Разрешение и блокировка гостевого доступа к группам Office 365Allow/Block guest access to Office 365 groups

Вы можете разрешить или заблокировать доступ для пользователей-гостей, почта которых отправляется с определенного домена. Например, ваше предприятие (Contoso) сотрудничает с другим предприятием (Fabrikam). Вы можете добавить Fabrikam в список разрешений, чтобы пользователи из вашей компании могли добавлять соответствующих гостей в свои группы.You can allow or block guest users who are using a specific domain. For example, let's say your business (Contoso) has a partnership with another business (Fabrikam). You can add Fabrikam to your Allow list so your users can add those guests to their groups.

Или, предположим, нужно заблокировать домены адресов личной электронной почты. Вы можете настроить список блокировок, в котором указаны такие домены, как Gmail.com и Outlook.com. Or, let's say you want to block personal email address domains. You can set up a Block list that contains domains like Gmail.com and Outlook.com.

Важные сведения об использовании списков блокировокImportant information about how block lists work

  • Этот компонент в данный момент находится только в предварительной версии и как часть лицензии Office 365. На общей доступности этой функции станут это предложение Premium Azure Active Directory (AAD) и требуется лицензия на расширенный AAD.This feature is currently only in Preview and as part of an Office 365 license. On General Availability, this feature will become an Azure Active Directory (AAD) Premium offering and will require an AAD premium license.

  • Вы можете создать список разрешений или блокировок. Но невозможно настроить оба типа списков. Все домены, которые не указаны в списке разрешений, по умолчанию добавляются в список блокировок, и наоборот.You can create either an Allow list or Block list. But you can't set up both types of lists. By default, whatever domains are not in an Allow list are on a Block list, and vice versa.

  • Для одной организации можно настроить только одну политику. Вы можете обновить эту политику, добавив другие домены, или удалить ее и создать новую.You can create only one policy per organization. You can update that policy with more domains, or you can delete that policy to create a new one.

  • Этот список никак не связан со списком разрешений или блокировок в SharePoint Online. Если вам нужно ограничить предоставление общего доступа к определенным файлам отдельным пользователям для сайта, связанного с группой Office 365, настройте список разрешений или блокировок для SharePoint Online.This list works independently from SPO allow/block list. You would need to set-up Allow/Block list for SPO if you want to restrict individual file sharing of Group connected site.

  • Этот список не применяется к уже добавленным гостевым членам. Его действие распространяется на всех гостей, добавляемых после его настройки. Но можно удалять таких гостей при помощи скрипта.This list doesn't apply to already added guest members, this will be enforced for all the guests added after the list is set-up. However, you can remove them through the script.

Установка ознакомительной версии модуля Azure Active Directory для Windows PowerShellInstall the preview version of the Azure Active Directory Module for Windows PowerShell

ВАЖНО! Для выполнения процедур, описанных в этой статье, требуется ОЗНАКОМИТЕЛЬНАЯ версия модуля Azure AD для Windows PowerShell (модуль AzureADPreview версии 2.0.0.98 или более поздней).IMPORTANT: The procedures in this article require the PREVIEW version Azure Active Directory Module for Windows PowerShell, specifically, the AzureADPreview module version 2.0.0.98 or later.

  1. Запустите Windows PowerShell от имени администратора:Open Windows PowerShell as an administrator:

  2. В поле поиска введите Windows PowerShell.In your search bar, type Windows PowerShell.

  3. Щелкните правой кнопкой мыши "Windows PowerShell" и выберите команду Запуск от имени администратора.Right-click on Windows PowerShell and select Run as Administrator.

    Откроется окно Windows PowerShell. Строка C:\Windows\system32 означает, что запуск выполнен от имени администратора.The Windows PowerShell window will pop open. The prompt C:\Windows\system32 means you opened it as an administrator.

  4. Чтобы проверить, установлена ли на вашем компьютере какая-то версия модуля Azure Active Directory для Windows PowerShell, выполните эту команду:Run this command to see if you have any versions of the Azure Active Directory Module for Windows PowerShell installed on your computer:

    Get-Module -ListAvailable AzureAD*
    
    • Если результаты не возвращаются, выполните указанную ниже команду, чтобы установить модуль AzureADPreview.If no results are returned, run this command to install the latest version of the AzureADPreview module:
    Install-Module AzureADPreview
    
    • Если в результатах показан только модуль AzureAD, выполните указанную ниже команду, чтобы установить модуль AzureADPreview.If only the AzureAD module is shown in the results, run these commands to install the AzureADPreview module:
    Uninstall-Module AzureAD
    
    Install-Module AzureADPreview
    
    • Если в результатах отображается только модуль AzureADPreview, но его версия более ранняя, чем 2.0.0.98, выполните указанную ниже команду, чтобы обновить ее.If only the AzureADPreview module is shown in the results, but the version is less than 2.0.0.98, run these commands to update it:
    Uninstall-Module AzureADPreview
    
    Install-Module AzureADPreview
    
    • Если оба AzureAD и ** AzureADPreview ** модули, перечислены в списке результатов, но версию модуля AzureADPreview меньше, чем 2.0.0.98, выполните следующие команды для его обновления:If both the AzureAD and ** AzureADPreview ** modules are shown in the results, but the version of the AzureADPreview module is less than 2.0.0.98, run these commands to update it:
    Uninstall-Module AzureAD
    
    Uninstall-Module AzureADPreview
    
    Install-Module AzureADPreview
    

Создание политики списков разрешений или блокировокCreate a new Allow or Block list policy

  1. Вы установили модуль AzureADPreview согласно приведенным выше инструкциям? Основная причина, по которой эти шаги не приводят к нужному результату, — это отсутствие ознакомительной версии.Did you install the AzureADPreview module as instructioned above? Not having the preview version is the #1 reason these steps don't work for people.

  2. Перейдите к скрипта для разрешенных и запрещенных политики в центре загрузки Майкрософт, чтобы загрузить скрипт ( Set-GuestAllowBlockDomainPolicy.ps1) для политики разрешенных и запрещенных.Go to Script for Allow/Block policy at Microsoft Download Center to download the script ( Set-GuestAllowBlockDomainPolicy.ps1) for Allow/Block policy.

  3. Запустите этот скрипт, выполнив следующую команду:Run the script with this command:

    Set-GuestAllowBlockDomainPolicy.ps1 -Update -AllowList @("contoso.com", "fabrikam.com")
    

    Домены contoso.com и fabrikam.com, указанные в этой команде, требуется заменить доменами, которые нужно разрешить.Where you replace contoso.com and fabrikam.com with the domains you want to allow.

    ИЛИOR

         Set-GuestAllowBlockDomainPolicy.ps1 -Update -BlockList @("contoso.com", "fabrikam.com")
    

    Помните, что можно создать только одну политику. При попытке создать дополнительную возникнет ошибка. Remember, you can create only one policy. You'll get an error if you try to create another one.

Замена списка доменов для существующей политикиReplace the existing policy with a new list of domains

Чтобы заменить список доменов для существующей политики, выполните следующую команду:To replace the existing policy with new list of domains, run this command:

Set-GuestAllowBlockDomainPolicy.ps1 -Update -AllowList @("contoso.com", "fabrikam.com")

Домены contoso.com и fabrikam.com, указанные в этой команде, требуется заменить доменами, которые нужно разрешить.Where you replace contoso.com and fabrikam.com with the domains you want to allow.

ИЛИOR

Set-GuestAllowBlockDomainPolicy.ps1 -Update -BlockList @("contoso.com", "fabrikam.com")

Добавление дополнительных доменов в существующую политикуAdd more domains to an existing policy

Чтобы добавить новый домен в политику, выполните эту команду:To append a new domain to the your policy, run this command:

Set-GuestAllowBlockDomainPolicy.ps1 -Append -AllowList @("contoso.com")

Домены contoso.com и fabrikam.com, указанные в этой команде, требуется заменить доменами, которые нужно разрешить.Where you replace contoso.com and fabrikam.com with the domains you want to allow.

ИЛИOR

Set-GuestAllowBlockDomainPolicy.ps1 -Append -BlockList @("contoso.com")

Перенос существующей политики разрешений или блокировок из SharePoint OnlineMigrate the existing allow/block policy from SharePoint Online

Этот список никак не связан со списком разрешений или блокировок в SharePoint Online. Если вам нужно ограничить предоставление общего доступа к определенным файлам отдельным пользователям для сайта, связанного с группой Office 365, настройте список разрешений или блокировок для SharePoint Online. This list works independently from the SharePoint Online allow/block list. You would need to set up allow/block list for SharePoint Online if you want to restrict individual file sharing of Group connected site.

Если в вашей организации уже существует такой список для SharePoint Online, можно перенести его с помощью указанной ниже команды.However, if your organization already has an allow/block list for SharePoint Online, you can migrate that list using this command.

  1. Установите средство управления SharePoint Online.Install the SharePoint Online Management tool.

  2. Выполните эту команду:Run this command:

    Set-GuestAllowBlockDomainPolicy.ps1 -MigrateFromSharepoint
    

Очистка списка доменовClear the domain list

Чтобы удалить все домены из политики, выполните следующую команду:To remove all the domains from your policy, run this command:

Set-GuestAllowBlockDomainPolicy.ps1 -Remove

Скрипт для политики разрешений или блокировокScript for Allow/Block policy

Перейдите к скрипта для разрешенных и запрещенных политики в центре загрузки Майкрософт, чтобы загрузить скрипт ( Set-GuestAllowBlockDomainPolicy.ps1) для политики разрешенных и запрещенных.Go to Script for Allow/Block policy at Microsoft Download Center to download the script ( Set-GuestAllowBlockDomainPolicy.ps1) for Allow/Block policy.