这问题我之前帮好几个客户踩过坑，核心就是别让条件访问策略的作用范围误覆盖到Teams。给你几个按优先级排序的可行方案：

方案1：精准限定策略的云应用范围（最推荐） #

这是最直接有效的方法，确保你的策略只针对SharePoint Online生效：

• 打开Azure AD的「条件访问」面板，编辑你现有的IP限制策略
• 找到「云应用或操作」模块：
  1. 选择「包括」→「选择应用」，然后在应用列表里只勾选「SharePoint Online」，千万别选「Office 365」这个集合（它包含了Teams、Exchange等所有微软365服务，这就是你当前Teams被拦截的原因）
  2. 确认「排除」列表里没有额外添加的应用，保持默认即可
• 在「用户或工作负载标识」模块里：
  1. 选择「包括」→「所有用户」，然后添加「排除」→「来宾和外部用户」（这样就只对内部用户生效，符合你允许外部/来宾任意IP访问的需求）
• 保存策略后，内部用户只有在指定IP范围内才能访问SPO，但Teams的登录和使用完全不受限制

方案2：拆分策略（适合复杂场景） #

如果你的环境有多个条件需要组合，建议拆分出两个独立策略：

• 策略A：针对内部用户，云应用选「SharePoint Online」，设置IP范围限制，其他条件按需求配置
• 策略B：针对所有用户（包括内部），云应用选「Microsoft Teams」，设置「授予」→「允许访问」，且不添加IP限制
  这种方式更清晰，避免不同服务的规则互相干扰

注意事项 #

• 测试时一定要用内部用户账号在白名单IP外登录Teams，验证是否正常访问；同时测试访问SPO是否被拦截，确保符合预期
• 如果遇到Teams里打开SPO文档被拦截的情况，这是正常的——因为访问SPO内容本身触发了你的IP限制策略，刚好符合你不让内部用户在外部访问SPO的需求
• 不要在策略中使用「所有云应用」，这会导致所有微软365服务都受IP限制，完全不符合你的需求

内容的提问来源于stack exchange，提问作者pawan panday