Настройка шаблонов политик мультитенантной организации с помощью API Microsoft Graph
В этой статье описывается настройка шаблона политики для мультитенантной организации.
Необходимые условия
- Сведения о лицензии см. в требованиях к лицензии .
- роль администратора безопасности для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
- роль администратора привилегированных ролей, чтобы предоставить согласие на необходимые разрешения.
Шаблон политики доступа между арендаторами для партнеров
конфигурации партнера по доступу между клиентами обрабатывает параметры доверия и автоматические параметры согласия пользователей между клиентами партнеров. Например, эти параметры можно использовать, чтобы доверять утверждениям многофакторной аутентификации для входящих пользователей из партнёрского арендатора. При использовании шаблона в ненастроенном состоянии конфигурации партнеров для клиентов партнеров в мультитенантной организации не будут изменены, при этом все параметры доверия передаются из параметров по умолчанию. Однако при настройке шаблона конфигурации партнеров будут изменены, соответствующие шаблону политики.
Настройте входящий и исходящий автоматический выкуп
Чтобы указать параметры доверия и параметры автоматического согласия пользователя для применения к шаблону политики, используйте API Update multiTenantOrganizationPartnerConfigurationTemplate. Если вы создаете или присоединяетесь к мультитенантной организации с помощью Центра администрирования Microsoft 365, эта конфигурация обрабатывается автоматически.
Запрос
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Отключение шаблона для существующих партнеров
Чтобы применить этот шаблон только к новым участникам мультитенантной организации и исключить существующих партнеров, задайте параметр templateApplicationLevel только новым партнерам.
запроса
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Полностью отключить шаблон
Чтобы полностью отключить шаблон, задайте для параметра templateApplicationLevel значение NULL.
запроса
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Сброс шаблона
Чтобы сбросить шаблон в состояние по умолчанию (отклонить все доверие и автоматическое согласие пользователя), используйте api multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Шаблон синхронизации между клиентами
Политика синхронизации удостоверений управляет межарендной синхронизацией, которая позволяет совместно использовать пользователей и группы между арендаторами в организации. Эти параметры можно использовать для разрешения синхронизации входящих пользователей. При использовании шаблона в не настроенном состоянии политика синхронизации удостоверений для партнерских арендаторов в мультитенантной организации не будет изменена. Однако при настройке шаблона политика синхронизации удостоверений будет изменена, соответствующая шаблону политики.
Настройка синхронизации входящих пользователей
Чтобы разрешить синхронизацию входящих пользователей в шаблоне политики, используйте API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Если вы создаете или присоединяетесь к мультитенантной организации с помощью Центра администрирования Microsoft 365, эта конфигурация обрабатывается автоматически.
запроса
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Отключение шаблона для существующих партнеров
Чтобы применить этот шаблон только к новым участникам мультитенантной организации и исключить существующих партнеров, задайте параметр templateApplicationLevel только новым партнерам.
запроса
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Полностью отключите шаблон
Чтобы полностью отключить шаблон, задайте для параметра templateApplicationLevel значение NULL.
запроса
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Сброс шаблона
Чтобы сбросить шаблон в состояние по умолчанию (отклонить входящие синхронизации), используйте api multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.
запроса
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings