Konfigurieren von mehrinstanzenfähigen Organisationsrichtlinienvorlagen mithilfe der Microsoft Graph-API
In diesem Artikel wird beschrieben, wie Sie eine Richtlinienvorlage für Ihre Mehrmandanten-Organisation konfigurieren.
Voraussetzungen
- Lizenzinformationen finden Sie unter Lizenzanforderungen.
- Die Rolle Sicherheitsadministrator zum Konfigurieren mandantenübergreifender Zugriffseinstellungen und Vorlagen für die Mehrmandanten-Organisation.
- Die Rolle Administrator für privilegierte Rollen zum Zustimmen zu den erforderlichen Berechtigungen.
Partnervorlage für mandantenübergreifende Zugriffsrichtlinien
Die Konfiguration des mandantenübergreifenden Zugriffspartners verarbeitet Vertrauenseinstellungen und Einstellungen für die automatische Benutzereinwilligung zwischen Partnermandanten. Sie können beispielsweise diese Einstellungen verwenden, um Ansprüchen für die Multi-Faktor-Authentifizierung für eingehende Benutzer*innen aus dem Zielpartnermandanten zu vertrauen. Wenn sich die Vorlage in einem nicht konfigurierten Zustand befindet, werden Partnerkonfigurationen für Partnermandanten in der mehrmandantenfähigen Organisation nicht geändert, wobei alle Vertrauenseinstellungen von den Standardeinstellungen übergeben werden. Wenn Sie jedoch die Vorlage konfigurieren, werden die Partnerkonfigurationen entsprechend der Richtlinienvorlage geändert.
Konfigurieren der automatischen ein- und ausgehenden Einlösung
Verwenden Sie die Update-API multiTenantOrganizationPartnerConfigurationTemplate, um anzugeben, welche Vertrauenseinstellungen und Einstellungen für die automatische Benutzereinwilligung auf Ihre Richtlinienvorlage angewendet werden sollen. Wenn Sie mithilfe von Microsoft 365 Admin Center eine Mehrmandanten-Organisation erstellen oder verknüpfen, wird diese Konfiguration automatisch bearbeitet.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deaktivieren der Vorlage für vorhandene Partner
Wenn Sie diese Vorlage nur auf neue Mitglieder einer Mehrmandanten-Organisation anwenden und vorhandene Partner ausschließen möchten, legen Sie den Parameter templateApplicationLevel nur für neue Partner fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Vollständiges Deaktivieren der Vorlage
Um die Vorlage vollständig zu deaktivieren, legen Sie den parameter templateApplicationLevel auf NULL fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Zurücksetzen der Vorlage
Verwenden Sie die API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings, um die Vorlage auf den Standardzustand zurückzusetzen (alle Vertrauensstellungen und automatische Benutzereinwilligungen ablehnen).
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Vorlage für die mandantenübergreifende Synchronisierung
Die Identitätssynchronisierungsrichtlinie steuert die mandantenübergreifende Synchronisierung, mit der Sie Benutzer*innen und Gruppen mandantenübergreifend in Ihrer Organisation freigeben können. Sie können diese Einstellungen verwenden, um die eingehende Benutzersynchronisierung zuzulassen. Wenn sich die Vorlage in einem nicht konfigurierten Zustand befindet, wird die Identitätssynchronisierungsrichtlinie für Partnermandanten in der mehrmandantenfähigen Organisation nicht geändert. Wenn Sie jedoch die Vorlage konfigurieren, wird die Identitätssynchronisierungsrichtlinie entsprechend der Richtlinienvorlage geändert.
Konfigurieren der Synchronisierung eingehender Benutzer*innen
Um die Synchronisierung eingehender Benutzer*innen in der Richtlinienvorlage zuzulassen, verwenden Sie die Update-API multiTenantOrganizationIdentitySyncPolicyTemplate. Wenn Sie mithilfe von Microsoft 365 Admin Center eine Mehrmandanten-Organisation erstellen oder verknüpfen, wird diese Konfiguration automatisch bearbeitet.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deaktivieren der Vorlage für vorhandene Partner
Wenn Sie diese Vorlage nur auf neue Mitglieder einer Mehrmandanten-Organisation anwenden und vorhandene Partner ausschließen möchten, legen Sie den Parameter templateApplicationLevel nur für neue Partner fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Vollständiges Deaktivieren der Vorlage
Um die Vorlage vollständig zu deaktivieren, legen Sie den parameter templateApplicationLevel auf NULL fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Zurücksetzen der Vorlage
Verwenden Sie die API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings, um die Vorlage auf den Standardzustand zurückzusetzen (eingehende Synchronisierung ablehnen).
Anforderung
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings