Configuração de modelos de política para organização multitenant usando a API do Microsoft Graph
Este artigo descreve como configurar um modelo de política para sua organização multilocatário.
Pré-requisitos
- Para obter mais informações sobre licença, confira Requisitos de licença.
- Função de Administrador de Segurança para definir configurações e modelos de acesso entre locatários para a organização multilocatário.
- Função Administrador de funções com privilégios para consentir com as permissões necessárias.
Modelo de parceiro de política de acesso entre locatários
A configuração do parceiro de acesso entre locatários manipula as configurações de confiança e as configurações automáticas de consentimento do usuário entre locatários do parceiro. Por exemplo, você pode usar essas configurações para confiar em declarações de autenticação multifator para usuários de entrada do locatário do parceiro de destino. Com o modelo em um estado não configurado, as configurações de parceiros para locatários de parceiros na organização multilocatário não serão alteradas, com todas as configurações de confiança passadas das configurações padrão. No entanto, se você configurar o modelo, as configurações de parceiro serão alteradas correspondentes ao modelo de política.
Configurar o resgate automático de entrada e saída
Para especificar quais configurações de confiança e configurações automáticas de consentimento do usuário aplicar ao modelo de política, use a API Update multiTenantOrganizationPartnerConfigurationTemplate. Se você criar ou ingressar em uma organização multilocatário usando o Centro de administração do Microsoft 365, essa configuração será tratada automaticamente.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desabilitar o modelo para parceiros existentes
Para aplicar esse modelo somente a novos membros multilocatários da organização e excluir parceiros existentes, defina o parâmetro templateApplicationLevel somente para novos parceiros.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desabilitar completamente o modelo
Para desabilitar completamente o modelo, defina o parâmetro templateApplicationLevel como nulo.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar toda a confiança e consentimento automático do usuário), use o multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modelo de sincronização entre locatários
A política de sincronização de identidade rege a sincronização entre locatários, o que permite compartilhar usuários e grupos entre locatários em sua organização. Você pode usar essas configurações para permitir a sincronização de usuários de entrada. Com o modelo em um estado não configurado, a política de sincronização de identidade para locatários de parceiros na organização multilocatário não será alterada. No entanto, se você configurar o modelo, a política de sincronização de identidade será alterada correspondente ao modelo de política.
Configurar a sincronização de usuários entrantes
Para permitir a sincronização de usuário de entrada no modelo de política, use a API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Se você criar ou ingressar em uma organização multilocatário usando o Centro de administração do Microsoft 365, essa configuração será tratada automaticamente.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desabilitar o modelo para parceiros existentes
Para aplicar esse modelo somente a novos membros multilocatários da organização e excluir parceiros existentes, defina o parâmetro templateApplicationLevel somente para novos parceiros.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desabilitar completamente o modelo
Para desabilitar completamente o modelo, defina o parâmetro templateApplicationLevel como nulo.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar sincronização de entrada), use a API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.
Solicitação
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings