允许或阻止与组织的 B2B 协作

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 符号的白色圆圈。 外部租户(了解详细信息

可以使用允许列表或阻止列表,来允许或阻止向特定组织中的 B2B 协作用户发送邀请。 例如,如果你要阻止个人电子邮件地址域,可以设置一个阻止列表,并在其中包含类似于 Gmail.com 和 Outlook.com 的域。 或者,如果你的企业与 Contoso.com、Fabrikam.com 和 Litware.com 等其他企业建立了合作关系,并且你希望将邀请限制为这些组织,则可以将 Contoso.com、Fabrikam.com 和 Litware.com 添加到允许列表。

本文讨论了为 B2B 协作配置允许或阻止列表的两种方法:

  • 在门户中,通过在组织的外部协作设置中配置协作限制
  • 通过 PowerShell

重要注意事项

  • 可以创建允许列表或阻止列表。 不能同时设置这两种类型的列表。 默认情况下,不在允许列表中的任何域都会包含在阻止列表中,反之亦然。
  • 对于每个组织,只能创建一个策略。 可以更新策略以包含更多的域,或者删除策略以创建新策略。
  • 可以添加到允许列表或阻止列表的域数仅受策略大小限制。 此限制适用于字符数,这样可以拥有更多短域或更少长域。 整个策略的最大大小为25 KB(25,000 个字符),其中包括允许列表或阻止列表以及为其他功能配置的任何其他参数。
  • 此列表独立于 OneDrive 和 SharePoint Online 允许/阻止列表。 若要在 SharePoint Online 中限制单个文件的共享,需要为 OneDrive 和 SharePoint Online 设置允许或阻止列表。 有关详细信息,请参阅按域限制 SharePoint 和 OneDrive 内容的共享
  • 此列表不适用于已兑换邀请的外部用户。 设置列表后,将强制实施该列表。 如果用户邀请处于挂起状态,而你设置了一个阻止该用户的域的策略,则该用户在尝试兑换邀请时会失败。
  • 邀请时会检查允许/阻止列表和跨租户访问设置。

在门户中设置允许或阻止列表策略

“允许将邀请发送到任何域(最大范围)”默认已启用。 在这种情况下,可以邀请任何组织中的 B2B 用户。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

添加阻止列表

提示

本文中的步骤可能因开始使用的门户而略有不同。

这是一个最典型的场景:你的组织希望能够与绝大多数组织合作,但同时想要避免邀请某些域的用户作为 B2B 用户。

若要添加阻止列表:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 在“协作限制”下,选择“拒绝向指定的域发送邀请”。

  4. 在“目标域”下,输入要阻止的某个域的名称。 若要阻止多个域,请分行输入每个域。 例如:

    屏幕截图显示了具有增加的域的拒绝选项。

  5. 完成后,选择“保存”。

设置策略后,如果尝试邀请被阻止域中的用户,将会收到一条消息,指出该用户的域当前已被邀请策略阻止。

添加允许列表

有了这个限制性更强的配置,你可在允许列表中设置特定的域,并将邀请限制为列表中未提到的其他任何组织或域。

若要使用允许列表,请确保花些时间来全面评估业务需求。 如果此策略的限制性过于严格,用户可选择通过电子邮件发送文档,或者寻求 IT 部门未批准的其他协作方式。

若要添加允许列表:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 在“协作限制”下,选择“只允许向指定的域发送邀请(限制性最强)”。

  4. 在“目标域”下,输入要允许的某个域的名称。 若要阻止多个域,请分行输入每个域。 例如:

    显示允许选项的屏幕截图,其中包含添加的域。

  5. 完成后,选择“保存”

设置策略后,如果尝试邀请的用户来自允许列表之外的域,就会收到一条消息,指出用户的域当前已被邀请策略阻止。

从允许列表切换到阻止列表,反之亦然

从一个策略切换到另一个策略时会放弃现有的策略配置。 在执行这种切换之前,请务必备份配置详细信息。

使用 PowerShell 设置允许或阻止列表策略

先决条件

注意

AzureADPreview 模块不是完全支持的模块,因为它处于预览状态。

若要使用 PowerShell 设置允许或阻止列表,必须安装 Azure AD PowerShell 模块预览版。 具体而言,请安装 AzureADPreview 模块 2.0.0.98 或更高版本。

检查模块版本(及查看是否已安装):

  1. 以权限提升的用户身份(以管理员身份运行)打开 Windows PowerShell。

  2. 运行以下命令,查看计算机上是否已安装任何版本的 Azure AD PowerShell 模块:

    Get-Module -ListAvailable AzureAD*
    

如果未安装该模块或者未安装所需的版本,请执行以下操作之一:

  • 如果未返回任何结果,请运行以下命令来安装 AzureADPreview 模块的最新版本:

    Install-Module AzureADPreview
    
  • 如果结果中只显示了 AzureAD 模块,请运行以下命令来安装 AzureADPreview 模块:

    Uninstall-Module AzureAD
    Install-Module AzureADPreview
    
  • 如果结果中只显示了 AzureADPreview 模块,但版本低于 2.0.0.98,则请运行以下命令进行更新:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • 如果结果中同时显示 AzureADAzureADPreview 模块,但 AzureADPreview 模块版本低于 2.0.0.98,请运行以下命令进行更新:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

使用 AzureADPolicy cmdlet 配置策略

若要创建允许或阻止列表,请使用 New-AzureADPolicy cmdlet。 以下示例演示如何设置阻止“live.com”域的阻止列表。

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

下面是一个类似的示例,其中包含内联的策略定义。

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

若要设置允许或阻止列表策略,请使用 Set-AzureADPolicy cmdlet。 例如:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

若要获取策略,请使用 Get-AzureADPolicy cmdlet。 例如:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

若要删除策略,请使用 Remove-AzureADPolicy cmdlet。 例如:

Remove-AzureADPolicy -Id $currentpolicy.Id 

后续步骤