboração B2B:

  • No portal, configurando restrições de colaboração nas configurações de colaboração externa da sua organização
  • Através do PowerShell

Considerações importantes

  • Você pode criar uma lista de permissões ou uma lista de bloqueio. Não é possível configurar os dois tipos de listas. Por padrão, quaisquer domínios que não estejam na lista de permissões estão na lista de bloqueio e vice-versa.
  • Você pode criar apenas uma política por organização. Você pode atualizar a política para incluir mais domínios ou excluir a política para criar um novo.
  • O número de domínios que você pode adicionar a uma lista de permissões ou lista de bloqueio é limitado apenas pelo tamanho da política. Esse limite se aplica ao número de caracteres, para que você possa ter um número maior de domínios mais curtos ou menos domínios mais longos. O tamanho máximo de toda a política é de 25 KB (25.000 caracteres), o que inclui a lista de permissões ou lista de bloqueio e quaisquer outros parâmetros configurados para outros recursos.
  • Esta lista funciona independentemente das listas de permissões/bloqueios do OneDrive e do SharePoint Online. Se quiser restringir o compartilhamento de arquivos individuais no SharePoint Online, você precisará configurar uma lista de permissões ou bloqueios para o OneDrive e o SharePoint Online. Para obter mais informações, consulte Restringir o compartilhamento de conteúdo do SharePoint e do OneDrive por domínio.
  • A lista não se aplica a usuários externos que já resgataram o convite. A lista será aplicada após a sua configuração. Se um convite de usuário estiver em um estado pendente e você definir uma política que bloqueie seu domínio, a tentativa do usuário de resgatar o convite falhará.
  • As configurações de lista de permissão/bloqueio e acesso entre locatários são verificadas no momento do convite.

Definir a política de permissão ou lista de bloqueio no portal

Por padrão, a configuração Permitir que convites sejam enviados para qualquer domínio (mais inclusivo) está habilitada. Nesse caso, você pode convidar usuários B2B de qualquer organização.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.

Adicionar uma lista de bloqueio

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Este é o cenário mais típico, em que sua organização deseja trabalhar com quase qualquer organização, mas deseja impedir que usuários de domínios específicos sejam convidados como usuários B2B.

Para adicionar uma lista de bloqueio:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Restrições de colaboração, selecione Negar convites para os domínios especificados.

  4. Em Domínios de destino, introduza o nome de um dos domínios que pretende bloquear. Para vários domínios, insira cada domínio em uma nova linha. Por exemplo:

    Captura de tela mostrando a opção de negar com domínios adicionados.

  5. Quando tiver terminado, selecione Guardar.

Depois de definir a política, se você tentar convidar um usuário de um domínio bloqueado, receberá uma mensagem informando que o domínio do usuário está atualmente bloqueado pela sua política de convite.

Adicionar uma lista de permissões

Com essa configuração mais restritiva, você pode definir domínios específicos na lista de permissões e restringir convites a quaisquer outras organizações ou domínios que não sejam mencionados.

Se você quiser usar uma lista de permissões, certifique-se de gastar tempo para avaliar completamente quais são as necessidades da sua empresa. Se você tornar essa política muito restritiva, seus usuários poderão optar por enviar documentos por e-mail ou encontrar outras maneiras não sancionadas por TI de colaborar.

Para adicionar uma lista de permissões:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Restrições de colaboração, selecione Permitir convites apenas para os domínios especificados (mais restritivos).

  4. Em Domínios de destino, introduza o nome de um dos domínios que pretende permitir. Para vários domínios, insira cada domínio em uma nova linha. Por exemplo:

    Captura de tela mostrando a opção permitir com domínios adicionados.

  5. Quando tiver terminado, selecione Guardar.

Depois de definir a política, se você tentar convidar um usuário de um domínio que não está na lista de permissões, receberá uma mensagem informando que o domínio do usuário está bloqueado pela sua política de convite.

Mudar de lista de permissões para lista de bloqueio e vice-versa

A mudança de uma política para outra descarta a configuração de política existente. Certifique-se de fazer backup dos detalhes da sua configuração antes de executar a mudança.

Definir a política de permissão ou lista de bloqueio usando o PowerShell

Pré-requisito

Nota

O Módulo AzureADPreview não é um módulo totalmente suportado, pois está na visualização.

Para definir a lista de permissões ou bloqueios usando o PowerShell, você deve instalar a versão de visualização do módulo do Azure AD PowerShell. Especificamente, instale o módulo AzureADPreview versão 2.0.0.98 ou posterior.

Para verificar a versão do módulo (e ver se está instalado):

  1. Abra o Windows PowerShell como um usuário elevado (Executar como administrador).

  2. Execute o seguinte comando para ver se você tem alguma versão do módulo do Azure AD PowerShell instalada no seu computador:

    Get-Module -ListAvailable AzureAD*
    

Se o módulo não estiver instalado ou se você não tiver uma versão necessária, siga um destes procedimentos:

  • Se nenhum resultado for retornado, execute o seguinte comando para instalar a versão mais recente do AzureADPreview módulo:

    Install-Module AzureADPreview
    
  • Se apenas o AzureAD módulo for mostrado nos resultados, execute os seguintes comandos para instalar o AzureADPreview módulo:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Se apenas o AzureADPreview módulo for mostrado nos resultados, mas a versão for menor que 2.0.0.98, execute os seguintes comandos para atualizá-lo:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Se ambos os AzureAD módulos e AzureADPreview forem mostrados nos resultados, mas a versão do AzureADPreview módulo for menor que 2.0.0.98, execute os seguintes comandos para atualizá-lo:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Use os cmdlets AzureADPolicy para configurar a política

Para criar uma lista de permissões ou bloqueios, use o cmdlet New-AzureADPolicy . O exemplo a seguir mostra como definir uma lista de bloqueio que bloqueia o domínio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

A seguir mostra o mesmo exemplo, mas com a definição de política embutida.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Para definir a política de permissão ou lista de bloqueio, use o cmdlet Set-AzureADPolicy . Por exemplo:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Para obter a política, use o cmdlet Get-AzureADPolicy . Por exemplo:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Para remover a política, use o cmdlet Remove-AzureADPolicy . Por exemplo:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Próximos passos