Configurar modelos de política de organização multilocatária usando a API do Microsoft Graph
Este artigo descreve como configurar um modelo de política para sua organização multilocatário.
Pré-requisitos
- Para obter informações sobre licença, consulte Requisitos de licença.
- Função de Administrador de Segurança para definir configurações e modelos de acesso entre locatários para a organização multilocatário.
- Função de Administrador Global para consentir com as permissões necessárias.
Modelo de parceiro de política de acesso entre locatários
A configuração de parceiro de acesso entre locatários lida com configurações de confiança e configurações de consentimento automático do usuário entre locatários parceiros. Por exemplo, você pode usar essas configurações para confiar em declarações de autenticação multifator para usuários de entrada do locatário parceiro de destino. Com o modelo em um estado não configurado, as configurações de parceiro para locatários parceiros na organização multilocatária não serão alteradas, com todas as configurações de confiança passadas das configurações padrão. No entanto, se você configurar o modelo, as configurações de parceiro serão alteradas correspondentes ao modelo de política.
Configurar resgate automático de entrada e saída
Para especificar quais configurações de confiança e de consentimento automático do usuário devem ser aplicadas ao seu modelo de política, use a API Update multiTenantOrganizationPartnerConfigurationTemplate . Se você criar ou ingressar em uma organização multilocatária usando o centro de administração do Microsoft 365, essa configuração será tratada automaticamente.
Pedir
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desativar o modelo para parceiros existentes
Para aplicar este modelo apenas a novos membros da organização multilocatária e excluir parceiros existentes, defina o templateApplicationLevel parâmetro apenas para novos parceiros.
Pedir
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desative completamente o modelo
Para desativar completamente o modelo, defina o templateApplicationLevel parâmetro como null.
Pedir
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar toda a confiança e consentimento automático do usuário), use a API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings .
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modelo de sincronização entre locatários
A política de sincronização de identidade rege a sincronização entre locatários, que permite compartilhar usuários e grupos entre locatários em sua organização. Você pode usar essas configurações para permitir a sincronização do usuário de entrada. Com o modelo em um estado não configurado, a política de sincronização de identidade para locatários parceiros na organização multilocatária não será alterada. No entanto, se você configurar o modelo, a política de sincronização de identidade será alterada correspondente ao modelo de política.
Configurar a sincronização do usuário de entrada
Para permitir a sincronização de usuários de entrada no modelo de política, use a API Update multiTenantOrganizationIdentitySyncPolicyTemplate . Se você criar ou ingressar em uma organização multilocatária usando o centro de administração do Microsoft 365, essa configuração será tratada automaticamente.
Pedir
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desativar o modelo para parceiros existentes
Para aplicar este modelo apenas a novos membros da organização multilocatária e excluir parceiros existentes, defina o templateApplicationLevel parâmetro apenas para novos parceiros.
Pedir
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desative completamente o modelo
Para desativar completamente o modelo, defina o templateApplicationLevel parâmetro como null.
Pedir
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar sincronização de entrada), use a API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings .
Pedir
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings