Permitir o bloquear invitaciones a usuarios B2B procedentes de determinadas organizacionesAllow or block invitations to B2B users from specific organizations

Puede usar una lista de permitidos o de denegación para permitir o bloquear las invitaciones a usuarios B2B procedentes de determinadas organizaciones.You can use an allow list or a deny list to allow or block invitations to B2B users from specific organizations. Por ejemplo, si quiere bloquear dominios de direcciones de correo electrónico personales, puede configurar una lista de denegación que contenga dominios como Gmail.com y Outlook.com.For example, if you want to block personal email address domains, you can set up a deny list that contains domains like Gmail.com and Outlook.com. O bien, si su empresa tiene una asociación con otras empresas como Contoso.com, Fabrikam.com y Litware.com, y quiere restringir las invitaciones a solo estas organizaciones, puede agregar Contoso.com, Fabrikam.com y Litware.com a la lista de permitidos.Or, if your business has a partnership with other businesses like Contoso.com, Fabrikam.com, and Litware.com, and you want to restrict invitations to only these organizations, you can add Contoso.com, Fabrikam.com, and Litware.com to your allow list.

Consideraciones importantesImportant considerations

  • Puede crear una lista de permitidos o una lista de denegación.You can create either an allow list or a deny list. No se pueden configurar ambos tipos de listas.You can't set up both types of lists. De forma predeterminada, los dominios que no están en la lista de permitidos están en la de denegación y viceversa.By default, whatever domains are not in the allow list are on the deny list, and vice versa.
  • Solo puede crear una directiva por organización.You can create only one policy per organization. Puede actualizar la directiva para incluir más dominios, o puede eliminar la directiva para crear una nueva.You can update the policy to include more domains, or you can delete the policy to create a new one.
  • El número de dominios que puede agregar a una lista de permitidos o de denegación solo se ve limitado por el tamaño de la directiva.The number of domains you can add to an allow list or deny list is limited only by the size of the policy. El tamaño máximo de toda la directiva es de 25 KB (25 000 caracteres), que incluye la lista de permitidos o la lista de denegación y cualquier otro parámetro configurado para otras características.The maximum size of the entire policy is 25 KB (25,000 characters), which includes the allow list or deny list and any other parameters configured for other features.
  • Esta lista funciona con independencia de las listas de permitidos o bloqueados de OneDrive para la Empresa y SharePoint Online.This list works independently from OneDrive for Business and SharePoint Online allow/block lists. Si quiere restringir el uso compartido individual de archivos en SharePoint Online, debe configurar una lista de permitidos o bloqueados para OneDrive para la Empresa y SharePoint Online.If you want to restrict individual file sharing in SharePoint Online, you need to set up an allow or deny list for OneDrive for Business and SharePoint Online. Para más información, consulte Uso compartido de dominios restringidos en SharePoint Online y OneDrive para la Empresa.For more information, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
  • Esta lista no se aplica a usuarios externos que ya han canjeado la invitación.The list does not apply to external users who have already redeemed the invitation. La lista se aplicará después de configurarla.The list will be enforced after the list is set up. Si una invitación de usuario está en estado pendiente y se define una directiva que bloquea su dominio, el intento del usuario para canjear la invitación producirá error.If a user invitation is in a pending state, and you set a policy that blocks their domain, the user's attempt to redeem the invitation will fail.

Definición de la directiva de lista de permitidos o de denegación en el portalSet the allow or deny list policy in the portal

De forma predeterminada, la opción Allow invitations to be sent to any domain (most inclusive) (Permitir que se envíen invitaciones a cualquier dominio [más inclusivo]) está habilitada.By default, the Allow invitations to be sent to any domain (most inclusive) setting is enabled. En este caso, puede invitar a usuarios B2B de cualquier organización.In this case, you can invite B2B users from any organization.

Adición de una lista de denegaciónAdd a deny list

Este es el escenario más típico, donde su organización quiere trabajar con casi cualquier organización, pero desea impedir que los usuarios de dominios específicos sean invitados como usuarios B2B.This is the most typical scenario, where your organization wants to work with almost any organization, but wants to prevent users from specific domains to be invited as B2B users.

Para agregar una lista de denegación:To add a deny list:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione Azure Active Directory > Usuarios > Configuración de usuario.Select Azure Active Directory > Users > User settings.

  3. En Usuarios externos, seleccione Administrar la configuración de colaboración externa.Under External users, select Manage external collaboration settings.

  4. En Restricciones de colaboración, seleccione Deny invitations to the specified domains (Denegar invitaciones a los dominios especificados).Under Collaboration restrictions, select Deny invitations to the specified domains.

  5. En DOMINIOS DE DESTINO, escriba el nombre de uno de los dominios que quiere bloquear.Under TARGET DOMAINS, enter the name of one of the domains that you want to block. Si hay varios dominios, especifique cada dominio en una nueva línea.For multiple domains, enter each domain on a new line. Por ejemplo:For example:

    Muestra la opción de denegación con los dominios agregados

  6. Cuando haya terminado, haga clic en Guardar.When you're done, click Save.

Después de establecer la directiva, si intenta invitar a un usuario de un dominio bloqueado, recibirá un mensaje que indica que la directiva actual de invitación bloquea el dominio del usuario.After you set the policy, if you try to invite a user from a blocked domain, you receive a message saying that the domain of the user is currently blocked by your invitation policy.

Adición de una lista de permitidosAdd an allow list

Esta es una configuración más restrictiva, donde puede establecer dominios específicos en la lista de permitidos y restringir las invitaciones a las otras organizaciones o dominios que no se mencionan.This is a more restrictive configuration, where you can set specific domains in the allow list and restrict invitations to any other organizations or domains that aren't mentioned.

Si desea usar una lista de permitidos, asegúrese de dedicar tiempo a evaluar exhaustivamente las necesidades de su empresa.If you want to use an allow list, make sure that you spend time to fully evaluate what your business needs are. Si hace esta directiva demasiado restrictiva, los usuarios pueden elegir enviar documentos por correo electrónico o buscar otras formas de colaboración no sancionadas por TI.If you make this policy too restrictive, your users may choose to send documents over email, or find other non-IT sanctioned ways of collaborating.

Para agregar una lista de permitidos:To add an allow list:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione Azure Active Directory > Usuarios > Configuración de usuario.Select Azure Active Directory > Users > User settings.

  3. En Usuarios externos, seleccione Administrar la configuración de colaboración externa.Under External users, select Manage external collaboration settings.

  4. En Restricciones de colaboración, seleccione Allow invitations only to the specified domains (most restrictive) (Permitir invitaciones solo a los dominios especificados [más restrictivo]).Under Collaboration restrictions, select Allow invitations only to the specified domains (most restrictive).

  5. En DOMINIOS DE DESTINO, escriba el nombre de uno de los dominios que quiere permitir.Under TARGET DOMAINS, enter the name of one of the domains that you want to allow. Si hay varios dominios, especifique cada dominio en una nueva línea.For multiple domains, enter each domain on a new line. Por ejemplo:For example:

    Muestra la opción de permitir con los dominios agregados

  6. Cuando haya terminado, haga clic en Guardar.When you're done, click Save.

Después de establecer la directiva, si intenta invitar a un usuario de un dominio que no está en la lista de permitidos, recibirá un mensaje que indica que la directiva de invitación actual bloquea el dominio del usuario.After you set the policy, if you try to invite a user from a domain that's not on the allow list, you receive a message saying that the domain of the user is currently blocked by your invitation policy.

Cambio de la lista de permitidos a la lista de denegación y viceversaSwitch from allow to deny list and vice versa

Si cambia de una directiva a la otra, se descarta la configuración de directiva existente.If you switch from one policy to the other, this discards the existing policy configuration. Asegúrese de realizar una copia de seguridad de los detalles de la configuración antes de ejecutar el cambio.Make sure to back up details of your configuration before you perform the switch.

Definición de la directiva de lista de permitidos o lista de denegación con PowerShellSet the allow or deny list policy using PowerShell

Requisito previoPrerequisite

Nota

El módulo AzureADPreview no es un módulo totalmente compatible, ya que se encuentra en versión preliminar.The AzureADPreview Module is not a fully supported module as it is in preview.

Para establecer la lista de permitidos o de denegación mediante PowerShell, debe instalar la versión preliminar del Módulo Azure Active Directory para Windows PowerShell.To set the allow or deny list by using PowerShell, you must install the preview version of the Azure Active Directory Module for Windows PowerShell. En concreto, instale la versión 2.0.0.98 o superior del módulo AzureADPreview.Specifically, install the AzureADPreview module version 2.0.0.98 or later.

Para comprobar la versión del módulo (y ver si está instalado):To check the version of the module (and see if it's installed):

  1. Abra Windows PowerShell como usuario con privilegios elevados (Ejecutar como administrador).Open Windows PowerShell as an elevated user (Run as Administrator).

  2. Ejecute el siguiente comando para ver si tiene alguna versión del Módulo Azure Active Directory para Windows PowerShell instalada en el equipo:Run the following command to see if you have any versions of the Azure Active Directory Module for Windows PowerShell installed on your computer:

    Get-Module -ListAvailable AzureAD*
    

Si el módulo no está instalado o no tiene la versión adecuada, realice lo siguiente:If the module is not installed, or you don't have a required version, do one of the following:

  • Si no se devuelve ningún resultado, ejecute el siguiente comando para instalar la versión más reciente del módulo AzureADPreview:If no results are returned, run the following command to install the latest version of the AzureADPreview module:

    Install-Module AzureADPreview
    
  • Si solo se muestra el módulo AzureAD en los resultados, ejecute los comandos siguientes para instalar el módulo AzureADPreview:If only the AzureAD module is shown in the results, run the following commands to install the AzureADPreview module:

    Uninstall-Module AzureAD 
    Install-Module AzureADPreview 
    
  • Si solo se muestra el módulo AzureADPreview en los resultados, pero la versión es inferior a 2.0.0.98, ejecute los siguientes comandos para actualizarla:If only the AzureADPreview module is shown in the results, but the version is less than 2.0.0.98, run the following commands to update it:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Si ambos módulos, AzureAD y AzureADPreview, se muestran en los resultados, pero la versión del módulo AzureADPreview es inferior a la 2.0.0.98, ejecute los siguientes comandos para actualizarla:If both the AzureAD and AzureADPreview modules are shown in the results, but the version of the AzureADPreview module is less than 2.0.0.98, run the following commands to update it:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Uso de los cmdlets de AzureADPolicy para configurar la directivaUse the AzureADPolicy cmdlets to configure the policy

Para crear una lista de permitidos o de denegación, use el cmdlet New-AzureADPolicy.To create an allow or deny list, use the New-AzureADPolicy cmdlet. En el ejemplo siguiente se muestra cómo establecer una lista de denegación que bloquea el dominio "live.com".The following example shows how to set a deny list that blocks the "live.com" domain.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

A continuación se muestra el mismo ejemplo, pero con la definición de directiva insertada.The following shows the same example, but with the policy definition inline.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Para establecer la directiva de lista de permitidos o de denegación, use el cmdlet Set-AzureADPolicy.To set the allow or deny list policy, use the Set-AzureADPolicy cmdlet. Por ejemplo:For example:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Para obtener la directiva, use el cmdlet Get-AzureADPolicy.To get the policy, use the Get-AzureADPolicy cmdlet. Por ejemplo:For example:

$currentpolicy = Get-AzureADPolicy | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Para quitar la directiva, use el cmdlet Remove-AzureADPolicy.To remove the policy, use the Remove-AzureADPolicy cmdlet. Por ejemplo:For example:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Pasos siguientesNext steps