Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Artykuł opisuje, jak skonfigurować szablon zasad dla organizacji wielodostępnej.
Warunki wstępne
- Aby uzyskać informacje o licencji, zobacz wymagania dotyczące licencji .
- Rola administratora zabezpieczeń do konfigurowania międzydzierżawowych ustawień dostępu i szablonów dla organizacji wielodostępnej.
- Rola administratora uprzywilejowanego do udzielenia zgody na wymagane uprawnienia.
Szablon zasad dostępu między dzierżawami dla partnera
Konfiguracja dostępu partnerskiego między dzierżawami obsługuje ustawienia zaufania i automatyczne ustawienia zgody użytkownika między dzierżawami partnerskimi. Możesz na przykład użyć tych ustawień, aby ufać oświadczeniom uwierzytelniania wieloskładnikowego dla użytkowników przychodzących z tenanta partnera docelowego. W przypadku szablonu w stanie nieskonfigurowanym konfiguracje partnerów dla dzierżawców partnerskich w organizacji wielodostępnej nie zostaną zmienione, a wszystkie ustawienia zaufania będą zgodne z ustawieniami domyślnymi. Jeśli jednak skonfigurujesz szablon, konfiguracje partnerów zostaną zmienione zgodnie z szablonem zasad.
Skonfiguruj automatyczną realizację dla ruchu przychodzącego i wychodzącego
Aby określić ustawienia zaufania i ustawienia automatycznej zgody użytkownika, które mają być stosowane do szablonu zasad, użyj interfejsu API Update multiTenantOrganizationPartnerConfigurationTemplate API. Jeśli tworzysz lub dołączasz do organizacji wielodostępnej przy użyciu centrum administracyjnego platformy Microsoft 365, ta konfiguracja jest obsługiwana automatycznie.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Wyłączanie szablonu dla istniejących partnerów
Aby zastosować ten szablon wyłącznie dla nowych członków organizacji w środowisku wielodostępnym i wykluczyć istniejących partnerów, ustaw parametr templateApplicationLevel na nowych partnerów tylko.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Wyłącz szablon całkowicie
Aby całkowicie wyłączyć szablon, ustaw parametr templateApplicationLevel na wartość null.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Resetowanie szablonu
Aby zresetować szablon do stanu domyślnego (odrzucenie całego zaufania i automatyczną zgodę użytkownika), użyj interfejsu API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Szablon synchronizacji między dzierżawami
Zasady synchronizacji tożsamości regulują synchronizację między dzierżawami, co umożliwia udostępnianie użytkowników i grup w wielu dzierżawach organizacji. Możesz użyć tych ustawień, aby zezwolić na synchronizację użytkowników przychodzących. Jeśli szablon jest w stanie niekonfigurowanym, zasady synchronizacji tożsamości dla dzierżaw partnerów w organizacji wielodostępnej nie zostaną zmienione. Jeśli jednak skonfigurujesz szablon, zasady synchronizacji tożsamości zostaną zmienione zgodnie z szablonem zasad.
Konfigurowanie synchronizacji przychodzących użytkowników
Aby zezwolić na synchronizację użytkowników przychodzących w szablonie polityki, użyj interfejsu API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Jeśli tworzysz lub dołączasz do organizacji wielodostępnej przy użyciu centrum administracyjnego platformy Microsoft 365, ta konfiguracja jest obsługiwana automatycznie.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Wyłączanie szablonu dla istniejących partnerów
Aby zastosować ten szablon wyłącznie dla nowych członków organizacji w środowisku wielodostępnym i wykluczyć istniejących partnerów, ustaw parametr templateApplicationLevel na nowych partnerów tylko.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Wyłącz szablon całkowicie
Aby całkowicie wyłączyć szablon, ustaw parametr templateApplicationLevel na wartość null.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Resetowanie szablonu
Aby zresetować szablon do stanu domyślnego (odrzucić synchronizację danych przychodzących), użyj interfejsu API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.
żądanie
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings