Konfigurieren von mehrinstanzenfähigen Organisationsrichtlinienvorlagen mithilfe der Microsoft Graph-API
In diesem Artikel wird beschrieben, wie Sie eine Richtlinienvorlage für Ihre mehrmandantenfähige Organisation konfigurieren.
Voraussetzungen
- Informationen zur Lizenz finden Sie unter Lizenzanforderungen.
- Die Rolle Sicherheitsadministrator zum Konfigurieren mandantenübergreifender Zugriffseinstellungen und Vorlagen für die mehrmandantenfähige Organisation.
- Die Rolle Globaler Administratorzum Zustimmen zu den erforderlichen Berechtigungen.
Vorlage für mandantenübergreifende Zugriffsrichtlinienpartner
Die Konfiguration des mandantenübergreifenden Zugriffspartners verarbeitet Vertrauenseinstellungen und Einstellungen für die automatische Benutzereinwilligung zwischen Partnermandanten. Sie können beispielsweise diese Einstellungen verwenden, um Ansprüchen für die Multi-Faktor-Authentifizierung für eingehende Benutzer aus dem Zielpartnermandanten zu vertrauen. Wenn sich die Vorlage in einem nicht konfigurierten Zustand befindet, werden Partnerkonfigurationen für Partnermandanten in der mehrmandantenfähigen Organisation nicht geändert, wobei alle Vertrauenseinstellungen von den Standardeinstellungen übergeben werden. Wenn Sie jedoch die Vorlage konfigurieren, werden die Partnerkonfigurationen entsprechend der Richtlinienvorlage geändert.
Konfigurieren der automatischen ein- und ausgehenden Einlösung
Verwenden Sie die Update-API multiTenantOrganizationPartnerConfigurationTemplate, um anzugeben, welche Vertrauenseinstellungen und Einstellungen für die automatische Benutzereinwilligung auf Ihre Richtlinienvorlage angewendet werden sollen. Wenn Sie mithilfe von Microsoft 365 Admin Center eine mehrmandantenfähige Organisation erstellen oder verknüpfen, wird diese Konfiguration automatisch angepasst.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deaktivieren der Vorlage für vorhandene Partner
Wenn Sie diese Vorlage nur auf neue Mitglieder einer mehrmandantenfähigen Organisation anwenden und vorhandene Partner ausschließen möchten, legen Sie den Parameter templateApplicationLevel nur für neue Partner fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Vollständiges Deaktivieren der Vorlage
Um die Vorlage vollständig zu deaktivieren, legen Sie den templateApplicationLevel-Parameter auf NULL fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Zurücksetzen der Vorlage
Verwenden Sie die API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings, um die Vorlage auf den Standardzustand zurückzusetzen (alle Vertrauensstellungen und automatische Benutzereinwilligungen ablehnen).
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Vorlage für die mandantenübergreifende Synchronisierung
Die Identitätssynchronisierungsrichtlinie steuert die mandantenübergreifende Synchronisierung, mit der Sie Benutzer und Gruppen mandantenübergreifend in Ihrer Organisation freigeben können. Sie können diese Einstellungen verwenden, um die Synchronisierung eingehender Benutzer zuzulassen. Wenn sich die Vorlage in einem nicht konfigurierten Zustand befindet, wird die Identitätssynchronisierungsrichtlinie für Partnermandanten in der mehrmandantenfähigen Organisation nicht geändert. Wenn Sie jedoch die Vorlage konfigurieren, wird die Identitätssynchronisierungsrichtlinie entsprechend der Richtlinienvorlage geändert.
Konfigurieren der Synchronisierung eingehender Benutzer
Um die Synchronisierung eingehender Benutzer in der Richtlinienvorlage zuzulassen, verwenden Sie die Update-API multiTenantOrganizationIdentitySyncPolicyTemplate. Wenn Sie mithilfe von Microsoft 365 Admin Center eine mehrmandantenfähige Organisation erstellen oder verknüpfen, wird diese Konfiguration automatisch angepasst.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deaktivieren der Vorlage für vorhandene Partner
Wenn Sie diese Vorlage nur auf neue Mitglieder einer mehrmandantenfähigen Organisation anwenden und vorhandene Partner ausschließen möchten, legen Sie den Parameter templateApplicationLevel nur für neue Partner fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Vollständiges Deaktivieren der Vorlage
Um die Vorlage vollständig zu deaktivieren, legen Sie den templateApplicationLevel-Parameter auf NULL fest.
Anforderung
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Zurücksetzen der Vorlage
Verwenden Sie die API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings, um die Vorlage auf den Standardzustand zurückzusetzen (eingehende Synchronisierung ablehnen).
Anforderung
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings