在混合办公时代,与外部合作伙伴的协作日益频繁。但很多 IT 管理员面临着两难:完全放开外部协作,担心数据泄露;完全禁止,又影响业务效率。2026 年 2 月,微软在 Teams 管理中心正式推出了简化的外部协作管理控制,将分散在多个页面的设置统一到一个概览页面中,并提供开放、受控和自定义三种预设模式。
外部协作三种模式:开放、受控与自定义
开放模式
开放模式允许用户与任何外部域进行协作,适合开放性较强的初创企业、学术机构或与大量不同合作伙伴频繁协作的组织。在开放模式下,用户可以与任何外部邮箱地址进行 Teams 聊天(包括 Gmail、Outlook.com 等个人邮箱),可以邀请任何外部用户作为来宾加入团队,可以创建与任何外部域的共享频道。开放模式的优点是协作门槛最低,但缺点是 IT 管理员对数据流向的控制最少。
受控模式
受控模式只允许与预批准的外部域进行协作,其他域需要申请审批。企业需要在“允许的域”列表中预先添加信任的合作伙伴域名。来自列表之外的域的用户无法被邀请为来宾,也无法加入共享频道。如果某个外部域不在列表中,用户可以向 IT 管理员提交申请。受控模式适合大多数中大型企业,它在安全性和灵活性之间取得了平衡。
自定义模式
自定义模式允许管理员对每个协作功能进行独立的细粒度设置。例如,管理员可以设置:允许与任何域进行聊天,但只允许与特定域共享频道和来宾访问;允许外部用户加入会议,但禁止他们录制会议或共享屏幕;允许来宾上传文件,但禁止他们删除文件。自定义模式提供了最大的灵活性,适合有复杂合规要求的企业(如金融、医疗、政府机构)。
新的统一概览页面
从分散到集中
以前,管理员需要在多个不同页面配置外部协作设置:来宾访问在 Teams 管理中心的“来宾访问”页面;共享频道在“共享频道”页面;外部聊天在“外部访问”页面。这种分散的设计容易导致配置遗漏或冲突。新的概览页面将所有设置集中在一个界面中,管理员可以一次性查看和修改所有外部协作配置。
配置向导
新的外部协作管理控制提供了配置向导,引导管理员完成设置。向导会根据管理员的回答推荐一种模式(开放、受控或自定义),并提供每项设置的解释和影响说明。完成配置后,系统会自动应用相应的策略到整个租户。
信任标识:自动识别外部用户的身份
五种信任标识
从 2026 年 2 月开始,Teams 会自动为外部用户分配信任标识。外部-熟悉(External-Familiar):来自受信任域(已添加到允许列表)的用户。外部-不熟悉(External-Unfamiliar):来自未知域的用户。来宾(Guest):已被明确添加为团队来宾的用户。已验证(Verified):邮箱已验证的用户。未验证(Unverified):无法验证身份的用户。这些标识会自动显示在 Profile Card 和聊天标题中。
群组聊天和会议聊天的外部标记
如果一个群组聊天中包含外部用户,该聊天的标题会被标记为“外部”,提醒参与者注意信息分享的范围。同样,如果一个会议中包含外部参会者,会议聊天也会被标记为“外部”。这个简单的视觉提示可以帮助员工提高安全意识,避免在包含外部人员的对话中无意分享内部敏感信息。
与现有外部协作模式的联动
信任标识的显示取决于外部协作的配置。如果管理员将某个域设置为“允许”,来自该域的用户会显示为“外部-熟悉”;如果设置为“阻止”,该域的用户根本无法加入聊天或会议。
Teams 外部协作管理员角色
新角色的定位
2026 年 1 月下旬,微软推出了新的“Teams External Collaboration Administrator”Entra ID 角色。这个角色专门负责管理外部协作设置,包括共享频道、来宾访问、外部域白名单、聊天与任何电子邮件地址等。与全局管理员相比,外部协作管理员的权限范围更窄,适合将日常管理任务委托给安全团队或 IT 支持人员。
角色的权限范围
外部协作管理员可以:配置开放/受控/自定义模式;管理允许的域列表;审批外部域的加入申请;查看外部协作使用情况报告;以及配置信任标识的策略。该角色不能修改其他 Teams 设置(如会议策略、消息策略),也不能访问用户的私人聊天内容。这种权限分离的设计遵循了最小权限原则。
使用 PowerShell 进行精细管理
虽然图形界面提供了三种模式和一键配置,但对于复杂的定制需求,管理员仍然可以通过 PowerShell 进行更精细的设置。PowerShell 允许管理员配置针对特定域的策略例外,或为不同的用户组设置不同的外部协作策略。
外部协作最佳实践
从受控模式开始
对于大多数企业,建议从受控模式开始。先与业务部门沟通,收集所有需要协作的合作伙伴域名,添加到允许列表中。对于新合作伙伴的申请,建立审批流程——可以由外部协作管理员统一审批,也可以由部门负责人审批后转交管理员配置。
定期审查外部访问日志
外部协作不是一劳永逸的配置。建议每月审查外部访问日志,查看:哪些外部域的用户访问了你的 Teams 环境;哪些用户(内部)最常与外部协作;是否有异常的外部访问模式(如深夜大量文件下载)。Teams 管理中心的审计日志和 Defender for Office 365 的报告可以帮助识别潜在风险。
来宾账号的生命周期管理
外部协作中的一个常见风险是“僵尸来宾”——那些已经离职或不再需要访问权限的外部用户,但他们的来宾账号仍然活跃。建议将来宾账号与项目生命周期绑定:当项目结束时,自动触发来宾账号的审查和移除。可以使用 Power Automate 创建自动化流程:当团队的所有者将团队标记为“已归档”时,自动从该团队中移除所有来宾。
与外部合作伙伴共享访问指南
对于需要频繁协作的外部合作伙伴,建议制作一份“外部协作快速指南”,内容包括:如何接受 Teams 邀请;如何登录;基本的聊天和会议操作;以及安全注意事项(如不要在包含外部人员的聊天中分享敏感信息)。这份指南可以在合作伙伴被邀请时随邀请邮件一同发送。
Teams受控模式下,用户可以向不在允许列表中的外部域发送聊天消息吗?
Teams信任标识是由管理员手动分配还是自动分配?
Teams外部协作管理员角色与全局管理员有什么区别?