ИТ-администраторы. Управление внешними собраниями и общение с людьми и организациями с помощью удостоверений Майкрософт

С помощью функции внешнего доступа в Teams вы можете разрешить пользователям в организации общаться и встречаться с людьми за пределами организации, которые используют Корпорацию Майкрософт в качестве поставщика удостоверений. Внешний доступ можно настроить с помощью:

  • Другие организации Microsoft 365 (чат и собрания)
  • Пользователи Teams, не управляемые организацией (пользователи с учетной записью Майкрософт) (только чат)
  • Пользователи Skype (только чат)

Пользователи в вашей организации могут принимать или блокировать входящие чаты от людей за пределами организации. Дополнительные сведения см. в разделе Принятие или блокировка пользователей за пределами вашей организации, которые отправляют вам чат.

Люди за пределами вашей организации не будут иметь доступа к вашим командам, сайтам или другим ресурсам Microsoft 365. Если вы хотите, чтобы у них был доступ к вашим командам и каналам, см . статьи Совместная работа с гостями в команде и Совместная работа с внешними участниками в общем канале.

Примечание.

Пользователи могут добавлять приложения, когда они размещают собрания или чаты с людьми за пределами вашей организации. Они также могут использовать приложения, к которым предоставлен доступ внешние пользователи при присоединении к собраниям или чатам, размещенным извне. Применяются политики данных организации пользователя узла, а также методы совместного использования данных сторонних приложений, предоставленных организацией этого пользователя. Узнайте больше об использовании приложений пользователями за пределами вашей организации.

В Teams есть и другие параметры, включая гостевой доступ и анонимный доступ, которые влияют на собрания с людьми за пределами организации. Дополнительные сведения см. в статье Планирование собраний с внешними участниками в Microsoft Teams .

Зал собраний может контролировать, как люди за пределами вашей организации присоединяются к собраниям. Дополнительные сведения см . в разделах Управление тем, кто может обойти зал собраний в Microsoft Teams и Настройка лобби собраний Microsoft Teams для конфиденциальных собраний.

Параметры организации и политики пользователей для внешнего доступа

Каждый параметр внешнего доступа имеет параметры организации и политики пользователей. Параметры организации применяются ко всей организации. Политики пользователей определяют, какие пользователи могут использовать параметры, настроенные на уровне организации.

Настройте параметры организации, чтобы указать, какие типы внешних собраний и чатов вы хотите разрешить. Затем настройте политики пользователей для пользователей, у которых должен быть доступ к этим функциям. Параметры организации и политики пользователей включены по умолчанию.

Чтобы пользователь использовал внешний доступ, его должны разрешить параметры организации и политика пользователя.

Используйте процедуры на вкладках в этой статье для настройки параметров организации и политик пользователей.

В этом разделе описано, как настроить:

Эти параметры также можно настроить с помощью PowerShell.

Указание доверенных организаций Microsoft 365

Для собраний и чатов с другими организациями Microsoft 365 можно указать домены, которым вы хотите доверять. По умолчанию разрешены все внешние домены. Вы можете разрешить или заблокировать определенные домены, чтобы определить организации, которым ваша организация доверяет внешние собрания и чат.

Чтобы общаться и встречаться с людьми во внешних доменах, организации, которым вы доверяете, также должны доверять вашей организации, а их пользователям необходимо включить внешний доступ. В противном случае они не смогут общаться с пользователями в вашей организации и считаются анонимными при присоединении к собраниям, размещенным в вашей организации. Узнайте больше о собраниях с другими организациями Microsoft 365.

Можно указать, какие домены разрешены или какие домены заблокированы. Если указать заблокированные домены, все остальные домены будут разрешены; Если указать разрешенные домены, все остальные домены будут заблокированы. Существует четыре сценария настройки доверенных организаций:

  • Разрешить все внешние домены . Параметр по умолчанию в Teams, который позволяет пользователям в вашей организации находить, звонить, общаться в чате и настраивать собрания с людьми, внешними для вашей организации, в любом домене.

    В этом сценарии пользователи могут взаимодействовать со всеми внешними доменами, на которых запущены Teams или Skype для бизнеса при условии, что другая организация также включила внешний доступ.

  • Разрешить только определенные внешние домены . Добавляя домены в список разрешений , вы ограничиваете внешний доступ только разрешенными доменами. После настройки списка разрешенных доменов все остальные домены будут заблокированы.

  • Блокировать определенные домены - добавляя домены в список блокированных, вы можете общаться со всеми внешними доменами, кроме заблокированных. После настройки списка заблокированных доменов все остальные домены будут разрешены.

  • Блокировать все внешние домены . Запрещает пользователям в вашей организации находить, звонить, общаться в чате и настраивать собрания с людьми, внешними для вашей организации, в любом домене.

Примечание.

Люди из заблокированных доменов могут по-прежнему присоединяться к собраниям анонимно, если разрешен анонимный доступ. Дополнительные сведения см. в статье Управление анонимным доступом участников к собраниям Teams.

Снимок экрана: параметры внешних доменов

Разрешение определенных доменов

  1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

  2. В разделе Выберите домены, к которым имеют доступ ваши пользователи, выберите Разрешить только определенные внешние домены.

  3. Нажмите Разрешить домены.

  4. В поле Домен введите домен, который вы хотите разрешить, и щелкните Готово.

  5. Если вы хотите разрешить еще один домен, щелкните Добавить домен.

  6. Нажмите кнопку Сохранить.

Блокировка определенных доменов

  1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.

  2. В разделе Выберите домены, к которым имеют доступ ваши пользователи, выберите Заблокировать только определенные внешние домены.

  3. Нажмите Заблокировать домены.

  4. В поле Домен введите домен, который вы хотите разрешить, и щелкните Готово.

  5. Если вы хотите заблокировать еще один домен, щелкните Добавить домен.

  6. Нажмите кнопку Сохранить.

По умолчанию при блокировке доменов поддомены не блокируются. Например, если вы блокируете contoso.com, marketing.contoso.com не блокируется. Если вы хотите заблокировать все поддомены, можно использовать командлет PowerShell Set-CsTenantFederationConfiguration с параметром -BlockAllSubdomains . Например:

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

Блокировка федерации с клиентами, доступными только для пробных версий Teams

Вы можете управлять внешним доступом организации с помощью клиентов, доступных только для пробной версии Teams (у которых нет приобретенных рабочих мест), используя -ExternalAccessWithTrialTenants параметр в PowerShell (требуется по крайней мере версия 6.4.0).

Значение по умолчанию для этого параметра — Заблокировано, но его можно переопределить на Разрешено, используя: Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"

Чтобы заблокировать внешний обмен данными с клиентами, доступными только для пробной версии, выполните приведенные далее действия. Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

Если задано значение Заблокировано, пользователи из этих клиентов, доступных только для пробной версии, не смогут искать пользователей и связываться с ними с помощью чатов, звонков Teams и собраний (с использованием удостоверений пользователей, прошедших проверку подлинности), а пользователи не смогут связаться с пользователями в этих клиентах, доступных только для пробной версии. Пользователи из клиента, доступного только для пробной версии, также удаляются из существующих чатов.

Пользователи из клиентов, доступных только для пробной версии, по умолчанию блокируются (без возможности переопределения) от внешнего взаимодействия с пользователями в других облачных средах Microsoft 365 и с пользователями сервера Microsoft Skype для бизнеса. Два клиента с только пробными подписками могут федеративные друг с другом, если параметр -ExternalAccessWithTrialTenants разрешен обоими клиентами.

Средство диагностики

Если вы являетесь администратором, вы можете использовать следующее средство диагностики, чтобы проверить, может ли пользователь Teams взаимодействовать с пользователем Teams в доверенной организации:

  1. Выберите Выполнить тесты ниже, чтобы заполнить диагностику в центре Microsoft 365 Admin.

  2. В области запуска диагностики введите Адрес протокола SIP сеанса и Доменное имя федеративного клиента, а затем выберите Выполнить тесты.

  3. Тесты возвращают лучшие дальнейшие шаги для решения любых параметров или конфигураций политик, которые препятствуют обмену данными с внешним пользователем Teams.

Skype для бизнеса Online

Если вы хотите, чтобы чаты и звонки поступали в клиент Skype для бизнеса пользователя, настройте пользователей в любом режиме, кроме TeamsOnly. Дополнительные сведения см. в статье Общие сведения о сосуществовании и взаимодействии в Microsoft Teams и Skype для бизнеса.

Управление чатами и собраниями с внешними пользователями Teams, не управляемыми организацией

Вы можете включить или отключить чаты и собрания с внешними неуправляемыми пользователями Teams (которые не управляются организацией, например Microsoft Teams (бесплатно)). Если этот параметр включен, вы также можете контролировать, могут ли пользователи с неуправляемыми учетными записями Teams начинать чаты и собрания с пользователями в вашей организации.

Примечание.

Чаты и собрания с внешними неуправляемыми пользователями Teams недоступны в развертываниях GCC, GCC High или DOD, а также в частных облачных средах.

Чтобы разрешить чаты и собрания с неуправляемыми учетными записями Teams, выполните приведенные ниже действия.

  1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
  2. Включите параметр Пользователи в моей организации могут общаться с пользователями Teams, учетные записи которых не управляются организацией.
  3. Если вы хотите разрешить внешним неуправляемым пользователям Teams начинать беседу, установите флажок Внешние пользователи с учетными записями Teams, не управляемыми организацией, могут связываться с пользователями в моей организации .
  4. Нажмите Сохранить.

Снимок экрана: параметры внешних учетных записей

Если внешние пользователи с учетными записями Teams, не управляемыми организацией, могут связываться с пользователями в моей организации , то неуправляемые пользователи Teams не могут искать пользователей в вашей организации по адресу электронной почты. Все взаимодействия с неуправляемыми пользователями Teams должны инициироваться пользователями в вашей организации.

Чтобы запретить чат с неуправляемыми учетными записями Teams, выполните приведенные далее действия.

  1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
  2. Отключите параметр Пользователи в моей организации могут общаться с пользователями Teams, учетные записи которых не управляются организацией.
  3. Нажмите Сохранить.

Управление чатом и звонками с помощью пользователей Skype

Выполните следующие действия, чтобы пользователи Teams в вашей организации общались и общались с пользователями Skype. Пользователи Teams могут затем искать и начинать индивидуальную текстовую беседу или аудио- / видео вызов с пользователями Skype и наоборот.

Собрания не поддерживаются пользователями Skype. При приглашении на собрание они считаются анонимными при присоединении.

Примечание.

Внешнее взаимодействие с пользователями Skype недоступно в развертываниях GCC, GCC High или DOD, а также в частных облачных средах.

Чтобы настроить чат и звонки с пользователями Skype, выполните следующие действия.

  1. В Центре администрирования Teams перейдите в раздел Пользователи>Внешний доступ.
  2. Включите или отключите параметр Разрешить пользователям в моей организации общаться с пользователями Skype . Снимок экрана: параметр для пользователей Skype.
  3. Нажмите Сохранить.

Чтобы узнать больше о способах взаимодействия пользователей Команд и пользователей Skype, в том числе о применяемых ограничениях, см. Совместимость Teams и Skype.

Настройка параметров организации с помощью PowerShell

Доверенные организации можно настроить с помощью командлета Set-CSTenantFederationConfiguration .

В следующей таблице показаны параметры командлетов, используемые для настройки доверенных организаций.

Конфигурация Параметр
Разрешить или запретить собрания и общаться с другими организациями Teams и Skype для бизнеса -AllowFederatedUsers
Указание разрешенных доменов -AllowedDomains
Указание заблокированных доменов -BlockedDomains
Блочные поддомены -BlockAllSubdomains

Чат с пользователями Teams, не управляемыми организацией и пользователями Skype, можно настроить с помощью командлета Set-CSTenantFederationConfiguration .

В следующей таблице показаны параметры командлета, используемые для настройки чата со Skype и неуправляемыми пользователями Teams.

Конфигурация Параметр
Разрешить или запретить чат с пользователями Teams, которые не управляются организацией -AllowTeamsConsumer
Разрешить или запретить пользователям Teams, не управляемым организацией, начинать беседы -AllowTeamsConsumerInbound
Разрешить или запретить чат с пользователями Skype -AllowPublicUsers

Перед выполнением этих командлетов необходимо подключиться к Microsoft Teams PowerShell. Дополнительные сведения см. в разделе Управление Teams с помощью Microsoft Teams PowerShell.

Соответствие требованиям и внешний доступ

Ознакомьтесь со следующими справочниками, чтобы понять, как работает внешний доступ с функциями соответствия требованиям в Microsoft 365.

Использование гостевого и внешнего доступа для совместной работы с людьми из-за пределов организации

Поиск событий Microsoft Teams в журнале аудита