Compartir vía


Configuración de plantillas de directiva de organización multiinquilino mediante Microsoft Graph API

Este artículo describe cómo configurar una plantilla de directiva para su organización multiinquilino.

Requisitos previos

Plantilla de socio de la directiva de acceso entre inquilinos

La configuración del socio de acceso entre inquilinos administra los ajustes de confianza y los ajustes automáticos de consentimiento del usuario entre los inquilinos asociados. Por ejemplo, puede utilizar estos valores para confiar en las notificaciones de autenticación multifactor para usuarios entrantes desde el inquilino asociado de destino. Con la plantilla en un estado no configurado, las configuraciones de socio para los inquilinos asociados en la organización multiinquilino no se modificarán, con todas las configuraciones de confianza pasadas desde las configuraciones por defecto. Sin embargo, si configura la plantilla, se modificarán las configuraciones de los socios correspondientes a la plantilla de directiva.

Configurar el canje automático de entradas y salidas

Para especificar qué configuraciones de confianza y de consentimiento automático de usuario aplicar a su plantilla de directiva, utilice la API Update multiTenantOrganizationPartnerConfigurationTemplate. Si crea una organización multiinquilino o se une a ella mediante el Centro de administración de Microsoft 365, esta configuración se administra automáticamente.

Solicitar

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration

{
    "inboundTrust": {
        "isMfaAccepted": true,
        "isCompliantDeviceAccepted": true,
        "isHybridAzureADJoinedDeviceAccepted": true
    },
    "automaticUserConsentSettings": {
        "inboundAllowed": true,
        "outboundAllowed": true
    },
    "templateApplicationLevel": "newPartners,existingPartners"
}

Deshabilitar la plantilla para los socios existentes

Para aplicar esta plantilla solo a los nuevos miembros de la organización multiinquilinos y excluir a los socios existentes, establezca el parámetro templateApplicationLevel en solo nuevos socios.

Solicitar

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration

{
    "inboundTrust": {
        "isMfaAccepted": true,
        "isCompliantDeviceAccepted": true,
        "isHybridAzureADJoinedDeviceAccepted": true
    },
    "automaticUserConsentSettings": {
        "inboundAllowed": true,
        "outboundAllowed": true
    },
    "templateApplicationLevel": "newPartners"
}

Deshabilitar completamente la plantilla

Para deshabilitar la plantilla por completo, establezca el parámetro templateApplicationLevel en null.

Solicitar

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration

{
    "inboundTrust": {
        "isMfaAccepted": true,
        "isCompliantDeviceAccepted": true,
        "isHybridAzureADJoinedDeviceAccepted": true
    },
    "automaticUserConsentSettings": {
        "inboundAllowed": true,
        "outboundAllowed": true
    },
    "templateApplicationLevel": ""
}

Restablecer la plantilla

Para restablecer la plantilla a su estado predeterminado (declinar toda confianza y consentimiento automático del usuario), utilice la API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.

POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings

Plantilla de sincronización entre inquilinos

La directiva de sincronización de identidades rige la sincronización entre inquilinos, que permite compartir usuarios y grupos entre los distintos inquilinos de la organización. Puede utilizar esta configuración para permitir la sincronización entrante de usuarios. Con la plantilla en un estado no configurado, no se modificará la directiva de sincronización de identidades para los inquilinos asociados en la organización multiinquilino. Sin embargo, si configura la plantilla, se modificará la directiva de sincronización de identidades correspondiente a la plantilla de directiva.

Configurar la sincronización de usuarios entrantes

Para permitir la sincronización entrante de usuarios en la plantilla de directivas, utilice la API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Si crea una organización multiinquilino o se une a ella mediante el Centro de administración de Microsoft 365, esta configuración se administra automáticamente.

Solicitar

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization

{
    "userSyncInbound": {
        "isSyncAllowed": true
    },
    "templateApplicationLevel": "newPartners,existingPartners"
}

Deshabilitar la plantilla para los socios existentes

Para aplicar esta plantilla solo a los nuevos miembros de la organización multiinquilinos y excluir a los socios existentes, establezca el parámetro templateApplicationLevel en solo nuevos socios.

Solicitar

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization

{
    "userSyncInbound": {
        "isSyncAllowed": true
    },
    "templateApplicationLevel": "newPartners"
}

Deshabilitar completamente la plantilla

Para deshabilitar la plantilla por completo, establezca el parámetro templateApplicationLevel en null.

Solicitar

PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization

{
    "userSyncInbound": {
        "isSyncAllowed": true
    },
    "templateApplicationLevel": ""
}

Restablecer la plantilla

Para restablecer la plantilla a su estado predeterminado (declinar la sincronización entrante), utilice la API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.

Solicitar

POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings

Pasos siguientes