Optionele beleidssjablonen voor meerdere tenants
Beheerders die de controle over hun resources behouden, vormen een leidraad voor samenwerking met meerdere tenants in de organisatie. Instellingen voor toegang tussen tenants zijn vereist voor elke tenant-naar-tenantrelatie. Tenantbeheerders configureren expliciet configuraties voor partnertoegang tussen tenants en instellingen voor identiteitssynchronisatie voor partnertenants binnen de multitenant-organisatie.
De beheerder van elke tenant kan optionele sjablonen voor toegangsinstellingen voor meerdere tenants configureren die zijn toegewezen aan de multitenant-organisatie om homogene instellingen voor meerdere tenants toe te passen op partnertenant-tenants. In dit artikel wordt beschreven hoe u sjablonen gebruikt voor het vooraf configureren van instellingen voor toegang tussen tenants die worden toegepast op een partnertenant die nieuw lid wordt van de multitenant-organisatie.
Automatische generatie van toegangsinstellingen voor meerdere tenants
Binnen een multitenant-organisatie moet elk paar tenants bidirectionele cross-tenant toegangsinstellingen hebben, voor zowel partnerconfiguratie als identiteitssynchronisatie. Deze instellingen bieden het onderliggende beleidsframework voor het inschakelen van vertrouwen en voor het delen van gebruikers en toepassingen.
Wanneer uw tenant deelneemt aan een nieuwe multitenant-organisatie, of wanneer een partnertenant deelneemt aan uw bestaande multitenant-organisatie, worden instellingen voor toegang tussen tenants voor meerdere tenants in de uitgebreide multitenant-organisatie, als deze nog niet bestaan, automatisch gegenereerd in een niet-geconfigureerde status. In een niet-geconfigureerde toestand worden deze instellingen voor toegang tussen tenants verwerkt via de standaardinstellingen.
De standaardinstellingen voor toegang tussen tenants zijn van toepassing op alle externe tenants waarvoor u geen organisatiespecifieke aangepaste instellingen hebt gedefinieerd. Deze instellingen zijn doorgaans geconfigureerd om niet-vertrouwd te zijn. Zo kunnen vertrouwensrelaties tussen tenants voor meervoudige verificatie en compatibele apparaatclaims worden uitgeschakeld en kunnen gebruikers- en groepsdeling in B2B-directe verbinding of B2B-samenwerking niet worden toegestaan.
In multitenant-organisaties verwacht men daarentegen doorgaans dat instellingen voor toegang tussen tenants vertrouwensvol zijn. Zo kunnen tenantoverschrijdende vertrouwensrelaties voor multifactorauthenticatie en naleving van apparaatclaims worden ingeschakeld, en kunnen gebruikers- en groepsdeling in B2B Direct Connect of B2B-samenwerking worden toegestaan.
Hoewel de automatische generatie van toegangsinstellingen voor partners binnen een multitenant-organisatie op zichzelf geen wijzigingen aanbrengt in het authenticatie- of autorisatiebeleid, stelt het uw organisatie in staat om eenvoudig de toegang voor partner-tenants in de multitenant-omgeving per afzonderlijke tenant aan te passen.
Beleidssjablonen bij de formatie van een multitenant-organisatie
Zoals eerder beschreven, wordt in multitenant-organisaties verwacht dat instellingen voor toegang tussen tenants op vertrouwen gebaseerd zijn. Zo kunnen crosstenantvertrouwensrelaties voor meervoudige verificatie en compatibele apparaatclaims worden ingeschakeld en kunnen gebruikers- en groepsdeling in B2B direct connect of B2B-samenwerking zijn toegestaan.
Hoewel automatische generatie van crosstenanttoegang-instellingen, zoals in de vorige sectie vermeld, het bestaan garandeert van deze instellingen voor elke partnertenant van een multitenant-organisatie, wordt het onderhoud van de crosstenanttoegang-instellingen voor multitenant-organisaties individueel uitgevoerd, per tenant.
Als u de werkbelasting voor beheerders op het moment van de vorming van meerdere tenants wilt verminderen, kunt u eventueel beleidssjablonen gebruiken voor de preventieve configuratie van instellingen voor toegang tussen tenants. Deze sjablooninstellingen worden toegepast op het moment dat uw tenant lid wordt van een multitenant-organisatie, zowel op alle externe multitenantorganisatie-partnertenants als op het moment dat een partnertenant toetreedt tot uw bestaande multitenant-organisatie, op die nieuwe partnertenant.
Wanneer de optionele beleidssjablonen worden ingeschakeld of geconfigureerd, en een partnertenant zich aansluit bij een multitenant-organisatie, past u vooraf de overeenkomstige instellingen voor toegang tussen tenants aan, voor zowel partnerconfiguratie als identiteitssynchronisatie.
Bekijk bijvoorbeeld de acties van de beheerders voor een verwachte multitenant-organisatie met drie tenants, A, B en C.
- De beheerders van alle drie tenants schakelen hun respectieve optionele beleidssjablonen in om meerdere tenantvertrouwensrelaties in te schakelen voor meervoudige verificatie en compatibele apparaatclaims en om het delen van gebruikers en groepen in B2B direct connect en B2B-samenwerking mogelijk te maken.
- Beheerder A creƫert de multitenant-organisatie en voegt tenants B en C toe als wachtenden binnen de multitenant-organisatie.
- Beheerder B neemt deel aan de multitenant-organisatie. De instellingen voor toegang tussen tenants in tenant A voor tenant B als partner worden gewijzigd volgens de instellingen van het beleidssjabloon van tenant A. Omgekeerd worden instellingen voor toegang tussen tenants in tenant B voor partnertenant A gewijzigd volgens de instellingen van de tenant B-beleidssjabloon.
- Beheerder C neemt deel aan de multitenant-organisatie. Instellingen voor kruistenanttoegang in tenants A (en B) voor partnertenant C worden gewijzigd overeenkomstig de beleidsjablonen van tenant A (en B). Op dezelfde manier worden in tenant C de instellingen voor toegang tot andere tenants voor partnertenants A en B gewijzigd, volgens de beleidssjablooninstellingen van tenant C.
- Na de vorming van deze multitenant-organisatie van drie tenants zijn de instellingen voor toegang tussen tenants van alle tenantparen in de multitenant-organisatie vooraf geconfigureerd.
Samenvattend kunt u met de configuratie van de optionele beleidssjablonen de toegangsinstellingen voor meerdere tenants homogeen initialiseren in uw multitenant-organisatie, terwijl u de maximale flexibiliteit behoudt om uw instellingen voor meerdere tenanttoegang zo nodig per tenant aan te passen.
Als u de beleidssjablonen niet meer wilt gebruiken, kunt u ze opnieuw instellen op de standaardstatus. Zie Templates voor multitenant-organisaties configureren voor meer informatie.
Bereik van beleidssjabloon en aanvullende eigenschappen
Als u beheerders meer configureerbaarheid wilt bieden, kunt u kiezen wanneer instellingen voor toegang tussen tenants moeten worden gewijzigd op basis van de beleidssjablonen. U kunt er bijvoorbeeld voor kiezen om de beleidssjablonen voor de volgende tenants toe te passen wanneer een tenant lid wordt van een multitenant-organisatie:
Tenant | Beschrijving |
---|---|
Alleen nieuwe partnertenants | Tenants waarvan de toegangsinstellingen voor meerdere tenants automatisch worden gegenereerd |
Alleen bestaande partnertenants | Tenants die al toegangsinstellingen voor meerdere tenants hebben |
Alle partnertenants | Zowel nieuwe partnertenants als bestaande partnertenants |
Geen huurderpartners | Beleidssjablonen worden effectief uitgeschakeld |
In deze context verwijzen nieuwe partners naar tenants waarvoor u nog geen toegangsinstellingen voor meerdere tenants hebt geconfigureerd, terwijl bestaande partners verwijzen naar tenants waarvoor u al toegangsinstellingen voor meerdere tenants hebt geconfigureerd. Dit bereik wordt opgegeven met de templateApplicationLevel
eigenschap op de configuratiesjabloon voor partneroverschrijdende tenanttoegang en de templateApplicationLevel
eigenschap op de sjabloon voor identiteitssynchronisatie tussen tenants.
Ten slotte heeft een sjablooneigenschapswaarde, wat betreft de interpretatie van sjablooneigenschapswaarden, geen effect op de bijbehorende eigenschapswaarde null
in de doelinstellingen voor toegang tot meerdere tenants, terwijl een gedefinieerde eigenschapswaarde ervoor zorgt dat de bijbehorende eigenschapswaarde in de doelinstellingen voor toegang tot meerdere tenants wordt gewijzigd overeenkomstig de sjabloon. In de volgende tabel ziet u hoe sjablooneigenschapswaarden worden toegepast op overeenkomende waarden voor toegang tot meerdere tenants.
Sjabloonwaarde | Oorspronkelijke waarde voor partnerinstelling (Voordat u deelneemt aan een multitenant-organisatie) |
Waarde voor uiteindelijke partnerinstellingen (Na deelname aan multitenant org) |
---|---|---|
null |
<Partnerinstellingenwaarde> | <Partnerinstellingenwaarde> |
<Sjabloonwaarde> | <elke waarde> | <Sjabloonwaarde> |
Beleidssjablonen die worden gebruikt door Microsoft 365-beheercentrum
Wanneer een multi-tenant organisatie wordt gevormd in het Microsoft 365 beheercentrum, gaat een beheerder akkoord met de volgende multi-tenant sjablooninstellingen:
- Identiteitssynchronisatie is zo ingesteld dat gebruikers kunnen synchroniseren met deze tenant
- Toegang tussen verschillende tenants is ingesteld om gebruikersuitnodigingen automatisch te verzilveren voor zowel inkomende als uitgaande uitnodigingen.
Dit wordt bereikt door de bijbehorende drie sjablooneigenschapswaarden in te stellen op true
:
automaticUserConsentSettings.inboundAllowed
automaticUserConsentSettings.outboundAllowed
userSyncInbound
Zie Deelnemen aan of verlaten van een multitenant-organisatie in Microsoft 365 voor meer informatie.
Instellingen voor toegang tussen tenants tijdens de ontmanteling van een multitenant-organisatie
Er is momenteel geen equivalente beleidssjabloonfunctie die ondersteuning biedt voor de demontage van een multitenant-organisatie. Wanneer een partnertenant de multitenant-organisatie verlaat, moet elke tenantbeheerder de toegangsinstellingen voor meerdere tenants opnieuw bekijken en wijzigen voor de partnertenant die de multitenant-organisatie heeft verlaten.
De partnertenant die de multitenant-organisatie heeft verlaten, moet de toegangsinstellingen voor meerdere tenants opnieuw bekijken en wijzigen voor alle voormalige tenants van partners van meerdere tenants en overwegen de twee beleidssjablonen opnieuw in te stellen voor instellingen voor toegang tussen tenants.