Förhindra att gäster läggs till i en viss Microsoft 365 grupp eller Microsoft Teams grupp

Om du vill tillåta gäståtkomst till de flesta grupper och team, men har några där du vill förhindra gäståtkomst, kan du blockera gäståtkomst för enskilda grupper och team. (Att blockera gäståtkomst till ett team görs genom att blockera gäståtkomst till den associerade gruppen.) Det förhindrar att nya gäster läggs till men tar inte bort gäster som redan finns i gruppen eller teamet.

Om du använder känslighetsetiketter i din organisation rekommenderar vi att du använder dem för att styra gäståtkomst per grupp. Mer information om hur du gör detta finns i Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365 grupper och SharePoint webbplatser. Det här är den rekommenderade metoden.

Ändra gruppinställningar med Microsoft PowerShell

Du kan också förhindra tillägg av nya gäster i enskilda grupper med hjälp av PowerShell. (Kom ihåg att teamets associerade SharePoint har separata gästdelningskontroller.)

Du måste använda förhandsversionen av Azure Active Directory PowerShell för Graph (modulnamn AzureADPreview) om du vill ändra inställningen för gäståtkomst på gruppnivå:

  • Om du inte har installerat någon version av Azure AD PowerShell-modulen tidigare, se Installera Azure AD-modulen och följ anvisningarna för att installera den offentliga förhandsversionen.

  • Om du har den 2.0 allmänt tillgängliga versionen av Azure AD PowerShell-modulen (AzureAD) installerad måste du avinstallera den genom att köra den i PowerShell-sessionen och sedan installera förhandsversionen genom att köra Uninstall-Module AzureAD Install-Module AzureADPreview .

  • Om du redan har installerat förhandsgranskningsversionen bör du köra den för att kontrollera att Install-Module AzureADPreview det är den senaste versionen av den här modulen.

Anteckning

Du måste ha global administratörsbehörighet för att kunna köra dessa kommandon.

Kör följande skript och ändra / till namnet på den grupp där du vill blockera gäståtkomst.

$GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

Kör det här kommandot för att verifiera dina inställningar:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Verifieringen ser ut så här:

Skärmbild av PowerShell-fönstret som visar att gästgruppsåtkomst har angetts till falskt.

Om du vill ändra tillbaka inställningen för att tillåta gäståtkomst till en viss grupp kör du följande skript och ändrar till namnet på den grupp där du vill tillåta <GroupName> gäståtkomst.

$GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$True
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
$id = (get-AzureADObjectSetting -TargetType groups -TargetObjectId $groupID).id
Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy -id $id

Tillåta eller blockera gäståtkomst baserat på deras domän

Du kan tillåta eller blockera gäster som använder en viss domän. Om ditt företag (Contoso) till exempel har ett samarbete med ett annat företag (Fabrikam) kan du lägga till Fabrikam i din lista över tillåtna företag så att användarna kan lägga till dessa gäster i sina grupper.

Mer information finns i Tillåta eller blockera inbjudningar till B2B-användare från specifika organisationer.

Lägga till gäster i den globala adresslistan

Som standard visas inte gäster i den globala Exchange adresslistan. Använd stegen nedan för att göra en gäst synlig i den globala adresslistan.

Hitta gästens ObjectID genom att köra:

Get-AzureADUser -Filter "userType eq 'Guest'"

Kör sedan följande med lämpliga värden för ObjectID, GivenName, Efternamn, DisplayName och TelephoneNumber.

Set-AzureADUser -ObjectId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList $true -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -TelephoneNumber '555-555-5555'

Rekommendationer om planering av samarbetsstyrning

Skapa din plan för samarbetesstyrning

Hantera gruppmedlemskap i Administrationscenter för Microsoft 365

Azure Active Directory granskningar av åtkomst

Set-AzureADUser