Autoriser ou bloquer la collaboration B2B avec des organisations

S’applique à :Cercle vert avec un symbole de coche blanche. Locataires de main-d’œuvre Cercle blanc avec un symbole X gris. Locataires externes (en savoir plus)

Vous pouvez utiliser une liste d’autorisation ou liste de blocage pour autoriser ou bloquer des invitations aux utilisateurs de collaboration B2B d’organisations spécifiques. Par exemple, si vous souhaitez bloquer des domaines d’adresse e-mail personnels, vous pouvez configurer une liste de blocage qui contient des domaines, tels que Gmail.com et Outlook.com. Ou, si votre entreprise dispose d’un partenariat avec d’autres entreprises comme Contoso.com, Fabrikam.com et Litware.com et que vous souhaitez restreindre les invitations à ces seules organisations, vous pouvez ajouter Contoso.com, Fabrikam.com et Litware.com à votre liste d’autorisation.

Le présent article décrit deux façons de configurer une liste d’autorisation ou liste de blocage pour la collaboration B2B :

Considérations importantes

  • Vous pouvez créer une liste d’autorisation ou une liste de blocage. Vous ne pouvez pas configurer les deux types de listes. Par défaut, les domaines qui ne sont pas dans la liste d’autorisation sont dans la liste de blocage et vice versa.
  • Vous ne pouvez créer qu’une seule stratégie par organisation. Vous pouvez mettre à jour la stratégie pour inclure plusieurs domaines ou vous pouvez supprimer la stratégie pour en créer une nouvelle.
  • Le nombre de domaines que vous pouvez ajouter à une liste d’autorisation ou à une liste de blocage n’est limité que par la taille de la stratégie. Cette limite s’applique au nombre de caractères, de sorte que vous pouvez avoir un plus grand nombre de domaines plus courts ou moins de domaines plus longs. La taille maximale de la stratégie entière est de 25 Ko (25 000 caractères). Elle comprend la liste d’autorisation ou la liste de blocage et tous les autres paramètres configurés pour d’autres fonctionnalités.
  • Cette liste fonctionne indépendamment à partir des listes d’autorisation/de blocage OneDrive et SharePoint Online. Si vous souhaitez restreindre le partage de fichiers individuels dans SharePoint Online, vous devez configurer une liste d’autorisation ou liste de blocage pour OneDrive et SharePoint Online. Pour plus d’informations, consultez Restreindre le partage de contenu SharePoint et OneDrive par domaine.
  • La liste ne s’applique pas aux utilisateurs externes qui ont déjà accepté l’invitation. La liste est appliquée une fois configurée. Si l’invitation d’un utilisateur est en attente et que vous définissez une stratégie qui bloque son domaine, la tentative de l’utilisateur d’accepter l’invitation échoue.
  • Les paramètres de liste d’autorisation/de blocage et d’accès entre locataires sont vérifiés au moment de l’invitation.

Définir la stratégie des listes d’autorisation ou liste de blocage dans le portail

Par défaut, le paramètre Autoriser l’envoi des invitations à un domaine (plus inclusif) est activé. Dans ce cas, vous pouvez inviter des utilisateurs B2B à partir de toute organisation.

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Ajouter une liste de blocage

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Il s’agit du scénario le plus courant, dans lequel votre organisation souhaite travailler avec presque toutes les organisations, mais souhaite empêcher invitation des utilisateurs de domaines spécifiques en tant qu’utilisateurs B2B.

Pour ajouter une liste de blocage :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Restrictions de la collaboration, sélectionnez Refuser les invitations aux domaines spécifiés.

  4. Sous Domaines cibles, saisissez le nom de l’un des domaines que vous souhaitez bloquer. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Par exemple :

    Capture d’écran montrant l’option qui permet de refuser avec des domaines ajoutés.

  5. Lorsque vous avez terminé, sélectionnez Enregistrer.

Après avoir défini la stratégie, si vous essayez d’inviter un utilisateur à partir d’un domaine bloqué, vous recevez un message indiquant que le domaine de l’utilisateur est actuellement bloqué par votre stratégie d’invitation.

Ajouter une liste d’autorisation

Avec cette configuration plus restrictive, vous pouvez définir des domaines spécifiques dans la liste d’autorisation et restreindre les invitations à d’autres organisations ou domaines qui ne sont pas mentionnés.

Si vous souhaitez utiliser une liste d’autorisation, veillez à consacrer du temps à évaluer entièrement les besoins de votre entreprise. Si cette stratégie est trop restrictive, vos utilisateurs peuvent choisir d’envoyer des documents par e-mail ou trouver d’autres modes de collaboration non approuvés informatiquement.

Pour ajouter une liste d’autorisation :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Restrictions de la collaboration, sélectionnez Autoriser les invitations uniquement pour les domaines spécifiés (le plus restrictif).

  4. Sous Domaines cibles, saisissez le nom de l’un des domaines que vous souhaitez autoriser. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Par exemple :

    Capture d’écran montrant l’option d’autorisation avec des domaines ajoutés.

  5. Lorsque vous avez terminé, sélectionnez Enregistrer.

Après avoir défini la stratégie, si vous essayez d’inviter un utilisateur à partir d’un domaine ne figurant pas sur la liste d’autorisation, vous recevez un message indiquant que le domaine de l’utilisateur est actuellement bloqué par votre stratégie d’invitation.

Passer d’une liste d’autorisation à une liste de blocage et vice versa

Le fait de passer d’une stratégie à l’autre provoque l’abandon de la configuration de stratégies existante. Veillez à sauvegarder les détails de votre configuration avant d’effectuer le changement.

Définir la stratégie des listes d’autorisation ou des listes de blocage avec PowerShell

Prérequis

Remarque

Le module AzureADPreview n’est pas un module entièrement pris en charge, car il s’agit d’une version préliminaire.

Pour définir la liste d’autorisation ou liste de blocage en utilisant PowerShell, vous devez installer la version préliminaire du module Azure AD PowerShell. Plus précisément, installez le module AzureADPreview version 2.0.0.98 ou une version ultérieure.

Pour vérifier la version du module (et vérifier qu’elle est installée) :

  1. Ouvrez Windows PowerShell en tant qu’utilisateur avec des privilèges élevés (exécuter en tant qu’Administrateur).

  2. Exécutez la commande suivante pour voir si des versions du module Azure AD PowerShell sont installées sur votre ordinateur :

    Get-Module -ListAvailable AzureAD*
    

Si le module n’est pas installé ou si vous n’avez pas la version requise, effectuez l’une des opérations suivantes :

  • Si aucun résultat n’est retourné, exécutez la commande suivante pour installer la dernière version du module AzureADPreview :

    Install-Module AzureADPreview
    
  • Si seul le module AzureAD apparaît dans les résultats, exécutez les commandes suivantes pour installer le module AzureADPreview :

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • Si seul le module AzureADPreview est affiché dans les résultats, mais que la version est antérieure à 2.0.0.98, exécutez les commandes suivantes pour le mettre à jour :

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • Si les modules AzureAD et AzureADPreview sont affichés dans les résultats, mais que la version du module AzureADPreview est antérieure à 2.0.0.98, exécutez les commandes suivantes pour le mettre à jour :

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Utiliser les cmdlets AzureADPolicy pour configurer la stratégie

Pour créer une liste d’autorisation ou liste de blocage, utilisez la cmdlet New-AzureADPolicy. L’exemple suivant montre comment définir une liste de blocage qui bloque le domaine « live.com ».

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

L’exemple suivant est identique, mais avec la définition de la stratégie incluse.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Pour définir la stratégie des listes d’autorisation ou liste de blocage, utilisez la cmdlet Set-AzureADPolicy. Par exemple :

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Pour obtenir la stratégie, utilisez la cmdlet Get-AzureADPolicy. Par exemple :

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Pour supprimer la stratégie, utilisez la cmdlet Remove-AzureADPolicy. Par exemple :

Remove-AzureADPolicy -Id $currentpolicy.Id 

Étapes suivantes