Amministratori IT - Gestire riunioni esterne e chattare con persone e organizzazioni usando le identità Microsoft

Si applica a: Microsoft Teams

Con la funzionalità di accesso esterno in Teams, è possibile consentire agli utenti dell'organizzazione di chattare e incontrarsi con persone esterne all'organizzazione che usano Microsoft come provider di identità. È possibile configurare l'accesso esterno con:

Altre organizzazioni di Microsoft 365 (chat e riunioni)
Utenti di Teams non gestiti da un'organizzazione (gli utenti con un account Microsoft) (solo chat)
Utenti Skype (solo chat)

Gli utenti dell'organizzazione possono accettare o bloccare le chat in arrivo da persone esterne all'organizzazione. Per informazioni dettagliate, vedere Accettare o bloccare persone esterne all'organizzazione che inviano una chat.

Persone esterni all'organizzazione non hanno accesso a team, siti o altre risorse di Microsoft 365. Se si vuole che abbiano accesso ai team e ai canali, vedere Collaborare con utenti guest in un team e Collaborare con partecipanti esterni in un canale condiviso.

Nota

Gli utenti possono aggiungere app quando ospitano riunioni o chat con persone esterne all'organizzazione. Possono anche usare le app condivise da utenti esterni quando partecipano a riunioni o chat ospitate esternamente. Vengono applicati i criteri dei dati dell'organizzazione dell'utente che ospita e le procedure di condivisione dei dati di qualsiasi app non Microsoft condivisa dall'organizzazione dell'utente. Altre informazioni sull'uso delle app da parte di persone esterne all'organizzazione.

Ci sono altre impostazioni in Teams, tra cui l'accesso guest e l'accesso anonimo, che influiscono sulle riunioni con persone esterne all'organizzazione. Per altre informazioni, vedere Pianificare riunioni con partecipanti esterni in Microsoft Teams per altre informazioni.

La sala di attesa della riunione può controllare il modo in cui le persone esterne all'organizzazione possono partecipare alle riunioni. Per altre informazioni, vedere Controllare chi può ignorare la sala di attesa della riunione in Microsoft Teams e Configurare la sala di attesa della riunione di Microsoft Teams per le riunioni sensibili.

Impostazioni dell'organizzazione e criteri utente per l'accesso esterno

Ogni opzione di accesso esterno include sia un'impostazione dell'organizzazione che criteri utente. Le impostazioni dell'organizzazione si applicano all'intera organizzazione. I criteri utente determinano gli utenti che possono usare le opzioni configurate a livello di organizzazione.

Configurare le impostazioni dell'organizzazione per specificare i tipi di riunioni esterne e chat da consentire. Configurare quindi i criteri utente per gli utenti che devono avere accesso a queste caratteristiche. Sia le impostazioni dell'organizzazione che i criteri utente sono attivati per impostazione predefinita.

Affinché un utente possa usare l'accesso esterno, è necessario che sia l'impostazione dell'organizzazione che un criterio utente lo consentano.

Usare le procedure nelle schede di questo articolo per configurare le impostazioni dell'organizzazione e i criteri utente.

Impostazioni dell'organizzazione
Criteri utente

In questa sezione è possibile configurare:

Riunioni e chat con organizzazioni di Microsoft 365 attendibili
Chattare con utenti esterni di Teams non gestiti da un'organizzazione
Chat e chiamate con utenti Skype
Bloccare gli utenti esterni

È anche possibile configurare queste impostazioni usando PowerShell

Specificare organizzazioni di Microsoft 365 attendibili

Per le riunioni e la chat con altre organizzazioni di Microsoft 365, è possibile specificare quali domini considerare attendibili. Per impostazione predefinita, sono consentiti tutti i domini esterni. È possibile consentire o bloccare determinati domini per definire quali organizzazioni sono attendibili per le riunioni esterne e la chat.

Per chattare e incontrare persone in domini esterni, anche le organizzazioni attendibili devono considerare attendibile l'organizzazione e gli utenti devono essere abilitati per l'accesso esterno. In caso contrario, non possono chattare con gli utenti dell'organizzazione e sono considerati anonimi quando partecipano a riunioni ospitate dall'organizzazione. Altre informazioni sulle riunioni con altre organizzazioni di Microsoft 365.

È possibile specificare quali domini sono consentiti o quali sono bloccati. Se si specificano domini bloccati, sono consentiti tutti gli altri domini; se si specificano domini consentiti, tutti gli altri domini vengono bloccati. Esistono quattro scenari per la configurazione di organizzazioni attendibili:

Consenti tutti i domini esterni: l'impostazione predefinita in Teams e consente agli utenti dell'organizzazione di trovare, chiamare, chattare e configurare riunioni con persone esterne all'organizzazione in qualsiasi dominio.

In questo scenario, gli utenti possono comunicare con tutti i domini esterni che eseguono Teams o Skype for Business purché anche l'altra organizzazione abiliti l'accesso esterno.
Consentirei solo domini esterni specifici: aggiungendo domini a un elenco Consenti, si limita l'accesso esterno ai soli domini consentiti. Dopo aver configurato un elenco di domini consentiti, tutti gli altri domini vengono bloccati.
Bloccare domini specifici: aggiungendo domini a un elenco Di blocco, è possibile comunicare con tutti i domini esterni , ad eccezione dei domini bloccati. Dopo aver configurato un elenco di domini bloccati, tutti gli altri domini sono consentiti.
Bloccare tutti i domini esterni: impedisce agli utenti dell'organizzazione di trovare, chiamare, chattare e configurare riunioni con persone esterne all'organizzazione in qualsiasi dominio.

Nota

Persone da domini bloccati possono comunque partecipare alle riunioni in modalità anonima se è consentito l'accesso anonimo. Per altre informazioni, vedere Gestire l'accesso anonimo dei partecipanti alle riunioni di Teams.

Per consentire domini specifici, eseguire la procedura seguente:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Accanto a Teams e Skype for Business utenti di organizzazioni esterne scegliere Consenti solo domini esterni specifici.
Selezionare Aggiungi domini esterni.
Nella casella Dominio digitare il dominio da consentire e quindi selezionare Fine.
Se si vuole consentire un altro dominio, immettere un altro dominio.
Selezionare Fine.

Per bloccare domini specifici, eseguire la procedura seguente:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Accanto a Teams e Skype for Business utenti di organizzazioni esterne scegliere Blocca solo domini esterni specifici.
Selezionare Blocca domini esterni.
Nella casella Dominio digitare il dominio da consentire e quindi selezionare Fine.
Se si vuole bloccare un altro dominio, immettere un altro dominio.
Selezionare Fine.

Per impostazione predefinita, quando si bloccano i domini, i sottodomini non vengono bloccati. Ad esempio, se blocchi contoso.com, marketing.contoso.com non viene bloccato. Se vuoi bloccare tutti i sottodomini, puoi utilizzare il cmdlet Set-CsTenantFederationConfiguration PowerShell con il -BlockAllSubdomains parametro. Ad esempio:

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

Bloccare la federazione con tenant solo di valutazione di Teams

È possibile controllare l'accesso esterno dell'organizzazione con tenant solo di valutazione di Teams (che non hanno licenze acquistate), usando l'impostazione -ExternalAccessWithTrialTenants in PowerShell (è necessaria almeno la versione 6.4.0).

Il valore predefinito per questa impostazione è Bloccato, ma è possibile eseguirne l'override in Consentito usando il comando seguente:

Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"

Per bloccare la comunicazione esterna con tenant solo di valutazione, usare il comando seguente:

Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

Se impostato su Bloccato, gli utenti di questi tenant solo di valutazione non possono cercare e contattare gli utenti tramite chat, chiamate e riunioni di Teams (usando le identità autenticate degli utenti) e gli utenti non sono in grado di raggiungere gli utenti in questi tenant solo di valutazione. Anche gli utenti dal tenant solo di valutazione vengono rimossi dalle chat esistenti.

Gli utenti dei tenant solo di valutazione sono bloccati per impostazione predefinita (senza possibilità di override) dalla comunicazione esterna con utenti in altri ambienti cloud Microsoft 365 e con utenti di microsoft Skype for Business server. Due tenant con solo sottoscrizioni di valutazione possono essere federati tra loro se il valore del parametro -ExternalAccessWithTrialTenants è consentito da entrambi i tenant.

Strumento di diagnostica

Se sei un amministratore, puoi usare il seguente strumento di diagnostica per verificare se un utente di Teams può comunicare con un utente di Teams in un'organizzazione attendibile:

Selezionare Esegui test, che popola la diagnostica nel interfaccia di amministrazione di Microsoft 365:

Eseguire test: Organizzazioni attendibili di Teams
Nel riquadro Esegui diagnostica immettere il dell'indirizzo SIP (Session Initiation Protocol) e il nome di dominio del tenant federato , quindi selezionare Esegui test.
I test restituiscono i passaggi successivi migliori per risolvere eventuali configurazioni di impostazioni o criteri che impediscono la comunicazione con l'utente esterno di Teams.

Skype for Business Online

Se vuoi che le chat e le chiamate arrivino nel client Skype for Business dell'utente, configura gli utenti in una modalità diversa da TeamsOnly. Per altre informazioni, vedere Informazioni su Microsoft Teams e Skype for Business coesistenza e interoperabilità.

Gestire chat e riunioni con utenti esterni di Teams non gestiti da un'organizzazione

È possibile scegliere di abilitare o disabilitare le chat e le riunioni con utenti esterni non gestiti di Teams (utenti non gestiti da un'organizzazione, ad esempio Microsoft Teams (free).You can choose to enable or disable chats and meetings with external nonmanaged Teams users (users not managed by an organization, such as Microsoft Teams (free)). Se abilitata, è anche possibile controllare se le persone con account di Teams non gestiti possono avviare chat e riunioni con gli utenti dell'organizzazione.

Nota

Le chat e le riunioni con utenti esterni non gestiti di Teams non sono disponibili nelle distribuzioni di Microsoft 365 Government Community Cloud (GCC), GCC High o DOD, o in ambienti cloud privati.

Per consentire chat e riunioni con account di Teams non gestiti:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Attivare la Persone nell'organizzazione può comunicare con l'impostazione degli account di Teams non gestiti.
Se si vuole consentire agli utenti esterni non gestiti di Teams di avviare la conversazione, selezionare la casella di controllo Gli utenti esterni con account di Teams non gestiti da un'organizzazione possono contattare gli utenti della mia organizzazione .
Selezionare Salva.

Se gli utenti esterni con account di Teams non gestiti da un'organizzazione possono contattare gli utenti dell'organizzazione sono disattivati, gli utenti non gestiti di Teams non possono cercare per indirizzo di posta elettronica per trovare gli utenti dell'organizzazione. Gli utenti dell'organizzazione devono avviare tutte le comunicazioni con utenti di Teams non gestiti.

Per impedire la chat con account di Teams non gestiti:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Disattivare la Persone nell'organizzazione può comunicare con l'impostazione degli account di Teams non gestiti.
Selezionare Salva.

Gestire chat e chiamate con gli utenti Skype

Seguire questa procedura per consentire agli utenti di Teams nell'organizzazione di comunicare con gli utenti Skype e di chiamarli. Gli utenti di Teams potranno cercare utenti di Skype e avviare una conversazione a due di solo testo oppure una chiamata audio/video e viceversa.

Le riunioni non sono supportate con gli utenti Skype. Gli invitati a una riunione vengono considerati anonimi al momento della partecipazione.

Nota

La comunicazione esterna con gli utenti Skype non è disponibile nelle distribuzioni GCC, GCC High o DOD o in ambienti cloud privati.

Per configurare chat e chiamate con gli utenti Skype:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Attivare o disattivare l'impostazione Consenti agli utenti della mia organizzazione di comunicare con gli utenti Skype .
Selezionare Salva.

Per altre informazioni sui modi in cui gli utenti di Teams e gli utenti di Skype possono comunicare, incluse le limitazioni applicabili, vedere Interoperabilità tra Teams e Skype.

Bloccare gli utenti esterni

È possibile impedire a utenti esterni specifici di collaborare con l'organizzazione. Se un utente viene aggiunto all'elenco di blocchi, l'organizzazione non può avere 1:1 e chat di gruppo con questi utenti. Se le chat esistono già prima che un utente venga aggiunto all'elenco dei blocchi, l'utente bloccato viene rimosso dalla chat. Questa funzionalità è disattivata per impostazione predefinita.

Per abilitare e configurare l'elenco di utenti bloccati, eseguire le operazioni seguenti:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Attivare l'impostazione Blocca la comunicazione di utenti specifici con persone dell'organizzazione .
Aggiungi utenti all'elenco dei blocchi selezionando il pulsante Blocca un utente .
Nella casella Utente digitare l'indirizzo di posta elettronica dell'utente da bloccare e quindi selezionare il pulsante Applica . Seleziona il pulsante Annulla per uscire senza eseguire alcuna azione. È necessario digitare un singolo messaggio di posta elettronica valido o un identificatore di risorsa di messaggistica (MRI).
Se si vuole bloccare un altro utente, selezionare Aggiungi utenti e quindi il pulsante Applica . In questo elenco possono essere immessi al massimo 200 utenti.

Gli amministratori possono configurare le impostazioni utente bloccate utilizzando il cmdlet Set-CsTeamsExternalAccessConfiguration PowerShell.

Nota

L'abilitazione della funzionalità utente bloccata può generare due eventi di controllo: uno per l'impostazione dell'amministratore e un altro per le modifiche dei registri correlate che si verificano quando gli utenti vengono bloccati.

Consentire al team di sicurezza di gestire i domini bloccati

Nota

Questa caratteristica è attualmente in anteprima pubblica e corrisponde al post del Centro messaggi MC1133508.

Gli amministratori di Microsoft Teams possono consentire agli amministratori della sicurezza di gestire i domini esterni bloccati nel portale di sicurezza di Microsoft Defender per Office. Questa funzionalità usa la funzionalità Tenant Allow/Block List specificamente per Teams. Quando questa funzionalità è attivata, gli amministratori della sicurezza possono visualizzare, aggiungere e rimuovere i domini esterni bloccati. Queste azioni vengono eseguite nel portale Microsoft Defender e bloccano le comunicazioni in arrivo (incluse chat, riunioni e chiamate) dai domini specificati.

Per attivare questa funzionalità, procedere come segue:

Interfaccia di amministrazione di Teams:

Accedere a Teams Amministrazione Center all'indirizzo https://admin.teams.microsoft.com.
Nel riquadro di spostamento sinistro selezionare Utenti>accesso esterno.
Attivare Consenti al team di sicurezza di gestire i domini bloccati.

portale Microsoft Defender:

Nel portale di Microsoft Defender di ,https://security.microsoft.com passare a Email & sezioneCriteri di collaborazione> & regole> Regole >criteri> di minacce.
Selezionare la scheda Domini di Teams .
Aggiungere domini esterni in base alle esigenze per bloccare le comunicazioni.

Prerequisiti:

Microsoft Defender per Office 265 Piano 1 o Piano 2.
Impostazione tenant di accesso esterno di Teams configurata come una delle opzioni seguenti:
- Bloccare solo domini esterni specifici
- Consenti tutti i domini esterni

Gli elenchi di domini bloccati nell'interfaccia di amministrazione di Teams e nel portale di sicurezza di Microsoft Defender sono uguali.

Configurare le impostazioni dell'organizzazione tramite PowerShell

Le organizzazioni attendibili possono essere configurate utilizzando il cmdlet Set-CsTenantFederationConfiguration .

La tabella seguente mostra i parametri dei cmdlet usati per configurare le organizzazioni attendibili.

Configurazione	Parametro
Consentire o impedire riunioni e chattare con altre organizzazioni di Teams e Skype for Business	`-AllowFederatedUsers`
Specificare i domini consentiti	`-AllowedDomains`
Specificare i domini bloccati	`-BlockedDomains`
Bloccare i sottodomini	`-BlockAllSubdomains`

Chat con gli utenti di Teams non gestiti da un'organizzazione e gli utenti Skype possono essere configurati utilizzando il cmdlet Set-CsTenantFederationConfiguration .

La tabella seguente mostra i parametri dei cmdlet usati per configurare la chat con Skype e gli utenti di Teams non gestiti.

Configurazione	Parametro
Consentire o impedire la chat con utenti di Teams che non sono gestiti da un'organizzazione	`-AllowTeamsConsumer`
Consentire o impedire agli utenti di Teams non gestiti da un'organizzazione di avviare conversazioni	`-AllowTeamsConsumerInbound`
Consentire o impedire la chat con gli utenti Skype	`-AllowPublicUsers`

Prima di eseguire questi cmdlet, è necessario essere connessi a PowerShell di Microsoft Teams. Per altre informazioni, vedere Gestire Teams con Microsoft Teams PowerShell.

Se è stata abilitata una delle impostazioni di accesso esterno per l'organizzazione, è possibile specificare quali utenti dell'organizzazione possono chattare o incontrare persone esterne all'organizzazione usando un criterio di accesso esterno (entrambe queste impostazioni devono essere abilitate per consentire agli utenti di chattare o incontrarsi con persone esterne all'organizzazione).

Per gli organizzatori delle riunioni che non sono abilitati per l'accesso esterno, i partecipanti alle riunioni di altre organizzazioni sono considerati anonimi quando partecipano alle riunioni.

Le impostazioni di accesso esterno dell'organizzazione possono ignorare i criteri di accesso esterno.

In questa sezione è possibile configurare le impostazioni seguenti:

Criteri di accesso esterno nell'interfaccia di amministrazione di Teams
Criteri di accesso esterno con PowerShell
Dominio granulare nei criteri di accesso esterno

Configurare i criteri di accesso esterno nell'interfaccia di amministrazione di Teams

È possibile gestire le impostazioni di accesso esterno dell'intera organizzazione completando la procedura seguente:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Selezionare la scheda Criteri .
Nell'elenco dei criteri selezionare le impostazioni predefinite a livello di organizzazione.
Regolare le impostazioni in base alle esigenze.
Selezionare Salva.

Se si vuole creare un criterio personalizzato, completare la procedura seguente:

Nell'interfaccia di amministrazione di Teams, passare a Utenti>Accesso esterno.
Selezionare la scheda Criteri .
Selezionare + Aggiungi.
Immettere un nome e una descrizione per il criterio.
Regolare le impostazioni in base alle esigenze.
Selezionare Salva.

È quindi possibile assegnare questo criterio a utenti o gruppi specifici. Per informazioni su come assegnare e rimuovere criteri a utenti e gruppi, vedere Assegnare criteri a utenti e gruppi.

Configurare i criteri di accesso esterno con PowerShell

I criteri di accesso esterno sono configurati utilizzando il cmdlet Set-CsExternalAccessPolicy .

La tabella seguente mostra i parametri dei cmdlet usati per configurare chi può chattare e incontrare persone esterne all'organizzazione.

Configurazione	Parametro
Consentire o impedire riunioni e chattare con altre organizzazioni di Teams e Skype for Business	`-EnableFederationAccess`
Consentire o impedire la chat con utenti di Teams che non sono gestiti da un'organizzazione	`-EnableTeamsConsumerAccess`
Consentire o impedire agli utenti di Teams non gestiti da un'organizzazione di avviare conversazioni	`-EnableTeamsConsumerInbound`
Consentire o impedire la chat con gli utenti Skype	`-EnablePublicCloudAccess`

Per limitare le riunioni esterne e la chat a utenti specifici, è necessario:

Disattivare il controllo per il criterio predefinito a livello di organizzazione.
Creare un nuovo criterio con il controllo attivato e assegnarvi gli utenti appropriati.

È possibile usare lo script di esempio seguente, sostituendo il parametro al controllo da modificare, PolicyName al nome da assegnare al criterio e UserName per ogni utente per cui si desidera abilitare/disabilitare l'accesso esterno.

Assicurarsi di aver installato il modulo PowerShell di Microsoft Teams prima di eseguire lo script.

Connect-MicrosoftTeams

# Disable external access globally
Set-CsExternalAccessPolicy -<parameter> $false

# Create a new external access policy
New-CsExternalAccessPolicy -Identity <PolicyName> -<parameter> $true

# Assign users to the policy
$users_ids = @("<UserName1>", "<UserName2>")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "<PolicyName>" -Identity $users_ids

I parametri per la configurazione dell'accesso esterno sono:

EnableFederationAccess: controlla chat e riunioni con altre organizzazioni di Microsoft 365
EnableTeamsConsumerAccess - controlla la chat con gli utenti di Teams non gestiti da un'organizzazione

Ad esempio, per abilitare le comunicazioni con utenti di Teams esterni non gestiti da un'organizzazione:

Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableTeamsConsumerAccess $false

New-CsExternalAccessPolicy -Identity ContosoExternalAccess -EnableTeamsConsumerAccess $true

$users_ids = @("[email protected]", "[email protected]")

New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "ContosoExternalAccess" -Identity $users_ids

Per visualizzare il nuovo criterio, eseguire Get-CsExternalAccessPolicy.

Vedi New-CsBatchPolicyAssignmentOperation per altri esempi su come compilare un elenco di utenti.

Configurare domini granulari nei criteri di accesso esterno

I criteri di accesso esterno offrono un controllo granulare sulla collaborazione esterna in Microsoft Teams. Questa caratteristica consente di creare criteri personalizzati che definiscono quali domini esterni possono essere consentiti o bloccati per utenti e gruppi dell'organizzazione. A differenza delle impostazioni dell'organizzazione che si applicano a tutti, questi criteri possono ereditare l'elenco di domini dell'organizzazione o definire elenchi di domini completamente diversi per utenti e gruppi specifici.

Affinché un utente possa comunicare con domini esterni, le istruzioni seguenti devono essere vere:

L'impostazione Gestisci domini esterni per l'organizzazione deve essere attivata.
Un criterio che consente/impedisce l'assegnazione dei domini esterni desiderati all'utente o a un gruppo.
L'organizzazione esterna deve anche consentire la federazione con l'organizzazione.

Informazioni sulle impostazioni di dominio che hanno effetto:

Criteri personalizzati assegnati all'utente: il valore dell'impostazioneConsenti o blocca domini esterni nel criterio personalizzato ha la precedenza sulle impostazioni dell'organizzazione.
Nessun criterio personalizzato assegnato: l'utente eredita le impostazioni dell'organizzazione
Criterio globale (impostazione predefinita a livello di organizzazione): non può essere modificato; sempre impostato su Usa le impostazioni dell'organizzazione.

I metodi per gestire i domini nei criteri di accesso esterno sono descritti nell'elenco seguente:

Usare le impostazioni dell'organizzazione: eredita le impostazioni di federazione globale dell'organizzazione. Questa configurazione è l'impostazione predefinita.
Consenti tutti i domini esterni: consente la comunicazione con qualsiasi dominio esterno senza restrizioni.
Consenti solo domini esterni specifici: limita la comunicazione solo ai domini specificati nell'elenco dei domini consentiti.
Blocca solo domini esterni specifici: impedisce la comunicazione con i domini elencati nell'elenco di domini bloccati, consentendo al contempo tutti gli altri.
Bloccare tutti i domini esterni: limita completamente la comunicazione con i domini esterni per gli utenti assegnati.

Quando si usano elenchi consentiti o elenchi bloccati nei criteri, le voci sono limitate a 100 domini per ogni criterio.

Configurare la federazione granulare nei criteri di accesso esterno con l'interfaccia di amministrazione di Teams

Accedere a Teams Amministrazione Center all'indirizzo https://admin.teams.microsoft.com.
Nel riquadro di spostamento sinistro selezionare Accessoesternoutenti>.
Selezionare la scheda Criteri .
Fare clic per aggiungere un criterio o modificarne uno esistente.
Attivare Gestisci domini esterni per questo criterio per consentire la federazione nei criteri.
Selezionare Consenti o blocca domini esterni per configurare la modalità di gestione dei domini nei criteri.
Selezionare Salva per applicare le modifiche.

Configurare la federazione granulare nei criteri di accesso esterno con PowerShell

Prima di procedere, verificare che AllowFederatedUsers nelle TenantFederationConfiguration impostazioni del tenant sia impostato su $True. Quando questa impostazione è disabilitata ($False), i controlli di dominio granulari definiti nei criteri non funzionano.
```
Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableFederationAccess $True
```

Attivare la gestione dei domini esterni per i criteri di accesso esterno:

Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableFederationAccess $True

Gestire le organizzazioni esterne in questo criterio in uno dei modi seguenti (CommunicationWithExternalOrgs):
- Usare le impostazioni dell'organizzazione (OrganizationDefault): eredita le impostazioni di federazione globale dell'organizzazione (TenantFederationConfiguration). Questa configurazione è l'impostazione predefinita.
- Consenti tutti i domini esterni (AllowAllExternalDomains): consente la comunicazione con qualsiasi dominio esterno senza restrizioni.
- Consenti domini esterni specifici (AllowSpecificExternalDomains): limita la comunicazione solo ai domini specificati nell'elenco AllowedExternalDomains .
- Blocca domini esterni specifici (BlockSpecificExternalDomains): impedisce la comunicazione con i domini elencati nell'elenco BlockedExternalDomains consentendo al contempo tutti gli altri.
- Bloccare tutti i domini esterni: limita completamente la comunicazione con i domini esterni per gli utenti assegnati.
Quando si usano AllowSpecificExternalDomains o BlockSpecificExternalDomains ogni criterio è limitato a un massimo di 100 domini per elenco (consentiti o bloccati).

Per il criterio Globale (impostazione predefinita a livello di organizzazione), CommunicationWithExternalOrgs può essere impostato solo su OrganizationDefault.

L'esempio seguente consente a Contoso e Fabrikam di bloccare tutte le altre organizzazioni:
```
Set-CsExternalAccessPolicy -Identity ExampleWithAllowedSpecificDomains -CommunicationWithExternalOrgs "AllowSpecificExternalDomains" -AllowedExternalDomains @("contoso.com", "fabrikam.com")
```
L'esempio seguente consente a tutti i domini:
```
Set-CsExternalAccessPolicy -Identity ExampleWithAllAllowedDomains -CommunicationWithExternalOrgs
```
L'esempio seguente crea un nuovo criterio in cui example1.com viene bloccato e sono consentiti tutti gli altri:
```
New-CsExternalAccessPolicy -Identity BlockSpecificExample -CommunicationWithExternalOrgs "BlockSpecificExternalDomains" -BlockedExternalDomains @("example1.com")
```
Verifica che le impostazioni siano applicate eseguendo Get-CsExternalAccessPolicy.
Assegnare il criterio a utenti e gruppi. Tenere presente che gli utenti o i gruppi assegnati al criterio comunicano con i domini specificati all'interno del criterio e non con i domini definiti nelle impostazioni dell'organizzazione.

La tabella seguente mostra i parametri dei cmdlet usati per configurare domini granulari nei criteri di accesso esterno.

Configurazione	Parametro
Gestire domini esterni per questo criterio	`-EnableFederationAccess`
Scelta per la gestione del dominio	`-CommunicationWithExternalOrgs`
Elenco di domini esterni bloccati	`-BlockedExternalDomains`
Elenco dei domini esterni consentiti	`-AllowedExternalDomains`

Conformità e accesso esterno

Vedere i riferimenti seguenti per informazioni sul funzionamento dell'accesso esterno con le funzionalità di conformità in Microsoft 365.

Usare l'accesso guest e l'accesso esterno per collaborare con persone esterne all'organizzazione

Cercare eventi in Microsoft Teams nel log di controllo

Set-CsTenantFederationConfiguration

Set-CsExternalAccessPolicy Manage consente e blocca nell'elenco tenant consentiti/bloccati

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2025-11-20

Condividi tramite

Amministratori IT - Gestire riunioni esterne e chattare con persone e organizzazioni usando le identità Microsoft

Impostazioni correlate

Impostazioni dell'organizzazione e criteri utente per l'accesso esterno

Specificare organizzazioni di Microsoft 365 attendibili

Bloccare la federazione con tenant solo di valutazione di Teams

Strumento di diagnostica

Skype for Business Online

Gestire chat e riunioni con utenti esterni di Teams non gestiti da un'organizzazione

Gestire chat e chiamate con gli utenti Skype

Bloccare gli utenti esterni

Consentire al team di sicurezza di gestire i domini bloccati

Configurare le impostazioni dell'organizzazione tramite PowerShell

Commenti e suggerimenti

Risorse aggiuntive