Permitir ou bloquear convites para usuários B2B de organizações específicas

Você pode usar uma lista de permitidos ou uma lista de bloqueados para permitir ou bloquear convites a usuários de colaboração B2B de organizações específicas. Por exemplo, se você quiser bloquear domínios de endereço de email pessoal, você pode configurar uma lista de bloqueados que contenha domínios como Gmail.com e Outlook.com. Ou, se a empresa tiver parceria com outras empresas como Contoso.com, Fabrikam.com e Litware.com e você quiser restringir convites somente a essas organizações, adicione Contoso.com, Fabrikam.com e Litware.com à lista de permitidos.

Este artigo discute duas maneiras de configurar uma lista de permitidos ou de bloqueados para colaboração B2B:

• No portal, configurando restrições de colaboração em Configurações de colaboração externa da organização
• Por meio do PowerShell

Considerações importantes

• Você pode criar uma lista de permitidos ou uma lista de bloqueados. Você não pode configurar os dois tipos de listas. Por padrão, todos os domínios que não estão na lista de permitidos, estão na lista de bloqueados, e vice-versa.
• Você pode criar apenas uma política por organização. Você pode atualizar a política para incluir mais domínios ou você pode excluir a política para criar uma nova.
• O número de domínios que você pode adicionar a uma lista de permitidos ou de bloqueados é limitado apenas pelo tamanho da política. Esse limite se aplica ao número de caracteres, ou seja, você pode ter um número maior de domínios mais curtos ou menos domínios maiores. O tamanho máximo de toda a política é 25 KB (25 mil caracteres), que inclui a lista de permitidos ou a lista de bloqueados e os outros parâmetros configurados para outros recursos.
• Esta lista funciona independentemente das listas de permissão/bloqueio do OneDrive e do SharePoint Online. Se você quiser restringir o compartilhamento de arquivo no SharePoint Online, configure uma lista de permitidos ou de bloqueados para o One Drive e para o SharePoint Online. Para obter mais informações, consulte Compartilhamento restrito de conteúdo do SharePoint e do OneDrive por domínio.
• A lista não se aplica a usuários externos que já resgataram o convite. A lista será aplicada depois que for configurada. Se um convite do usuário estiver em um estado pendente e você definir uma política que bloqueia o domínio dele, a tentativa do usuário de resgatar o convite falhará.
• As configurações de lista de permissões/bloqueios e de acesso entre locatários são verificadas no momento do convite.

Configurar a política de lista de permitidos ou de bloqueados no portal

Por padrão, a Permitir o envio de convites para qualquer domínio (mais inclusivo) está habilitada. Nesse caso, você pode convidar usuários B2B de qualquer organização.

Adicionar uma lista de bloqueados

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Esse é o cenário mais comum, onde sua organização deseja trabalhar com quase qualquer empresa, mas quer impedir que os usuários de domínios específicos sejam convidados como usuários B2B.

Para adicionar uma lista de bloqueados:

1. Entre no centro de administração do Microsoft Entra como Administrador global.

2. Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.

3. Em Restrições de colaboração, selecione Negar convites para os domínios especificados.

4. Em Domínios de destino, insira o nome de um dos domínios que você deseja bloquear. Para vários domínios, insira cada domínio em uma nova linha. Por exemplo:

   

5. Quando terminar, selecione Salvar.

Depois de definir a política, se tentar convidar um usuário de um domínio bloqueado, você receberá uma mensagem dizendo que o domínio do usuário está bloqueado no momento pela sua política de convite.

Adicionar uma lista de permitidos

Com essa configuração mais restritiva, você pode definir domínios específicos na lista de permitidos e restringir convites para outras organizações ou domínios que não sejam mencionados.

Se você quiser usar uma lista de permitidos, faça uma avaliação completa de quais são suas necessidades comerciais. Se você tornar essa política muito restritiva, seus usuários poderão optar por enviar documentos por email ou encontrar outras formas de colaboração não sancionadas pelo TI.

Para adicionar uma lista de permitidos:

1. Entre no centro de administração do Microsoft Entra como Administrador global.

2. Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.

3. Em Restrições de colaboração, selecione Permitir convites somente para os domínios especificados (mais restritivos).

4. Em Domínios de destino, insira o nome de um dos domínios que você deseja permitir. Para vários domínios, insira cada domínio em uma nova linha. Por exemplo:

   

5. Quando terminar, selecione Salvar.

Depois de definir a política, se você tentar convidar um usuário de um domínio que não esteja na lista de permitidos, receberá uma mensagem dizendo que o domínio do usuário está bloqueado no momento pela sua política de convite.

Alternar da lista de permitidos para a lista de bloqueados e vice-versa

A mudança de uma política para outra descarta a configuração de política existente. Certifique-se de fazer backup dos detalhes da sua configuração antes de executar a alternação.

Definir a política de permitidos ou de bloqueados usando o PowerShell

Pré-requisito

Observação

O módulo AzureADPreview não é um módulo com suporte total, pois está em versão prévia.

Para definir a permissão ou a lista de bloqueio utilizando o PowerShell, você deve instalar a versão prévia do módulo do Microsoft Azure AD PowerShell. Especificamente, instale a versão do módulo AzureADPreview versão 2.0.0.98 ou posterior.

Para verificar a versão do módulo (e se ele está instalado):

1. Abra o Windows PowerShell como um usuário com privilégios elevados (Executar como Administrador).

2. Execute o seguinte comando para ver se você tem alguma versão do módulo do Microsoft AD PowerShell instalada no seu computador:

   Get-Module -ListAvailable AzureAD*
   

Se o módulo não estiver instalado ou se você não tem uma versão necessária, siga um destes procedimentos:

• Se nenhum resultado for retornado, execute o seguinte comando para instalar a versão mais recente do módulo AzureADPreview:

  Install-Module AzureADPreview
  

• Se apenas o módulo AzureAD for exibido nos resultados, execute os comandos a seguir para instalar o módulo AzureADPreview:

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Se apenas o módulo AzureADPreview for exibido nos resultados, mas a versão for menor que 2.0.0.98, execute os seguintes comandos para atualizá-lo:

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• Se apenas os módulos AzureAD e AzureADPreview forem exibidos nos resultados, mas a versão do módulo AzureADPreview for menor que 2.0.0.98, execute os seguintes comandos para atualizá-lo:

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

Use os cmdlets de AzureADPolicy para configurar a política

Para criar uma lista de permitidos ou de bloqueados, use o cmdlet New-AzureADPolicy. O exemplo a seguir mostra como definir uma lista de bloqueados que bloqueia o domínio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

O mesmo exemplo é exibido a seguir, mas com de definição da política embutida.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Para definir uma lista de permitidos ou de bloqueados, use o cmdlet Set-AzureADPolicy. Por exemplo:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Para obter a política, use o cmdlet AzureADPolicy. Por exemplo:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Para remover a política, use o cmdlet Remove-AzureADPolicy. Por exemplo:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Próximas etapas

• Configurações de acesso entre locatários
• Configuração de colaboração externa.