Konfigurace šablon zásad pro víceklientské organizace pomocí rozhraní Microsoft Graph API
Tento článek popisuje, jak nakonfigurovat šablonu zásad pro vaši organizaci s více tenanty.
Požadavky
- Informace o licenci najdete v tématu Licenční požadavky.
- Role Správa istrator zabezpečení pro konfiguraci nastavení a šablon přístupu mezi tenanty pro víceklientské organizace.
- Globální role Správa istrator pro vyjádření souhlasu s požadovanými oprávněními.
Šablona partnera zásad přístupu mezi tenanty
Konfigurace partnera pro přístup mezi tenanty zpracovává nastavení důvěryhodnosti a nastavení automatického souhlasu uživatele mezi partnerskými tenanty. Tato nastavení můžete například použít k důvěryhodnosti vícefaktorových deklarací identity ověřování pro příchozí uživatele z cílového partnerského tenanta. U šablony v nekonfigurovaném stavu nebudou konfigurace partnerů pro partnerské tenanty ve víceklientské organizaci změněny, přičemž všechna nastavení důvěryhodnosti se předávají z výchozích nastavení. Pokud však nakonfigurujete šablonu, konfigurace partnerů se změní odpovídající šabloně zásad.
Konfigurace příchozího a odchozího automatického uplatnění
Pokud chcete určit, která nastavení důvěryhodnosti a nastavení automatického souhlasu uživatele se mají použít u šablony zásad, použijte rozhraní API Update multiTenantOrganizationPartnerConfigurationTemplate . Pokud vytvoříte nebo připojíte víceklientovou organizaci pomocí Centrum pro správu Microsoftu 365, tato konfigurace se zpracuje automaticky.
Požádat
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Zakázání šablony pro stávající partnery
Pokud chcete tuto šablonu použít jenom pro nové členy organizace s více tenanty a vyloučit existující partnery, nastavte templateApplicationLevel parametr jenom na nové partnery.
Požádat
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Úplné zakázání šablony
Pokud chcete šablonu úplně zakázat, nastavte templateApplicationLevel parametr na hodnotu null.
Požádat
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Resetování šablony
K resetování šablony do výchozího stavu (odmítnutí veškerého vztahu důvěryhodnosti a automatického souhlasu uživatele) použijte multiTenantOrganizationPartnerConfigurationTemplate: resetToDefault Nastavení API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Šablona synchronizace mezi tenanty
Zásady synchronizace identit řídí synchronizaci mezi tenanty, která umožňuje sdílet uživatele a skupiny mezi tenanty ve vaší organizaci. Tato nastavení můžete použít k povolení příchozí synchronizace uživatelů. U šablony v nekonfigurovaném stavu se zásady synchronizace identit pro partnerské tenanty ve víceklientských organizacích nebudou měnit. Pokud však nakonfigurujete šablonu, zásady synchronizace identit se změní odpovídající šabloně zásad.
Konfigurace příchozí synchronizace uživatelů
Pokud chcete v šabloně zásad povolit synchronizaci příchozích uživatelů, použijte rozhraní API Update multiTenantOrganizationIdentitySyncPolicyTemplate . Pokud vytvoříte nebo připojíte víceklientovou organizaci pomocí Centrum pro správu Microsoftu 365, tato konfigurace se zpracuje automaticky.
Požádat
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Zakázání šablony pro stávající partnery
Pokud chcete tuto šablonu použít jenom pro nové členy organizace s více tenanty a vyloučit existující partnery, nastavte templateApplicationLevel parametr jenom na nové partnery.
Požádat
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Úplné zakázání šablony
Pokud chcete šablonu úplně zakázat, nastavte templateApplicationLevel parametr na hodnotu null.
Požádat
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Resetování šablony
Pokud chcete obnovit šablonu do výchozího stavu (odmítnout příchozí synchronizaci), použijte multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefault Nastavení API.
Požádat
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings