Empêcher l’ajout d’invités à un groupe Microsoft 365 spécifique ou à une équipe Microsoft Teams

Si vous souhaitez autoriser l’accès invité à la plupart des groupes et équipes, mais que vous souhaitez empêcher l’accès invité, vous pouvez bloquer l’accès invité pour des groupes et des équipes individuels. (Le blocage de l’accès invité à une équipe s’effectue en bloquant l’accès invité au groupe associé.) Cela empêche l’ajout de nouveaux invités, mais ne supprime pas les invités qui se trouvent déjà dans le groupe ou l’équipe.

Si vous utilisez des étiquettes de confidentialité dans votre organization, nous vous recommandons de les utiliser pour contrôler l’accès invité par groupe. Pour plus d’informations sur la procédure à suivre, utilisez des étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les groupes Microsoft 365 et les sites SharePoint. Il s’agit de l’approche recommandée.

Modifier les paramètres de groupe à l’aide de Microsoft Graph PowerShell

Vous pouvez également empêcher l’ajout de nouveaux invités à des groupes individuels à l’aide de PowerShell. (N’oubliez pas que le site SharePoint associé à l’équipe a des contrôles de partage d’invités distincts.)

Vous devez utiliser la beta version de Microsoft Graph PowerShell pour modifier le paramètre d’accès invité au niveau du groupe :

  • Si vous n’avez pas encore installé le module, consultez Installation du module Microsoft Graph PowerShell et suivez les instructions.

  • Si vous avez déjà installé la beta version, exécutez Update-Module Microsoft.Graph.Beta pour vérifier qu’il s’agit de la dernière version de ce module.

Remarque

Vous devez disposer de droits d’administrateur général pour exécuter ces commandes.

Exécutez le script suivant, en remplaçant <GroupName> par le nom du groupe dans lequel vous souhaitez bloquer l’accès invité.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "false"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Pour vérifier vos paramètres, exécutez la commande suivante :

(Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET) | ConvertTo-Json | ConvertFrom-Json | fl Value

La vérification ressemble à ceci :

Capture d’écran de la fenêtre PowerShell montrant que l’accès au groupe invité a été défini sur false.

Si vous souhaitez réactiver le paramètre pour autoriser l’accès invité à un groupe particulier, exécutez le script suivant, en remplaçant par <GroupName> le nom du groupe dans lequel vous souhaitez autoriser l’accès invité.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "true"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Autoriser ou bloquer l’accès invité en fonction de leur domaine

Vous pouvez autoriser ou bloquer les invités qui utilisent un domaine spécifique. Par exemple, si votre entreprise (Contoso) a un partenariat avec une autre entreprise (Fabrikam), vous pouvez ajouter Fabrikam à votre liste d’autorisation afin que vos utilisateurs puissent ajouter ces invités à leurs groupes.

Pour plus d’informations, consultez Autoriser ou bloquer les invitations à des utilisateurs B2B provenant d’organisations spécifiques.

Ajouter des invités à la liste d’adresses globale

Par défaut, les invités ne sont pas visibles dans la liste d’adresses globale Exchange. Suivez les étapes ci-dessous pour rendre un invité visible dans la liste d’adresses globale.

Recherchez l’ObjectID de l’invité en exécutant :

Get-MgBetaUser -All | ?{$_.CreationType -eq "Invitation"}

Exécutez ensuite la commande suivante en utilisant les valeurs appropriées pour ObjectID, GivenName, Surname, DisplayName et TelephoneNumber.

Update-MgBetaUser -UserId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -mobilePhone '555-555-5555'

Recommandations relatives à la planification de la gouvernance de la collaboration

Créer votre plan de gouvernance de collaboration

Gérer l’appartenance au groupe dans le Centre d'administration Microsoft 365

Microsoft Entra révisions d’accès

Update-MgUser