Mengizinkan atau memblokir kolaborasi B2B dengan organisasi

Berlaku untuk: Penyewa Tenaga Kerja Penyewa eksternal (pelajari lebih lanjut)

Anda dapat menggunakan daftar izin atau daftar blokir guna mengizinkan atau memblokir undangan untuk pengguna kolaborasi B2B dari organisasi tertentu. Misalnya, jika ingin memblokir domain alamat email pribadi, Anda dapat menyiapkan daftar blokir yang berisi domain seperti Gmail.com dan Outlook.com. Atau, jika bisnis Anda memiliki kemitraan dengan bisnis lain seperti Contoso.com, Fabrikam.com, dan Litware.com, sedangkan Anda hanya ingin membatasi undangan ke organisasi ini, Anda dapat menambahkan Contoso.com, Fabrikam.com, dan Litware.com ke daftar izin.

Artikel ini membahas dua cara untuk mengonfigurasikan izin atau daftar blokir untuk kolaborasi B2B:

• Di portal dengan mengonfigurasikan pembatasan kolaborasi di Pengaturan kolaborasi ekstenal organisasi Anda
• Melalui PowerShell

Pertimbangan penting

• Anda dapat membuat daftar izin atau daftar blokir. Anda tidak bisa menyiapkan kedua tipe daftar. Secara default, domain apa pun yang tidak ada dalam daftar izin terdapat di daftar blokir, begitu juga sebaliknya.
• Anda hanya dapat membuat satu kebijakan per organisasi. Anda dapat memperbarui kebijakan untuk menyertakan lebih banyak domain, atau Anda bisa menghapus kebijakan untuk membuat domain baru.
• Jumlah domain yang bisa Anda tambahkan ke daftar izin atau daftar blokir hanya dibatasi oleh ukuran kebijakan. Batas ini berlaku untuk jumlah karakter, sehingga Anda dapat memiliki banyak domain pendek atau domain sedikit panjang. Ukuran maksimum seluruh kebijakan adalah 25 KB (25.000 karakter), yang mencakup daftar izin atau daftar blokir dan parameter lain yang dikonfigurasikan untuk fitur lain.
• Daftar ini bekerja secara independen dari daftar izinkan/blokir OneDrive dan SharePoint Online. Jika Anda ingin membatasi berbagi file individual di SharePoint Online, Anda perlu menyiapkan izin atau daftar blokir untuk OneDrive dan SharePoint Online. Untuk informasi selengkapnya, lihat Membatasi berbagi konten SharePoint dan OneDrive menurut domain.
• Daftar tidak berlaku untuk pengguna eksternal yang sudah menukarkan undangan. Daftar akan diberlakukan setelah daftar disiapkan. Jika undangan pengguna dalam status tertunda, dan Anda menetapkan kebijakan yang memblokir domain mereka, upaya pengguna untuk menukarkan undangan gagal.
• Daftar izinkan/blokir dan pengaturan akses lintas penyewa dicentang pada saat undangan.

Mengatur kebijakan daftar izin atau blokir di portal

Secara default, pengaturan Perbolehkan undangan dikirim ke domain apa pun (paling inklusif) diaktifkan. Dalam hal ini, Anda dapat mengundang pengguna B2B dari organisasi mana pun.

Menambahkan daftar blokir

Ini adalah skenario yang paling khas, di mana organisasi Anda ingin bekerja dengan hampir semua organisasi, tetapi ingin mencegah pengguna dari domain tertentu untuk diundang sebagai pengguna B2B.

Untuk menambahkan daftar blokir:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

2. Telusuri ke >>pengaturan kolaborasi eksternal.

3. Di Pembatasan kolaborasi, pilih Tolak undangan ke domain tertentu.

4. Di bawah Domain target, masukkan nama salah satu domain yang ingin Anda blokir. Untuk beberapa domain, masukkan setiap domain di baris baru. Contohnya:

   

5. Jika sudah selesai, pilih Simpan.

Setelah Anda mengatur kebijakan, jika Anda mencoba mengundang pengguna dari domain yang diblokir, Anda menerima pesan yang mengatakan bahwa domain pengguna saat ini diblokir oleh kebijakan undangan Anda.

Menambahkan daftar izin

Dengan konfigurasi yang lebih ketat ini, Anda dapat mengatur domain tertentu dalam daftar yang diizinkan dan membatasi undangan ke organisasi atau domain lain yang tidak disebutkan.

Jika ingin menggunakan daftar izin, pastikan Anda meluangkan waktu untuk mengevaluasi sepenuhnya apa yang dibutuhkan bisnis Anda. Jika Anda membuat kebijakan ini terlalu ketat, pengguna Anda dapat memilih untuk mengirim dokumen melalui email, atau menemukan cara lain yang tidak diberi sanksi IT untuk berkolaborasi.

Untuk menambahkan daftar izin:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

2. Telusuri ke >>pengaturan kolaborasi eksternal.

3. Di Pembatasan kolaborasi, pilih Perbolehkan undangan hanya ke domain yang ditentukan (paling ketat).

4. Di bawah Domain target, masukkan nama salah satu domain yang ingin Anda izinkan. Untuk beberapa domain, masukkan setiap domain di baris baru. Contohnya:

   

5. Jika sudah selesai, pilih Simpan.

Setelah mengatur kebijakan, jika mencoba mengundang pengguna dari domain yang tidak ada dalam daftar izin, Anda akan menerima pesan yang mengatakan bahwa domain pengguna saat ini diblokir oleh kebijakan undangan Anda.

Beralih dari daftar izin ke daftar blokir dan sebaliknya

Beralih dari satu kebijakan ke kebijakan lain akan membuang konfigurasi kebijakan yang ada. Pastikan untuk mencadangkan detail konfigurasi Anda sebelum melakukan pengalih.

Mengatur kebijakan daftar izin atau daftar blokir menggunakan PowerShell

Prasyarat

Untuk mengatur daftar izinkan atau blokir dengan menggunakan PowerShell, Anda harus menginstal versi pratinjau modul Azure AD PowerShell. Secara khusus, instal modul AzureADPreview versi 2.0.0.98 atau yang lebih baru.

Untuk memeriksa versi modul (dan melihat apakah modul diinstal):

1. Membuka Windows PowerShell sebagai pengguna yang ditinggikan (Jalankan sebagai Administrator).

2. Jalankan perintah berikut untuk melihat apakah Anda memiliki versi modul Azure AD PowerShell yang terinstal di komputer Anda:

   Get-Module -ListAvailable AzureAD*
   

Jika modul tidak diinstal, atau Anda tidak memiliki versi yang diperlukan, lakukan salah satu hal berikut:

• Jika tidak ada hasil yang dikembalikan, jalankan perintah berikut untuk menginstal versi AzureADPreview terbaru modul:

  Install-Module AzureADPreview
  

• Jika hanya modul yang AzureAD ditampilkan dalam hasil, jalankan perintah berikut untuk menginstal AzureADPreview modul:

  Uninstall-Module AzureAD
  Install-Module AzureADPreview
  

• Jika hanya modul yang AzureADPreview ditampilkan dalam hasil, tetapi versinya kurang dari 2.0.0.98, jalankan perintah berikut untuk memperbaruinya:

  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

• AzureAD Jika modul dan AzureADPreview ditampilkan dalam hasil, tetapi versi modul kurang dari AzureADPreview2.0.0.98, jalankan perintah berikut untuk memperbaruinya:

  Uninstall-Module AzureAD 
  Uninstall-Module AzureADPreview 
  Install-Module AzureADPreview 
  

Menggunakan cmdlet AzureADPolicy untuk mengonfigurasi kebijakan

Untuk membuat daftar izin atau blokir, gunakan cmdlet New-AzureADPolicy. Contoh berikut menunjukkan cara mengatur daftar izin yang memblokir domain "live.com".

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Berikut ini memperlihatkan contoh yang sama, tetapi dengan definisi kebijakan sebaris.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

Untuk mengatur kebijakan daftar izin atau blokir, gunakan cmdlet Set-AzureADPolicy. Contohnya:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

Untuk mendapatkan kebijakan, gunakan cmdlet Get-AzureADPolicy. Contohnya:

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

Untuk menghapus kebijakan, gunakan cmdlet Remove-AzureADPolicy. Contohnya:

Remove-AzureADPolicy -Id $currentpolicy.Id 

Langkah berikutnya

• Pengaturan akses lintas penyewa
• Pengaturan kolaborasi eksternal.