Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer

Du kan använda en lista över tillåtna eller en neka för att tillåta eller blockera inbjudningar till B2B-användare från vissa organisationer. Om du till exempel vill blockera privata e-postadresser kan du konfigurera en lista över nekade domäner som innehåller domäner som Gmail.com och Outlook.com. Eller, om ditt företag har ett partnerskap med andra företag som Contoso.com, Fabrikam.com och Litware.com, och du vill begränsa inbjudningar till dessa organisationer, kan du lägga till Contoso.com, Fabrikam.com och Litware.com i listan över tillåtna.

Att tänka på

  • Du kan skapa antingen en lista över tillåtna eller nekade listor. Du kan inte konfigurera båda typerna av listor. Som standard är de domäner som inte finns i listan över tillåtna i listan över nekade, och vice versa.
  • Du kan bara skapa en princip per organisation. Du kan uppdatera principen för att inkludera fler domäner, eller så kan du ta bort principen för att skapa en ny.
  • Antalet domäner som du kan lägga till i en lista över tillåtna eller nekade listor begränsas bara av principens storlek. Den här gränsen gäller för antalet tecken, så du kan ha mer kortare domäner eller färre längre domäner. Den maximala storleken för hela principen är 25 KB (25 000 tecken) som innehåller listan över tillåtna eller nekade listor och andra parametrar som har kon figurer ATS för andra funktioner.
  • Listan fungerar oberoende av listor över tillåtna/blockerade OneDrive för företag och SharePoint Online. Om du vill begränsa enskilda fildelningar i SharePoint Online måste du konfigurera en lista över tillåtna eller nekade för OneDrive för företag och SharePoint Online. Mer information finns i avsnittet begränsade domäner som delas i SharePoint Online och OneDrive för företag.
  • Listan gäller inte för externa användare som redan har löst in inbjudan. Listan kommer att verkställas när listan har kon figurer ATS. Om en användar inbjudan är i ett väntande tillstånd och du anger en princip som blockerar sin domän, kommer användarens försök att lösa in inbjudan att Miss lyckas.

Ange List principen Tillåt eller neka i portalen

Som standard är inställningen Tillåt att inbjudningar skickas till alla domäner (mest inkluderade) aktive rad. I det här fallet kan du bjuda in B2B-användare från vilken organisation som helst.

Lägg till en neka-lista

Detta är det vanligaste scenariot, där din organisation vill arbeta med nästan vilken organisation som helst, men vill förhindra att användare från vissa domäner bjuds in som B2B-användare.

Så här lägger du till en neka-lista:

  1. Logga in på Azure-portalen.

  2. Välj Azure Active Directory > > användar inställningar för användare.

  3. Under externa användare väljer du Hantera inställningar för externt samarbete.

  4. Under samarbets begränsningar väljer du neka inbjudningar till de angivna domänerna.

  5. Under mål domäner anger du namnet på en av de domäner som du vill blockera. För flera domäner anger du varje domän på en ny rad. Exempel:

    Visar alternativet neka med tillagda domäner

  6. När du är klar klickar du på Spara.

Om du försöker bjuda in en användare från en blockerad domän efter att du har angett principen, får du ett meddelande om att användarens domän för närvarande är blockerad av din Inbjudnings princip.

Lägg till en lista över tillåtna

Detta är en mer restriktiv konfiguration, där du kan ange vissa domäner i listan över tillåtna och begränsa inbjudningar till andra organisationer eller domäner som inte nämns.

Om du vill använda en lista över tillåtna, se till att du tillbringar tid för att helt utvärdera vad ditt företag behöver. Om du gör den här principen för begränsad kan användarna välja att skicka dokument via e-post eller hitta andra icke-sanktionerade samarbets sätt.

Så här lägger du till en lista över tillåtna:

  1. Logga in på Azure-portalen.

  2. Välj Azure Active Directory > > användar inställningar för användare.

  3. Under externa användare väljer du Hantera inställningar för externt samarbete.

  4. Under samarbets begränsningar väljer du Tillåt endast inbjudningar till de angivna domänerna (mest restriktiva).

  5. Under mål domäner anger du namnet på en av de domäner som du vill tillåta. För flera domäner anger du varje domän på en ny rad. Exempel:

    Visar alternativet Tillåt med tillagda domäner

  6. När du är klar klickar du på Spara.

Om du försöker bjuda in en användare från en domän som inte finns med i listan över tillåtna, visas ett meddelande om att användarens domän för närvarande är blockerad av din Inbjudnings princip när du har angett principen.

Växla från Tillåt till neka-lista och vice versa

Om du växlar från en princip till en annan, ignorerar den befintliga princip konfigurationen. Se till att säkerhetskopiera information om konfigurationen innan du utför växeln.

Ange List principen Tillåt eller neka med hjälp av PowerShell

Förutsättning

Anteckning

AzureADPreview-modulen är inte en fullt stödd modul som den är i för hands version.

Om du vill ange listan över tillåtna eller nekade med hjälp av PowerShell måste du installera för hands versionen av Azure Active Directory-modulen för Windows PowerShell. Mer specifikt kan du installera AzureADPreview-modulen version 2.0.0.98 eller senare.

Kontrol lera versionen för modulen (och se om den är installerad):

  1. Öppna Windows PowerShell som en utökad användare (kör som administratör).

  2. Kör följande kommando för att se om du har några versioner av Azure Active Directory-modulen för Windows PowerShell installerat på datorn:

    Get-Module -ListAvailable AzureAD*
    

Om modulen inte är installerad eller om du inte har en version som krävs, gör du något av följande:

  • Om inga resultat returneras kör du följande kommando för att installera den senaste versionen av AzureADPreview-modulen:

    Install-Module AzureADPreview
    
  • Om endast AzureAD-modulen visas i resultatet kör du följande kommandon för att installera AzureADPreview-modulen:

    Uninstall-Module AzureAD 
    Install-Module AzureADPreview 
    
  • Om endast AzureADPreview-modulen visas i resultatet, men versionen är mindre än 2.0.0.98, kör du följande kommandon för att uppdatera den:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Om både AzureAD-och AzureADPreview-modulerna visas i resultatet, men versionen av AzureADPreview-modulen är mindre än 2.0.0.98 kör du följande kommandon för att uppdatera den:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Använd AzureADPolicy-cmdletar för att konfigurera principen

Använd cmdleten New-AzureADPolicy för att skapa en lista över tillåtna eller nekade. I följande exempel visas hur du anger en neka-lista som blockerar domänen "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Följande visar samma exempel, men med princip definitionen infogad.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Använd cmdleten set-AzureADPolicy för att ange List principen för att tillåta eller neka. Exempel:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Använd cmdleten Get-AzureADPolicy för att hämta principen. Exempel:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Använd cmdleten Remove-AzureADPolicy om du vill ta bort principen. Exempel:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Nästa steg