Sjablonen voor beleid voor meerdere tenants configureren met behulp van de Microsoft Graph API
In dit artikel wordt beschreven hoe u een beleidssjabloon configureert voor uw multitenant-organisatie.
Voorwaarden
- Zie licentievereistenvoor licentiegegevens.
- beveiligingsbeheerder rol voor het configureren van instellingen en sjablonen voor meerdere tenanttoegang voor de multitenant-organisatie.
- Beheerder van bevoorrechte rol rol om toestemming te geven voor vereiste machtigingen.
Partnersjabloon voor beleid voor toegang tussen tenants
De configuratie van partneroverschrijdende toegang zorgt voor vertrouwensinstellingen en automatische instellingen voor gebruikerstoestemming tussen partnertenants. U kunt deze instellingen bijvoorbeeld gebruiken om meervoudige verificatieclaims te vertrouwen voor binnenkomende gebruikers van de doelpartnertenant. Met de sjabloon in een niet-geconfigureerde status worden partnerconfiguraties voor partnertenants in de multitenant-organisatie niet gewijzigd, waarbij alle vertrouwensinstellingen worden doorgegeven vanuit standaardinstellingen. Als u de sjabloon configureert, worden de partnerconfiguraties gewijzigd in overeenstemming met de beleidssjabloon.
Inkomende en uitgaande automatische aflossing configureren
Om te specificeren welke vertrouwens- en automatische toestemmingsinstellingen op uw beleidssjabloon moeten worden toegepast, gebruikt u de API voor het bijwerken van de MultiTenantOrganizationPartnerConfigurationTemplate. Als u een multitenant-organisatie maakt of deelneemt aan het Microsoft 365-beheercentrum, wordt deze configuratie automatisch afgehandeld.
Aanvraag
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
De sjabloon voor bestaande partners uitschakelen
Als u deze sjabloon alleen wilt toepassen op nieuwe leden van meerdere tenants en bestaande partners wilt uitsluiten, stelt u de parameter templateApplicationLevel alleen in op nieuwe partners.
Aanvraag
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
De sjabloon volledig uitschakelen
Als u de sjabloon volledig wilt uitschakelen, stelt u de parameter templateApplicationLevel in op null.
Aanvraag
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
De sjabloon opnieuw instellen
Gebruik de multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API om de sjabloon opnieuw in te stellen op de standaardstatus (alle vertrouwensrelaties en automatische gebruikerstoestemming weigeren).
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Synchronisatiesjabloon voor meerdere tenants
Het beleid voor identiteitssynchronisatie bepaalt synchronisatie tussen tenants, waarmee u gebruikers en groepen kunt delen tussen tenants in uw organisatie. U kunt deze instellingen gebruiken om binnenkomende gebruikerssynchronisatie toe te staan. Met de sjabloon met een niet-geconfigureerde status wordt het identiteitssynchronisatiebeleid voor partnertenants in de multitenant-organisatie niet gewijzigd. Als u de sjabloon echter configureert, wordt het beleid voor identiteitssynchronisatie gewijzigd dat overeenkomt met de beleidssjabloon.
Binnenkomende gebruikerssynchronisatie configureren
Als u binnenkomende gebruikerssynchronisatie in de beleidssjabloon wilt toestaan, gebruikt u de API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Als u een multitenant-organisatie maakt of deelneemt aan het Microsoft 365-beheercentrum, wordt deze configuratie automatisch afgehandeld.
Aanvraag
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
De sjabloon voor bestaande partners uitschakelen
Als u deze sjabloon alleen wilt toepassen op nieuwe leden van meerdere tenants en bestaande partners wilt uitsluiten, stelt u de parameter templateApplicationLevel alleen in op nieuwe partners.
Aanvraag
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
De sjabloon volledig uitschakelen
Als u de sjabloon volledig wilt uitschakelen, stelt u de parameter templateApplicationLevel in op null.
Aanvraag
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
De sjabloon opnieuw instellen
Gebruik de multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API om de sjabloon opnieuw in te stellen op de standaardstatus (binnenkomende synchronisatie weigeren).
Aanvraag
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings