Разрешить или заблокировать совместную работу B2B с организациями
Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)
С помощью списка разрешений или блокировок можно предоставить или отозвать приглашения пользователям службы совместной работы B2B из отдельных организаций. Например, если вы хотите заблокировать домены личного адреса электронной почты, можно настроить список блокировок, содержащий домены, такие как Gmail.com и Outlook.com. Или, если ваша организация сотрудничает с другими предприятиями, например Contoso.com, Fabrikam.com и Litware.com, и вы хотите предоставлять приглашения только им, добавьте Contoso.com, Fabrikam.com и Litware.com в список разрешений.
В этой статье рассматриваются два способа настройки списка разрешений или блокировок для Совместной работы B2B:
- настройка ограничений для совместной работы в разделе Параметры внешнего взаимодействия для вашей организации на портале;
- Через PowerShell
Важные замечания
- Вы можете создать список разрешений или список блокировок. Настроить оба типа списков нельзя. По умолчанию все домены, которые не входят в список разрешений, помещаются в список блокировок, и наоборот.
- Для организации можно создать только одну политику. Ее можно обновить, чтобы включить дополнительные домены. Кроме того, вы можете удалить политику, чтобы создать другую.
- Число доменов, которые можно добавить в список разрешений или список блокировок, ограничивается только размером политики. Это ограничение применяется к числу символов, поэтому можно использовать большее число коротких доменов или меньшее число длинных доменов. Максимальный размер всей политики составляет 25 КБ (25 000 символов), включая список разрешений или список блокировок, а также другие параметры, настроенные для других функций.
- Этот список работает независимо от списков разрешений и блокировок OneDrive и SharePoint Online. Если вы хотите ограничить отдельный общий доступ к файлам в SharePoint Online, необходимо настроить список разрешений или блокировки для OneDrive и SharePoint Online. Дополнительные сведения см. в разделе "Ограничение общего доступа к содержимому SharePoint и OneDrive по домену".
- Список не применяется к внешним пользователям, которые уже активировали приглашение. Список будет действовать после его настройки. Если приглашение пользователя находится в состоянии ожидания, и вы устанавливаете политику, которая блокирует свой домен, попытка пользователя активировать приглашение завершается сбоем.
- В момент приглашения проверяются как список разрешений, так и параметры доступа между клиентами.
Настройка политики списка разрешений и блокировок на портале
Параметр Allow invitations to be sent to any domain (most inclusive) (Разрешить отправлять приглашения любому домену (всеохватный)) активирован по умолчанию. В этом случае вы можете пригласить пользователей B2B из любой организации.
Внимание
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Добавление списка блокировок
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Это самый распространенный сценарий, когда ваша организация хочет сотрудничать со всеми организациями, но не желает приглашать пользователей определенных доменов в качестве пользователей B2B.
Чтобы добавить список блокировок, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Перейдите к параметрам внешней совместной работы удостоверений>>.
В разделе Collaboration restrictions (Ограничения сотрудничества) выберите Deny invitations to the specified domains (Запретить отправлять приглашения указанным доменам).
В разделе "Целевые домены" введите имя одного из доменов, которые требуется заблокировать. Если нужно заблокировать несколько доменов, вводите каждый из них в новой строке. Например:
По завершении выберите Сохранить.
Если вы настроите политику и попытаетесь пригласить пользователя из заблокированного домена, отобразится сообщение о том, что домен пользователя заблокирован политикой приглашений.
Добавление списка разрешений
С помощью этой более строгой конфигурации можно задать определенные домены в списке разрешений и ограничить приглашения любым другим организациям или доменам, которые не упоминаются.
Прежде чем использовать список разрешений, убедитесь, что вы полностью проанализировали потребности своего бизнеса. Если эта политика слишком ограничена, пользователи могут отправлять документы по электронной почте или находить другие неуправляемые способы совместной работы.
Чтобы добавить список разрешений, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Перейдите к параметрам внешней совместной работы удостоверений>>.
В разделе Ограничения взаимодействия выберите Разрешить отправку приглашений только в указанные домены (максимальное ограничение).
В разделе "Целевые домены" введите имя одного из доменов, которые требуется разрешить. Если нужно заблокировать несколько доменов, вводите каждый из них в новой строке. Например:
По завершении выберите Сохранить.
Если вы настроите политику и попытаетесь пригласить пользователя, домен которого не добавлен в список разрешений, отобразится сообщение о том, что домен пользователя заблокирован политикой приглашений.
Переход со списка разрешений на список блокировок и наоборот
Переключение с одной политики на другую отменяет существующую конфигурацию политики. Прежде чем выполнить переход, создайте резервные копии сведений о конфигурации.
Настройка списка разрешений или блокировок с помощью PowerShell
Предварительные требования
Примечание.
Модуль AzureADPreview поддерживается не полностью, так как он предоставляется в предварительной версии.
Чтобы задать список разрешений или блокировок с помощью PowerShell, необходимо установить предварительную версию модуля Azure AD PowerShell. В частности, установите модуль AzureADPreview 2.0.0.98 или более поздней версии.
Чтобы проверить версию модуля (и проверить, установлен ли он), сделайте следующее:
Откройте Windows PowerShell с повышенными правами пользователя (запустите от имени администратора).
Выполните следующую команду, чтобы узнать, установлены ли на компьютере какие-либо версии модуля Azure AD PowerShell:
Get-Module -ListAvailable AzureAD*
Если модуль не установлен или у вас нет требуемой версии, выполните одно из следующих действий.
Если результаты не возвращаются, выполните следующую команду, чтобы установить последнюю версию
AzureADPreview
модуля:Install-Module AzureADPreview
Если в результатах отображается только
AzureAD
модуль, выполните следующие команды, чтобы установитьAzureADPreview
модуль:Uninstall-Module AzureAD Install-Module AzureADPreview
Если в результатах отображается только
AzureADPreview
модуль, но версия меньше2.0.0.98
, выполните следующие команды, чтобы обновить его:Uninstall-Module AzureADPreview Install-Module AzureADPreview
Если оба
AzureAD
AzureADPreview
модуля отображаются в результатах, но версияAzureADPreview
модуля меньше2.0.0.98
, выполните следующие команды, чтобы обновить его:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Настройка политики с помощью командлетов AzureADPolicy
Чтобы создать список разрешений или блокировок, используйте командлет New-AzureADPolicy. В следующем примере показано, как настроить список блокировок, который блокирует домен live.com.
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Далее приведен идентичный пример, но со встроенным определением политики.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Чтобы настроить политику разрешений или блокировок, используйте командлет Set-AzureADPolicy. Например:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Чтобы получить политику, выполните командлет Get-AzureADPolicy. Например:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Чтобы удалить политику, выполните командлет Remove-AzureADPolicy. Например:
Remove-AzureADPolicy -Id $currentpolicy.Id
Следующие шаги
- Параметры доступа между клиентами
- Параметры внешней совместной работы.