Microsoft Graph API を使用してマルチテナント組織ポリシー テンプレートを構成する
この記事では、マルチテナント組織のポリシー テンプレートを構成する方法について説明します。
前提 条件
- ライセンス情報については、ライセンス要件
を参照してください。 - マルチテナント組織のテナント間アクセス設定とテンプレートを構成するためのセキュリティ管理者の ロールです。
- 必要なアクセス許可に同意するための特権ロール管理者ロール。
テナント間アクセス ポリシー パートナー テンプレート
クロステナント アクセス パートナー構成 は、パートナー テナント間の信頼設定と自動ユーザー同意設定を処理します。 たとえば、これらの設定を使用して、ターゲット パートナー テナントからの受信ユーザーの多要素認証要求を信頼できます。 テンプレートが未構成の状態の場合、マルチテナント組織のパートナー テナントのパートナー構成は修正されません。すべての信頼設定が既定の設定から渡されます。 ただし、テンプレートを構成すると、ポリシー テンプレートに対応するパートナー構成が修正されます。
受信と送信の自動引き換えを構成する
ポリシー テンプレートに適用する信頼設定と自動ユーザー同意設定を指定するには、Update multiTenantOrganizationPartnerConfigurationTemplate API を使用します。 Microsoft 365 管理センターを使用してマルチテナント組織を作成または参加すると、この構成は自動的に処理されます。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
既存のパートナーのテンプレートを無効にする
このテンプレートを新しいマルチテナント組織のメンバーにのみ適用し、既存のパートナーを除外するには、templateApplicationLevel パラメーターを新しいパートナーのみに設定します。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
テンプレートを完全に無効にする
テンプレートを完全に無効にするには、templateApplicationLevel パラメーターを null に設定します。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
テンプレートをリセットする
テンプレートを既定の状態にリセットする (すべての信頼と自動ユーザーの同意を拒否する) には、multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API を使用します。
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
テナント間同期テンプレート
ID 同期ポリシーは、テナント間同期
受信ユーザー同期を構成する
ポリシー テンプレートで受信ユーザー同期を許可するには、Update multiTenantOrganizationIdentitySyncPolicyTemplate API を使用します。 Microsoft 365 管理センターを使用してマルチテナント組織を作成または参加すると、この構成は自動的に処理されます。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
既存のパートナーのテンプレートを無効にする
このテンプレートを新しいマルチテナント組織のメンバーにのみ適用し、既存のパートナーを除外するには、templateApplicationLevel パラメーターを新しいパートナーのみに設定します。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
テンプレートを完全に無効にする
テンプレートを完全に無効にするには、templateApplicationLevel パラメーターを null に設定します。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
テンプレートをリセットする
テンプレートを既定の状態 (受信同期の拒否) にリセットするには、multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API を使用します。
要求
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings
次の手順
- テナント間同期 を構成する