允许或阻止与组织的 B2B 协作
适用于: 员工租户 外部租户(了解详细信息)
可以使用允许列表或阻止列表,来允许或阻止向特定组织中的 B2B 协作用户发送邀请。 例如,如果你要阻止个人电子邮件地址域,可以设置一个阻止列表,并在其中包含类似于 Gmail.com 和 Outlook.com 的域。 或者,如果你的企业与 Contoso.com、Fabrikam.com 和 Litware.com 等其他企业建立了合作关系,并且你希望将邀请限制为这些组织,则可以将 Contoso.com、Fabrikam.com 和 Litware.com 添加到允许列表。
本文讨论了为 B2B 协作配置允许或阻止列表的两种方法:
- 在门户中,通过在组织的外部协作设置中配置协作限制
- 通过 PowerShell
重要注意事项
- 可以创建允许列表或阻止列表。 不能同时设置这两种类型的列表。 默认情况下,不在允许列表中的任何域都会包含在阻止列表中,反之亦然。
- 对于每个组织,只能创建一个策略。 可以更新策略以包含更多的域,或者删除策略以创建新策略。
- 可以添加到允许列表或阻止列表的域数仅受策略大小限制。 此限制适用于字符数,这样可以拥有更多短域或更少长域。 整个策略的最大大小为25 KB(25,000 个字符),其中包括允许列表或阻止列表以及为其他功能配置的任何其他参数。
- 此列表独立于 OneDrive 和 SharePoint Online 允许/阻止列表。 若要在 SharePoint Online 中限制单个文件的共享,需要为 OneDrive 和 SharePoint Online 设置允许或阻止列表。 有关详细信息,请参阅按域限制 SharePoint 和 OneDrive 内容的共享。
- 此列表不适用于已兑换邀请的外部用户。 设置列表后,将强制实施该列表。 如果用户邀请处于挂起状态,而你设置了一个阻止该用户的域的策略,则该用户在尝试兑换邀请时会失败。
- 邀请时会检查允许/阻止列表和跨租户访问设置。
在门户中设置允许或阻止列表策略
“允许将邀请发送到任何域(最大范围)”默认已启用。 在这种情况下,可以邀请任何组织中的 B2B 用户。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
添加阻止列表
提示
本文中的步骤可能因开始使用的门户而略有不同。
这是一个最典型的场景:你的组织希望能够与绝大多数组织合作,但同时想要避免邀请某些域的用户作为 B2B 用户。
若要添加阻止列表:
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“外部协作设置”。
在“协作限制”下,选择“拒绝向指定的域发送邀请”。
在“目标域”下,输入要阻止的某个域的名称。 若要阻止多个域,请分行输入每个域。 例如:
完成后,选择“保存”。
设置策略后,如果尝试邀请被阻止域中的用户,将会收到一条消息,指出该用户的域当前已被邀请策略阻止。
添加允许列表
有了这个限制性更强的配置,你可在允许列表中设置特定的域,并将邀请限制为列表中未提到的其他任何组织或域。
若要使用允许列表,请确保花些时间来全面评估业务需求。 如果此策略的限制性过于严格,用户可选择通过电子邮件发送文档,或者寻求 IT 部门未批准的其他协作方式。
若要添加允许列表:
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“外部协作设置”。
在“协作限制”下,选择“只允许向指定的域发送邀请(限制性最强)”。
在“目标域”下,输入要允许的某个域的名称。 若要阻止多个域,请分行输入每个域。 例如:
完成后,选择“保存”。
设置策略后,如果尝试邀请的用户来自允许列表之外的域,就会收到一条消息,指出用户的域当前已被邀请策略阻止。
从允许列表切换到阻止列表,反之亦然
从一个策略切换到另一个策略时会放弃现有的策略配置。 在执行这种切换之前,请务必备份配置详细信息。
使用 PowerShell 设置允许或阻止列表策略
先决条件
注意
AzureADPreview 模块不是完全支持的模块,因为它处于预览状态。
若要使用 PowerShell 设置允许或阻止列表,必须安装 Azure AD PowerShell 模块预览版。 具体而言,请安装 AzureADPreview 模块 2.0.0.98 或更高版本。
检查模块版本(及查看是否已安装):
以权限提升的用户身份(以管理员身份运行)打开 Windows PowerShell。
运行以下命令,查看计算机上是否已安装任何版本的 Azure AD PowerShell 模块:
Get-Module -ListAvailable AzureAD*
如果未安装该模块或者未安装所需的版本,请执行以下操作之一:
如果未返回任何结果,请运行以下命令来安装
AzureADPreview
模块的最新版本:Install-Module AzureADPreview
如果结果中只显示了
AzureAD
模块,请运行以下命令来安装AzureADPreview
模块:Uninstall-Module AzureAD Install-Module AzureADPreview
如果结果中只显示了
AzureADPreview
模块,但版本低于2.0.0.98
,则请运行以下命令进行更新:Uninstall-Module AzureADPreview Install-Module AzureADPreview
如果结果中同时显示
AzureAD
和AzureADPreview
模块,但AzureADPreview
模块版本低于2.0.0.98
,请运行以下命令进行更新:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
使用 AzureADPolicy cmdlet 配置策略
若要创建允许或阻止列表,请使用 New-AzureADPolicy cmdlet。 以下示例演示如何设置阻止“live.com”域的阻止列表。
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
下面是一个类似的示例,其中包含内联的策略定义。
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
若要设置允许或阻止列表策略,请使用 Set-AzureADPolicy cmdlet。 例如:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
若要获取策略,请使用 Get-AzureADPolicy cmdlet。 例如:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
若要删除策略,请使用 Remove-AzureADPolicy cmdlet。 例如:
Remove-AzureADPolicy -Id $currentpolicy.Id