Tillåta eller blockera B2B-samarbete med organisationer
Gäller för: Personalklientorganisationer Externa klienter (läs mer)
Du kan använda en tillåten lista eller en blockeringslista för att tillåta eller blockera inbjudningar till B2B-samarbetsanvändare från specifika organisationer. Om du till exempel vill blockera domäner för personliga e-postadresser kan du konfigurera en blockeringslista som innehåller domäner som Gmail.com och Outlook.com. Eller om ditt företag har ett partnerskap med andra företag som Contoso.com, Fabrikam.com och Litware.com, och du vill begränsa inbjudningar till endast dessa organisationer, kan du lägga till Contoso.com, Fabrikam.com och Litware.com i listan över tillåtna.
I den här artikeln beskrivs två sätt att konfigurera en tillåtna eller blockeringslista för B2B-samarbete:
- I portalen genom att konfigurera samarbetsbegränsningar i organisationens inställningar för externt samarbete
- Via PowerShell
Viktiga överväganden
- Du kan skapa antingen en tillåten lista eller en blockeringslista. Du kan inte konfigurera båda typerna av listor. Som standard finns de domäner som inte finns i listan över tillåtna i blocklistan och vice versa.
- Du kan bara skapa en princip per organisation. Du kan uppdatera principen så att den innehåller fler domäner, eller så kan du ta bort principen för att skapa en ny.
- Antalet domäner som du kan lägga till i en tillåtna lista eller blocklista begränsas endast av principens storlek. Den här gränsen gäller för antalet tecken, så du kan ha ett större antal kortare domäner eller färre längre domäner. Den maximala storleken för hela principen är 25 KB (25 000 tecken), vilket inkluderar listan över tillåtna eller blockerade värden och andra parametrar som konfigurerats för andra funktioner.
- Den här listan fungerar oberoende av tillåtna/block-listor i OneDrive och SharePoint Online. Om du vill begränsa enskilda fildelningar i SharePoint Online måste du konfigurera en tillåtna eller blockeringslista för OneDrive och SharePoint Online. Mer information finns i Begränsa delning av SharePoint- och OneDrive-innehåll efter domän.
- Listan gäller inte för externa användare som redan har löst in inbjudan. Listan tillämpas när listan har konfigurerats. Om en användarinbjudan är i ett väntande tillstånd och du anger en princip som blockerar deras domän misslyckas användarens försök att lösa in inbjudan.
- Både tillåt/blockera-listan och inställningarna för åtkomst mellan klientorganisationer kontrolleras vid tidpunkten för inbjudan.
Ange principen tillåt eller blockera lista i portalen
Som standard är inställningen Tillåt att inbjudningar skickas till valfri domän (mest inkluderande) aktiverad. I det här fallet kan du bjuda in B2B-användare från valfri organisation.
Viktig
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Lägga till en blockeringslista
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Detta är det mest typiska scenariot, där din organisation vill arbeta med nästan alla organisationer, men vill förhindra att användare från specifika domäner bjuds in som B2B-användare.
Så här lägger du till en blocklista:
Logga in på administrationscentret för Microsoft Entra som global administratör.
Bläddra till Inställningar för extern identitet>externt>samarbete.
Under Samarbetsbegränsningar väljer du Neka inbjudningar till de angivna domänerna.
Under Måldomäner anger du namnet på en av de domäner som du vill blockera. För flera domäner anger du varje domän på en ny rad. Till exempel:
När du är klar väljer du Spara.
Om du försöker bjuda in en användare från en blockerad domän när du har angett principen får du ett meddelande om att domänen för användaren för närvarande blockeras av din inbjudningsprincip.
Lägga till en lista över tillåtna
Med den här mer restriktiva konfigurationen kan du ange specifika domäner i listan över tillåtna och begränsa inbjudningar till andra organisationer eller domäner som inte nämns.
Om du vill använda en lista över tillåtna bör du se till att du lägger tid på att fullständigt utvärdera vad dina affärsbehov är. Om du gör den här principen för restriktiv kan användarna välja att skicka dokument via e-post eller hitta andra icke-IT-sanktionerade sätt att samarbeta.
Så här lägger du till en tillåtna lista:
Logga in på administrationscentret för Microsoft Entra som global administratör.
Bläddra till Inställningar för extern identitet>externt>samarbete.
Under Samarbetsbegränsningar väljer du Tillåt endast inbjudningar till de angivna domänerna (mest restriktiva)..
Under Måldomäner anger du namnet på en av de domäner som du vill tillåta. För flera domäner anger du varje domän på en ny rad. Till exempel:
När du är klar väljer du Spara.
När du har angett principen får du ett meddelande om att domänen för användaren för närvarande blockeras av din inbjudningsprincip om du försöker bjuda in en användare från en domän som inte finns på listan över tillåtna.
Växla från allowlist till blocklist och vice versa
Om du byter från en princip till en annan ignoreras den befintliga principkonfigurationen. Se till att säkerhetskopiera information om konfigurationen innan du utför växeln.
Ange principen tillåt eller blockera lista med PowerShell
Förutsättning
Not
AzureADPreview-modulen är inte en modul som stöds fullt ut eftersom den är i förhandsversion.
Du måste installera förhandsversionen av Azure AD PowerShell-modulen för att ställa in listan över tillåtna eller blockerade med hjälp av PowerShell. Mer specifikt installerar du AzureADPreview-modulen version 2.0.0.98 eller senare.
Kontrollera versionen av modulen (och se om den är installerad):
Öppna Windows PowerShell som en upphöjd användare (Kör som administratör).
Kör följande kommando för att se om du har några versioner av Azure AD PowerShell-modulen installerade på datorn:
Get-Module -ListAvailable AzureAD*
Om modulen inte är installerad eller om du inte har någon nödvändig version gör du något av följande:
Om inga resultat returneras kör du följande kommando för att installera den senaste versionen av modulen
AzureADPreview
:Install-Module AzureADPreview
Om endast modulen
AzureAD
visas i resultatet kör du följande kommandon för att installera modulenAzureADPreview
:Uninstall-Module AzureAD Install-Module AzureADPreview
Om endast modulen
AzureADPreview
visas i resultatet, men versionen är mindre än2.0.0.98
, kör du följande kommandon för att uppdatera den:Uninstall-Module AzureADPreview Install-Module AzureADPreview
Om både modulerna
AzureAD
ochAzureADPreview
visas i resultatet, men versionen av modulenAzureADPreview
är mindre än2.0.0.98
, kör du följande kommandon för att uppdatera den:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Använd AzureADPolicy-cmdletar för att konfigurera principen
Använd cmdleten New-AzureADPolicy om du vill skapa en tillåtna lista eller blockeringslista. I följande exempel visas hur du anger en blockeringslista som blockerar domänen "live.com".
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Följande visar samma exempel, men med principdefinitionen infogad.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Om du vill ange principen tillåt eller blockera lista använder du cmdleten Set-AzureADPolicy . Till exempel:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Använd cmdleten Get-AzureADPolicy för att hämta principen. Till exempel:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Om du vill ta bort principen använder du cmdleten Remove-AzureADPolicy . Till exempel:
Remove-AzureADPolicy -Id $currentpolicy.Id
Nästa steg
- Åtkomstinställningar mellan klientorganisationer
- Inställningar för externt samarbete.