Mengizinkan atau memblokir kolaborasi B2B dengan organisasi
Berlaku untuk: Penyewa Tenaga Kerja Penyewa
eksternal (pelajari lebih lanjut)
Anda dapat menggunakan daftar izin atau daftar blokir guna mengizinkan atau memblokir undangan untuk pengguna kolaborasi B2B dari organisasi tertentu. Misalnya, jika ingin memblokir domain alamat email pribadi, Anda dapat menyiapkan daftar blokir yang berisi domain seperti Gmail.com dan Outlook.com. Atau, jika bisnis Anda memiliki kemitraan dengan bisnis lain seperti Contoso.com, Fabrikam.com, dan Litware.com, sedangkan Anda hanya ingin membatasi undangan ke organisasi ini, Anda dapat menambahkan Contoso.com, Fabrikam.com, dan Litware.com ke daftar izin.
Artikel ini membahas dua cara untuk mengonfigurasikan izin atau daftar blokir untuk kolaborasi B2B:
- Di portal dengan mengonfigurasikan pembatasan kolaborasi di Pengaturan kolaborasi ekstenal organisasi Anda
- Melalui PowerShell
Pertimbangan penting
- Anda dapat membuat daftar izin atau daftar blokir. Anda tidak bisa menyiapkan kedua tipe daftar. Secara default, domain apa pun yang tidak ada dalam daftar izin terdapat di daftar blokir, begitu juga sebaliknya.
- Anda hanya dapat membuat satu kebijakan per organisasi. Anda dapat memperbarui kebijakan untuk menyertakan lebih banyak domain, atau Anda bisa menghapus kebijakan untuk membuat domain baru.
- Jumlah domain yang bisa Anda tambahkan ke daftar izin atau daftar blokir hanya dibatasi oleh ukuran kebijakan. Batas ini berlaku untuk jumlah karakter, sehingga Anda dapat memiliki banyak domain pendek atau domain sedikit panjang. Ukuran maksimum seluruh kebijakan adalah 25 KB (25.000 karakter), yang mencakup daftar izin atau daftar blokir dan parameter lain yang dikonfigurasikan untuk fitur lain.
- Daftar ini bekerja secara independen dari daftar izinkan/blokir OneDrive dan SharePoint Online. Jika Anda ingin membatasi berbagi file individual di SharePoint Online, Anda perlu menyiapkan izin atau daftar blokir untuk OneDrive dan SharePoint Online. Untuk informasi selengkapnya, lihat Membatasi berbagi konten SharePoint dan OneDrive menurut domain.
- Daftar tidak berlaku untuk pengguna eksternal yang sudah menukarkan undangan. Daftar akan diberlakukan setelah daftar disiapkan. Jika undangan pengguna dalam status tertunda, dan Anda menetapkan kebijakan yang memblokir domain mereka, upaya pengguna untuk menukarkan undangan gagal.
- Daftar izinkan/blokir dan pengaturan akses lintas penyewa dicentang pada saat undangan.
Mengatur kebijakan daftar izin atau blokir di portal
Secara default, pengaturan Perbolehkan undangan dikirim ke domain apa pun (paling inklusif) diaktifkan. Dalam hal ini, Anda dapat mengundang pengguna B2B dari organisasi mana pun.
Penting
Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Praktik ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat atau ketika Anda tidak dapat menggunakan peran yang ada.
Menambahkan daftar blokir
Ini adalah skenario yang paling khas, di mana organisasi Anda ingin bekerja dengan hampir semua organisasi, tetapi ingin mencegah pengguna dari domain tertentu untuk diundang sebagai pengguna B2B.
Untuk menambahkan daftar blokir:
Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
Telusuri ke >>pengaturan kolaborasi eksternal.
Di Pembatasan kolaborasi, pilih Tolak undangan ke domain tertentu.
Di bawah Domain target, masukkan nama salah satu domain yang ingin Anda blokir. Untuk beberapa domain, masukkan setiap domain di baris baru. Contohnya:
Jika sudah selesai, pilih Simpan.
Setelah Anda mengatur kebijakan, jika Anda mencoba mengundang pengguna dari domain yang diblokir, Anda menerima pesan yang mengatakan bahwa domain pengguna saat ini diblokir oleh kebijakan undangan Anda.
Menambahkan daftar izin
Dengan konfigurasi yang lebih ketat ini, Anda dapat mengatur domain tertentu dalam daftar yang diizinkan dan membatasi undangan ke organisasi atau domain lain yang tidak disebutkan.
Jika ingin menggunakan daftar izin, pastikan Anda meluangkan waktu untuk mengevaluasi sepenuhnya apa yang dibutuhkan bisnis Anda. Jika Anda membuat kebijakan ini terlalu ketat, pengguna Anda dapat memilih untuk mengirim dokumen melalui email, atau menemukan cara lain yang tidak diberi sanksi IT untuk berkolaborasi.
Untuk menambahkan daftar izin:
Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
Telusuri ke >>pengaturan kolaborasi eksternal.
Di Pembatasan kolaborasi, pilih Perbolehkan undangan hanya ke domain yang ditentukan (paling ketat).
Di bawah Domain target, masukkan nama salah satu domain yang ingin Anda izinkan. Untuk beberapa domain, masukkan setiap domain di baris baru. Contohnya:
Jika sudah selesai, pilih Simpan.
Setelah mengatur kebijakan, jika mencoba mengundang pengguna dari domain yang tidak ada dalam daftar izin, Anda akan menerima pesan yang mengatakan bahwa domain pengguna saat ini diblokir oleh kebijakan undangan Anda.
Beralih dari daftar izin ke daftar blokir dan sebaliknya
Beralih dari satu kebijakan ke kebijakan lain akan membuang konfigurasi kebijakan yang ada. Pastikan untuk mencadangkan detail konfigurasi Anda sebelum melakukan pengalih.
Mengatur kebijakan daftar izin atau daftar blokir menggunakan PowerShell
Prasyarat
Catatan
Modul AzureADPreview bukan modul yang didukung sepenuhnya seperti dalam pratinjau.
Untuk mengatur daftar izinkan atau blokir dengan menggunakan PowerShell, Anda harus menginstal versi pratinjau modul Azure AD PowerShell. Secara khusus, instal modul AzureADPreview versi 2.0.0.98 atau yang lebih baru.
Untuk memeriksa versi modul (dan melihat apakah modul diinstal):
Membuka Windows PowerShell sebagai pengguna yang ditinggikan (Jalankan sebagai Administrator).
Jalankan perintah berikut untuk melihat apakah Anda memiliki versi modul Azure AD PowerShell yang terinstal di komputer Anda:
Get-Module -ListAvailable AzureAD*
Jika modul tidak diinstal, atau Anda tidak memiliki versi yang diperlukan, lakukan salah satu hal berikut:
Jika tidak ada hasil yang dikembalikan, jalankan perintah berikut untuk menginstal versi
AzureADPreview
terbaru modul:Install-Module AzureADPreview
Jika hanya modul yang
AzureAD
ditampilkan dalam hasil, jalankan perintah berikut untuk menginstalAzureADPreview
modul:Uninstall-Module AzureAD Install-Module AzureADPreview
Jika hanya modul yang
AzureADPreview
ditampilkan dalam hasil, tetapi versinya kurang dari2.0.0.98
, jalankan perintah berikut untuk memperbaruinya:Uninstall-Module AzureADPreview Install-Module AzureADPreview
AzureAD
Jika modul danAzureADPreview
ditampilkan dalam hasil, tetapi versi modul kurang dariAzureADPreview
2.0.0.98
, jalankan perintah berikut untuk memperbaruinya:Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
Menggunakan cmdlet AzureADPolicy untuk mengonfigurasi kebijakan
Untuk membuat daftar izin atau blokir, gunakan cmdlet New-AzureADPolicy. Contoh berikut menunjukkan cara mengatur daftar izin yang memblokir domain "live.com".
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Berikut ini memperlihatkan contoh yang sama, tetapi dengan definisi kebijakan sebaris.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
Untuk mengatur kebijakan daftar izin atau blokir, gunakan cmdlet Set-AzureADPolicy. Contohnya:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
Untuk mendapatkan kebijakan, gunakan cmdlet Get-AzureADPolicy. Contohnya:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
Untuk menghapus kebijakan, gunakan cmdlet Remove-AzureADPolicy. Contohnya:
Remove-AzureADPolicy -Id $currentpolicy.Id
Langkah berikutnya
- Pengaturan akses lintas penyewa
- Pengaturan kolaborasi eksternal.