Configuración de plantillas de directiva de organización multiinquilino mediante Microsoft Graph API
En este artículo se describe cómo configurar una plantilla de directiva para la organización multiinquilino.
Prerrequisitos
- Para obtener información sobre licencias, consulte Requisitos de licencia.
- Función de Administrador de seguridad para configurar los ajustes y plantillas de acceso entre inquilinos para la organización multiinquilino.
- Administrador de rol privilegiado para consentir los permisos necesarios.
Plantilla de socio de la directiva de acceso entre inquilinos
La configuración del socio de acceso entre inquilinos administra los ajustes de confianza y los ajustes automáticos de consentimiento del usuario entre los inquilinos asociados. Por ejemplo, puede utilizar estos valores para confiar en las notificaciones de autenticación multifactor para usuarios entrantes desde el inquilino asociado de destino. Con la plantilla en un estado no configurado, las configuraciones de socio para los inquilinos asociados en la organización multiinquilino no se modificarán, con todas las configuraciones de confianza pasadas desde las configuraciones por defecto. Sin embargo, si configura la plantilla, se modificarán las configuraciones de los socios correspondientes a la plantilla de directiva.
Configurar el canje automático de entradas y salidas
Para especificar qué configuraciones de confianza y de consentimiento automático de usuario aplicar a su plantilla de directiva, use la API Update multiTenantOrganizationPartnerConfigurationTemplate. Si crea o se une a una organización multiinquilino mediante el Centro de administración de Microsoft 365, esta configuración se controla automáticamente.
Solicitud
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deshabilitación de la plantilla para asociados existentes
Para aplicar esta plantilla solo a los nuevos miembros de la organización multicliente y excluir a los socios existentes, establezca el parámetro templateApplicationLevel solo para los nuevos socios.
Solicitud
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Deshabilitar completamente la plantilla
Para deshabilitar completamente la plantilla, establezca el parámetro templateApplicationLevel en NULL.
Solicitud
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Restablecer la plantilla
Para restablecer la plantilla a su estado predeterminado (rechazar toda la confianza y el consentimiento automático del usuario), use la API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Plantilla de sincronización entre inquilinos
La directiva de sincronización de identidades rige la sincronización entre inquilinos, que permite compartir usuarios y grupos entre los distintos inquilinos de la organización. Puede usar esta configuración para permitir la sincronización de usuarios entrantes. Con la plantilla en un estado no configurado, no se modificará la directiva de sincronización de identidades para los inquilinos asociados en la organización multiinquilino. Sin embargo, si configura la plantilla, la política de sincronización de identidades se modificará de acuerdo con la plantilla de política.
Configuración de la sincronización de usuarios entrantes
Para permitir la sincronización entrante de usuarios en la plantilla de directivas, use la API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Si crea o se une a una organización multiinquilino mediante el Centro de administración de Microsoft 365, esta configuración se controla automáticamente.
Solicitud
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deshabilitación de la plantilla para asociados existentes
Para aplicar esta plantilla solo a los nuevos miembros de la organización multitenant y excluir a los socios existentes, configure el parámetro templateApplicationLevel exclusivamente para nuevos socios.
Solicitud
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Deshabilitar completamente la plantilla
Para deshabilitar completamente la plantilla, establezca el parámetro templateApplicationLevel en NULL.
Solicitud
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Restablecer la plantilla
Para restablecer la plantilla a su estado predeterminado (rechazar la sincronización de entrada), use el multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.
Solicitud
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings