Запретить добавление гостей в определенную группу Microsoft 365 или команду Microsoft Teams

  • Статья

Если вы хотите разрешить гостевой доступ к большинству групп и команд, но у вас есть место, где вы хотите запретить гостевой доступ, вы можете заблокировать гостевой доступ для отдельных групп и команд. (Блокировка гостевого доступа к команде осуществляется путем блокировки гостевого доступа к связанной группе.) Это предотвращает добавление новых гостей, но не удаляет гостей, которые уже находятся в группе или команде.

Если вы используете метки конфиденциальности в вашей организации, мы рекомендуем использовать их для управления гостевым доступом для каждой группы. Сведения о том, как это сделать, см . в статье Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, группах Microsoft 365 и сайтах SharePoint. Это рекомендуемый подход.

Изменение параметров группы с помощью Microsoft Graph PowerShell

Вы также можете запретить добавление новых гостей в отдельные группы с помощью PowerShell. (Помните, что связанный с командой сайт SharePoint имеет отдельные элементы управления гостевым доступом.)

Чтобы изменить параметр гостевого доступа на уровне группы, необходимо использовать beta версию Microsoft Graph PowerShell :

  • Если вы еще не установили модуль ранее, см. статью Установка модуля Microsoft Graph PowerShell и следуйте инструкциям.

  • Если вы уже установили версию beta , выполните команду Update-Module Microsoft.Graph.Beta , чтобы убедиться, что это последняя версия этого модуля.

Примечание.

Для выполнения этих команд необходимо иметь права глобального администратора.

Запустите следующий сценарий, изменив <GroupName> на имя группы, в которой вы хотите заблокировать гостевой доступ.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "false"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Чтобы проверить параметры, выполните указанную ниже команду.

(Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET) | ConvertTo-Json | ConvertFrom-Json | fl Value

Проверка выглядит следующим образом:

Снимок экрана: окно PowerShell, показывающее, что для гостевого доступа задано значение false.

Если вы хотите снова переключить параметр, чтобы разрешить гостевой доступ к определенной группе, выполните следующий сценарий, изменив <GroupName> имя группы, в которой вы хотите разрешить гостевой доступ.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
	templateId = "$templateId"
	values = @(
		@{
			name = "AllowToAddGuests"
			value = "true"
		}
	)
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Разрешение или блокировка гостевого доступа в зависимости от домена

Вы можете разрешить или заблокировать гостей, использующих определенный домен. Например, если ваша компания (Contoso) имеет партнерские отношения с другой организацией (Fabrikam), вы можете добавить Fabrikam в список разрешенных, чтобы пользователи могли добавлять этих гостей в свои группы.

Дополнительные сведения см. в статье Разрешение или блокировка приглашений для пользователей B2B из определенных организаций.

Добавление гостей в глобальный список адресов

По умолчанию гости не отображаются в глобальном списке адресов Exchange. Выполните приведенные ниже действия, чтобы сделать гостя видимым в глобальном списке адресов.

Найдите идентификатор objectID гостя, выполнив следующую команду:

Get-MgBetaUser -All | ?{$_.CreationType -eq "Invitation"}

Затем выполните следующие действия, используя соответствующие значения для ObjectID, GivenName, Surname, DisplayName и PhoneNumber.

Update-MgBetaUser -UserId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -mobilePhone '555-555-5555'

Рекомендации по планированию системы управления совместной работой

Создание плана управления совместной работой

Управление членством в группе в Центр администрирования Microsoft 365

Microsoft Entra проверки доступа

Update-MgUser