Optionale Richtlinienvorlagen mehrmandantenfähiger Organisationen
Dass Administrator*innen die Kontrolle über ihre Ressourcen behalten, ist ein Leitprinzip für die Zusammenarbeit in mehrmandantenfähigen Organisationen. Mandantenübergreifende Zugriffseinstellungen sind für jede Mandant-zu-Mandant-Beziehung erforderlich. Mandantenadministratoren konfigurieren explizit Partnerkonfigurationen für den mandantenübergreifenden Zugriff und Identitätssynchronisierungseinstellungen für Partnermandanten innerhalb der mehrmandantenfähigen Organisation.
Um einheitliche mandantenübergreifende Zugriffseinstellungen auf Partnermandanten in der mehrmandantenfähigen Organisation anzuwenden, kann der Administrator jedes Mandanten optionale mandantenübergreifende Zugriffseinstellungen konfigurieren, die für die mehrmandantenfähige Organisation dediziert sind. In diesem Artikel wird beschrieben, wie Sie Vorlagen verwenden, um mandantenübergreifende Zugriffseinstellungen vorzukonfigurieren, die auf alle Partnermandanten angewendet werden, die der mehrmandantenfähigen Organisation neu beitreten.
Automatische Generierung mandantenübergreifender Zugriffseinstellungen
Innerhalb einer mehrmandantenfähigen Organisation muss jedes Mandantenpaar über bidirektionale mandantenübergreifende Zugriffseinstellungen verfügen, sowohl für die Partnerkonfiguration als auch für die Identitätssynchronisierung. Diese Einstellungen stellen das zugrunde liegende Richtlinienframework zum Aktivieren der Vertrauensstellung und zum Freigeben von Benutzern und Anwendungen bereit.
Wenn Ihr Mandant einer neuen mehrmandantenfähigen Organisation beitritt, oder wenn ein Partnermandant Ihrer vorhandenen Organisation beitritt, werden mandantenübergreifende Zugriffseinstellungen für andere Partnermandanten in der erweiterten mehrmandantenfähigen Organisation automatisch in einem nicht konfigurierten Zustand generiert, wenn sie noch nicht vorhanden sind. In einem nicht konfigurierten Zustand durchlaufen diese mandantenübergreifenden Zugriffseinstellungen die Standardeinstellungen.
Mandantenübergreifende Standardzugriffseinstellungen gelten für alle externen Mandanten, für die Sie keine organisationsspezifischen benutzerdefinierten Einstellungen erstellt haben. In der Regel sind diese Einstellungen als nicht vertrauenswürdig konfiguriert. Beispielsweise könnten mandantenübergreifende Vertrauensstellungen für die Multi-Faktor-Authentifizierung und kompatible Geräteansprüche deaktiviert sein, und die Freigabe von Benutzerinnen und Benutzern sowie Gruppen in einer direkten B2B-Verbindung oder B2B-Zusammenarbeit ist möglicherweise nicht zulässig.
In mehrmandantenfähigen Organisationen wird hingegen erwartet, dass die Einstellungen für den mandantenübergreifenden Zugriff in der Regel vertrauenswürdig sind. Beispielsweise könnten mandantenübergreifende Vertrauensstellungen für die Multi-Faktor-Authentifizierung und kompatible Geräteansprüche aktiviert sein, und die Freigabe von Benutzerinnen und Benutzern sowie Gruppen in einer direkten B2B-Verbindung oder B2B-Zusammenarbeit ist möglicherweise zulässig.
Während die automatische Generierung mandantenübergreifender Zugriffseinstellungen für Partnermandanten der mehrmandantenfähigen Organisation an sich das Verhalten von Authentifizierungs- oder Autorisierungsrichtlinien nicht ändert, kann Ihre Organisation problemlos die mandantenübergreifenden Zugriffseinstellungen für Partnermandanten in der mehrmandantenfähigen Organisation auf Mandantenbasis anpassen.
Richtlinienvorlagen bei der Bildung mehrmandantenfähiger Organisationen
Wie bereits beschrieben, wird in mehrmandantenfähigen Organisationen erwartet, dass die Einstellungen für den mandantenübergreifenden Zugriff in der Regel vertrauenswürdig sind. Beispielsweise könnten mandantenübergreifende Vertrauensstellungen für die Multi-Faktor-Authentifizierung und kompatible Geräteansprüche aktiviert sein, und die Freigabe von Benutzerinnen und Benutzern sowie Gruppen in einer direkten B2B-Verbindung oder B2B-Zusammenarbeit ist möglicherweise zulässig.
Während die automatische Generierung mandantenübergreifender Zugriffseinstellungen gemäß vorherigem Abschnitt die Existenz mandantenübergreifender Zugriffseinstellungen für jeden Partnermandanten der mehrmandantenfähigen Organisation garantiert, erfolgt die weitere Wartung der mandantenübergreifenden Zugriffseinstellungen für Partnermandanten der mehrmandantenfähigen Organisation einzeln auf Mandantenbasis.
Um die Arbeitsauslastung für Administratoren zum Zeitpunkt der Bildung einer mehrmandantenfähigen Organisation zu reduzieren, können Sie optional Richtlinienvorlagen für die präventive Konfiguration mandantenübergreifender Zugriffseinstellungen verwenden. Diese Vorlageneinstellungen werden zum Zeitpunkt des Beitritts Ihres Mandanten zu einer mehrmandantenfähigen Organisation auf alle externen Partnermandanten der mehrmandantenfähigen Organisation sowie zum Zeitpunkt des Beitritts eines Partnermandanten zu Ihrer bestehenden mehrmandantenfähigen Organisation auf diesen neuen Partnermandanten angewendet.
Aktivierung oder Konfiguration der optionalen Richtlinienvorlagen zum Zeitpunkt des Beitritts eines Partnermandanten zu einer mehrmandantenfähigen Organisation, präventives Anpassen der entsprechenden mehrmandantenfähigen Zugriffseinstellungen sowohl für die Partnerkonfiguration als auch die Identitätssynchronisierung.
Betrachten Sie beispielsweise die Aktionen der Administratoren für eine mehrmandantenfähige Organisation mit den erwarteten drei Mandanten A, B und C.
- Die Admins aller drei Mandanten aktivieren und konfigurieren ihre jeweiligen optionalen Richtlinienvorlagen, um mandantenübergreifende Vertrauensstellungen für die Multi-Faktor-Authentifizierung und kompatible Geräteansprüche zu aktivieren und die Freigabe von Benutzerinnen und Benutzern sowie Gruppen in einer direkten B2B-Verbindung und B2B-Zusammenarbeit zuzulassen.
- Der Administrator A erstellt die mehrmandantenfähige Organisation und fügt die Mandanten B und C als ausstehende Mandanten der mehrmandantenfähigen Organisation hinzu.
- Der Administrator B tritt der mehrmandantenfähigen Organisation bei. Mandantenübergreifende Zugriffseinstellungen im Mandant A für den Partnermandant B werden entsprechend den Richtlinienvorlageneinstellungen des Mandanten A angepasst. Umgekehrt werden mandantenübergreifende Zugriffseinstellungen im Mandant B für den Partnermandant A entsprechend den Richtlinienvorlageneinstellungen des Mandanten B angepasst.
- Der Administrator C tritt der mehrmandantenfähigen Organisation bei. Mandantenübergreifende Zugriffseinstellungen im Mandant A (und B) für den Partnermandant C werden entsprechend den Richtlinienvorlageneinstellungen des Mandanten A (und B) angepasst. Ebenso werden mandantenübergreifende Zugriffseinstellungen im Mandant C für die Partnermandanten A und B entsprechend den Richtlinienvorlageneinstellungen des Mandanten C angepasst.
- Nach der Bildung dieser mehrmandantenfähigen Organisation mit drei Mandanten wurden die mandantenübergreifenden Zugriffseinstellungen aller Mandantenpaare in der mehrmandantenfähigen Organisation präventiv konfiguriert.
Zusammenfassend lässt sich sagen, dass die Konfiguration der optionalen Richtlinienvorlagen es Ihnen ermöglicht, mandantenübergreifende Zugriffseinstellungen in Ihrer mehrmandantenfähigen Organisation einheitlich zu initialisieren, während gleichzeitig die maximale Flexibilität beim Anpassen Ihrer mandantenübergreifenden Zugriffseinstellungen nach Bedarf auf Mandantenbasis beibehalten wird.
Um die Verwendung der Richtlinienvorlagen zu beenden, können Sie diese auf ihren Standardzustand zurücksetzen. Weitere Informationen finden Sie unter Konfigurieren von Vorlagen für mehrmandantenfähige Organisationen.
Bereichserstellung für Richtlinienvorlagen und zusätzliche Eigenschaften
Um Administratoren weitere Konfigurationsmöglichkeiten zu bieten, können Sie festlegen, wann mandantenübergreifende Zugriffseinstellungen gemäß den Richtlinienvorlagen angepasst werden sollen. Sie können beispielsweise festlegen, dass die Richtlinienvorlagen für die folgenden Mandanten angewendet werden, wenn ein Mandant einer mehrmandantenfähigen Organisation beitritt:
| Mandant | Beschreibung |
|---|---|
| Nur neue Partnermandanten | Mandanten, deren mandantenübergreifende Zugriffseinstellungen automatisch generiert werden |
| Nur vorhandene Partnermandanten | Mandanten, die bereits über mandantenübergreifende Zugriffseinstellungen verfügen |
| Alle Partnermandanten | Sowohl neue Partnermandanten als auch vorhandene Partnermandanten |
| Keine Partnermandanten | Richtlinienvorlagen werden effektiv deaktiviert |
In diesem Kontext verweisen neue Partner auf Mandanten, für die Sie noch keine mandantenübergreifenden Zugriffseinstellungen konfiguriert haben, während vorhandene Partner auf Mandanten verweisen, für die Sie bereits mandantenübergreifende Zugriffseinstellungen konfiguriert haben. Diese Bereichserstellung wird mit der templateApplicationLevel-Eigenschaft in der Partnerkonfigurationsvorlage für den mandantenübergreifenden Zugriff und mit der templateApplicationLevel-Eigenschaft für die Identitätssynchronisierungsvorlage für den mandantenübergreifenden Zugriff angegeben.
In Bezug auf die Interpretation von Vorlageneigenschaftswerten hat schließlich jeder Vorlageneigenschaftswert von null keine Auswirkung auf den entsprechenden Eigenschaftswert in den gezielten mandantenübergreifenden Zugriffseinstelllungen, während ein definierter Vorlageneigenschaftswert dazu führt, dass der entsprechende Eigenschaftswert in den gezielten mandantenübergreifenden Zugriffseinstellungen entsprechend der Vorlage angepasst wird. Die folgende Tabelle veranschaulicht, wie Vorlageneigenschaftswerte auf entsprechende mandantenübergreifende Zugriffseinstellungswerte angewendet werden.
| Vorlagenwert | Anfänglicher Wert der Partnereinstellungen (Vor dem Beitritt zu einer mehrmandantenfähigen Organisation) |
Endgültiger Wert der Partnereinstellungen (Nach dem Beitritt zu einer mehrmandantenfähigen Organisation) |
|---|---|---|
null |
<Wert der Partnereinstellungen> | <Wert der Partnereinstellungen> |
| <Vorlagenwert> | <beliebiger Wert> | <Vorlagenwert> |
Richtlinienvorlagen, die vom Microsoft 365 Admin Center verwendet werden
Wenn im Microsoft 365 Admin Center eine mehrmandantenfähige Organisation gebildet wird, stimmt ein Administrator den folgenden Vorlageneinstellungen für die mehrmandantenfähige Organisation zu:
- Die Identitätssynchronisierung ist so festgelegt, dass Benutzer mit diesem Mandanten synchronisieren können
- Der mandantenübergreifender Zugriff ist so festgelegt, dass Benutzereinladungen sowohl für eingehende als auch für ausgehende Benutzer automatisch eingelöst werden
Dies wird erreicht, indem die entsprechenden drei Vorlageneigenschaftswerte auf truefestgelegt werden:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Weitere Informationen finden Sie unter Beitreten oder Verlassen einer mehrmandantenfähigen Organisation in Microsoft 365.
Mandantenübergreifende Zugriffseinstellungen zum Zeitpunkt der Auflösung der mehrmandantenfähigen Organisation
Derzeit gibt es kein entsprechendes Richtlinienvorlagenfeature, das die Auflösung einer mehrmandantenfähigen Organisation unterstützt. Wenn ein Partnermandant die mehrmandantenfähige Organisation verlässt, muss jeder Mandantenadministrator die mandantenübergreifenden Zugriffseinstellungen für den Partnermandanten, der die mehrmandantenfähige Organisation verlässt, erneut überprüfen und entsprechend anpassen.
Der Partnermandant, der die mehrmandantenfähige Organisation verlassen hat, muss die mandantenübergreifenden Zugriffseinstellungen für alle ehemaligen Partnermandanten der mehrmandantenfähigen Organisation erneut überprüfen und entsprechend ändern und erwägen, die beiden Richtlinienvorlagen für mandantenübergreifende Zugriffseinstellungen zurückzusetzen.