Konfigurace šablon zásad pro víceklientské organizace pomocí rozhraní Microsoft Graph API
Tento článek popisuje, jak nakonfigurovat šablonu zásad pro vaši organizaci s více tenanty.
Požadavky
- Informace o licenci najdete v tématu Licenční požadavky.
- Role správce zabezpečení, která konfiguruje nastavení přístupu mezi tenanty a šablony pro víceklientskou organizaci.
- roli Správce privilegovaných rolí k vyjádření souhlasu s požadovanými oprávněními.
Šablona zásad přístupu pro partnery napříč tenanty
Konfigurace partnera přístupu mezi tenanty zpracovává nastavení důvěryhodnosti a nastavení automatického souhlasu uživatele mezi partnerskými tenanty. Tato nastavení můžete například použít k důvěřování přihlašovacím požadavkům na vícefaktorové ověřování pro příchozí uživatele z cílového partnerského systému. U šablony v nekonfigurovaném stavu nebudou konfigurace partnerů pro partnerské tenanty ve víceklientské organizaci změněny, přičemž všechna nastavení důvěryhodnosti se předávají z výchozích nastavení. Pokud však nakonfigurujete šablonu, konfigurace partnerů se změní odpovídající šabloně zásad.
Konfigurovat automatické uplatňování pro příchozí a odchozí transakce.
Pokud chcete určit, která nastavení důvěry a nastavení automatického souhlasu uživatele se mají použít pro vaši šablonu zásad, použijte rozhraní API Update multiTenantOrganizationPartnerConfigurationTemplate. Pokud vytvoříte nebo připojíte víceklientské organizaci pomocí Centra pro správu Microsoftu 365, tato konfigurace se zpracuje automaticky.
Žádost
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Zakázání šablony pro stávající partnery
Pokud chcete tuto šablonu použít jenom pro nové členy organizace s více tenanty a vyloučit stávající partnery, nastavte parametr templateApplicationLevel jenom na nové partnery.
žádost
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Úplné zakázání šablony
Pokud chcete šablonu úplně zakázat, nastavte parametr templateApplicationLevel na hodnotu null.
žádost
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Resetování šablony
K resetování šablony do jejího výchozího stavu (odmítnutí veškeré důvěry a automatického souhlasu uživatele) použijte API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Šablona synchronizace mezi tenanty
Zásady synchronizace identit řídí synchronizaci mezi tenanty, což umožňuje sdílet uživatele a skupiny mezi tenanty ve vaší organizaci. Tato nastavení můžete použít k povolení příchozí synchronizace uživatelů. U šablony v nekonfigurovaném stavu se zásady synchronizace identit pro partnerské tenanty ve víceklientských organizacích nebudou měnit. Pokud však nakonfigurujete šablonu, zásady synchronizace identit se změní odpovídající šabloně zásad.
Konfigurace příchozí synchronizace uživatelů
Pokud chcete povolit příchozí synchronizaci uživatelů v šabloně zásad, použijte rozhraní API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Pokud vytvoříte nebo připojíte víceklientské organizaci pomocí Centra pro správu Microsoftu 365, tato konfigurace se zpracuje automaticky.
Požadavek
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Zakázání šablony pro stávající partnery
Pokud chcete tuto šablonu použít jenom pro nové členy organizace s více tenanty a vyloučit stávající partnery, nastavte parametr templateApplicationLevel jenom na nové partnery.
Žádost
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Úplné zakázání šablony
Pokud chcete šablonu úplně zakázat, nastavte parametr templateApplicationLevel na hodnotu null.
žádost
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Resetování šablony
Pokud chcete šablonu obnovit do výchozího stavu (odmítnout příchozí synchronizaci), použijte multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.
žádost
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings