Zarządzanie listą domen B2B w Azure Active Directory

Zarządzanie listą domen B2B w Azure Active Directory

Temat bezpieczeństwa usług chmurowych zależy w dużej mierze od bezpieczeństwa Azure Active Directory. Co prawda chmura otwiera przed nami nowe możliwości w zakresie współpracy (vel. kolaboracji), niemniej powinniśmy od samego początku zdefiniować wytyczne w zakresie tego z kim taką współpracę chcemy prowadzić aby po czasie nie okazało się, że pracownicy zamiast z partnerami biznesowymi współpracują ze swoimi prywatnymi kontami, znajomymi lub podejrzanymi osobami 😉

Jednym z pierwszych ustawień do zdefiniowania jest lista dozwolonych domen w Azure AD. Można się tam dostać poprzez interfejs webowy wchodząc kolejno w:
1. https://portal.azure.com
2. Azure Active Directory
3. Users:

4. Users Settings


5. Manage external collaboration settings


I ustawiając najbardziej restrykcyjny model, czyli zdefiniowanych domen, z którymi zezwalamy na kolaborację:

Niemniej z czasem lista domen rośnie i ich dodawanie z GUI staje się uciążliwe, zatem warto od razu przygotować narzędzia automatyzujące taką czynność.

Poniżej gotowiec, żebyście nie musieli odkrywać Ameryki 😉

Param(
    [Parameter(Mandatory=$true,
    ValueFromPipeline=$true)]
    [String[]]
    $NewDomain
)

$LogFile = 'C:\O365_AllowedDomains.log'
$PolicyName = 'B2BManagementPolicy'

Connect-AzureAD
$Policy = (Get-AzureADPolicy | ? {$_.DisplayName -eq $PolicyName } )
$AllowedDomains =  (($Policy.definition) | ConvertFrom-Json).B2BManagementPolicy.InvitationsAllowedAndBlockedDomainsPolicy.AllowedDomains
" - Current Allowed B2B Domains was: $($allowedDomains -join ',')" | Add-Content $LogFile

if (!($AllowedDomains -match $NewDomain))
 {
    ($JSON = ($policy.Definition | ConvertFrom-Json)).B2BManagementPolicy.InvitationsAllowedAndBlockedDomainsPolicy.AllowedDomains+= $NewDomain
    Set-AzureADPolicy -Id $policy.id -Definition $($JSON | ConvertTo-Json -Depth 20)
 }
Else
 {
	" - $NewDomain already exist at Azure B2B domain List" | Add-Content $LogFile 
 }

Uwaga – do poprawnego działania wymagany zainstalowany moduł AzureAdPreview: https://www.powershellgallery.com/packages/AzureADPreview/2.0.2.129

Odpytanie Azure o listę bieżących domen B2B sprowadza się do:

Z kolei dodanie nowej domeny do:

Weryfikacja modyfikacji z Powershella:


Oraz z GUI:

Enjoy! 🙂

One thought on “Zarządzanie listą domen B2B w Azure Active Directory

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.