Konfigurowanie wielodostępnych szablonów zasad organizacji przy użyciu interfejsu API programu Microsoft Graph
W tym artykule opisano sposób konfigurowania szablonu zasad dla organizacji wielodostępnej.
Wymagania wstępne
- Aby uzyskać informacje o licencji, zobacz Wymagania licencyjne.
- Rola Administracja istratora zabezpieczeń w celu skonfigurowania ustawień dostępu między dzierżawami i szablonów dla organizacji wielodostępnej.
- Rola globalnego Administracja istratora, aby wyrazić zgodę na wymagane uprawnienia.
Szablon partnera zasad dostępu między dzierżawami
Konfiguracja partnera dostępu między dzierżawami obsługuje ustawienia zaufania i automatyczne ustawienia zgody użytkownika między dzierżawami partnerskimi. Możesz na przykład użyć tych ustawień, aby ufać oświadczeniam uwierzytelniania wieloskładnikowego dla użytkowników przychodzących z dzierżawy partnera docelowego. W przypadku szablonu w stanie nieskonfigurowanym konfiguracje partnerów dla dzierżaw partnerów w organizacji wielodostępnej nie zostaną zmienione, a wszystkie ustawienia zaufania przekazywane z ustawień domyślnych. Jeśli jednak skonfigurujesz szablon, konfiguracje partnerów zostaną zmienione zgodnie z szablonem zasad.
Konfigurowanie automatycznego realizacji dla ruchu przychodzącego i wychodzącego
Aby określić ustawienia zaufania i ustawienia automatycznej zgody użytkownika, które mają być stosowane do szablonu zasad, użyj interfejsu API Update multiTenantOrganizationPartnerConfigurationTemplate API. Jeśli tworzysz lub dołączasz do organizacji wielodostępnej przy użyciu Centrum administracyjne platformy Microsoft 365, ta konfiguracja jest obsługiwana automatycznie.
Zażądaj
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Wyłączanie szablonu dla istniejących partnerów
Aby zastosować ten szablon tylko do nowych wielodostępnych członków organizacji i wykluczyć istniejących partnerów, ustaw templateApplicationLevel parametr tylko dla nowych partnerów.
Zażądaj
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Wyłączanie szablonu całkowicie
Aby całkowicie wyłączyć szablon, ustaw templateApplicationLevel parametr na wartość null.
Zażądaj
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Resetowanie szablonu
Aby zresetować szablon do stanu domyślnego (odrzuć wszystkie zaufanie i automatyczna zgoda użytkownika), użyj interfejsu API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefault Ustawienia API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Szablon synchronizacji między dzierżawami
Zasady synchronizacji tożsamości określają synchronizację między dzierżawami, która umożliwia udostępnianie użytkowników i grup między dzierżawami w organizacji. Możesz użyć tych ustawień, aby zezwolić na synchronizację użytkowników przychodzących. W przypadku szablonu w stanie nieskonfigurowanym zasady synchronizacji tożsamości dla dzierżaw partnerów w organizacji wielodostępnej nie zostaną zmienione. Jeśli jednak skonfigurujesz szablon, zasady synchronizacji tożsamości zostaną zmienione zgodnie z szablonem zasad.
Konfigurowanie synchronizacji przychodzących użytkowników
Aby zezwolić na synchronizację przychodzących użytkowników w szablonie zasad, użyj interfejsu API Update multiTenantOrganizationIdentitySyncPolicyTemplate . Jeśli tworzysz lub dołączasz do organizacji wielodostępnej przy użyciu Centrum administracyjne platformy Microsoft 365, ta konfiguracja jest obsługiwana automatycznie.
Zażądaj
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Wyłączanie szablonu dla istniejących partnerów
Aby zastosować ten szablon tylko do nowych wielodostępnych członków organizacji i wykluczyć istniejących partnerów, ustaw templateApplicationLevel parametr tylko dla nowych partnerów.
Zażądaj
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Wyłączanie szablonu całkowicie
Aby całkowicie wyłączyć szablon, ustaw templateApplicationLevel parametr na wartość null.
Zażądaj
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Resetowanie szablonu
Aby zresetować szablon do stanu domyślnego (odrzuć synchronizację ruchu przychodzącego), użyj interfejsu API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefault Ustawienia API.
Zażądaj
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings