Настройка шаблонов политик мультитенантной организации с помощью API Microsoft Graph
В этой статье описывается настройка шаблона политики для мультитенантной организации.
Необходимые компоненты
- Сведения о лицензии см. в разделе "Требования к лицензии".
- Роль Администратор istrator для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
- Роль глобального Администратор istrator для предоставления необходимых разрешений.
Шаблон партнера по политике доступа между клиентами
Конфигурация партнера по межтенантному доступу обрабатывает параметры доверия и параметры автоматического согласия пользователя между клиентами партнера. Например, эти параметры можно использовать для доверия утверждения многофакторной проверки подлинности для входящих пользователей из целевого клиента партнера. При использовании шаблона в ненастроенном состоянии конфигурации партнеров для клиентов партнеров в мультитенантной организации не будут изменены, при этом все параметры доверия передаются из параметров по умолчанию. Однако при настройке шаблона конфигурации партнеров будут изменены, соответствующие шаблону политики.
Настройка входящего и исходящего автоматического активации
Чтобы указать параметры доверия и параметры автоматического согласия пользователя для применения к шаблону политики, используйте API Update multiTenantOrganizationPartnerConfigurationTemplate . Если вы создаете или присоединяетесь к мультитенантной организации с помощью Центр администрирования Microsoft 365, эта конфигурация обрабатывается автоматически.
Запросить
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Отключение шаблона для существующих партнеров
Чтобы применить этот шаблон только к новым участникам мультитенантной организации и исключить существующих партнеров, задайте templateApplicationLevel параметр только новым партнерам.
Запросить
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Отключение шаблона полностью
Чтобы полностью отключить шаблон, задайте templateApplicationLevel для параметра значение NULL.
Запросить
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Сброс шаблона
Чтобы сбросить шаблон в состояние по умолчанию (отклонить все доверие и автоматическое согласие пользователя), используйте API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefault Параметры API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Шаблон синхронизации между клиентами
Политика синхронизации удостоверений управляет синхронизацией между клиентами, что позволяет совместно использовать пользователей и группы между клиентами в организации. Эти параметры можно использовать для разрешения синхронизации входящих пользователей. При использовании шаблона в ненастроенном состоянии политика синхронизации удостоверений для клиентов партнеров в мультитенантной организации не будет изменена. Однако при настройке шаблона политика синхронизации удостоверений будет изменена, соответствующая шаблону политики.
Настройка синхронизации входящих пользователей
Чтобы разрешить синхронизацию входящих пользователей в шаблоне политики, используйте API Update multiTenantOrganizationIdentitySyncPolicyTemplate . Если вы создаете или присоединяетесь к мультитенантной организации с помощью Центр администрирования Microsoft 365, эта конфигурация обрабатывается автоматически.
Запросить
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Отключение шаблона для существующих партнеров
Чтобы применить этот шаблон только к новым участникам мультитенантной организации и исключить существующих партнеров, задайте templateApplicationLevel параметр только новым партнерам.
Запросить
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Отключение шаблона полностью
Чтобы полностью отключить шаблон, задайте templateApplicationLevel для параметра значение NULL.
Запросить
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Сброс шаблона
Чтобы сбросить шаблон в состояние по умолчанию (отклонить входящие синхронизации), используйте API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefault Параметры API.
Запросить
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings