Запретить добавлять гостей в определенную группу Microsoft 365 или Microsoft Teams группу

Если вы хотите разрешить гостевой доступ большинству групп и групп, но имеете некоторые из них, где необходимо предотвратить гостевой доступ, вы можете заблокировать гостевой доступ для отдельных групп и групп. (Блокировка гостевого доступа к группе делается путем блокировки гостевого доступа к связанной группе.) Это не позволяет добавлять новых гостей, но не удаляет гостей, которые уже находятся в группе или команде.

Если в организации используются метки конфиденциальности, рекомендуется использовать их для управления гостевых доступом на групповой основе. Сведения о том, как это сделать, используйте метки конфиденциальности для защиты контента в Microsoft Teams, Microsoft 365 группах и SharePoint сайтах. Это рекомендуемый подход.

Изменение параметров группы с помощью Microsoft PowerShell

Вы также можете предотвратить добавление новых гостей в отдельные группы с помощью PowerShell. (Помните, что связанный с SharePoint веб-сайт группы имеет отдельные элементы управления гостевых обменов.)

Чтобы изменить параметр гостевого доступа на групповом уровне, необходимо использовать предварительную версию Azure Active Directory PowerShell для Graph (имя модуля AzureADPreview).

  • Если вы еще не установили ни одной версии модуля Azure AD PowerShell, см. раздел Установка модуля Azure AD и следуйте инструкциям по установке общедоступной предварительной версии.

  • Если у вас установлена общедоступная версия 2.0 модуля Azure AD PowerShell (AzureAD), вам требуется удалить ее, выполнив команду Uninstall-Module AzureAD в сеансе PowerShell, а затем установить предварительную версию, выполнив команду Install-Module AzureADPreview.

  • Если вы уже установили предварительную версию, выполните команду Install-Module AzureADPreview, чтобы убедиться, что это последняя версия модуля.

Примечание

Для запуска этих команд необходимо иметь глобальные права администратора.

Запустите следующий сценарий, изменив имя группы, в которой необходимо / заблокировать гостевой доступ.

$GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

Чтобы проверить параметры, запустите эту команду:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Проверка выглядит так:

Снимок экрана окна PowerShell, показывающий, что доступ к гостевой группе был заведомо ложным.

Если вы хотите изменить параметр, чтобы разрешить гостевой доступ к определенной группе, запустите следующий сценарий, изменив имя группы, в которой необходимо разрешить гостевой <GroupName> доступ.

$GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$True
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
$id = (get-AzureADObjectSetting -TargetType groups -TargetObjectId $groupID).id
Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy -id $id

Разрешить или заблокировать гостевой доступ на основе домена

Вы можете разрешить или заблокировать гостей, использующих определенный домен. Например, если ваш бизнес (Contoso) имеет партнерские отношения с другим бизнесом (Fabrikam), вы можете добавить Fabrikam в список допуска, чтобы пользователи могли добавлять этих гостей в свои группы.

Дополнительные сведения см. в дополнительных сведениях: Разрешить или блокировать приглашения пользователям B2B из определенных организаций.

Добавление гостей в глобальный список адресов

По умолчанию гости не видны в глобальном списке Exchange адресов. Используйте указанные ниже действия, чтобы сделать гостя видимым в глобальном списке адресов.

Найдите объектный объект гостя при запуске:

Get-AzureADUser -Filter "userType eq 'Guest'"

Затем запустите следующие значения, используя соответствующие значения для ObjectID, GivenName, Surname, DisplayName и PhoneNumber.

Set-AzureADUser -ObjectId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList $true -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -TelephoneNumber '555-555-5555'

Рекомендации по планированию управления совместной работой

Создание плана управления совместной работой

Управление членством группы в Центр администрирования Microsoft 365

Azure Active Directory доступа

Set-AzureADUser