Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer

  • Artikel

Du kan använda en tillåten lista eller en blockeringslista för att tillåta eller blockera inbjudningar till B2B-samarbetsanvändare från specifika organisationer. Om du till exempel vill blockera domäner för personliga e-postadresser kan du konfigurera en blockeringslista som innehåller domäner som Gmail.com och Outlook.com. Eller om ditt företag har ett partnerskap med andra företag som Contoso.com, Fabrikam.com och Litware.com, och du vill begränsa inbjudningar till endast dessa organisationer, kan du lägga till Contoso.com, Fabrikam.com och Litware.com i listan över tillåtna.

I den här artikeln beskrivs två sätt att konfigurera en tillåtna eller blockeringslista för B2B-samarbete:

Viktigt!

  • Du kan skapa antingen en tillåten lista eller en blockeringslista. Du kan inte konfigurera båda typerna av listor. Som standard finns de domäner som inte finns i listan över tillåtna i blocklistan och vice versa.
  • Du kan bara skapa en princip per organisation. Du kan uppdatera principen så att den innehåller fler domäner, eller så kan du ta bort principen för att skapa en ny.
  • Antalet domäner som du kan lägga till i en tillåtna lista eller blocklista begränsas endast av principens storlek. Den här gränsen gäller för antalet tecken, så du kan ha ett större antal kortare domäner eller färre längre domäner. Den maximala storleken för hela principen är 25 KB (25 000 tecken), vilket inkluderar listan över tillåtna eller blockerade värden och andra parametrar som konfigurerats för andra funktioner.
  • Den här listan fungerar oberoende av tillåtna/block-listor i OneDrive och SharePoint Online. Om du vill begränsa enskilda fildelningar i SharePoint Online måste du konfigurera en tillåtna eller blockeringslista för OneDrive och SharePoint Online. Mer information finns i Begränsa delning av SharePoint- och OneDrive-innehåll efter domän.
  • Listan gäller inte för externa användare som redan har löst in inbjudan. Listan tillämpas när listan har konfigurerats. Om en användarinbjudan är i ett väntande tillstånd och du anger en princip som blockerar deras domän misslyckas användarens försök att lösa in inbjudan.
  • Både tillåt/blockera-listan och inställningarna för åtkomst mellan klientorganisationer kontrolleras vid tidpunkten för inbjudan.

Ange principen tillåt eller blockera lista i portalen

Som standard är inställningen Tillåt att inbjudningar skickas till valfri domän (mest inkluderande) aktiverad. I det här fallet kan du bjuda in B2B-användare från valfri organisation.

Lägga till en blockeringslista

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Detta är det mest typiska scenariot, där din organisation vill arbeta med nästan alla organisationer, men vill förhindra att användare från specifika domäner bjuds in som B2B-användare.

Så här lägger du till en blocklista:

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.

  2. Bläddra till Inställningar för extern identitet>externt>samarbete.

  3. Under Samarbetsbegränsningar väljer du Neka inbjudningar till de angivna domänerna.

  4. Under Måldomäner anger du namnet på en av de domäner som du vill blockera. För flera domäner anger du varje domän på en ny rad. Till exempel:

    Screenshot showing the option to deny with added domains.

  5. När du är klar väljer du Spara.

Om du försöker bjuda in en användare från en blockerad domän när du har angett principen får du ett meddelande om att domänen för användaren för närvarande blockeras av din inbjudningsprincip.

Lägga till en lista över tillåtna

Med den här mer restriktiva konfigurationen kan du ange specifika domäner i listan över tillåtna och begränsa inbjudningar till andra organisationer eller domäner som inte nämns.

Om du vill använda en lista över tillåtna bör du se till att du lägger tid på att fullständigt utvärdera vad dina affärsbehov är. Om du gör den här principen för restriktiv kan användarna välja att skicka dokument via e-post eller hitta andra icke-IT-sanktionerade sätt att samarbeta.

Så här lägger du till en tillåtna lista:

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.

  2. Bläddra till Inställningar för extern identitet>externt>samarbete.

  3. Under Samarbetsbegränsningar väljer du Tillåt endast inbjudningar till de angivna domänerna (mest restriktiva)..

  4. Under Måldomäner anger du namnet på en av de domäner som du vill tillåta. För flera domäner anger du varje domän på en ny rad. Till exempel:

    Screenshot showing the allow option with added domains.

  5. När du är klar väljer du Spara.

När du har angett principen får du ett meddelande om att domänen för användaren för närvarande blockeras av din inbjudningsprincip om du försöker bjuda in en användare från en domän som inte finns på listan över tillåtna.

Växla från allowlist till blocklist och vice versa

Om du byter från en princip till en annan ignoreras den befintliga principkonfigurationen. Se till att säkerhetskopiera information om konfigurationen innan du utför växeln.

Ange principen tillåt eller blockera lista med PowerShell

Förutsättning

Kommentar

AzureADPreview-modulen är inte en modul som stöds fullt ut eftersom den är i förhandsversion.

Du måste installera förhandsversionen av Azure AD PowerShell-modulen för att ställa in listan över tillåtna eller blockerade med hjälp av PowerShell. Mer specifikt installerar du AzureADPreview-modulen version 2.0.0.98 eller senare.

Kontrollera versionen av modulen (och se om den är installerad):

  1. Öppna Windows PowerShell som en upphöjd användare (Kör som administratör).

  2. Kör följande kommando för att se om du har några versioner av Azure AD PowerShell-modulen installerade på datorn:

    Get-Module -ListAvailable AzureAD*

Om modulen inte är installerad eller om du inte har någon nödvändig version gör du något av följande:

  • Om inga resultat returneras kör du följande kommando för att installera den senaste versionen av modulen AzureADPreview :

    Install-Module AzureADPreview

  • Om endast modulen AzureAD visas i resultatet kör du följande kommandon för att installera modulen AzureADPreview :

    Uninstall-Module AzureAD
Install-Module AzureADPreview

  • Om endast modulen AzureADPreview visas i resultatet, men versionen är mindre än 2.0.0.98, kör du följande kommandon för att uppdatera den:

    Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

  • Om både modulerna AzureAD och AzureADPreview visas i resultatet, men versionen av modulen AzureADPreview är mindre än 2.0.0.98, kör du följande kommandon för att uppdatera den:

    Uninstall-Module AzureAD 
Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

Använd AzureADPolicy-cmdletar för att konfigurera principen

Använd cmdleten New-AzureADPolicy om du vill skapa en tillåtna lista eller blockeringslista. I följande exempel visas hur du anger en blockeringslista som blockerar domänen "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

Följande visar samma exempel, men med principdefinitionen infogad.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

Om du vill ange principen tillåt eller blockera lista använder du cmdleten Set-AzureADPolicy . Till exempel:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id

Använd cmdleten Get-AzureADPolicy för att hämta principen. Till exempel:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1

Om du vill ta bort principen använder du cmdleten Remove-AzureADPolicy . Till exempel:

Remove-AzureADPolicy -Id $currentpolicy.Id

Nästa steg