IT 管理員 - 管理外部會議，並使用 Microsoft 身份與個人及組織聊天

在這個區塊中，你可以設定：

• 與值得信賴的 Microsoft 365 組織進行會議與聊天
• 與非組織管理的外部 Teams 使用者聊天
• 與 Skype 用戶的聊天與通話
• 封鎖外部使用者

你也可以 用 PowerShell 來設定這些設定

指定受信任的 Microsoft 365 組織

與其他 Microsoft 365 組織開會或聊天時，你可以指定想要信任的網域。 預設情況下，所有外部網域都是被允許的。 你可以允許或封鎖某些網域，以定義組織信任哪些組織用於外部會議和聊天。

為了與外部網域的人聊天和會面，你信任的組織也必須信任你的組織，且其使用者必須被啟用以提供外部存取權限。 如果沒有，他們就無法與組織內的使用者聊天，且在參加你組織主辦的會議時被視為匿名。 了解更多關於與其他 Microsoft 365 組織的會議資訊。

你可以指定哪些網域是允許的，哪些是被封鎖的。 如果你指定被封鎖的網域，其他所有網域都是被允許的;如果你指定允許的網域，其他所有網域都會被封鎖。 配置受信任組織有四種情境：

• 允許所有外部網域：這是 Teams 的預設設定，讓組織內的使用者能在任何網域中尋找、通話、聊天並安排與外部人員的會議。

  在這種情況下，只要對方組織也啟用外部存取權限，你的使用者就能與所有運行 Teams 或 商務用 Skype 的外部網域溝通。

• 只允許特定外部網域：將網域新增至 允許 清單中，可限制外部存取只能存取允許的網域。 一旦你建立了允許的網域清單，其他所有網域都會被封鎖。

• 封鎖特定網域：透過將網域加入 封鎖 清單，你可以與除封鎖網域 外 的所有外部網域通訊。 一旦你建立了被封鎖的網域清單，其他所有網域都是被允許的。

• 封鎖所有外部網域：防止組織內使用者在任何網域中尋找、撥打電話、聊天及安排與外部人員的會議。

要允許特定網域，請執行以下步驟：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。

2. 在外部組織中的 Teams 和 商務用 Skype 使用者旁邊，選擇「只允許特定外部網域」。

3. 選擇 新增外部網域。

4. 在 網域 框中，輸入你想允許的網域，然後選擇 完成。

5. 如果你想允許另一個網域，就輸入另一個網域。

6. 選擇 完成。

要封鎖特定網域，請執行以下步驟：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。

2. 在外部組織的 Teams 和 商務用 Skype 使用者旁邊，選擇只封鎖特定外部網域。

3. 選擇 封鎖外部網域。

4. 在 網域 框中，輸入你想允許的網域，然後選擇 完成。

5. 如果你想封鎖另一個網域，就輸入另一個網域。

6. 選擇 完成。

預設情況下，當你封鎖網域時，子網域不會被封鎖。 例如，如果你封鎖 contoso.com，marketing.contoso.com 就不會被封鎖。 如果你想封鎖所有子網域，可以使用 Set-CsTenantFederationConfiguration PowerShell 指令檔，並搭配參數 -BlockAllSubdomains 。 例如：

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

與僅試用租戶的區塊聯盟

你可以透過 -ExternalAccessWithTrialTenants PowerShell 中的設定來控制組織外部存取， (且沒有購買任何授權，) (至少需要 6.4.0 版本) 。

此設定的預設值為 「封鎖」，但你可以使用以下指令將其覆寫為 「允許」：

Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"

要阻斷與試用專用租戶的外部通訊，請使用以下指令：

Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

當這些僅限試用租戶設為 「封鎖」時，使用者無法透過聊天、Teams 通話和會議搜尋並聯繫你的用戶， (使用用戶的認證身份) ，你的用戶也無法聯繫這些僅限試用租戶的使用者。 僅限試用租戶的用戶也會被移除現有聊天室。

僅限試用租戶的使用者預設被封鎖 (無法透過外部通訊覆蓋) ，無法透過與其他 Microsoft 365 雲端環境及Microsoft商務用 Skype伺服器使用者的外部通訊。 兩個僅有試用訂閱的租戶，若雙方租戶都允許 -ExternalAccessWithTrialTenants 參數值，則可彼此聯合。

診斷工具

如果您是管理員，您可以使用以下診斷工具來驗證 Teams 使用者是否能與受信任組織中的 Teams 使用者溝通：

1. 選擇執行測試，這會顯示 Microsoft 365 系統管理中心的診斷內容：

   執行測試：Teams 可信賴組織

2. 在執行診斷窗格中，輸入 工作階段初始化通訊協定 (SIP) 位址和同盟租用戶的網域名稱，然後選取 [執行測試]。

3. 測試會回傳最佳後續步驟，以解決任何阻礙與外部 Teams 使用者溝通的設定或政策配置。

商務用 Skype 線上版

如果你想讓聊天和通話都進入使用者的 商務用 Skype 用戶端，請將使用者設定為非 TeamsOnly 的任何模式。 更多資訊請參閱「了解 Microsoft Teams 與 商務用 Skype 的共存與互通性」。

管理與非組織管理的外部 Teams 使用者的聊天和會議

你可以選擇啟用或停用與外部非管理的 Teams 使用者 (非組織管理的使用者聊天和會議，例如 Microsoft Teams (免費) ) 。 如果啟用，你也可以控制非管理 Teams 帳號的人是否能與組織內的使用者開啟聊天和會議。

為了允許與未管理的 Teams 帳號進行聊天和會議：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。
2. 開啟我組織中的人員可以與非管理的 Teams 帳號溝通。
3. 如果你想允許外部非管理的 Teams 使用者開始對話，請選擇「 擁有非組織管理的 Teams 帳號的外部使用者」勾選「我的組織中可聯絡使用者 」的勾選框。
4. 選取 [儲存]。

如果關閉 了「非組織管理的 Teams 外部使用者可以聯絡我組織中的使用者 」，未管理的 Teams 使用者就無法用電子郵件地址搜尋組織內的使用者。 你組織中的使用者必須主動與未受管理的 Teams 使用者發起所有溝通。

要防止與未管理的 Teams 帳號聊天：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。
2. 關閉「我組織內人員可與非管理 Teams 帳號溝通」設定。
3. 選取 [儲存]。

管理與 Skype 用戶的聊天與通話

請按照這些步驟，讓貴組織的 Teams 使用者可以和 Skype 使用者聊天和通話。 Teams 使用者便可以搜尋 Skype 使用者，並開始一對一的純文字交談或進行音訊/視訊通話，反之亦然。

Skype 用戶不支援會議。 如果被邀請參加會議，他們加入時被視為匿名。

要設定與 Skype 用戶的聊天與通話：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。

2. 請開啟或關閉 「允許我組織內的使用者與 Skype 使用者通訊 」這個設定。

   

3. 選取 [儲存]。

若要深入瞭解 Teams 使用者和 Skype 使用者的通訊方式 (包括通訊的限制)，請參閱 Teams 和 Skype 的互通性。

封鎖外部使用者

你可以封鎖特定外部使用者與你的組織協作。 如果有使用者被加入封鎖名單，你的組織就無法與這些使用者進行一對一或群組聊天。 如果在加入封鎖名單前已有聊天記錄，該被封鎖的用戶將被移除。 此功能預設是關閉的。

要啟用並設定封鎖使用者名單，請執行以下步驟：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。

2. 開啟「 封鎖特定使用者與我組織中的人員通訊」設定 。

3. 請選擇 「封鎖使用者 」按鈕，將使用者加入封鎖名單。

4. 在使用者欄位輸入你想封鎖的使用者的電子郵件地址，然後選擇 「套用 」按鈕。 選擇 取消 按鈕離開，無需採取任何行動。 您必須輸入有效的個人電子郵件或訊息資源識別碼 (MRI) 。

   

5. 如果你想封鎖其他使用者，請選擇 新增使用者 ，然後選擇 套用 按鈕。 此名單最多可輸入 200 名用戶。

   

管理員可使用 Set-CsTeamsExternalAccessConfiguration PowerShell 指令檔設定被封鎖的使用者設定。

讓我的安全團隊管理被封鎖的網域

Microsoft Teams 管理員可以讓安全管理員管理 Microsoft Defender for Office 安全入口網站中被封鎖的外部網域。 此功能專門利用 Teams 的租戶允許/封鎖名單功能。 啟用此功能後，安全管理員可以查看、新增、移除被封鎖的外部網域。 這些操作會在Microsoft Defender入口網站執行，阻擋來自指定網域的通訊 (，包括聊天、會議及通話) 。

要啟用此功能，請執行以下步驟：

Teams 管理中心：

1. 請登入 Teams 管理員中心。https://admin.teams.microsoft.com
2. 在左側導覽中，選擇 「使用者>外部存取」。
3. 開啟 「允許我的資安團隊管理被封鎖的網域」。

Microsoft Defender 入口：

1. 在Microsoft Defender入口https://security.microsoft.com網站，前往協作Email &>政策 & 規則>威脅政策>規則區塊 >租戶允許/封鎖名單。
2. 選擇 Teams 網域標籤 。
3. 必要時新增外部網域以阻擋通訊。

先修條件：

• Microsoft Defender for Office 265 方案 1 或方案 2。
• Teams 外部存取租戶設定可設定為以下選項之一：
  • 只封鎖特定的外部網域
  • 允許所有外部網域

Teams 管理中心和 Microsoft Defender 安全入口網站的封鎖網域清單是相同的。

使用 PowerShell 來設定組織設定

可透過 Set-CsTenantFederationConfiguration cmdlet 來設定受信任組織。

下表顯示用於配置受信任組織的 cmdlet 參數。

與非組織管理的 Teams 用戶及 Skype 使用者的聊天，可透過 Set-CsTenantFederationConfiguration 指令碼設定。

下表顯示用於設定與 Skype 及非管理 Teams 使用者聊天的 cmdlet 參數。

在執行這些指令前，你必須先連接到 Microsoft Teams PowerShell。 欲了解更多資訊，請參閱 「用 Microsoft Teams PowerShell 管理 Teams」。

如果你啟用了組織的外部存取設定之一，你可以透過外部存取政策指定組織內哪些使用者可以與組織外的人聊天或會面 (這兩個設定都必須啟用，使用者才能與組織外的人聊天或會面) 。

對於未啟用外部存取權限的會議組織者，來自其他組織的會議參加者在加入會議時被視為匿名。

您組織的外部存取設定可能會覆蓋外部存取政策。

在本區段，您可以設定以下設定：

• Teams 管理中心的外部存取政策
• 使用 PowerShell 的外部存取政策
• 外部存取政策中的細緻領域

在 Teams 管理中心設定外部存取政策

您可以透過以下步驟管理整個組織的外部存取設定：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。
2. 選擇 「政策 」標籤。
3. 在政策清單中，選擇 組織整體的預設設定。
4. 根據需要調整設定。
5. 選取 [儲存]。

如果您想建立自訂政策，請完成以下步驟：

1. 在 Teams 系統管理中心中，前往 [使用者]>[外部存取]。
2. 選擇 「政策 」標籤。
3. 選擇 + 新增。
4. 請輸入保單名稱和說明。
5. 根據需要調整設定。
6. 選取 [儲存]。

你可以將此政策指派給特定的使用者或群組。 欲了解如何指派及移除使用者與群組政策，請參閱 「指派政策給使用者與群組」。

使用 PowerShell 設定外部存取政策

外部存取政策可透過 Set-CsExternalAccessPolicy cmdlet 來設定。

下表展示了用來設定誰能與組織外人員聊天和會面的 cmdlet 參數。

若要限制外部會議和聊天僅限特定使用者，您必須：

• 關閉預設全組織政策的控制。
• 建立一個開啟控制項的新政策，並指派適當的使用者。

你可以使用以下範例腳本，將 參數 替換為你想更改的控制項， PolicyName 代入你想賦予該政策的名稱，並將每個想要啟用或停用外部存取的使用者代入 UserName 。

執行腳本前，務必先安裝 Microsoft Teams PowerShell 模組 。

Connect-MicrosoftTeams

# Disable external access globally
Set-CsExternalAccessPolicy -<parameter> $false

# Create a new external access policy
New-CsExternalAccessPolicy -Identity <PolicyName> -<parameter> $true

# Assign users to the policy
$users_ids = @("<UserName1>", "<UserName2>")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "<PolicyName>" -Identity $users_ids

配置外部存取的參數如下：

• EnableFederationAccess - 控制與其他 Microsoft 365 組織的聊天與會議
• EnableTeamsConsumerAccess - 控制與非組織管理的 Teams 使用者的聊天

例如，為了與非組織管理的外部 Teams 使用者進行通訊：

Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableTeamsConsumerAccess $false

New-CsExternalAccessPolicy -Identity ContosoExternalAccess -EnableTeamsConsumerAccess $true

$users_ids = @("MeganB@contoso.com", "AlexW@contoso.com")

New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "ContosoExternalAccess" -Identity $users_ids

您可以執行 Get-CsExternalAccessPolicy 來查看新原則。

請參閱 New-CsBatchPolicyAssignmentOperation 以了解如何編譯使用者清單的其他範例。

在外部存取政策中配置細緻域

外部存取政策讓你能細緻掌控 Microsoft Teams 中的外部協作。 此功能允許您建立自訂政策，定義組織內使用者與群組可允許或封鎖哪些外部網域。 與適用於所有人的組織設定不同，這些政策可以繼承組織的網域清單，或為特定使用者和群組定義完全不同的網域清單。

使用者若要與外部網域通訊，以下陳述必須成立：

• 必須開啟組織層級的 管理外部網域 功能。
• 必須指派一個允許或禁止所需外部網域的政策給使用者或群組。
• 外部組織也必須允許與你的組織進行聯邦化。

了解哪些網域設定會生效：

• 自訂政策指派給使用者：自訂政策中允許 或封鎖外部網域 的設定值優先於組織設定。
• 未指派自訂政策：使用者繼承組織設定
• 全球 (組織整體預設) 政策：不可修改;一定要設定為 使用組織設定。

外部存取政策中管理網域的方法如下列表說明：

• 使用組織設定：繼承組織的全球聯邦設定。 此配置為預設配置。
• 允許所有外部網域：允許與任何外部網域無限制地通訊。
• 僅允許特定外部網域：限制通訊僅限於允許清單中指定的網域。
• 僅封鎖特定外部網域：阻止與被封鎖名單中列出的網域通訊，同時允許其他所有網域。
• 封鎖所有外部網域：完全限制指定使用者的外部網域通訊。

當你在政策中使用允許清單或封鎖清單時，每個政策的條目限制為 100 個網域。

在 Teams 管理中心設定細緻的聯盟，在外部存取政策中

1. 請登入 Teams 管理員中心。https://admin.teams.microsoft.com
2. 在左側導覽中，選擇 「使用者>外部存取」。
3. 選擇 「政策 」標籤。
4. 點擊新增政策或修改現有政策。
5. 開啟「 管理外部網域 」以允許政策中的聯邦。
6. 選擇 允許或封鎖外部網域 ，以設定政策中網域的管理方式。
7. 選擇 儲存 以套用變更。

使用 PowerShell 在外部存取策略中配置細粒化聯邦

1. 在繼續之前，請確認 AllowFederatedUsers 租 TenantFederationConfiguration 戶設定是否設定為 $True。 當這個設定 ($False) 停用時，政策中定義的細緻領域控制項就無法運作了。

   Connect-MicrosoftTeams
   
   Set-CsExternalAccessPolicy -EnableFederationAccess $True
   

2. 開啟外部存取政策的外部網域管理功能：

   Connect-MicrosoftTeams
   
   Set-CsExternalAccessPolicy -EnableFederationAccess $True
   

3. 在此政策中，請以以下 (CommunicationWithExternalOrgs) 方式之一管理外部組織：

   • 使用組織設定 (OrganizationDefault) ：繼承組織的全球聯邦設定 (TenantFederationConfiguration) 。 此配置為預設配置。
   • 允許所有外部網域 (AllowAllExternalDomains) ：允許與任何外部網域無限制地通訊。
   • 允許特定外部網域 (AllowSpecificExternalDomains) ：限制通訊權限僅限於清單中 AllowedExternalDomains 指定的網域。
   • 封鎖特定外部網域 (BlockSpecificExternalDomains) ：阻止與列表中列出 BlockedExternalDomains 的網域通訊，但允許其他網域。
   • 封鎖所有外部網域：完全限制指定使用者的外部網域通訊。

   使用 AllowSpecificExternalDomains 或 BlockSpecificExternalDomains 時，每個政策每個列表最多限制 100 個網域 (允許或被封鎖) 。

   對於全球 (組織整體的預設) 政策， CommunicationWithExternalOrgs 只能設定為 OrganizationDefault。

   以下範例允許 Contoso 與 Fabrikam，並封鎖其他所有組織：

   Set-CsExternalAccessPolicy -Identity ExampleWithAllowedSpecificDomains -CommunicationWithExternalOrgs "AllowSpecificExternalDomains" -AllowedExternalDomains @("contoso.com", "fabrikam.com")
   

   以下範例允許所有域：

   Set-CsExternalAccessPolicy -Identity ExampleWithAllAllowedDomains -CommunicationWithExternalOrgs
   

   以下範例建立了一個新政策，example1.com 被封鎖，其他所有被允許：

   New-CsExternalAccessPolicy -Identity BlockSpecificExample -CommunicationWithExternalOrgs "BlockSpecificExternalDomains" -BlockedExternalDomains @("example1.com")
   

4. 檢查你的設定是否套用，方法是執行 Get-CsExternalAccessPolicy。

5. 將政策指派 給使用者和群組。 請記住，分配到政策的使用者或群組是與政策中指定的網域溝通，而非組織設定中定義的網域。

下表顯示用於外部存取政策中設定細緻域的 cmdlet 參數。

合規與外部存取

請參閱以下參考資料，了解外部存取如何與 Microsoft 365 的合規功能互動。

• 外部存取與訪客環境中的電子發現

• 外部存取使用者的訊息保留

• 資料遺失防護與 Microsoft Teams

相關文章

使用來賓存取和外部存取與組織外的人員共同作業

在 Microsoft Teams 中搜尋審計日誌中的事件

Set-CsTenantFederationConfiguration

Set-CsExternalAccessPolicy管理租戶允許/封鎖清單中的允許與阻擋