Compartir a través de


Configuración de plantillas de directiva de organización multiinquilino mediante Microsoft Graph API

En este artículo se describe cómo configurar una plantilla de directiva para la organización multiinquilino.

Prerrequisitos

Plantilla de socio de la directiva de acceso entre inquilinos

La configuración del socio de acceso entre inquilinos administra los ajustes de confianza y los ajustes automáticos de consentimiento del usuario entre los inquilinos asociados. Por ejemplo, puede utilizar estos valores para confiar en las notificaciones de autenticación multifactor para usuarios entrantes desde el inquilino asociado de destino. Con la plantilla en un estado no configurado, las configuraciones de socio para los inquilinos asociados en la organización multiinquilino no se modificarán, con todas las configuraciones de confianza pasadas desde las configuraciones por defecto. Sin embargo, si configura la plantilla, se modificarán las configuraciones de los socios correspondientes a la plantilla de directiva.

Configurar el canje automático de entradas y salidas

Para especificar qué configuraciones de confianza y de consentimiento automático de usuario aplicar a su plantilla de directiva, use la API Update multiTenantOrganizationPartnerConfigurationTemplate. Si crea o se une a una organización multiinquilino mediante el Centro de administración de Microsoft 365, esta configuración se controla automáticamente.

Solicitud

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration

{
    "inboundTrust": {
        "isMfaAccepted": true,
        "isCompliantDeviceAccepted": true,
        "isHybridAzureADJoinedDeviceAccepted": true
    },
    "automaticUserConsentSettings": {
        "inboundAllowed": true,
        "outboundAllowed": true
    },
    "templateApplicationLevel": "newPartners,existingPartners"
}

Deshabilitación de la plantilla para asociados existentes

Para aplicar esta plantilla solo a los nuevos miembros de la organización multicliente y excluir a los socios existentes, establezca el parámetro templateApplicationLevel solo para los nuevos socios.

Solicitud

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration

{
    "inboundTrust": {
        "isMfaAccepted": true,
        "isCompliantDeviceAccepted": true,
        "isHybridAzureADJoinedDeviceAccepted": true
    },
    "automaticUserConsentSettings": {
        "inboundAllowed": true,
        "outboundAllowed": true
    },
    "templateApplicationLevel": "newPartners"
}

Deshabilitar completamente la plantilla

Para deshabilitar completamente la plantilla, establezca el parámetro templateApplicationLevel en NULL.

Solicitud

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration

{
    "inboundTrust": {
        "isMfaAccepted": true,
        "isCompliantDeviceAccepted": true,
        "isHybridAzureADJoinedDeviceAccepted": true
    },
    "automaticUserConsentSettings": {
        "inboundAllowed": true,
        "outboundAllowed": true
    },
    "templateApplicationLevel": ""
}

Restablecer la plantilla

Para restablecer la plantilla a su estado predeterminado (rechazar toda la confianza y el consentimiento automático del usuario), use la API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.

POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings

Plantilla de sincronización entre inquilinos

La directiva de sincronización de identidades rige la sincronización entre inquilinos, que permite compartir usuarios y grupos entre los distintos inquilinos de la organización. Puede usar esta configuración para permitir la sincronización de usuarios entrantes. Con la plantilla en un estado no configurado, no se modificará la directiva de sincronización de identidades para los inquilinos asociados en la organización multiinquilino. Sin embargo, si configura la plantilla, la política de sincronización de identidades se modificará de acuerdo con la plantilla de política.

Configuración de la sincronización de usuarios entrantes

Para permitir la sincronización entrante de usuarios en la plantilla de directivas, use la API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Si crea o se une a una organización multiinquilino mediante el Centro de administración de Microsoft 365, esta configuración se controla automáticamente.

Solicitud

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization

{
    "userSyncInbound": {
        "isSyncAllowed": true
    },
    "templateApplicationLevel": "newPartners,existingPartners"
}

Deshabilitación de la plantilla para asociados existentes

Para aplicar esta plantilla solo a los nuevos miembros de la organización multitenant y excluir a los socios existentes, configure el parámetro templateApplicationLevel exclusivamente para nuevos socios.

Solicitud

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization

{
    "userSyncInbound": {
        "isSyncAllowed": true
    },
    "templateApplicationLevel": "newPartners"
}

Deshabilitar completamente la plantilla

Para deshabilitar completamente la plantilla, establezca el parámetro templateApplicationLevel en NULL.

Solicitud

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization

{
    "userSyncInbound": {
        "isSyncAllowed": true
    },
    "templateApplicationLevel": ""
}

Restablecer la plantilla

Para restablecer la plantilla a su estado predeterminado (rechazar la sincronización de entrada), use el multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.

Solicitud

POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings

Pasos siguientes