Konfigurowanie wielodostępnych szablonów zasad organizacji przy użyciu interfejsu API programu Microsoft Graph
Artykuł opisuje, jak skonfigurować szablon zasad dla organizacji wielodostępnej.
Warunki wstępne
- Aby uzyskać informacje o licencji, zobacz wymagania dotyczące licencji .
- Rola administratora zabezpieczeń do konfigurowania międzydzierżawowych ustawień dostępu i szablonów dla organizacji wielodostępnej.
- Rola administratora uprzywilejowanego do udzielenia zgody na wymagane uprawnienia.
Szablon partnera zasad dostępu między dzierżawami
Konfiguracja partnera dostępu między dzierżawami obsługuje ustawienia zaufania i automatyczne ustawienia zgody użytkownika między dzierżawami partnerskimi. Możesz na przykład użyć tych ustawień, aby ufać oświadczeniom uwierzytelniania wieloskładnikowego dla użytkowników przychodzących z tenanta partnera docelowego. W przypadku szablonu w stanie nieskonfigurowanym konfiguracje partnerów dla dzierżawców partnerskich w organizacji wielodostępnej nie zostaną zmienione, a wszystkie ustawienia zaufania będą zgodne z ustawieniami domyślnymi. Jeśli jednak skonfigurujesz szablon, konfiguracje partnerów zostaną zmienione zgodnie z szablonem zasad.
Skonfiguruj automatyczną realizację dla ruchu przychodzącego i wychodzącego
Aby określić ustawienia zaufania i ustawienia automatycznej zgody użytkownika, które mają być stosowane do szablonu zasad, użyj interfejsu API Update multiTenantOrganizationPartnerConfigurationTemplate API. Jeśli tworzysz lub dołączasz do organizacji wielodostępnej przy użyciu centrum administracyjnego platformy Microsoft 365, ta konfiguracja jest obsługiwana automatycznie.
żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Wyłączanie szablonu dla istniejących partnerów
Aby zastosować ten szablon wyłącznie dla nowych członków organizacji w środowisku wielodostępnym i wykluczyć istniejących partnerów, ustaw parametr templateApplicationLevel na nowych partnerów tylko.
Żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Wyłącz szablon całkowicie
Aby całkowicie wyłączyć szablon, ustaw parametr templateApplicationLevel na wartość null.
Żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Resetowanie szablonu
Aby zresetować szablon do stanu domyślnego (odrzucenie całego zaufania i automatyczną zgodę użytkownika), użyj interfejsu API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Szablon synchronizacji między dzierżawami
Zasady synchronizacji tożsamości regulują synchronizację między dzierżawami, co umożliwia udostępnianie użytkowników i grup w wielu dzierżawach organizacji. Możesz użyć tych ustawień, aby zezwolić na synchronizację użytkowników przychodzących. Jeśli szablon jest w stanie niekonfigurowanym, zasady synchronizacji tożsamości dla dzierżaw partnerów w organizacji wielodostępnej nie zostaną zmienione. Jeśli jednak skonfigurujesz szablon, zasady synchronizacji tożsamości zostaną zmienione zgodnie z szablonem zasad.
Konfigurowanie synchronizacji przychodzących użytkowników
Aby zezwolić na synchronizację użytkowników przychodzących w szablonie polityki, użyj interfejsu API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Jeśli tworzysz lub dołączasz do organizacji wielodostępnej przy użyciu centrum administracyjnego platformy Microsoft 365, ta konfiguracja jest obsługiwana automatycznie.
Żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Wyłączanie szablonu dla istniejących partnerów
Aby zastosować ten szablon wyłącznie do nowych członków organizacji wielodostępnej i wykluczyć istniejących partnerów, ustaw parametr templateApplicationLevel na nowych partnerów tylko.
Żądanie
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Całkowicie wyłącz szablon
Aby całkowicie wyłączyć szablon, ustaw parametr templateApplicationLevel na wartość null.
Wniosek
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Resetowanie szablonu
Aby zresetować szablon do stanu domyślnego (odrzucić synchronizację danych przychodzących), użyj interfejsu API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.
żądania
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings