Разрешение или запрет приглашений для пользователей B2B из определенных организаций

С помощью списка разрешений или блокировок можно предоставить или отозвать приглашения пользователям службы совместной работы B2B из отдельных организаций. Например, если вы хотите заблокировать домены личного адреса электронной почты, можно настроить список блокировок, содержащий домены, такие как Gmail.com и Outlook.com. Или, если ваша организация сотрудничает с другими предприятиями, например Contoso.com, Fabrikam.com и Litware.com, и вы хотите предоставлять приглашения только им, добавьте Contoso.com, Fabrikam.com и Litware.com в список разрешений.

В этой статье рассматриваются два способа настройки списка разрешений или блокировок для Совместной работы B2B:

• настройка ограничений для совместной работы в разделе Параметры внешнего взаимодействия для вашей организации на портале;
• Через PowerShell

Важные замечания

• Вы можете создать список разрешений или список блокировок. Настроить оба типа списков нельзя. По умолчанию все домены, которые не входят в список разрешений, помещаются в список блокировок, и наоборот.
• Для организации можно создать только одну политику. Ее можно обновить, чтобы включить дополнительные домены. Кроме того, вы можете удалить политику, чтобы создать другую.
• Число доменов, которые можно добавить в список разрешений или список блокировок, ограничивается только размером политики. Это ограничение применяется к числу символов, поэтому можно использовать большее число коротких доменов или меньшее число длинных доменов. Максимальный размер всей политики составляет 25 КБ (25 000 символов), включая список разрешений или список блокировок, а также другие параметры, настроенные для других функций.
• Этот список работает независимо от списков разрешений и блокировок OneDrive и SharePoint Online. Если вы хотите ограничить отдельный общий доступ к файлам в SharePoint Online, необходимо настроить список разрешений или блокировки для OneDrive и SharePoint Online. Дополнительные сведения см. в разделе "Ограничение общего доступа к содержимому SharePoint и OneDrive по домену".
• Список не применяется к внешним пользователям, которые уже активировали приглашение. Список будет действовать после его настройки. Если приглашение пользователя находится в состоянии ожидания, и вы устанавливаете политику, которая блокирует свой домен, попытка пользователя активировать приглашение завершается сбоем.
• Список разрешений и блокировок и параметры доступа между клиентами проверка во время приглашения.

Настройка политики списка разрешений и блокировок на портале

Параметр Allow invitations to be sent to any domain (most inclusive) (Разрешить отправлять приглашения любому домену (всеохватный)) активирован по умолчанию. В этом случае вы можете пригласить пользователей B2B из любой организации.

Добавление списка блокировок

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Это самый распространенный сценарий, когда ваша организация хочет сотрудничать со всеми организациями, но не желает приглашать пользователей определенных доменов в качестве пользователей B2B.

Чтобы добавить список блокировок, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

2. Перейдите к параметрам внешней совместной работы удостоверений>>.

3. В разделе Collaboration restrictions (Ограничения сотрудничества) выберите Deny invitations to the specified domains (Запретить отправлять приглашения указанным доменам).

4. В разделе "Целевые домены" введите имя одного из доменов, которые требуется заблокировать. Если нужно заблокировать несколько доменов, вводите каждый из них в новой строке. Например:

   

5. По завершении выберите Сохранить.

Если вы настроите политику и попытаетесь пригласить пользователя из заблокированного домена, отобразится сообщение о том, что домен пользователя заблокирован политикой приглашений.

Добавление списка разрешений

С помощью этой более строгой конфигурации можно задать определенные домены в списке разрешений и ограничить приглашения любым другим организациям или доменам, которые не упоминание.

Прежде чем использовать список разрешений, убедитесь, что вы полностью проанализировали потребности своего бизнеса. Если эта политика слишком ограничена, пользователи могут отправлять документы по электронной почте или находить другие неуправляемые способы совместной работы.

Чтобы добавить список разрешений, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

2. Перейдите к параметрам внешней совместной работы удостоверений>>.

3. В разделе Ограничения взаимодействия выберите Разрешить отправку приглашений только в указанные домены (максимальное ограничение).

4. В разделе "Целевые домены" введите имя одного из доменов, которые требуется разрешить. Если нужно заблокировать несколько доменов, вводите каждый из них в новой строке. Например:

   

5. По завершении выберите Сохранить.

Если вы настроите политику и попытаетесь пригласить пользователя, домен которого не добавлен в список разрешений, отобразится сообщение о том, что домен пользователя заблокирован политикой приглашений.

Переход со списка разрешений на список блокировок и наоборот

Переключение из одной политики в другую карта существующей конфигурации политики. Прежде чем выполнить переход, создайте резервные копии сведений о конфигурации.

Настройка списка разрешений или блокировок с помощью PowerShell

Необходимые условия

Примечание.

Модуль AzureADPreview поддерживается не полностью, так как он предоставляется в предварительной версии.

Чтобы задать список разрешений или блокировок с помощью PowerShell, необходимо установить предварительную версию модуля Azure AD PowerShell. В частности, установите модуль AzureADPreview 2.0.0.98 или более поздней версии.

Чтобы проверить версию модуля (и проверить, установлен ли он), сделайте следующее:

1. Откройте Windows PowerShell с повышенными правами пользователя (запустите от имени администратора).

2. Выполните следующую команду, чтобы узнать, установлены ли на компьютере какие-либо версии модуля Azure AD PowerShell:

   Get-Module -ListAvailable AzureAD*
   

Если модуль не установлен или у вас нет требуемой версии, выполните одно из следующих действий.

• Если результаты не возвращаются, выполните следующую команду, чтобы установить последнюю версию AzureADPreview модуля:

  Install-Module AzureADPreview
  

• Если в результатах отображается только AzureAD модуль, выполните следующие команды, чтобы установить AzureADPreview модуль:

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Если в результатах отображается только AzureADPreview модуль, но версия меньше 2.0.0.98, выполните следующие команды, чтобы обновить его:

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• Если оба AzureADAzureADPreview модуля отображаются в результатах, но версия AzureADPreview модуля меньше 2.0.0.98, выполните следующие команды, чтобы обновить его:

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

Настройка политики с помощью командлетов AzureADPolicy

Чтобы создать список разрешений или блокировок, используйте командлет New-AzureADPolicy. В следующем примере показано, как настроить список блокировок, который блокирует домен live.com.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Далее приведен идентичный пример, но со встроенным определением политики.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Чтобы настроить политику разрешений или блокировок, используйте командлет Set-AzureADPolicy. Например:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Чтобы получить политику, выполните командлет Get-AzureADPolicy. Например:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Чтобы удалить политику, выполните командлет Remove-AzureADPolicy. Например:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Следующие шаги

• Параметры доступа между клиентами
• Параметры внешней совместной работы.