适用于:
员工租户 
外部租户(了解详细信息)
可以使用允许列表或阻止列表,来允许或阻止向特定组织中的 B2B 协作用户发送邀请。 例如,如果你要阻止个人电子邮件地址域,可以设置一个阻止列表,并在其中包含类似于 Gmail.com 和 Outlook.com 的域。 或者,如果你的企业与 Contoso.com、Fabrikam.com 和 Litware.com 等其他企业建立了合作关系,并且你希望将邀请限制为这些组织,则可以将 Contoso.com、Fabrikam.com 和 Litware.com 添加到允许列表。
本文讨论了为 B2B 协作配置允许或阻止列表的两种方法:
- 在门户中,通过在组织的外部协作设置中配置协作限制
重要注意事项
- 可以创建允许列表或阻止列表。 不能同时设置这两种类型的列表。 默认情况下,不在允许列表中的任何域都会包含在阻止列表中,反之亦然。
- 对于每个组织,只能创建一个策略。 可以更新策略以包含更多的域,或者删除策略以创建新策略。
- 可以添加到允许列表或阻止列表的域数仅受策略大小限制。 此限制适用于字符数,这样可以拥有更多短域或更少长域。 整个策略的最大大小为25 KB(25,000 个字符),其中包括允许列表或阻止列表以及为其他功能配置的任何其他参数。
- 此列表独立于 OneDrive 和 SharePoint Online 允许/阻止列表。 若要在 SharePoint Online 中限制单个文件的共享,需要为 OneDrive 和 SharePoint Online 设置允许或阻止列表。 有关详细信息,请参阅按域限制 SharePoint 和 OneDrive 内容的共享。
- 此列表不适用于已兑换邀请的外部用户。 设置列表后,将强制实施该列表。 如果用户邀请处于挂起状态,而你设置了一个阻止该用户的域的策略,则该用户在尝试兑换邀请时会失败。
- 邀请时会检查允许/阻止列表和跨租户访问设置。
在门户中设置允许或阻止列表策略
“允许将邀请发送到任何域(最大范围)”默认已启用。 在这种情况下,可以邀请任何组织中的 B2B 用户。
重要
Microsoft 建议使用权限最少的角色。 这种做法有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于紧急方案,或者无法使用现有角色时。
添加阻止列表
这是一个最典型的场景:你的组织希望能够与绝大多数组织合作,但同时想要避免邀请某些域的用户作为 B2B 用户。
若要添加阻止列表:
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>外部身份>外部协作设置。
在“协作限制”下,选择“拒绝向指定的域发送邀请”。
在“目标域”下,输入要阻止的某个域的名称。 若要阻止多个域,请分行输入每个域。 例如:
完成后,选择“保存”。
设置策略后,如果尝试邀请被阻止域中的用户,将会收到一条消息,指出该用户的域当前已被邀请策略阻止。
添加允许列表
有了这个限制性更强的配置,你可在允许列表中设置特定的域,并将邀请限制为列表中未提到的其他任何组织或域。
若要使用允许列表,请确保花些时间来全面评估业务需求。 如果此策略的限制性过于严格,用户可选择通过电子邮件发送文档,或者寻求 IT 部门未批准的其他协作方式。
若要添加允许列表:
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>外部身份>外部协作设置。
在“协作限制”下,选择“只允许向指定的域发送邀请(限制性最强)”。
在“目标域”下,输入要允许的某个域的名称。 若要阻止多个域,请分行输入每个域。 例如:
完成后,选择“保存”。
设置策略后,如果尝试邀请的用户来自允许列表之外的域,就会收到一条消息,指出用户的域当前已被邀请策略阻止。
从允许列表切换到阻止列表,反之亦然
从一个策略切换到另一个策略时会放弃现有的策略配置。 在执行这种切换之前,请务必备份配置详细信息。