Microsoft Graph API を使用してマルチテナント組織ポリシー テンプレートを構成する
この記事では、マルチテナント組織用のポリシー テンプレートを構成する方法について説明します。
前提条件
- 詳細については、「ライセンスの要件」を参照してください。
- マルチテナント組織のテナント間アクセス設定とテンプレートを構成するためのセキュリティ管理者ロール。
- 必要なアクセス許可に同意するためのグローバル管理者ロール。
テナント間アクセス ポリシーのパートナー テンプレート
テナント間アクセス パートナーの構成では、パートナー テナント間の信頼設定と自動ユーザー同意設定を処理します。 たとえば、これらの設定を使用して、ターゲット パートナー テナントからの受信ユーザーの多要素認証の要求を信頼することができます。 テンプレートが構成されていない状態では、マルチテナント組織内のパートナー テナントのパートナー構成は修正されず、すべての信頼設定が既定の設定から渡されます。 ただし、テンプレートを構成すると、パートナー構成はポリシー テンプレートに従って修正されます。
受信と送信の自動引き換えを構成する
ポリシー テンプレートに適用する信頼設定と自動ユーザー同意設定を指定するには、multiTenantOrganizationPartnerConfigurationTemplate を更新する API を使用します。 Microsoft 365 管理センターを使用してマルチテナント組織を作成または参加すると、この構成は自動的に処理されます。
Request
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
既存のパートナーのテンプレートを無効にする
このテンプレートを新しいマルチテナント組織のメンバーにのみ適用し、既存のパートナーを除外するには、templateApplicationLevel パラメーターを新しいパートナーのみに設定します。
Request
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
テンプレートを完全に無効にする
テンプレートを完全に無効にするには、templateApplicationLevel パラメーターを null に設定します。
Request
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
テンプレートをリセットする
テンプレートを既定の状態にリセットする (すべての信頼と自動ユーザー同意を拒否する) には、multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API を使用します。
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
テナント間同期テンプレート
ID 同期ポリシーはテナント間同期を管理し、組織内のテナント間でユーザーとグループを共有できるようにします。 これらの設定を使用して、受信ユーザーの同期を許可できます。 テンプレートが構成されていない状態では、マルチテナント組織内のパートナー テナントの ID 同期ポリシーは修正されません。 ただし、テンプレートを構成すると、ID 同期ポリシーはポリシー テンプレートに従って修正されます。
受信ユーザー同期を構成する
ポリシー テンプレートで受信ユーザー同期を許可するには、 multiTenantOrganizationIdentitySyncPolicyTemplate を更新する API を使用します。 Microsoft 365 管理センターを使用してマルチテナント組織を作成または参加すると、この構成は自動的に処理されます。
Request
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
既存のパートナーのテンプレートを無効にする
このテンプレートを新しいマルチテナント組織のメンバーにのみ適用し、既存のパートナーを除外するには、templateApplicationLevel パラメーターを新しいパートナーのみに設定します。
Request
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
テンプレートを完全に無効にする
テンプレートを完全に無効にするには、templateApplicationLevel パラメーターを null に設定します。
Request
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
テンプレートをリセットする
テンプレートを既定の状態にリセットする (受信同期を拒否する) には、 multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API を使用します。
Request
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings