Administradores de TI: administrar reuniones externas y chatear con personas y organizaciones que usan identidades de Microsoft

En esta sección, puede configurar:

• Reuniones y chat con organizaciones de confianza de Microsoft 365
• Chatear con usuarios externos de Teams que no están administrados por una organización
• Chatear y llamar con usuarios de Skype
• Bloquear usuarios externos

También puede configurar estas opciones con PowerShell

Especificar organizaciones de Microsoft 365 de confianza

Para las reuniones y el chat con otras organizaciones de Microsoft 365, puede especificar los dominios en los que desea confiar. De forma predeterminada, se permiten todos los dominios externos. Puede permitir o bloquear determinados dominios para definir en qué organizaciones confía su organización para reuniones y chats externos.

Para chatear y reunirse con personas en dominios externos, las organizaciones en las que confía también deben confiar en su organización y sus usuarios deben estar habilitados para el acceso externo. Si no es así, no podrá chatear con los usuarios de su organización y se considerarán anónimos al unirse a reuniones hospedadas por su organización. Obtenga más información sobre las reuniones con otras organizaciones de Microsoft 365.

Puede especificar qué dominios están permitidos o qué dominios están bloqueados. Si especifica dominios bloqueados, se permiten todos los demás dominios; si especifica dominios permitidos, se bloquean todos los demás dominios. Hay cuatro escenarios para configurar organizaciones de confianza:

• Permitir todos los dominios externos: la configuración predeterminada en Teams permite a los usuarios de su organización buscar, llamar, chatear y configurar reuniones con personas externas a su organización en cualquier dominio.

  En este escenario, los usuarios pueden comunicarse con todos los dominios externos que ejecuten Teams o Skype Empresarial siempre que la otra organización también haya habilitado el acceso externo.

• Permitir solo dominios externos específicos: al agregar dominios a una lista de dominios permitidos, solo se autoriza el acceso externo a los dominios permitidos. Una vez configurada una lista de dominios permitidos, se bloquean todos los demás dominios.

• Bloquear dominios específicos: al agregar dominios a una lista de bloqueados , puede comunicarse con todos los dominios externos excepto con los dominios que bloqueó. Una vez configurada una lista de dominios bloqueados, se permiten todos los demás dominios.

• Bloquear todos los dominios externos: impide que los usuarios de su organización encuentren, llamen, chateen y configuren reuniones con personas externas a la organización en cualquier dominio.

Para permitir dominios específicos, haga lo siguiente:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.

2. Junto a Teams y Skype Empresarial usuarios de organizaciones externas, elija Permitir solo dominios externos específicos.

3. Seleccione Agregar dominios externos.

4. En el cuadro Dominio , escriba el dominio que desea permitir y, a continuación, seleccione Listo.

5. Si desea permitir otro dominio, escriba en otro dominio.

6. Seleccione Listo.

Para bloquear dominios específicos, haga lo siguiente:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.

2. Junto a Teams y Skype Empresarial usuarios de organizaciones externas, elija Bloquear solo dominios externos específicos.

3. Seleccione Bloquear dominios externos.

4. En el cuadro Dominio , escriba el dominio que desea permitir y, a continuación, seleccione Listo.

5. Si desea bloquear otro dominio, escriba en otro dominio.

6. Seleccione Listo.

De forma predeterminada, al bloquear dominios, los subdominios no se bloquean. Por ejemplo, si bloquea contoso.com, marketing.contoso.com no se bloquea. Si desea bloquear todos los subdominios, puede usar el cmdlet de PowerShell Set-CsTenantFederationConfiguration con el -BlockAllSubdomains parámetro. Por ejemplo:

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

Bloquear la federación con inquilinos de solo prueba de Teams

Puede controlar el acceso externo de su organización con inquilinos solo de prueba de Teams (que no tienen licencias compradas) mediante la configuración de PowerShell (se requiere al menos la -ExternalAccessWithTrialTenants versión 6.4.0).

El valor predeterminado de esta configuración es Bloqueado, pero puede reemplazarlo a Permitido mediante el siguiente comando:

Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"

Para bloquear la comunicación externa con inquilinos de solo prueba, use el siguiente comando:

Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

Cuando se establece en Bloqueado, los usuarios de estos inquilinos de solo prueba no pueden buscar y ponerse en contacto con los usuarios a través de chats, llamadas de Teams y reuniones (con identidades autenticadas de los usuarios) y los usuarios no pueden ponerse en contacto con los usuarios de estos inquilinos de solo prueba. Los usuarios del espacio empresarial de solo prueba también se quitan de los chats existentes.

Los usuarios de inquilinos solo de prueba se bloquean de forma predeterminada (sin opción de invalidar) de la comunicación externa con los usuarios de otros entornos de la nube de Microsoft 365 y con los usuarios del servidor de Microsoft Skype Empresarial. Dos inquilinos con solo suscripciones de prueba pueden federarse entre sí si el valor del parámetro -ExternalAccessWithTrialTenants está permitido por ambos inquilinos.

Herramienta de diagnóstico

Si es administrador, puede usar la siguiente herramienta de diagnóstico para validar si un usuario de Teams puede comunicarse con un usuario de Teams de una organización de confianza:

1. Seleccione Ejecutar pruebas, que rellena el diagnóstico en la Centro de administración de Microsoft 365:

   Ejecutar pruebas: Organizaciones de confianza de Teams

2. En el panel Ejecutar diagnóstico, escriba la Dirección de Protocolo de inicio de sesión (SIP) y el nombre de dominio del espacio empresarial federado y, a continuación, seleccione Ejecutar pruebas.

3. Las pruebas devuelven los mejores pasos siguientes para abordar las configuraciones de configuración o directiva que impiden la comunicación con el usuario externo de Teams.

Skype Empresarial Online

Si quiere que los chats y las llamadas lleguen al cliente de Skype Empresarial del usuario, configure los usuarios para que estén en cualquier modo distinto de TeamsOnly. Para obtener más información, vea Comprender Microsoft Teams y Skype Empresarial coexistencia e interoperabilidad.

Administrar chats y reuniones con usuarios externos de Teams no administrados por una organización

Puede elegir habilitar o deshabilitar chats y reuniones con usuarios externos no administrados de Teams (usuarios no administrados por una organización, como Microsoft Teams (gratis)). Si está habilitado, también puede controlar si los usuarios con cuentas de Teams no administradas pueden iniciar chats y reuniones con usuarios de su organización.

Para permitir chats y reuniones con cuentas de Teams no administradas:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.
2. Active la configuración de las Personas en mi organización pueden comunicarse con cuentas de Teams no administradas.
3. Si quiere permitir que los usuarios externos no administrados de Teams inicien la conversación, seleccione la casilla Los usuarios externos con cuentas de Teams no administradas por una organización pueden ponerse en contacto con los usuarios de mi organización .
4. Seleccione Guardar.

Si la opción Usuarios externos con cuentas de Teams no administradas por una organización pueden ponerse en contacto con usuarios de mi organización está desactivada, los usuarios no administrados de Teams no podrán buscar por dirección de correo electrónico para encontrar usuarios de la organización. Los usuarios de su organización deben iniciar todas las comunicaciones con usuarios de Teams no administrados.

Para evitar el chat con cuentas de Teams no administradas:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.
2. Desactive la configuración de cuentas de Teams no administradas para comunicarse con los Personas de mi organización.
3. Seleccione Guardar.

Administrar chats y llamadas con usuarios de Skype

Siga los pasos que se indican a continuación para que los usuarios de Teams de su organización puedan llamar a usuarios de Skype y chatear con ellos. Los usuarios de Teams pueden buscar usuarios de Skype y, a continuación, iniciar con ellos una conversación privada de solo texto o una llamada de audio o vídeo, y viceversa.

Las reuniones no son compatibles con los usuarios de Skype. Si se les invita a una reunión, se considera anónimo al unirse.

Para configurar el chat y las llamadas con los usuarios de Skype:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.

2. Active o desactive la opción Permitir que los usuarios de mi organización se comuniquen con usuarios de Skype .

   

3. Seleccione Guardar.

Para obtener más información sobre las formas en las que pueden comunicarse los usuarios de Teams y Skype, incluidas las limitaciones que se aplican, consulte Interoperabilidad de Teams y Skype.

Bloquear usuarios externos

Puede bloquear la colaboración de usuarios externos específicos con su organización. Si se agrega un usuario a la lista de bloqueados, su organización no puede tener chats individuales y grupales con estos usuarios. Si ya existen chats antes de agregar un usuario a la lista de bloqueados, el usuario bloqueado se quita del chat. Esta característica está desactivada de forma predeterminada.

Para habilitar y configurar la lista de usuarios bloqueados, haga lo siguiente:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.

2. Active la opción Impedir que determinados usuarios se comuniquen con personas de mi organización .

3. Agregue usuarios a la lista de bloqueados seleccionando el botón Bloquear un usuario .

4. En el cuadro Usuario, escriba la dirección de correo electrónico del usuario que desea bloquear y, a continuación, seleccione el botón Aplicar . Selecciona el botón Cancelar para salir sin realizar ninguna acción. Debe escribir un correo electrónico individual válido o un identificador de recursos de mensajería (MRI).

   

5. Si desea bloquear a otro usuario, seleccione Agregar usuarios y, después, el botón Aplicar . En esta lista se pueden especificar un máximo de 200 usuarios.

   

Los administradores pueden configurar las opciones de usuario bloqueadas mediante el cmdlet de PowerShell Set-CsTeamsExternalAccessConfiguration .

Permitir que mi equipo de seguridad administre dominios bloqueados

Los administradores de Microsoft Teams pueden permitir que los administradores de seguridad administren dominios externos bloqueados en el portal de seguridad de Microsoft Defender para Office. Esta característica utiliza la funcionalidad Permitir o bloquear lista de inquilinos específicamente para Teams. Cuando esta característica está activada, los administradores de seguridad pueden ver, agregar o quitar dominios externos bloqueados. Estas acciones se realizan en Microsoft Defender portal y bloquean las comunicaciones entrantes (incluidos chats, reuniones y llamadas) de los dominios especificados.

Para activar esta característica, haga lo siguiente:

Centro de administración de Teams:

1. Inicie sesión en el Centro de Administración de Teams en https://admin.teams.microsoft.com.
2. En el panel de navegación izquierdo, seleccioneAcceso externode usuarios>.
3. Active Permitir que mi equipo de seguridad administre dominios bloqueados.

Microsoft Defender portal:

1. En el portal de Microsoft Defender en https://security.microsoft.com, ve a Email & directivas de colaboración>& reglas reglas de directivas> deamenazas> sección >Listas de permitidos o bloqueados de inquilinos.
2. Seleccione la pestaña Dominios de Teams .
3. Agregue dominios externos según sea necesario para bloquear las comunicaciones.

Prerrequisitos:

• Microsoft Defender para Office 265 Plan 1 o Plan 2.
• Configuración del inquilino de acceso externo de Teams configurada como una de las siguientes opciones:
  • Bloquear solo dominios externos específicos
  • Permitir todos los dominios externos

Las listas de dominios bloqueados tanto en el Centro de administración de Teams como en Microsoft Defender portal de seguridad son las mismas.

Configurar la organización con PowerShell

Las organizaciones de confianza se pueden configurar mediante el cmdlet Set-CsTenantFederationConfiguration .

En la tabla siguiente se muestran los parámetros de cmdlet que se usan para configurar organizaciones de confianza.

Chatear con usuarios de Teams que no están administrados por una organización y los usuarios de Skype se pueden configurar mediante el cmdlet Set-CsTenantFederationConfiguration .

En la tabla siguiente se muestran los parámetros de cmdlet que se usan para configurar el chat con Skype y los usuarios no administrados de Teams.

Antes de poder ejecutar estos cmdlets, debe estar conectado a Microsoft Teams PowerShell. Para obtener más información, consulte Administrar Teams con Microsoft Teams PowerShell.

Si habilitó una de las opciones de acceso externo de la organización, puede especificar qué usuarios de su organización pueden chatear o reunirse con personas de fuera de la organización mediante una directiva de acceso externo (ambas opciones deben estar habilitadas para que los usuarios puedan chatear o reunirse con personas de fuera de su organización).

Para los organizadores de la reunión que no están habilitados para el acceso externo, los asistentes a la reunión de otras organizaciones se consideran anónimos al unirse a sus reuniones.

La configuración de acceso externo de su organización puede invalidar las directivas de acceso externo.

En esta sección, puede configurar las siguientes opciones:

• Directivas de acceso externo en el Centro de administración de Teams
• Directivas de acceso externo con PowerShell
• Dominio granular en directivas de acceso externo

Configurar directivas de acceso externo en el Centro de administración de Teams

Puede administrar la configuración de acceso externo de toda la organización completando los pasos siguientes:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.
2. Seleccione la pestaña Directivas .
3. En la lista de directivas, seleccione la configuración predeterminada para toda la organización.
4. Ajuste la configuración según sea necesario.
5. Seleccione Guardar.

Si desea crear una directiva personalizada, siga estos pasos:

1. En el Centro de administración de Teams, vaya a Usuarios>Acceso externo.
2. Seleccione la pestaña Directivas .
3. Seleccione + Agregar.
4. Escriba un nombre y una descripción para la directiva.
5. Ajuste la configuración según sea necesario.
6. Seleccione Guardar.

Después, puede asignar esta directiva a usuarios o grupos específicos. Para obtener información sobre cómo asignar y quitar directivas a usuarios y grupos, vea Asignar directivas a usuarios y grupos.

Configurar directivas de acceso externo con PowerShell

Las directivas de acceso externo se configuran mediante el cmdlet Set-CsExternalAccessPolicy .

En la tabla siguiente se muestran los parámetros de cmdlet que se usan para configurar quién puede chatear y reunirse con personas de fuera de su organización.

Para limitar las reuniones y el chat externos a usuarios específicos, debe:

• Desactive el control de la directiva predeterminada para toda la organización.
• Cree una nueva directiva con el control activado y asígnele los usuarios adecuados.

Puede usar el siguiente script de ejemplo, sustituyendo el parámetro por el control que desea cambiar, PolicyName por el nombre que desea asignar a la directiva y UserName por cada usuario para el que desea habilitar o deshabilitar el acceso externo.

Asegúrese de que ha instalado el módulo de Microsoft Teams PowerShell antes de ejecutar el script.

Connect-MicrosoftTeams

# Disable external access globally
Set-CsExternalAccessPolicy -<parameter> $false

# Create a new external access policy
New-CsExternalAccessPolicy -Identity <PolicyName> -<parameter> $true

# Assign users to the policy
$users_ids = @("<UserName1>", "<UserName2>")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "<PolicyName>" -Identity $users_ids

Los parámetros para configurar el acceso externo son:

• EnableFederationAccess: controla el chat y las reuniones con otras organizaciones de Microsoft 365
• EnableTeamsConsumerAccess: controles de chat con usuarios de Teams no administrados por una organización

Por ejemplo, para habilitar las comunicaciones con usuarios externos de Teams no administrados por una organización:

Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableTeamsConsumerAccess $false

New-CsExternalAccessPolicy -Identity ContosoExternalAccess -EnableTeamsConsumerAccess $true

$users_ids = @("MeganB@contoso.com", "AlexW@contoso.com")

New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "ContosoExternalAccess" -Identity $users_ids

Puede ver la nueva directiva ejecutando Get-CsExternalAccessPolicy.

Consulte New-CsBatchPolicyAssignmentOperation para ver otros ejemplos de cómo compilar una lista de usuarios.

Configurar dominios granulares en directivas de acceso externo

Las directivas de acceso externo le ofrecen un control granular sobre la colaboración externa en Microsoft Teams. Esta característica le permite crear directivas personalizadas que definen qué dominios externos se pueden permitir o bloquear para los usuarios y grupos de su organización. A diferencia de la configuración de la organización que se aplica a todos los usuarios, estas directivas pueden heredar la lista de dominios de la organización o definir listas de dominios completamente diferentes para usuarios y grupos específicos.

Para que un usuario pueda comunicarse con dominios externos, deben cumplirse las instrucciones siguientes:

• La configuración Administrar dominios externos para esta organización a nivel de organización debe estar activada.
• Una directiva que permita o no permita los dominios externos deseados debe asignarse al usuario o a un grupo.
• La organización externa también debe permitir la federación con su organización.

Comprender qué opciones de configuración de dominio surtan efecto:

• Directiva personalizada asignada al usuario: el valor de Permitir o bloquear dominios externos en la directiva personalizada tiene prioridad sobre la configuración de la organización.
• No se asignó ninguna directiva personalizada: el usuario hereda la configuración de la organización
• Directiva global (predeterminada para toda la organización): no se puede modificar; siempre establecido en Usar la configuración de la organización.

Los métodos para administrar dominios en la directiva de acceso externo se describen en la siguiente lista:

• Usar la configuración de la organización: hereda la configuración de federación global de la organización. Esta configuración es la predeterminada.
• Permitir todos los dominios externos: permite la comunicación con cualquier dominio externo sin restricciones.
• Permitir solo dominios externos específicos: restringe la comunicación solo a los dominios especificados en la lista de permitidos.
• Bloquear solo dominios externos específicos: impide la comunicación con los dominios enumerados en la lista de bloqueados y permite el acceso a todos los demás.
• Bloquear todos los dominios externos: restringe completamente la comunicación de dominios externos para los usuarios asignados.

Al usar listas de permitidos o listas de bloqueados en la directiva, las entradas están limitadas a 100 dominios por cada directiva.

Configurar la federación granular en directivas de acceso externo con el Centro de administración de Teams

1. Inicie sesión en el Centro de Administración de Teams en https://admin.teams.microsoft.com.
2. En el panel de navegación izquierdo, seleccioneAcceso externode usuarios>.
3. Seleccione la pestaña Directivas .
4. Haga clic para agregar una directiva o modificar una existente.
5. Active Administrar dominios externos para esta directiva para permitir la federación en la directiva.
6. Seleccione Permitir o bloquear dominios externos para configurar cómo se administran los dominios en la directiva.
7. Seleccione Guardar para aplicar los cambios.

Configurar la federación granular en directivas de acceso externo con PowerShell

1. Antes de continuar, compruebe que AllowFederatedUsers en la configuración del inquilino se establece $Trueen TenantFederationConfiguration . Cuando esta configuración está deshabilitada ($False), los controles de dominio granulares definidos en las directivas no funcionan.

   Connect-MicrosoftTeams
   
   Set-CsExternalAccessPolicy -EnableFederationAccess $True
   

2. Active la administración de dominios externos para la directiva de acceso externo:

   Connect-MicrosoftTeams
   
   Set-CsExternalAccessPolicy -EnableFederationAccess $True
   

3. Administre organizaciones externas en esta directiva de una de las siguientes maneras (CommunicationWithExternalOrgs):

   • Usar la configuración de la organización (OrganizationDefault): Hereda la configuración de federación global de la organización (TenantFederationConfiguration). Esta configuración es la predeterminada.
   • Permitir todos los dominios externos (AllowAllExternalDomains): Permite la comunicación con cualquier dominio externo sin restricciones.
   • Permitir dominios externos específicos (AllowSpecificExternalDomains): Restringe la comunicación solo a los dominios especificados en la AllowedExternalDomains lista.
   • Bloquear dominios externos específicos (BlockSpecificExternalDomains): Impide la comunicación con los dominios enumerados en la BlockedExternalDomains lista y permite el resto.
   • Bloquear todos los dominios externos: restringe completamente la comunicación de dominios externos para los usuarios asignados.

   Al usar AllowSpecificExternalDomains o BlockSpecificExternalDomains cada directiva se limita a un máximo de 100 dominios por lista (permitido o bloqueado).

   Para la directiva global (predeterminada para toda la organización), CommunicationWithExternalOrgs solo se puede establecer en OrganizationDefault.

   En el ejemplo siguiente se permite Contoso y Fabrikam y se bloquean todas las demás organizaciones:

   Set-CsExternalAccessPolicy -Identity ExampleWithAllowedSpecificDomains -CommunicationWithExternalOrgs "AllowSpecificExternalDomains" -AllowedExternalDomains @("contoso.com", "fabrikam.com")
   

   El ejemplo siguiente permite todos los dominios:

   Set-CsExternalAccessPolicy -Identity ExampleWithAllAllowedDomains -CommunicationWithExternalOrgs
   

   En el ejemplo siguiente se crea una nueva directiva en la que se bloquea example1.com y se permiten todas las demás:

   New-CsExternalAccessPolicy -Identity BlockSpecificExample -CommunicationWithExternalOrgs "BlockSpecificExternalDomains" -BlockedExternalDomains @("example1.com")
   

4. Comprueba que la configuración se aplica ejecutando Get-CsExternalAccessPolicy.

5. Asigne la directiva a usuarios y grupos. Tenga en cuenta que los usuarios o grupos asignados a la directiva se comunican con los dominios especificados en la directiva y no con los dominios definidos en la configuración de la organización.

En la tabla siguiente se muestran los parámetros de cmdlet que se usan para configurar dominios granulares en la directiva de acceso externo.

Cumplimiento y acceso externo

Consulte las siguientes referencias para comprender cómo funciona el acceso externo con las características de cumplimiento de Microsoft 365.

• Exhibición de documentos electrónicos en entornos de invitado y acceso externo

• Retención de mensajes con usuarios de acceso externo

• Prevención de pérdida de datos y Microsoft Teams

Artículos relacionados

Usar el acceso de invitados y el acceso externo para colaborar con personas fuera de su organización

Buscar eventos en el registro de auditoría en Microsoft Teams

Set-CsTenantFederationConfiguration

Set-CsExternalAccessPolicyManage permite y bloquea la lista de permitidos o bloqueados del inquilino