Permitir ou bloquear a colaboração B2B com organizações

  • Artigo

Aplica-se a: Círculo verde com um símbolo de marca de seleção branco. Locatários da força de trabalho Círculo branco com um símbolo X cinza. Locatários externos (saiba mais)

Você pode usar uma lista de permitidos ou uma lista de bloqueio para permitir ou bloquear convites a usuários de colaboração B2B de organizações específicas. Por exemplo, para bloquear domínios de endereço de email pessoal, você pode configurar uma lista de bloqueio que contenha domínios como Gmail.com e Outlook.com. Ou, se a empresa tiver parceria com outras empresas como Contoso.com, Fabrikam.com e Litware.com e você quiser restringir convites somente a essas organizações, adicione Contoso.com, Fabrikam.com e Litware.com à lista de permitidos.

Este artigo discute duas maneiras de configurar uma lista de permitidos ou de bloqueio para colaboração B2B:

Considerações importantes

  • Você pode criar uma lista de permitidos ou uma lista de bloqueio. Você não pode configurar os dois tipos de listas. Por padrão, todos os domínios que não estão na lista de permitidos estão na lista de bloqueio e vice-versa.
  • Você pode criar apenas uma política por organização. Você pode atualizar a política para incluir mais domínios ou excluir a política para criar uma nova.
  • O número de domínios que você pode adicionar a uma lista de permitidos ou de bloqueio é limitado apenas pelo tamanho da política. Esse limite se aplica ao número de caracteres, ou seja, você pode ter um número maior de domínios mais curtos ou menos domínios maiores. O tamanho máximo de toda a política é 25 KB (25 mil caracteres), o que inclui a lista de permitidos ou a lista de bloqueio e os outros parâmetros configurados para outros recursos.
  • Essa lista funciona independentemente das listas de permissão/bloqueio do OneDrive e do SharePoint Online. Se você quiser restringir o compartilhamento de arquivos individuais no SharePoint Online, configure uma lista de permitidos ou de bloqueio para o OneDrive e para o SharePoint Online. Para obter mais informações, consulte Compartilhamento restrito de conteúdo do SharePoint e do OneDrive por domínio.
  • A lista não se aplica a usuários externos que já resgataram o convite. A lista será aplicada depois que for configurada. Se um convite do usuário estiver em um estado pendente e você definir uma política que bloqueia o domínio dele, a tentativa do usuário de resgatar o convite falhará.
  • As configurações de lista de permissões/bloqueios e de acesso entre locatários são verificadas no momento do convite.

Configurar a política de lista de permitidos ou de bloqueio no portal

Por padrão, a configuração Permitir o envio de convites para qualquer domínio (mais inclusivo) está habilitada. Nesse caso, você pode convidar usuários B2B de qualquer organização.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Adicionar uma lista de bloqueio

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Esse é o cenário mais comum, onde sua organização deseja trabalhar com quase qualquer empresa, mas quer impedir que os usuários de domínios específicos sejam convidados como usuários B2B.

Para adicionar uma lista de bloqueio:

  1. Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.

  2. Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.

  3. Em Restrições de colaboração, selecione Negar convites para os domínios especificados.

  4. Em Domínios de destino, insira o nome de um dos domínios que você deseja bloquear. Para vários domínios, insira cada um em uma nova linha. Por exemplo:

    Captura de tela mostrando a opção de negar com domínios adicionados.

  5. Quando terminar, selecione Salvar.

Depois de definir a política, se tentar convidar um usuário de um domínio bloqueado, você receberá uma mensagem dizendo que o domínio do usuário está bloqueado no momento pela sua política de convite.

Adicionar uma lista de permitidos

Com essa configuração mais restritiva, você pode definir domínios específicos na lista de permitidos e restringir convites para outras organizações ou domínios que não sejam mencionados.

Se você quiser usar uma lista de permitidos, faça uma avaliação completa das necessidades de sua empresa. Se você tornar essa política muito restritiva, seus usuários poderão optar por enviar documentos por email ou encontrar outras formas de colaboração não sancionadas pelo departamento de TI.

Para adicionar uma lista de permitidos:

  1. Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.

  2. Navegue até Identidade>Identidades externas>Configurações de colaboração externa.

  3. Em Restrições de colaboração, selecione Permitir convites somente para os domínios especificados (mais restritivo).

  4. Em Domínios de destino, insira o nome de um dos domínios que você deseja permitir. Para vários domínios, insira cada um em uma nova linha. Por exemplo:

    Captura de tela mostrando a opção de permitir com domínios adicionados.

  5. Quando terminar, selecione Salvar.

Depois de definir a política, se você tentar convidar um usuário de um domínio que não esteja na lista de permitidos, receberá uma mensagem dizendo que o domínio do usuário está bloqueado no momento pela sua política de convite.

Alternar da lista de permitidos para a lista de bloqueio e vice-versa

A mudança de uma política para outra descarta a configuração de política existente. Certifique-se de fazer backup dos detalhes da sua configuração antes de executar a alternação.

Definir a política de permitidos ou de bloqueio usando o PowerShell

Pré-requisito

Anotação

O módulo AzureADPreview não é um módulo com suporte total, pois está em preview.

Para definir a permissão ou a lista de bloqueio utilizando o PowerShell, você deve instalar a preview do módulo do Microsoft Azure AD PowerShell. Especificamente, instale o módulo AzureADPreview versão 2.0.0.98 ou posterior.

Para verificar a versão do módulo (e se ele está instalado):

  1. Abra o Windows PowerShell como um usuário com privilégios elevados (Executar como administrador).

  2. Execute o seguinte comando para ver se você tem alguma versão do módulo do Microsoft AD PowerShell instalada no seu computador:

    Get-Module -ListAvailable AzureAD*

Se o módulo não estiver instalado ou se você não tem uma versão necessária, siga um destes procedimentos:

  • Se nenhum resultado for retornado, execute o seguinte comando para instalar a última versão do módulo AzureADPreview:

    Install-Module AzureADPreview

  • Se apenas o módulo AzureAD for exibido nos resultados, execute os comandos a seguir para instalar o módulo AzureADPreview:

    Uninstall-Module AzureAD
Install-Module AzureADPreview

  • Se apenas o módulo AzureADPreview for exibido nos resultados, mas a versão for menor que 2.0.0.98, execute os seguintes comandos para atualizá-lo:

    Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

  • Se apenas os módulos AzureAD e AzureADPreview forem exibidos nos resultados, mas a versão do módulo AzureADPreview for menor que 2.0.0.98, execute os seguintes comandos para atualizá-lo:

    Uninstall-Module AzureAD 
Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

Use os cmdlets AzureADPolicy para configurar a política

Para criar uma lista de permitidos ou de bloqueio, use o cmdlet New-AzureADPolicy. O exemplo a seguir mostra como definir uma lista de bloqueio que bloqueia o domínio "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

O mesmo exemplo é exibido a seguir, mas com a definição da política embutida.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

Para definir uma lista de permitidos ou de bloqueio, use o cmdlet Set-AzureADPolicy. Por exemplo:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id

Para obter a política, use o cmdlet AzureADPolicy. Por exemplo:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1

Para remover a política, use o cmdlet Remove-AzureADPolicy. Por exemplo:

Remove-AzureADPolicy -Id $currentpolicy.Id

Próximas etapas