Opcjonalne szablony zasad organizacji wielodostępności
Administratorzy pozostający w kontroli nad swoimi zasobami są wiodącą zasadą współpracy w wielu organizacjach. Ustawienia dostępu między dzierżawami są wymagane dla każdej relacji między dzierżawami. Administratorzy dzierżawcy jawnie ustawiają konfiguracje dostępu między dzierżawami i ustawienia synchronizacji danych tożsamości dla dzierżaw partnerskich wewnątrz organizacji wielodostępnej.
Aby ułatwić stosowanie homogenicznych ustawień dostępu między dzierżawami w dzierżawach partnerskich w organizacji wielodostępnej, administrator każdej dzierżawy może skonfigurować opcjonalne szablony ustawień dostępu między dzierżawami przeznaczone dla organizacji wielodostępnej. W tym artykule opisano sposób używania szablonów do wstępnej konfiguracji ustawień dostępu między dzierżawami, które są stosowane do dowolnej dzierżawy partnera, która dopiero dołącza do wielodostępnej organizacji.
Automatyczne generowanie ustawień dostępu między dzierżawcami
W organizacji wielodostępnej każda para dzierżawców musi mieć dwukierunkowe ustawienia dostępu między dzierżawcami, zarówno dla konfiguracji partnera, jak i synchronizacji tożsamości. Te ustawienia zapewniają podstawową strukturę zasad umożliwiającą zaufanie i udostępnianie użytkowników i aplikacji.
Gdy najemca dołącza do nowej wielodostępnej organizacji lub gdy najemca partnera dołącza do istniejącej wielodostępnej organizacji, ustawienia dostępu między najemcami do innych najemców partnerskich w rozszerzonej wielodostępnej organizacji, jeśli jeszcze nie istnieją, są automatycznie generowane w stanie nieskonfigurowanym. W stanie nieskonfigurowanym te ustawienia dostępu między dzierżawami przechodzą przez ustawienia domyślne.
Domyślne ustawienia dostępu między dzierżawami mają zastosowanie do wszystkich dzierżaw zewnętrznych, dla których nie utworzono dostosowanych ustawień specyficznych dla organizacji. Zazwyczaj te ustawienia są skonfigurowane jako niezaufane. Na przykład zaufania między dzierżawcami na potrzeby uwierzytelniania wieloskładnikowego i oświadczeń zgodności urządzeń mogą być wyłączone, a możliwość udostępniania użytkowników i grup w połączeniu bezpośrednim B2B lub współpracy B2B może być zabroniona.
Z drugiej strony w organizacjach wielodzierżawowych ustawienia dostępu między dzierżawami są zazwyczaj oczekiwane jako zaufane. Na przykład relacje zaufania między dzierżawami na potrzeby uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń mogą być włączone, a udostępnianie użytkowników i grup w połączeniu bezpośrednim B2B lub współpraca B2B może być dozwolona.
Chociaż automatyczne generowanie ustawień dostępu między dzierżawami dla dzierżaw w organizacji wielodostępnej partnera samo w sobie nie zmienia zachowania zasad uwierzytelniania ani autoryzacji, pozwala organizacji łatwo dostosować ustawienia dostępu między dzierżawami dla dzierżaw partnerskich dla każdej dzierżawy osobno w organizacji wielodostępnej.
Szablony zasad w wieloklienckiej organizacji
Jak opisano wcześniej, w organizacjach wielodostępnych ustawienia dostępu między różnymi dzierżawami są zwykle oparte na zaufaniu. Na przykład zaufania między dzierżawcami dla uwierzytelniania wieloskładnikowego i zgodności oświadczeń urządzeń mogą być włączone, a udostępnianie użytkowników i grup w ramach bezpośredniego połączenia B2B lub współpracy B2B może być dozwolone.
Podczas automatycznego generowania ustawień dostępu między dzierżawami, jak opisano w poprzedniej sekcji, jest zapewnione istnienie ustawień dostępu między dzierżawami dla każdego wielodostępnego najemcy będącego partnerem organizacji. Dalsza konserwacja tych ustawień jest przeprowadzana indywidualnie, dla poszczególnych najemców.
Aby zmniejszyć obciążenie administratorów podczas tworzenia organizacji wielodostępnej, możesz opcjonalnie skorzystać z szablonów polityk do wcześniejszej konfiguracji ustawień dostępu między najemcami. Te ustawienia szablonu są stosowane w momencie dołączenia Twojej dzierżawy do wielodostępnej organizacji dla wszystkich zewnętrznych dzierżawców należących do organizacji wielodostępnych, a także w momencie, gdy dowolna dzierżawa partnera dołącza do Twojej istniejącej organizacji wielodostępnej, do takiej nowej dzierżawy partnera.
Włączenie lub konfiguracja opcjonalnych szablonów polityki w momencie, gdy dzierżawa partnera dołącza do wielodostępnej organizacji, z wyprzedzeniem zmieniają odpowiednie ustawienia dostępu między dzierżawami, co dotyczy tak konfiguracji partnera, jak i synchronizacji tożsamości.
Rozważmy na przykład działania administratorów dla oczekiwanej organizacji wielodostępnej z trzema najemcami, A, B i C.
- Administratorzy wszystkich trzech dzierżaw włączają i konfigurują odpowiednie opcjonalne szablony zasad, aby umożliwić relacje zaufania między dzierżawami w przypadku uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń. Dodatkowo, pozwalają na współdzielenie użytkowników i grup w połączeniu bezpośrednim B2B oraz współpracy B2B.
- Administrator A tworzy organizację wielonajemczą i dodaje najemców B i C jako oczekujących najemców do organizacji wielonajemczej.
- Administrator B dołącza do organizacji wielodzierżawczej. Ustawienia dostępu między dzierżawami w dzierżawie A dla dzierżawy partnera B są zmieniane zgodnie z ustawieniami szablonu zasad dzierżawy A. Na odwrót ustawienia dostępu między dzierżawami w dzierżawie B dla dzierżawy partnera A są zmieniane zgodnie z ustawieniami szablonu zasad dzierżawy B.
- Administrator C dołącza do organizacji wielodostępnej. Ustawienia dostępu między dzierżawcami w dzierżawach A (i B) dla dzierżawy partnera C ulegają zmianom zgodnie z ustawieniami szablonu zasad dzierżawy A (i B). Podobnie ustawienia dostępu między dzierżawcami w dzierżawie C dla dzierżaw A i B są zmieniane zgodnie z szablonem polityki dzierżawy C.
- Po utworzeniu tej organizacji wielodostępnej składającej się z trzech dzierżaw, ustawienia dostępu między dzierżawami we wszystkich parach w tej organizacji zostały wcześniej skonfigurowane.
Podsumowując, konfiguracja opcjonalnych szablonów zasad umożliwia jednolicie zainicjować ustawienia dostępu między dzierżawcami w organizacji wielodostępnej, przy jednoczesnym zachowaniu maksymalnej elastyczności dostosowywania tych ustawień według potrzeb w poszczególnych dzierżawcach.
Aby przestać używać szablonów zasad, możesz zresetować je do stanu domyślnego. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonów organizacji wielodostępnych.
Określanie zakresu szablonu zasad i dodatkowe właściwości
Aby zapewnić administratorom większą możliwość konfiguracji, możesz wybrać, kiedy ustawienia dostępu między dzierżawami mają zostać zmienione zgodnie z szablonami zasad. Na przykład można zastosować szablony zasad dla następujących dzierżaw, gdy dzierżawa dołącza do organizacji wielodostępnej:
| Najemca | opis |
|---|---|
| Tylko nowi najemcy partnerscy | Tenanci, których ustawienia dostępu między tenantami są generowane automatycznie |
| Tylko istniejący najemcy będący partnerami | Najemcy, którzy mają już ustawienia dostępu między najemcami |
| Wszyscy najemcy partnerów | Zarówno nowi najemcy-partnerzy, jak i istniejący najemcy-partnerzy |
| Brak najemców będących partnerami | Szablony zasad są faktycznie wyłączone |
W tym kontekście nowi partnerzy odwołują się do dzierżaw, dla których nie skonfigurowano jeszcze ustawień dostępu między dzierżawami, podczas gdy istniejący partnerzy odwołują się do dzierżaw, dla których skonfigurowano już ustawienia dostępu między dzierżawami. Ten zakres jest określony za pomocą właściwości
Na koniec, jeśli chodzi o interpretację wartości właściwości szablonu, każda wartość właściwości szablonu oznaczona jako null nie ma wpływu na odpowiednią wartość właściwości w docelowych ustawieniach dostępu międzydzierżawowego. Z kolei, zdefiniowana wartość właściwości szablonu powoduje, że odpowiednia wartość właściwości w tych ustawieniach zostaje zmieniona zgodnie z szablonem. W poniższej tabeli przedstawiono sposób stosowania wartości właściwości szablonu do odpowiednich wartości ustawień dostępu między dzierżawami.
| Wartość szablonu | Początkowa wartość ustawień partnera Przed dołączeniem do organizacji wielodostępnej |
Końcowa wartość ustawień partnera (Po dołączeniu do organizacji wielodostępnej) |
|---|---|---|
null |
<Wartość ustawień partnera> | <Wartość ustawień partnera> |
| <Wartość szablonu> | <dowolna wartość> | <Wartość szablonu> |
Szablony zasad używane przez Centrum administracyjne platformy Microsoft 365
Gdy organizacja wielodostępna jest tworzona w Centrum administracyjne Microsoft 365, administrator zgadza się na następujące ustawienia szablonu organizacji wielodostępnej:
- Synchronizacja tożsamości jest ustawiona tak, aby umożliwić użytkownikom synchronizowanie się z tą dzierżawą
- Dostęp między dzierżawami jest ustawiony na automatyczne przyjmowanie zaproszeń użytkowników zarówno przychodzących, jak i wychodzących.
Jest to osiągane przez ustawienie odpowiednich trzech wartości właściwości szablonu na true:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Aby uzyskać więcej informacji, zobacz Dołączanie lub opuszczanie wielodostępnej organizacji na platformie Microsoft 365.
Ustawienia dostępu między dzierżawami w czasie dezasemblacji wielodostępnej organizacji
Obecnie nie ma równoważnej funkcji szablonu zasad umożliwiającej rozłożenie wielodostępnej organizacji. Kiedy najemca partnerski opuszcza organizację wielodostępną, każdy administrator najemcy musi ponownie przeanalizować i odpowiednio zmienić ustawienia dostępu między najemcami dla partnera, który opuścił organizację.
Partner, który opuścił organizację wielodostępną, musi ponownie przeanalizować i odpowiednio zmienić ustawienia dostępu między dzierżawcami dla wszystkich byłych partnerów organizacji wielodostępnej, a także rozważyć zresetowanie dwóch szablonów zasad dotyczących ustawień dostępu między dzierżawcami.