Configurer des modèles de stratégie d’organisation multilocataire à l’aide de l’API Microsoft Graph
Cet article explique comment configurer un modèle de stratégie pour votre organisation mutualisée.
Conditions préalables
- Pour plus d’informations sur la licence, consultez conditions requises pour la licence.
- Rôle Administrateur de la sécurité permettant de configurer les paramètres et les modèles d’accès entre tenants (locataires) pour l’organisation multi-locataire.
- Rôle d'administrateur de rôle privilégié pour consentir aux autorisations requises.
Modèle de partenaire de stratégie d’accès inter-locataire
La configuration du partenaire d'accès inter-locataires gère les paramètres de confiance et les paramètres de consentement automatique des utilisateurs entre les locataires partenaires. Par exemple, vous pouvez utiliser ces paramètres pour approuver les revendications d’authentification multifacteur pour les utilisateurs entrants du locataire partenaire cible. Avec le modèle dans un état non configuré, les configurations de partenaires pour les locataires partenaires de l’organisation entre clients ne seront pas modifiées, avec tous les paramètres d’approbation transmis à partir des paramètres par défaut. Toutefois, si vous configurez le modèle, les configurations des partenaires seront modifiées correspondant au modèle de stratégie.
Configurer la valeur_échéance automatique entrante et sortante
Pour spécifier les paramètres d’approbation et les paramètres de consentement automatique de l’utilisateur à appliquer à votre modèle de stratégie, utilisez l’API Update multiTenantOrganizationPartnerConfigurationTemplate. Si vous créez ou rejoignez une organisation mutualisée à l’aide du Centre d’administration Microsoft 365, cette configuration est gérée automatiquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Désactiver le modèle pour les partenaires existants
Pour appliquer ce modèle uniquement aux nouveaux membres de l’organisation multilocataire et exclure les partenaires existants, définissez le paramètre templateApplicationLevel sur les nouveaux partenaires uniquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Désactiver complètement le modèle
Pour désactiver complètement le modèle, définissez le paramètre templateApplicationLevel sur Null.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Réinitialiser le modèle
Pour réinitialiser le modèle à son état par défaut (refuser l’approbation et le consentement automatique de l’utilisateur), utilisez la multiTenantOrganizationPartnerConfigurationTemplate : resetToDefaultSettings API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modèle de synchronisation inter-locataire
La stratégie de synchronisation des identités régit la synchronisation entre locataires , ce qui vous permet de partager des utilisateurs et des groupes à travers les locataires de votre organisation. Vous pouvez utiliser ces paramètres pour autoriser la synchronisation des utilisateurs entrants. Avec le modèle dans un état non configuré, la stratégie de synchronisation d’identité pour les locataires partenaires de l’organisation multilocataire ne sera pas modifiée. Toutefois, si vous configurez le modèle, la stratégie de synchronisation d’identité sera modifiée correspondant au modèle de stratégie.
Configurer la synchronisation des utilisateurs entrants
Pour autoriser la synchronisation des utilisateurs entrants dans le modèle de stratégie, utilisez l’API Mise à jour multiTenantOrganizationIdentitySyncPolicyTemplate. Si vous créez ou rejoignez une organisation mutualisée à l’aide du Centre d’administration Microsoft 365, cette configuration est gérée automatiquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Désactiver le modèle pour les partenaires existants
Pour appliquer ce modèle uniquement aux nouveaux membres de l’organisation multilocataire et exclure les partenaires existants, définissez le paramètre templateApplicationLevel sur les nouveaux partenaires uniquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Désactiver complètement le modèle
Pour désactiver complètement le modèle, définissez le paramètre templateApplicationLevel sur Null.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Réinitialiser le modèle
Pour réinitialiser le modèle à son état par défaut (refuser la synchronisation entrante), utilisez la multiTenantOrganizationIdentitySyncPolicyTemplate : resetToDefaultSettings API.
Requête
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings