允許或封鎖與組織的 B2B 共同作業
適用於:
員工租用戶 
外部租用戶 (深入了解)
您可以使用允許清單或封鎖清單,以允許或封鎖對特定組織的 B2B 共同作業使用者的邀請。 例如,如果您想要封鎖個人電子郵件地址網域,您可以設定包含 Gmail.com 和 Outlook.com 這類網域的封鎖清單。 或者,如果您的企業與其他企業 (如 Contoso.com、Fabrikam.com 和 Litware.com) 有合作關係,而您想要將邀請僅限定於這些組織,則您可以將 Contoso.com、Fabrikam.com 和 Litware.com 新增至您的允許清單中。
本文討論兩種方式來設定 B2B 共同作業的允許或封鎖清單:
- 在入口網站中,於組織的外部共同作業設定中設定共同作業限制
- 透過 PowerShell
重要考量
- 您可以建立允許清單或封鎖清單。 您不可以同時設定兩個清單類型。 根據預設,不在允許清單中的網域就是列在封鎖清單中,反之亦然。
- 一個組織只能建立一個原則。 您可以上傳原則來包含更多網域,或刪除原則來建立新的。
- 您可以新增至允許清單或封鎖清單的網域數目僅受限於原則的大小。 這項限制適用於字元數,因此,您可以有更多較短或較長的網域。 整個原則的大小上限為 25 KB (25,000 個字元),其中包含允許清單或封鎖清單,以及針對其他功能設定的任何其他參數。
- 此清單會在 OneDrive 和 SharePoint Online 允許/封鎖清單以外獨立運作。 如果您想要在 SharePoint Online 中限制個別的檔案共用,則需要設定 OneDrive 和 SharePoint Online 的允許或封鎖清單。 如需詳細資訊,請參閱依網域限制 SharePoint 與 OneDrive 內容的共用。
- 此清單不適用於已兌換邀請的外部使用者。 清單設定完成後即強制執行。 如果使用者邀請處於擱置狀態,而且您設定了封鎖其網域的原則,則使用者兌換邀請的嘗試會失敗。
- 邀請時會檢查允許/封鎖清單和跨租用戶存取設定。
在入口網站中設定允許或封鎖清單原則
依預設會啟用允許邀請傳送至任何網域 (涵蓋性最高) 設定。 在此情況下,您可以邀請任何組織的 B2B 使用者。
重要
Microsoft 建議您使用權限最的角色。 這有助於改善組織的安全性。 全域系統管理員是具高度特殊權限的角色,應僅限於無法使用現有角色的緊急案例。
新增封鎖清單
提示
本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。
這是最常見的情況,也就是,您的組織想要與絕大多數的組織合作,但需要防止來自特定網域的使用者受邀為 B2B 使用者。
若要新增封鎖清單:
以全域管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [外部身分識別] > [外部共同作業設定]。
在 [共同作業限制] 下,選取 [拒絕對指定網域的邀請]。
在 [目標網域] 下,輸入您要封鎖的網域之一的名稱。 若有多個網域,請將每個網域輸入於不同行。 例如:
完成時,選取儲存。
設定原則後,如果您嘗試邀請來自封鎖網域的使用者,則會顯示一則訊息,指出您的邀請原則目前已封鎖該使用者的網域。
新增允許清單
使用此限制性較高的設定,您可在允許清單中設定特定網域,並限制對未提及的任何其他組織或網域發出邀請。
如果您想要使用允許清單,則請務必審慎而完整地評估您的業務需求。 如果您讓此原則的限制過多,使用者有可能會選擇透過電子郵件傳送文件,或尋求以其他非 IT 認可的方法進行共同作業。
若要新增允許清單:
以全域管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [外部身分識別] > [外部共同作業設定]。
在 [共同作業限制] 下,選取 [僅允許對指定網域的邀請 (限制性最高)]。
在 [目標網域] 下,輸入您要允許的網域之一的名稱。 若有多個網域,請將每個網域輸入於不同行。 例如:
完成時,選取儲存。
設定原則之後,如果您嘗試邀請使用者,且使用者來自不在允許清單上的網域,則會顯示一則訊息,指出您的邀請原則目前已封鎖該使用者的網域。
從允許清單切換至封鎖清單,反之亦然
從一個原則切換到另一個原則會捨棄現有的原則組態。 執行切換之前,請務必先備份組態的詳細資料。
使用 PowerShell 設定允許或封鎖清單原則
必要條件
注意
AzureADPreview 模組不是完全支援的模組,因為其處於預覽狀態。
若要使用 PowerShell 設定允許或封鎖清單,您必須安裝 Azure AD PowerShell 模組預覽版。 具體而言,請安裝 AzureADPreview 模組 2.0.0.98 版本或更新版本。
若要檢查模組的版本 (並確認是否已安裝):
以提高權限使用者的身分開啟 Windows PowerShell (以系統管理員的身分執行)。
執行下列命令,以確認您是否已在電腦上安裝任何版本的 Azure AD PowerShell 模組:
Get-Module -ListAvailable AzureAD*
如果未安裝此模組,或您沒有必要的版本,請執行下列其中一個動作:
若尚傳回任何結果,請執行下列命令,以安裝最新版本的
AzureADPreview模組:Install-Module AzureADPreview如果結果中僅顯示
AzureAD模組,請執行下列命令,以安裝AzureADPreview模組:Uninstall-Module AzureAD Install-Module AzureADPreview如果結果中僅顯示
AzureADPreview模組,但版本低於2.0.0.98,請執行下列命令加以更新:Uninstall-Module AzureADPreview Install-Module AzureADPreview如果結果中顯示
AzureAD和AzureADPreview模組,但AzureADPreview模組的版本低於2.0.0.98,請執行下列命令加以更新:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
使用 AzureADPolicy Cmdlet 設定原則
若要建立允許或封鎖清單,請使用 New-AzureADPolicy Cmdlet。 下列範例顯示如何設定可封鎖 "live.com" 網域的封鎖清單。
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
以下顯示相同的範例,但內含原則定義。
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
若要設定允許或封鎖清單原則,請使用 Set-AzureADPolicy Cmdlet。 例如:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
若要取得原則,請使用 Get-AzureADPolicy Cmdlet。 例如:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
若要移除原則,請使用 Remove-AzureADPolicy Cmdlet。 例如:
Remove-AzureADPolicy -Id $currentpolicy.Id