Udostępnij za pośrednictwem


Opcjonalne szablony zasad organizacji wielodostępnych

Administratorzy pozostający w kontroli nad swoimi zasobami są wiodącą zasadą współpracy w wielu organizacjach. Ustawienia dostępu między dzierżawami są wymagane dla każdej relacji między dzierżawami. Administratorzy dzierżawy jawnie konfigurują konfiguracje partnerów dostępu między dzierżawami i ustawienia synchronizacji tożsamości dla dzierżaw partnerów w organizacji wielodostępnej.

Aby ułatwić stosowanie homogenicznych ustawień dostępu między dzierżawami w dzierżawach partnerskich w organizacji wielodostępnej, administrator każdej dzierżawy może skonfigurować opcjonalne szablony ustawień dostępu między dzierżawami przeznaczone dla organizacji wielodostępnej. W tym artykule opisano sposób używania szablonów do wstępnie skonfigurowanych ustawień dostępu między dzierżawami, które są stosowane do dowolnej dzierżawy partnera nowo przyłączanej do wielodostępnej organizacji.

Automatyczne generowanie ustawień dostępu między dzierżawami

W organizacji wielodostępnej każda para dzierżaw musi mieć dwukierunkowe ustawienia dostępu między dzierżawami, zarówno dla konfiguracji partnera, jak i synchronizacji tożsamości. Te ustawienia zapewniają podstawową strukturę zasad umożliwiającą zaufanie i udostępnianie użytkowników i aplikacji.

Gdy dzierżawa dołącza do nowej wielodostępnej organizacji lub gdy dzierżawa partnera dołącza do istniejącej wielodostępnej organizacji, ustawienia dostępu między dzierżawami do innych dzierżaw partnerskich w rozszerzonej organizacji wielodostępnej, jeśli jeszcze nie istnieją, są generowane automatycznie w stanie nieskonfigurowanym. W stanie nieskonfigurowanym te ustawienia dostępu między dzierżawami przechodzą przez ustawienia domyślne.

Domyślne ustawienia dostępu między dzierżawami mają zastosowanie do wszystkich dzierżaw zewnętrznych, dla których nie utworzono dostosowanych ustawień specyficznych dla organizacji. Zazwyczaj te ustawienia są skonfigurowane jako niezaufane. Na przykład relacje zaufania między dzierżawami na potrzeby uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń mogą być wyłączone, a udostępnianie użytkowników i grup w połączeniu bezpośrednim B2B lub współpraca B2B może być niedozwolona.

Z drugiej strony w organizacjach wielodostępnych ustawienia dostępu między dzierżawami są zwykle zaufane. Na przykład relacje zaufania między dzierżawami na potrzeby uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń mogą być włączone, a udostępnianie użytkowników i grup w połączeniu bezpośrednim B2B lub współpraca B2B może być dozwolona.

Chociaż automatyczne generowanie ustawień dostępu między dzierżawami dla dzierżaw wielodostępnych dzierżawców w organizacji i samodzielnie nie zmienia zachowania zasad uwierzytelniania lub autoryzacji, umożliwia organizacji łatwe dostosowywanie ustawień dostępu między dzierżawami dla dzierżaw partnerskich w organizacji wielodostępnej w poszczególnych dzierżawach.

Szablony zasad w wielodostępnej organizacji

Jak opisano wcześniej, w organizacjach wielodostępnych ustawienia dostępu między dzierżawami są zwykle zaufane. Na przykład relacje zaufania między dzierżawami na potrzeby uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń mogą być włączone, a udostępnianie użytkowników i grup w połączeniu bezpośrednim B2B lub współpraca B2B może być dozwolona.

Podczas automatycznego generowania ustawień dostępu między dzierżawami w poprzedniej sekcji gwarantuje istnienie ustawień dostępu między dzierżawami dla każdej wielodostępnej dzierżawy partnera organizacji, dalsza konserwacja ustawień dostępu między dzierżawami dla wielodostępnych dzierżawców organizacji jest przeprowadzana indywidualnie, dla poszczególnych dzierżaw.

Aby zmniejszyć obciążenie dla administratorów w czasie tworzenia wielodostępnej organizacji, możesz opcjonalnie użyć szablonów zasad do wstępnej konfiguracji ustawień dostępu między dzierżawami. Te ustawienia szablonu są stosowane w momencie dołączenia dzierżawy do wielodostępnej organizacji do wszystkich zewnętrznych dzierżawców partnerów organizacji wielodostępnych, a także w momencie dołączenia dowolnej dzierżawy partnera do istniejącej wielodostępnej organizacji do takiej nowej dzierżawy partnera.

Włączenie lub konfiguracja opcjonalnych szablonów zasad w momencie dołączenia dzierżawy partnera do wielodostępnej organizacji z preemptive zmienia odpowiednie ustawienia dostępu między dzierżawami zarówno dla konfiguracji partnera, jak i synchronizacji tożsamości.

Rozważmy na przykład działania administratorów dla przewidywanej wielodostępnej organizacji z trzema dzierżawami, A, B i C.

  • Administratorzy wszystkich trzech dzierżaw włączają i konfigurują odpowiednie opcjonalne szablony zasad, aby umożliwić relacje zaufania między dzierżawami na potrzeby uwierzytelniania wieloskładnikowego i zgodnych oświadczeń urządzeń oraz zezwalać na udostępnianie użytkowników i grup w połączeniu bezpośrednim B2B i współpracy B2B.
  • Administrator A tworzy organizację wielodostępną i dodaje dzierżawy B i C jako oczekujące dzierżawy do wielodostępnej organizacji.
  • Administrator B dołącza do organizacji wielodostępnych. Ustawienia dostępu między dzierżawami w dzierżawie A dla dzierżawy partnera B są zmieniane zgodnie z ustawieniami szablonu zasad dzierżawy A. Na odwrót ustawienia dostępu między dzierżawami w dzierżawie B dla dzierżawy partnera A są zmieniane zgodnie z ustawieniami szablonu zasad dzierżawy B.
  • Administrator C dołącza do organizacji wielodostępnych. Ustawienia dostępu między dzierżawami w dzierżawach A (i B) dla dzierżawy partnera C są zmieniane zgodnie z ustawieniami szablonu zasad dzierżawy A (i B). Podobnie ustawienia dostępu między dzierżawami w dzierżawie C dla dzierżaw a i B są zmieniane zgodnie z ustawieniami szablonu zasad dzierżawy C.
  • Po utworzeniu tej wielodostępnej organizacji trzech dzierżaw ustawienia dostępu między dzierżawami wszystkich par dzierżaw w organizacji wielodostępnej zostały wcześniej skonfigurowane.

Podsumowując, konfiguracja opcjonalnych szablonów zasad umożliwia homogeniczne inicjowanie ustawień dostępu między dzierżawami w organizacji wielodostępnej przy zachowaniu maksymalnej elastyczności dostosowywania ustawień dostępu między dzierżawami zgodnie z potrzebami w poszczególnych dzierżawach.

Aby przestać używać szablonów zasad, możesz zresetować je do stanu domyślnego. Aby uzyskać więcej informacji, zobacz Konfigurowanie wielodostępnych szablonów organizacji.

Określanie zakresu szablonu zasad i dodatkowe właściwości

Aby zapewnić administratorom dalszą konfigurację, możesz wybrać, kiedy ustawienia dostępu między dzierżawami mają zostać zmienione zgodnie z szablonami zasad. Na przykład można zastosować szablony zasad dla następujących dzierżaw, gdy dzierżawa dołącza do organizacji wielodostępnej:

Dzierżawa opis
Tylko nowe dzierżawy partnerów Dzierżawy, których ustawienia dostępu między dzierżawami są generowane automatycznie
Tylko istniejące dzierżawy partnerów Dzierżawcy, którzy mają już ustawienia dostępu między dzierżawami
Wszystkie dzierżawy partnerów Zarówno nowe dzierżawy partnerów, jak i istniejące dzierżawy partnerów
Brak dzierżaw partnerów Szablony zasad są skutecznie wyłączone

W tym kontekście nowi partnerzy odwołują się do dzierżaw, dla których nie skonfigurowano jeszcze ustawień dostępu między dzierżawami, podczas gdy istniejący partnerzy odwołują się do dzierżaw, dla których skonfigurowano już ustawienia dostępu między dzierżawami. Ten zakres jest określony z templateApplicationLevel właściwością w szablonie konfiguracji partnera dostępu między dzierżawami i templateApplicationLevel właściwością szablonu synchronizacji tożsamości dostępu między dzierżawami.

Na koniec, jeśli chodzi o interpretację wartości właściwości szablonu, każda wartość null właściwości szablonu nie ma wpływu na odpowiednią wartość właściwości w docelowych ustawieniach dostępu między dzierżawami, podczas gdy zdefiniowana wartość właściwości szablonu powoduje zmianę odpowiedniej wartości właściwości w docelowych ustawieniach dostępu między dzierżawami zgodnie z szablonem. W poniższej tabeli przedstawiono sposób stosowania wartości właściwości szablonu do odpowiednich wartości ustawień dostępu między dzierżawami.

Wartość szablonu Początkowa wartość ustawień partnera
(Przed dołączeniem do organizacji wielodostępnych)
Końcowa wartość ustawień partnera
(Po dołączeniu do wielodostępu organizacji)
null <Wartość ustawień partnera> <Wartość ustawień partnera>
<Wartość szablonu> <dowolna wartość> <Wartość szablonu>

Szablony zasad używane przez Centrum administracyjne platformy Microsoft 365

Gdy organizacja wielodostępna jest tworzona w Centrum administracyjne platformy Microsoft 365, administrator zgadza się na następujące wielodostępne ustawienia szablonu organizacji:

  • Synchronizacja tożsamości jest ustawiona tak, aby umożliwić użytkownikom synchronizowanie się z tą dzierżawą
  • Dostęp między dzierżawami jest ustawiony na automatyczne realizowanie zaproszeń użytkowników zarówno dla ruchu przychodzącego, jak i wychodzącego

Jest to osiągane przez ustawienie odpowiednich trzech wartości właściwości szablonu na true:

  • automaticUserConsentSettings.inboundAllowed
  • automaticUserConsentSettings.outboundAllowed
  • userSyncInbound

Aby uzyskać więcej informacji, zobacz Dołączanie lub opuszczanie wielodostępnej organizacji na platformie Microsoft 365.

Ustawienia dostępu między dzierżawami w czasie dezasemblacji wielodostępnej organizacji

Obecnie nie ma równoważnej funkcji szablonu zasad obsługującej dezasemblowanie wielodostępnej organizacji. Gdy dzierżawa partnera opuszcza wielodostępną organizację, każdy administrator dzierżawy musi ponownie przeanalizować i zmienić odpowiednio ustawienia dostępu między dzierżawami dla dzierżawy partnera, która opuściła organizację wielodostępną.

Dzierżawa partnera, która opuściła organizację wielodostępną, musi ponownie przeanalizować i odpowiednio zmienić ustawienia dostępu między dzierżawami dla wszystkich byłych dzierżawców wielodostępnych partnerów organizacji, a także rozważyć zresetowanie dwóch szablonów zasad dla ustawień dostępu między dzierżawami.

Następne kroki