Consentire o bloccare la collaborazione B2B con le organizzazioni
Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)
È possibile usare un elenco di accesso consentito o un elenco di accesso negato per consentire o bloccare gli inviti agli utenti di collaborazione B2B da organizzazioni specifiche. Ad esempio, se si desidera bloccare i domini di indirizzi di posta elettronica personale, è possibile configurare un elenco di accesso negato che contenga domini come Gmail.com e Outlook.com. Oppure, se l'azienda collabora con altre, ad esempio Contoso.com e Fabrikam.com e Litware.com e si vuole limitare gli inviti solo a queste organizzazioni, è possibile aggiungere Contoso.com, Fabrikam.com e Litware.com all'elenco di accesso consentito.
Questo articolo illustra due modi per configurare un elenco di accesso consentito o un elenco di accesso negato per la collaborazione B2B:
- Nel portale, configurando le restrizioni di collaborazione nelle impostazioni di collaborazione esterna dell'organizzazione
- Tramite PowerShell
Considerazioni importanti
- È possibile creare un elenco di accesso consentito o un elenco di accesso negato. Non è consentita la configurazione di entrambi i tipi di elenchi. Per impostazione predefinita, i domini non inclusi nell'elenco di accesso consentito sono inclusi nell'elenco di accesso negato e viceversa.
- È possibile creare un solo criterio per organizzazione. È possibile aggiornare il criterio per includere ulteriori domini oppure eliminarlo per crearne uno nuovo.
- Il numero di domini che è possibile aggiungere a un elenco di accesso consentito o un elenco di accesso negato è limitato unicamente dalle dimensioni del criterio. Questo limite si applica al numero di caratteri, pertanto è possibile avere un numero maggiore di domini più brevi o meno domini più lunghi. Le dimensioni massime dell'intero criterio sono di 25 KB (25.000 caratteri), che include elenco di accesso consentito o di accesso negato e tutti gli altri parametri configurati per altre funzionalità.
- Questo elenco funziona in modo indipendente dagli elenchi di accesso consentito/bloccato di OneDrive e SharePoint Online. Se si vuole limitare la condivisione di singoli file in SharePoint Online, è necessario impostare un elenco di accesso consentito o un elenco di accesso negato per OneDrive e SharePoint Online. Per altre informazioni, vedere Limitare la condivisione del contenuto di SharePoint e OneDrive per dominio.
- L'elenco non è applicabile a utenti esterni che hanno già accettato l'invito. L'elenco verrà applicato dopo la configurazione. Se un invito di un utente è in sospeso e si imposta un criterio che blocca il suo dominio, il tentativo dell'utente di accettare l'invito ha esito negativo.
- Le impostazioni dell'elenco di accesso consentito/negato e di accesso fra tenant vengono controllate al momento dell'invito.
Impostare il criterio per l'elenco di accesso consentito o l'elenco di accesso negato nel portale
Per impostazione predefinita, l'impostazione Consentire l'invio di inviti a qualsiasi dominio (meno restrittiva) è abilitata. In questo caso, è possibile invitare gli utenti B2B da qualsiasi organizzazione.
Importante
Microsoft consiglia di usare i ruoli con minori autorizzazioni. Ciò consente di migliorare la sicurezza dell'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Aggiungere un elenco di accesso negato
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Questo è lo scenario più comune, in cui l'organizzazione vuole collaborare quasi con qualsiasi organizzazione, ma vuole impedire agli utenti di domini specifici di essere invitati come utenti B2B.
Per aggiungere un elenco di accesso negato:
Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.
In Collaboration restrictions (Restrizioni per la collaborazione) selezionare Deny invitations to the specified domains (Nega inviti ai domini specificati).
In Domini di destinazione, immettere il nome di uno dei domini che si vuole bloccare. Per specificare più domini, immettere ognuno in una nuova riga. Ad esempio:
Al termine, seleziona Salva.
Dopo aver impostato il criterio, se si prova a invitare un utente da un dominio bloccato, viene visualizzato un messaggio che informa che il dominio dell'utente è attualmente bloccato dai criteri relativi agli inviti.
Aggiungere un elenco di accesso consentito
Con questa configurazione più restrittiva, è possibile impostare domini specifici nell'elenco di accesso consentito e limitare gli inviti a qualsiasi altro dominio o organizzazione non menzionati.
Se si vuole usare un elenco di accesso consentito, assicurarsi di dedicare tempo a una valutazione accurata delle esigenze aziendali. Se si creano criteri troppo restrittivi, gli utenti possono scegliere di inviare documenti tramite posta elettronica o trovare altri modi per collaborare non approvati dal reparto IT.
Per aggiungere un elenco di accesso consentito:
Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.
In Restrizioni di collaborazione selezionare Consenti l'invio di inviti solo ai domini specificati (più restrittivo).
In Domini di destinazione, immettere il nome di uno dei domini che si vuole consentire. Per specificare più domini, immettere ognuno in una nuova riga. Ad esempio:
Al termine, seleziona Salva.
Dopo aver impostato il criterio, se si prova a invitare un utente da un dominio che non si trova nell'elenco di accesso consentito, viene visualizzato un messaggio che informa che il dominio dell'utente è attualmente bloccato dai criteri relativi agli inviti.
Passare dall'elenco di accesso consentito all'elenco di accesso negato e viceversa
Se si passa da un criterio all'altro, la configurazione del criterio esistente viene rimossa. Assicurarsi di creare un backup dei dettagli della configurazione prima di eseguire il passaggio.
Impostare il criterio per l'elenco di accesso consentito o l'elenco di accesso negato con PowerShell
Prerequisito
Nota
Il modulo AzureADPreview non è un modulo completamente supportato perché è in anteprima.
Per impostare l'elenco di accesso consentito o di accesso negato tramite PowerShell, è necessario installare la versione di anteprima del modulo di Azure AD PowerShell. Nello specificio, installare la versione del modulo AzureADPreview 2.0.0.98 o successiva.
Per controllare la versione del modulo e verificare se è installato:
Aprire Windows PowerShell come utente con privilegi elevati (Esegui come amministratore).
Eseguire il seguente comando per vedere se sono disponibili versioni del modulo di Azure AD PowerShell installate nel computer:
Get-Module -ListAvailable AzureAD*
Se il modulo non è installato o non è disponibile una versione richiesta, eseguire una delle operazioni seguenti:
Se non viene restituito alcun risultato, eseguire il comando seguente per installare l'ultima versione del modulo
AzureADPreview
:Install-Module AzureADPreview
Se nei risultati viene visualizzato solo il modulo
AzureAD
, eseguire i seguenti comandi per installare il moduloAzureADPreview
:Uninstall-Module AzureAD Install-Module AzureADPreview
Se nei risultati viene visualizzato solo il modulo
AzureADPreview
, ma la versione è precedente a2.0.0.98
, eseguire i seguenti comandi per aggiornarla:Uninstall-Module AzureADPreview Install-Module AzureADPreview
Se nei risultati vengono visualizzati entrambi i moduli
AzureAD
eAzureADPreview
, ma la versione del moduloAzureADPreview
è precedente a2.0.0.98
, eseguire i seguenti comandi seguenti per aggiornarla:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Usare i cmdlet AzureADPolicy per configurare i criteri
Per creare un elenco di accesso consentito o negato, usare il cmdlet New-AzureADPolicy. L'esempio seguente illustra come impostare un elenco di accesso negato che blocca il dominio "live.com".
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Di seguito è riportato lo stesso esempio, ma con la definizione del criterio inline.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Per impostare il criterio per l'elenco di accesso consentito o negato, usare il cmdlet Set-AzureADPolicy. Ad esempio:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Per ottenere il criterio, usare il cmdlet Get-AzureADPolicy. Ad esempio:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Per rimuovere il criterio, usare il cmdlet Remove-AzureADPolicy. Ad esempio:
Remove-AzureADPolicy -Id $currentpolicy.Id