Configurare i modelli di criteri dell'organizzazione multi-tenant usando l'API Microsoft Graph
Questo articolo descrive come configurare un modello di criteri per l'organizzazione multi-tenant.
Prerequisiti
- Per informazioni sulle licenze, vedere requisiti di licenza .
- ruolo di amministratore della sicurezza per configurare le impostazioni di accesso trasversale tra tenant e i modelli per l'organizzazione multi-tenant.
- ruolo di amministratore del ruolo con privilegi per fornire il consenso alle autorizzazioni necessarie.
Modello di partner delle politiche di accesso cross-tenant
La configurazione del partner di accesso tra tenant gestisce le impostazioni di attendibilità e il consenso automatico degli utenti tra tenant partner. Ad esempio, è possibile usare queste impostazioni per considerare attendibili le attestazioni di autenticazione a più fattori per gli utenti in ingresso dal tenant partner di destinazione. Con il modello in uno stato non configurato, le configurazioni dei partner per i tenant dei partner nell'organizzazione multitenant non verranno modificate, con tutte le impostazioni di attendibilità ereditate dalle impostazioni predefinite. Tuttavia, se si configura il modello, le configurazioni dei partner verranno modificate in base al modello di criteri.
Configurare il riscatto automatico in ingresso e in uscita
Per specificare le impostazioni di attendibilità e quelle di consenso automatico dell'utente da applicare al modello di criteri, usa l'API Update multiTenantOrganizationPartnerConfigurationTemplate. Se si crea o si aggiunge un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365, questa configurazione viene gestita automaticamente.
Richiesta
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Disabilitare il modello per i partner esistenti
Per applicare questo modello solo ai nuovi membri dell'organizzazione multi-tenant ed escludere i partner esistenti, impostare il parametro templateApplicationLevel per includere solo i nuovi partner.
richiesta
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Disabilitare completamente il modello
Per disabilitare completamente il modello, impostare il parametro templateApplicationLevel su Null.
richiesta
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Reimpostare il modello
Per reimpostare lo stato predefinito del modello (rifiutare tutto il trust e il consenso utente automatico), usare l'API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modello di sincronizzazione tra tenant
I criteri di sincronizzazione delle identità regolano sincronizzazione tra tenant, che consente di condividere utenti e gruppi tra tenant nell'organizzazione. È possibile usare queste impostazioni per consentire la sincronizzazione degli utenti in ingresso. Con il modello in uno stato non configurato, i criteri di sincronizzazione delle identità per i tenant partner nell'organizzazione multitenant non verranno modificati. Tuttavia, se si configura il modello, i criteri di sincronizzazione delle identità verranno modificati in base al modello di criteri.
Configurare la sincronizzazione degli utenti in ingresso
Per consentire la sincronizzazione degli utenti in ingresso nel modello di policy, usare l'API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Se si crea o si aggiunge un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365, questa configurazione viene gestita automaticamente.
Richiesta
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Disabilitare il modello per i partner esistenti
Per applicare questo modello solo ai nuovi membri dell'organizzazione multi-tenant ed escludere i partner esistenti, impostare il parametro templateApplicationLevel per soli nuovi partner.
richiesta
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Disabilitare completamente il modello
Per disabilitare completamente il modello, impostare il parametro templateApplicationLevel su Null.
Richiesta
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Reimpostare il modello
Per reimpostare il modello al suo stato predefinito (rifiutare la sincronizzazione in ingresso), usare l'API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.
Richiesta
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings