共用方式為

防止來賓新增至特定 Microsoft 365 群組或 Microsoft Teams 小組

如果您想要允許來賓存取大部分群組和小組,但要在某個位置阻止來賓存取,您可以封鎖個別群組和小組的來賓存取。 (封鎖來賓存取小組是透過封鎖來賓存取相關聯群組來完成。) 這可防止新增來賓,但不會移除群組或小組中已有的來賓。

如果您在組織中使用敏感度標籤,建議您使用它們來控制每個群組的來賓存取。 如需如何執行此動作的相關資訊,請參閱使用 敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容。 這是建議方式。

使用 Microsoft Graph PowerShell 變更群組設定

您也可以使用 PowerShell 來防止將新來賓新增至個別群組。 (請記住,小組相關聯的 SharePoint 網站具有 個別的來賓共用控制項 )

您必須使用 betaMicrosoft Graph PowerShell 版本來變更群組層級來賓存取設定:

  • 如果您之前未安裝模組,請參閱 安裝 Microsoft Graph PowerShell 模組 ,並遵循指示。

  • 如果您已安裝版本 beta ,請執行 Update-Module Microsoft.Graph.Beta 以確保它是此模組的最新版本。

注意事項

您必須指派全域系統管理員角色,才能執行這些命令。 Microsoft 建議您使用權限最少的角色。 使用較低許可的帳戶有助於提高組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。 若要深入瞭解,請參閱 關於 Microsoft 365 系統管理中心中的系統管理員角色

執行下列指令碼,將 GroupName> 變更<為您要封鎖來賓存取的群組名稱。

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
    templateId = "$templateId"
    values = @(
        @{
            name = "AllowToAddGuests"
            value = "$false"
        }
    )
}

New-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params

若要驗證您的設定,請執行下列命令:

(Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET).values.values

螢幕擷取畫面,顯示執行 PowerShell 命令以驗證群組設定的範例。

如果您想要將設定切換回以允許來賓存取特定群組,請執行下列指令碼,將「GroupName」變更為您要允許來賓存取的群組名稱:

Connect-MgGraph

$GroupName = "<GroupName>"
$templateId = (Get-MgBetaDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}).Id
$groupID = (Get-MgBetaGroup -Filter "DisplayName eq '$GroupName'").Id

$params = @{
    templateId = "$templateId"
    values = @(
        @{
            name = "AllowToAddGuests"
            value = $true
        }
    )
}

$DirectorySettingId = (Invoke-GraphRequest -Uri https://graph.microsoft.com/beta/Groups/$groupId/settings -Method GET).value.id

Update-MgBetaGroupSetting -GroupId $groupID -BodyParameter $params -DirectorySettingId $DirectorySettingId

根據訪客的網域允許或封鎖訪客存取

您可以允許或封鎖使用特定網域的來賓。 例如,如果您的企業 (Contoso) 與另一個企業 (Fabrikam) 有合作關係,您可以將 Fabrikam 新增至允許清單,讓您的使用者可以將這些來賓新增至其群組。

如需詳細資訊,請參閱 允許或封鎖來自特定組織的 B2B 使用者邀請

將來賓新增至全域通訊清單

根據預設,來賓不會顯示在 Exchange 全域通訊清單中。 使用下列步驟,讓訪客顯示在全域通訊清單中:

  1. 執行下列命令來尋找來賓的 ObjectID:

    Get-MgBetaUser -All | ?{$_.CreationType -eq "Invitation"}

  2. 使用 ObjectID、GivenName、Surname、DisplayName 和 TelephoneNumber 的適當值執行下列專案。

    Update-MgBetaUser -UserId cfcbd1a0-ed18-4210-9b9d-cf0ba93cf6b2 -ShowInAddressList -GivenName 'Megan' -Surname 'Bowen' -DisplayName 'Megan Bowen' -mobilePhone '555-555-5555'

共同作業治理規劃建議

建立您的共同作業控管計劃

在 Microsoft 365 系統管理中心中管理群組成員資格

Microsoft Entra 存取檢閱

更新-MgUser

  • Last updated on