Partager via

Empêcher l’ajout d’invités à un groupe Microsoft 365 spécifique ou à une équipe Microsoft Teams

Si vous souhaitez autoriser l’accès invité à la plupart des groupes et équipes, mais que vous souhaitez empêcher l’accès invité, vous pouvez bloquer l’accès invité pour des groupes et des équipes individuels. (Le blocage de l’accès invité à une équipe s’effectue en bloquant l’accès invité au groupe associé.) Cela empêche l’ajout de nouveaux invités, mais ne supprime pas les invités qui se trouvent déjà dans le groupe ou l’équipe.

Si vous utilisez des étiquettes de confidentialité dans votre organization, nous vous recommandons de les utiliser pour contrôler l’accès invité par groupe. Pour plus d’informations sur la procédure à suivre, utilisez des étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les groupes Microsoft 365 et les sites SharePoint. Il s’agit de l’approche recommandée.

Modifier les paramètres de groupe à l’aide de Microsoft Graph PowerShell

Vous pouvez également empêcher l’ajout de nouveaux invités à des groupes individuels à l’aide de PowerShell. (N’oubliez pas que le site SharePoint associé à l’équipe a des contrôles de partage d’invités distincts.)

Vous devez utiliser la beta version de Microsoft Graph PowerShell pour modifier le paramètre d’accès invité au niveau du groupe :

  • Si vous n’avez pas encore installé le module, consultez Installation du module Microsoft Graph PowerShell et suivez les instructions.

  • Si vous avez déjà installé la beta version, exécutez Update-Module Microsoft.Graph.Beta pour vérifier qu’il s’agit de la dernière version de ce module.

Remarque

Le rôle Administrateur général doit être attribué pour exécuter ces commandes. Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant. Pour en savoir plus, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.

Exécutez le script suivant, en remplaçant <GroupName> par le nom du groupe dans lequel vous souhaitez bloquer l’accès invité.

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
    templateId = "$templateId"
    values = @(
        @{
            name = "AllowToAddGuests"
            value = "$false"
        }
    )
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

Pour vérifier les paramètres, exécutez la commande suivante :

(Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET).values.values

Capture d’écran montrant l’exemple d’exécution d’une commande PowerShell pour vérifier les paramètres de groupe.

Si vous souhaitez réactiver le paramètre pour autoriser l’accès invité à un groupe particulier, exécutez le script suivant, en remplaçant « GroupName » par le nom du groupe dans lequel vous souhaitez autoriser l’accès invité :

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
    templateId = "$templateId"
    values = @(
        @{
            name = "AllowToAddGuests"
            value = $true
        }
    )
}

$DirectorySettingId = (Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET).value.id

Update-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params -DirectorySettingId $DirectorySettingId

Autoriser ou bloquer l’accès invité en fonction de leur domaine

Vous pouvez autoriser ou bloquer les invités qui utilisent un domaine spécifique. Par exemple, si votre entreprise (Contoso) a un partenariat avec une autre entreprise (Fabrikam), vous pouvez ajouter Fabrikam à votre liste d’autorisation afin que vos utilisateurs puissent ajouter ces invités à leurs groupes.

Pour plus d’informations, consultez Autoriser ou bloquer les invitations à des utilisateurs B2B provenant d’organisations spécifiques.

Ajouter des invités à la liste d’adresses globale

Par défaut, les invités ne sont pas visibles dans la liste d’adresses globale Exchange. Suivez les étapes ci-dessous pour rendre un invité visible dans la liste d’adresses globale :

  1. Recherchez l’ObjectID de l’invité en exécutant la commande suivante :

    Get-MgBetaUser -All | ?{$_.CreationType -eq "Invitation"}

  2. Exécutez la commande suivante en utilisant les valeurs appropriées pour ObjectID, GivenName, Surname, DisplayName et TelephoneNumber.

    Update-MgBetaUser -UserId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -mobilePhone '555-555-5555'

Recommandations relatives à la planification de la gouvernance de la collaboration

Créer votre plan de gouvernance de collaboration

Gérer l’appartenance au groupe dans le Centre d’administration Microsoft 365

Microsoft Entra révisions d’accès

Update-MgUser

  • Last updated on